Ebay Kleinanzeigen - Konto übermommen?

[ohmsl]

So wie ich das sehe, kommt irgendwann die Aufforderung auf 2FA umzustellen. Die Umstellung aller Konten ist halt nicht auf einen Schlag möglich und wird vermutlich verpflichtend.

 

[Maviapril2]

Was genau hilft das App Passwort wenn sich jeder zu Port 143 (TLS) / 993 (SSL) an den IMAP Server connecten kann?

Was genau hilft das “Connecten” wenn man ohne App-Passwort nicht in das Konto kommt?

Aber grundsätzlich ist ein App-Passwort kein 2FA, solange sich dieses nicht bei jedem Zugriff innerhalb gewisser Zeit ändert

 

[foo_1337]

Was genau hilft das “Connecten” wenn man ohne App-Passwort nicht in das Konto kommt?

Wollte gerade was dazu schreiben, doch dann habe ich gesehen, dass du deinen Beitrag editiert hast:

Aber grundsätzlich ist ein App-Passwort kein 2FA, solange sich dieses nicht bei jedem Zugriff innerhalb gewisser Zeit ändert

Und genau das ist das Problem: Bekommt der Angreifer das App Passwort, kann er sich von überall völlig ohne 2. Faktor via IMAP connecten.

Mit 2FA hat das alles daher gar nichts zu tun. Das geht mit IMAP schlicht nicht, da es kein Session orientiertes Protokoll ist. Bei jeder neuen Verbindung wird das Passwort aufs neue versendet. Es gibt kein Token oder ähnliches. Und es gibt auch keinen MUA Header analog zu HTTP so dass man auch keine Mail à la "Ein neues Gerät hat sich eingeloggt" versenden kann.
Ich betreibe meinen Mailserver selbst und habe den Dovecot (imapd) eben zusammen mit fail2ban so konfiguriert, dass er recht aggressiv denied. Wenn nun jemand mein Passwort hat, und das ohne Fehlversuche nutzt, hilft mir das natürlich auch nicht.