|
App-Kennwörter |
Scrollen Zurück Oberste Ebene Weiter Mehr |
App-Kennwörter
App-Kennwörter sind sehr starke, zufällig erzeugte Kennwörter, die in E-Mail-Clients und E-Mail-Apps eingesetzt werden können. Sie erhöhen die Sicherheit Ihrer E-Mail-Apps, da diese Apps nicht durch die Zwei-Faktor-Authentifizierung (2FA) geschützt werden können. Die 2FA ist ein sicheres Anmeldeverfahren, das die Benutzer für Webmail und die MDaemon-Remoteverwaltung (MDRA) nutzen können. Dieses Verfahren ist aber für E-Mail-Apps nicht einsetzbar, da diese Apps im Hintergrund auf Ihre E-Mail-Nachrichten zugreifen müssen, ohne dass Sie dazu einen Kode aus Ihrer Authentifizierungs-App eingeben. Das Leistungsmerkmal App-Kennwörter gestattet Ihnen die Erstellung starker, sicherer Kennwörter, die Sie in Ihren Apps einsetzen können, während Ihr eigentliches Kennwort für das Benutzerkonto durch die Zwei-Faktor-Authentifizierung geschützt ist. App-Kennwörter können nur in E-Mail-Apps eingesetzt werden. Für die Anmeldung an Webmail oder der MDaemon-Remoteverwaltung sind sie dagegen nicht nutzbar. Selbst wenn ein App-Kennwort daher kompromittiert werden würde, könnte eine unberechtigte Person sich damit nicht an Ihrem Benutzerkonto anmelden, um etwa Ihr Kennwort oder andere Einstellungen zu ändern. Sie selbst können sich aber mit dem Kennwort für Ihr Benutzerkonto und der Zwei-Faktor-Authentifizierung an Ihrem Benutzerkonto anmelden, das kompromittierte App-Kennwort löschen und nötigenfalls ein neues App-Kennwort erstellen.
Falls Sie einzelnen Benutzern die Erstellung und Nutzung von App-Kennwörtern nicht gestatten wollen, können Sie diesen Benutzern auf der Seite Web-Dienste die Berechtigung zum Bearbeiten der App-Kennwörter entziehen. Falls Sie die Unterstützung für die App-Kennwörter für alle Benutzer deaktivieren wollen, können Sie die Option App-Kennwörter aktivieren auf der Seite Kennwörter deaktivieren.
Anforderungen an und Empfehlungen für App-Kennwörter
•App-Kennwörter können nur erstellt werden, wenn für das betreffende Benutzerkonto die Zwei-Faktor-Authentifizierung aktiv ist (diese Anforderung können Sie aber deaktivieren, falls gewünscht).
•App-Kennwörter können nur in E-Mail-Apps verwendet werden. Sie sind für die Anmeldung an Webmail oder der MDaemon-Remoteverwaltung nicht nutzbar.
•Jedes App-Kennwort wird nur einmal angezeigt, und zwar unmittelbar nach der Erstellung. Später kann das App-Kennwort nicht mehr angezeigt oder abgerufen werden. Die Benutzer müssen daher darauf vorbereitet sein, das App-Kennwort unmittelbar nach der Erstellung in die App einzugeben.
•Die Benutzer sollen für jede E-Mail-App ein eigenes App-Kennwort verwenden. Sie sollen App-Kennwörter, widerrufen (löschen), falls sie die zugehörige App nicht mehr verwenden, oder falls ein Gerät verlorengeht oder gestohlen wird.
•Für jedes App-Kennwort wird aufgeführt, wann es erstellt wurde, wann es zuletzt verwendet wurde, und von welcher IP-Adresse aus die Verbindung mit dem Benutzerkonto hergestellt wurde. Falls ein Benutzer Unregelmäßigkeiten beim Zeitpunkt der letzten Nutzung oder der protokollierten IP-Adresse bemerkt, sollen das betroffene App-Kennwort widerrufen und ein neues App-Kennwort erstellt werden.
•Bei Änderungen am Kennwort des Benutzerkontos werden alle App-Kennwörter des Benutzerkontos automatisch gelöscht. Die Benutzer können die zuvor gültigen App-Kennwörter dann nicht mehr verwenden.
Erstellen und Verwenden von App-Kennwörtern
Die Benutzer erstellen und verwalten üblicherweise ihre eigenen App-Kennwörter mithilfe von Webmail. Sie müssen dazu die nachfolgend aufgeführten Schritte ausführen (diese Informationen sind auch in der Hilfe für Webmail enthalten). Bevor der Benutzer ein App-Kennwort erstellt, sollte die E-Mail-App oder der E-Mail-Client zur Eingabe des App-Kennworts bereit sein. Das App-Kennwort wird nur unmittelbar nach der Erstellung einmal angezeigt und kann danach nicht mehr gelesen oder abgerufen werden.
1.Bereiten Sie Ihre E-Mail-Anwendung oder Ihren E-Mail-Client darauf vor, das App-Kennwort einzugeben.
2.Melden Sie sich an Webmail an und klicken Sie auf Optionen » Sicherheit.
3.Tragen Sie das Kennwort für Ihr Benutzerkonto in das Feld Aktuelles Kennwort ein.
4.Klicken Sie auf Neues App-Kennwort.
5.Geben Sie den Namen der E-Mail-Anwendung ein, in der das App-Kennwort genutzt werden wird (z.B. "E-Mail-App auf Mobiltelefon"), und klicken Sie danach auf OK.
6.Das App-Kennwort wird nun angezeigt. Kopieren Sie das App-Kennwort manuell in Ihre E-Mail-Anwendung, oder tragen Sie es dort ein. Falls nötig, kopieren Sie es in eine Textdatei, oder schreiben Sie es auf. Falls Sie das App-Kennwort für spätere Verwendung in eine Textdatei kopieren oder aufschreiben, sollten Sie diese Kopie vernichten, sobald Sie es in Ihre E-Mail-Anwendung eingetragen haben. Wenn Sie den Vorgang abgeschlossen haben, klicken Sie auf OK.
Falls Sie für einen Benutzer ein App-Kennwort erstellen oder löschen müssen, können Sie dies mithilfe der Optionen auf dieser Seite erledigen. Wie auch bei der Erstellung über Webmail, so wird auch hier das App-Kennwort nur unmittelbar nach der Erstellung einmal angezeigt. Es soll daher sofort in die App eingegeben oder zwischengespeichert und dem Benutzer später mitgeteilt werden.
|
Im Abschnitt Einstellungen des Benutzerkonten-Editors steht die Option "Anmeldung an SMTP, IMAP, ActiveSync usw. nur über App-Kennwörter zulassen" zur Verfügung. Sie bewirkt, dass die Anmeldung an den genannten Diensten nur mithilfe von App-Kennwörtern möglich ist. Wenn Sie die Nutzung von App-Kennwörtern für die genannten Anwendungsfälle erzwingen, so kann dies helfen, das Kennwort für ein Benutzerkonto gegen Brute-Force-Angriffe über SMTP, IMAP und andere Dienste zu schützen. Die Sicherheit ist in diesem Fall erhöht, da selbst bei Bekanntwerden des Kennworts für das Benutzerkonto ein Angriff über die genannten Dienste nicht möglich wäre. Ein Angreifer würde dabei nicht einmal erkennen, dass das Kennwort für das Benutzerkonto entdeckt wurde, da MDaemon für die Anmeldung an den genannten Diensten nicht das Kennwort des Benutzerkontos sondern nur ein gültiges App-Kennwort akzeptiert. Ein weiterer Vorteil ergibt sich bei der Echtheitsbestätigung mithilfe des Active Directory. Benutzerkonten im Active Directory werden nach einer bestimmten Anzahl fehlerhafter Anmeldeversuche automatisch gesperrt. Die Nutzung der App-Kennwörter kann solche Sperren verhindern, da MDaemon bei aktivierter Option nur die App-Kennwörter prüft, aber keine Echtheitsbestätigung über das Active Directory versucht. |
Siehe auch:
