Ebay Kleinanzeigen - Konto übermommen?

So wie ich das sehe, kommt irgendwann die Aufforderung auf 2FA umzustellen. Die Umstellung aller Konten ist halt nicht auf einen Schlag möglich und wird vermutlich verpflichtend.
 
foo_1337 schrieb:
Was genau hilft das App Passwort wenn sich jeder zu Port 143 (TLS) / 993 (SSL) an den IMAP Server connecten kann?
Was genau hilft das “Connecten” wenn man ohne App-Passwort nicht in das Konto kommt?

Aber grundsätzlich ist ein App-Passwort kein 2FA, solange sich dieses nicht bei jedem Zugriff innerhalb gewisser Zeit ändert
 
Maviapril2 schrieb:
Was genau hilft das “Connecten” wenn man ohne App-Passwort nicht in das Konto kommt?
Wollte gerade was dazu schreiben, doch dann habe ich gesehen, dass du deinen Beitrag editiert hast:
Maviapril2 schrieb:
Aber grundsätzlich ist ein App-Passwort kein 2FA, solange sich dieses nicht bei jedem Zugriff innerhalb gewisser Zeit ändert
Und genau das ist das Problem: Bekommt der Angreifer das App Passwort, kann er sich von überall völlig ohne 2. Faktor via IMAP connecten.

Mit 2FA hat das alles daher gar nichts zu tun. Das geht mit IMAP schlicht nicht, da es kein Session orientiertes Protokoll ist. Bei jeder neuen Verbindung wird das Passwort aufs neue versendet. Es gibt kein Token oder ähnliches. Und es gibt auch keinen MUA Header analog zu HTTP so dass man auch keine Mail à la "Ein neues Gerät hat sich eingeloggt" versenden kann.
Ich betreibe meinen Mailserver selbst und habe den Dovecot (imapd) eben zusammen mit fail2ban so konfiguriert, dass er recht aggressiv denied. Wenn nun jemand mein Passwort hat, und das ohne Fehlversuche nutzt, hilft mir das natürlich auch nicht.
 
  • Gefällt mir
Reaktionen: Maviapril2
Zurück
Oben