Two-factor voor mail

Stel hier jouw vragen die niet binnen de andere categorieën passen.
Forumregels
Check eerst even onze handleiding (http://help.antagonist.nl/) voordat je hier je vraag stelt. Voor de meeste problemen hebben we een oplossing met een zeer uitgebreide uitleg.
Plaats reactie
BBBBBB
Berichten: 5
Lid geworden op: 20 okt 2017, 07:32

Two-factor voor mail

Bericht door BBBBBB » 20 okt 2017, 07:38

Hoi,

Antagonist (web)mail heeft nog altijd slechts beveiliging door een password. Keer op keer is de afgelopen tijd weer gebleken dat dit een groot risico oplevert, zeker voor mensen (zoals ik) die dit als primaire mailservice gebruiken. Iemand kan met toegang tot je mail immers al je wachtwoorden resetten, zich toegang verschaffen tot álle je services en ga zo maar door.

Ik las in een andere thread dat er wel gewerkt wordt aan 2FA voor het adminpaneel, maar ik vind dit eigenlijk nog een stuk urgenter en zou dus ook graag willen weten of dit voor de mail ook komt, en het liefst enig idee van een tijdspad.

Alvast dank voor de reply!

Gebruikersavatar
Joris de Leeuw
Antagonist staff
Berichten: 1090
Lid geworden op: 13 feb 2016, 20:15

Re: Two-factor voor mail

Bericht door Joris de Leeuw » 20 okt 2017, 10:11

Beste BBBBBB,

Dan voor het delen van je input over 2FA. Vanuit Antagonist zien we dit ook als goede toevoeging.

Op dit moment bieden we daarbij inderdaad nog geen 2FA aan op e-mailaccounts. Het toevoegen van 2FA staat zeker op de planning. Echter kan ik hier op dit moment nog geen concrete informatie over delen. Zodra dit wel mogelijk is zullen we dit zeker doen.

Als we bij Antagonist iets toevoegen dan doen we het namelijk meteen goed. 2FA moet dus gemakkelijk en begrijpbaar werken. Zodat 2FA juist als goede toevoeging wordt gezien en niet als belemmering.

Het gebruik van veilige en unieke wachtwoorden is daarbij altijd aan te raden om te voorkomen dat een derden toegang krijgt. Hoe je het beste een veilig wachtwoord kan kiezen is te lezen op:
- https://www.antagonist.nl/blog/2017/09/ ... htwoorden/
Met vriendelijke groet,

Joris de Leeuw
Antagonist staff

BBBBBB
Berichten: 5
Lid geworden op: 20 okt 2017, 07:32

Re: Two-factor voor mail

Bericht door BBBBBB » 20 okt 2017, 11:18

Dag Joris,

Dank je wel voor je reactie. Ik snap dat je dingen meteen goed wil doen, maar dit is geen nieuwe ontwikkeling. De dreiging is ook best serieus. Zie bijvoorbeeld dit soort problem:

A hacker stole $50k from my bank account and all they had access to was my gmail

Daarbij is het ook al jaren bekend dat alleen een wachtwoord écht een groot risico is...

2013: Google security exec: 'Passwords are dead'
2014: Russian credential theft shows why the password is dead
2014: Microsoft cybersecurity expert declares the password dead

Nogmaals, inderdaad moet je iets goed doen als je het wil doen. Ik wil jullie alleen op het hart drukken dat dit écht geen half jaar meer moet duren want jullie klanten lopen op deze manier een heel concreet gevaar,

Overigens vind ik het 'interessant' dat onder de blogpost die jij aanhaalt, de Antagonist-klantenservice het volgende schrijft:
Als je een sterk wachtwoord combineert met twee-factor-authenticatie, dan ben je al een goed eind op weg
Aka, geef dan vooral het goede voorbeeld :)

Hebben jullie trouwens al eens overwogen om überhaupt van Roundcube af te stappen? Ik ben zelf bijvoorbeeld groot fan van RainLoop (https://www.rainloop.net/), wat een stuk moderner oogt dan RC én standaard ondersteuning heeft voor 2FA. Bovendien zijn er allerlei dingen die in RC niet echt lekker werken (zoekfunctie, ik noem maar wat) die in RL erg goed lopen. Misschien een suggestie?

Groet,
BBBBBB

Gebruikersavatar
Joris de Leeuw
Antagonist staff
Berichten: 1090
Lid geworden op: 13 feb 2016, 20:15

Re: Two-factor voor mail

Bericht door Joris de Leeuw » 20 okt 2017, 15:17

Hallo BBBBBB,

We zien zeker dat 2FA een zeer goede toevoeging is. Maar zoals je wellicht begrijpt is 2FA niet iets wat je overhaast moet implementeren er zijn namelijk vele haken en ogen zowel technisch, maar vooral qua implementatie en procedures.

Je wilt namelijk niet dat er juist een onveiligere/complexe situatie ontstaat die valse veiligheid geeft.

Hierdoor wil ik eerlijk aangeven dat dit nog langere tijd gaat duren voordat het overal beschikbaar komt. Merk op dat in DirectAdmin al wel 2FA beschikbaar is en dat je het hier ook al gerust kan gebruiken.

Laat ik een persoonlijke anekdote vertellen wat dit illustreert waardoor juist een goed geimplementeerde 2FA belangrijk is.

Ooit is mijn telefoon kapot gegaan welke de 2FA codes genereerde voor bedrijf X en Y. Om deze reden kon ik bij deze bedrijven niet meer inloggen.

Beide bedrijven bleken opeens een andere procedure te hebben om toch weer te kunnen inloggen. Bedrijf X schakelde zonder enkele controle 2FA na een mailtje uit.
Bedrijf Y eisde echter een verklaring een geschreven verklaring van de notaris om 2FA uit te schakelen.

Zoals je wellicht begrijpt zijn er daarom veel punten waar je bij een goede 2FA implementatie belangrijk waarbij procedures goed voor elkaar zijn, maar niet onnodig ingewikkeld zijn.

Als wij iets bouwen bij Antagonist zorgen wij dat het zowel technisch als op alle andere vlakken goed voor elkaar is. Denk hierbij bijvoorbeeld aan onze implementatie van SSL, waardoor jij als klant eigenlijk niets meer hoeft te doen.

Zodra er een statusupdate is over 2FA bij Antagonist zal ik dat dus zeker delen. :)
Hebben jullie trouwens al eens overwogen om überhaupt van Roundcube af te stappen? Ik ben zelf bijvoorbeeld groot fan van RainLoop (https://www.rainloop.net/)
Dat is zeker een mooie suggestie die we zullen noteren.

Heb je het zelf al proberen te installeren in je hostingpakket? Zo ver ik opmaak zou dit namelijk mogelijk dienen zijn met de Basic versie voor particulier gebruik:
- https://www.rainloop.net/docs/installation/
Met vriendelijke groet,

Joris de Leeuw
Antagonist staff

BBBBBB
Berichten: 5
Lid geworden op: 20 okt 2017, 07:32

Re: Two-factor voor mail

Bericht door BBBBBB » 23 okt 2017, 07:32

Dag Joris,
Joris de Leeuw schreef: Ooit is mijn telefoon kapot gegaan welke de 2FA codes genereerde voor bedrijf X en Y. Om deze reden kon ik bij deze bedrijven niet meer inloggen.

Beide bedrijven bleken opeens een andere procedure te hebben om toch weer te kunnen inloggen. Bedrijf X schakelde zonder enkele controle 2FA na een mailtje uit.
Bedrijf Y eisde echter een verklaring een geschreven verklaring van de notaris om 2FA uit te schakelen.
Nu is mij toevallig ditzelfde overkomen met mijn Antagonist-control panel-2FA-codes. Ik weet niet of jullie er beleid over hebben, maar ik heb toen mijzelf geauthenticeerd met een PGP-signed mail.
Joris de Leeuw schreef:
Hebben jullie trouwens al eens overwogen om überhaupt van Roundcube af te stappen? Ik ben zelf bijvoorbeeld groot fan van RainLoop (https://www.rainloop.net/)
Dat is zeker een mooie suggestie die we zullen noteren.

Heb je het zelf al proberen te installeren in je hostingpakket? Zo ver ik opmaak zou dit namelijk mogelijk dienen zijn met de Basic versie voor particulier gebruik:
- https://www.rainloop.net/docs/installation/
Dat werkt inderdaad! Ik maak daar al een tijdje met veel plezier gebruik van. Echter zijn de mail-logingegevens serverside bepaald en dus hetzelfde als voor RoundCube en Squirrelmail. Het heeft zodoende niet veel zin om de 2FA van RainLoop aan te zetten, want als je het slachtoffer van een keylogger wordt kan men via een van die webmail-clients alsnog inloggen, en ook via een desktopmailprogramma omdat er door Antagonist geen applicatiewachtwoorden voor mailclients worden ondersteund.
Joris de Leeuw schreef: Hierdoor wil ik eerlijk aangeven dat dit nog langere tijd gaat duren voordat het overal beschikbaar komt. Merk op dat in DirectAdmin al wel 2FA beschikbaar is en dat je het hier ook al gerust kan gebruiken.
Dat is toch wel erg jammer... Begrijpelijk, maar wel jammer. Ik hoor het graag als er meer bekend is: ik heb recent verlengd dus blijf nog wel even bij Antagonist, maar als er over een jaar nog geen alternatief is moet ik misschien eens gaan kijken hoe dat bij 'de buren' is geregeld.

Groet,
BBBBBB

hallway
Berichten: 6
Lid geworden op: 04 sep 2018, 09:31

Re: Two-factor voor mail

Bericht door hallway » 04 sep 2018, 09:56

Graag 2FA zo snel mogelijk invoeren op mail.antagonist.nl.

Laatst is er ingebroken bij een klant en is er spam verzonden. Sterke wachtwoorden zijn inderdaad belangrijk, en worden door mij altijd met een wachtwoordenmanager aangemaakt. Maar wat als de klant het wachtwoord vervangt door een eenvoudig wachtwoord? Als dat zo is dan gaat de hacker naar https://haveibeenpwned.com/ en zal wel ergens een database met wachtwoorden kunnen vinden.

Bij deze het dringende verzoek om 2FA zo snel mogelijk in te voeren op mail.antagonist.nl. Natuurlijk willen jullie het goed implementeren, en moet het voor iedereen te begrijpen zijn. Maar dat mag geen excuus zijn om hier nog jaren mee te wachten.

Het liefst meerdere vormen van 2FA aanbieden. Wat mooi zou zijn is als jullie U2F sleutels toestaan, standaard één hoofdsleutel en één back-up sleutel.

Als het fout gaat met verlies van een mobiel of U2F sleutel, dan kan de identiteit wellicht worden achterhaald met een dienst als iDIN of https://www.ondertekenen.nl/

BBBBBB
Berichten: 5
Lid geworden op: 20 okt 2017, 07:32

Re: Two-factor voor mail

Bericht door BBBBBB » 04 sep 2018, 13:44

Het is inmiddels weer bijna een jaar later en ik heb er niks van gehoord, noch is het ingeschakeld.

Ik ben inmiddels ruim tien jaar klant bij Antagonist, maar overweeg sterk om mijn de volgende keer dat mijn pakket afloopt op te zeggen als dit niet snel voor elkaar komt. Heel zuur, maar ik heb echt niet het gevoel dat dit issue serieus wordt genomen.

Gebruikersavatar
Joris de Leeuw
Antagonist staff
Berichten: 1090
Lid geworden op: 13 feb 2016, 20:15

Re: Two-factor voor mail

Bericht door Joris de Leeuw » 04 sep 2018, 14:11

Beste BBBBBB,

Op dit moment is er nog geen concrete statusupdate betreffende het implementeren van 2FA in de werking van mail. Mede omdat deze techniek nog niet/nergens bestaat.

Het IMAP- en POP-protocol biedt hiervoor namelijk geen ondersteuning. Dit zijn de protocollen die gebruikt worden door e-mailprogramma's, zoals Outlook, Apple Mail en Thunderbird. Dit is een zwakte van het e-mailprotocol in het algemeen. Voor zover wij weten, bestaat er nog geen e-maildienst die hier een passende oplossing voor heeft.

Het zou voor ons eventueel wel mogelijk zijn om twee-factor-authenticatie aan te bieden in onze webmailomgeving. Dit is bijvoorbeeld hoe het geregeld is bij Gmail van Google. In onze ogen is dat echter schijnveiligheid. Het is dan immers nog altijd mogelijk om via IMAP/POP in te loggen, zonder dat gebruik van de twee-factor-authenticatie vereist is. Dit is een uitdaging die we graag opgelost zien. Momenteel zijn we mogelijkheden aan het onderzoeken om hier een degelijke oplossing voor te bouwen. Dit kost dus echter nog zeer veel werk en uitzoektijd. Mede omdat we hierbij moeten pionieren op de ontwikkeling van een nog niet bestaande techniek die dus jouw mailprogramma ook nog niet ondersteunt.

We vinden het jammer dat je hierdoor besluit over te gaan naar een andere webhoster. Merk op dat deze ook geen 2FA zullen bieden op mail. Gezien deze techniek simpelweg nog niet bestaat en wij hier diep over nadenken. Gezien wij juist vanuit Antagonist vinden gezien mail op dit vlak beter gaat werken.
Met vriendelijke groet,

Joris de Leeuw
Antagonist staff

BBBBBB
Berichten: 5
Lid geworden op: 20 okt 2017, 07:32

Re: Two-factor voor mail

Bericht door BBBBBB » 04 sep 2018, 15:04

Hi Joris,

Dank voor de reactie. Wat je zegt klopt niet helemaal. Je hebt gelijk dat de basisversie van POP3/IMAP dit niet ondersteunen, echter kan dit wel worden gesimuleerd op bijvoorbeeld de wijze waarop o.a. Gmail en Outlook dit doen, namelijk door meerdere passwords per IMAP/POP3 account te ondersteunen. Je hebt dan een of meerdere programmawachtwoorden en een webmailwachtwoord.

Als een mailclient anders dan jullie webmailclient de mailserver benaderd met het webmailwachtwoord blokkeer je die inlogpoging, en vice versa ook. Zo forceer je dat het webmailwachtwoord alleen kan worden gebruikt door iemand die de 2FA kan gebruiken (en het dus geen zin heeft als je dit keyloggert of phisht). De programmawachtwoorden gebruik je eenmalig (door ze in je mailclient te ploppen) en kunnen dus zo goed als onmogelijk worden gestolen, want die vul je nóóit in op een PC anders dan die van jezelf.

Hier staat het nog eens uitgelegd: https://productforums.google.com/forum/ ... UaXHSdI3WM

Het is dus al eens gedaan en ik ben het met je eens dat er waarschijnlijk geen plug-and-play implementatie bestaat, maar het is technisch zeker mogelijk en gezien jullie een bak slimme mensen aan boord hebben moet het ook absoluut mogelijk zijn dat bij jullie te implementeren.

Edit: Ik zie nu dat je beweert dat de methode van Google schijnveiligheid betreft. Dat is dus écht pertinent onwaar.

Groet,
BBBBBB

hallway
Berichten: 6
Lid geworden op: 04 sep 2018, 09:31

Re: Two-factor voor mail

Bericht door hallway » 04 sep 2018, 19:43

Het kan toch ook in stappen worden ingevoerd?

De eerste stap zou dan kunnen zijn om onderstaande modules te installeren, en dan daarbij de optie om toegang tot imap / pop te blokkeren als 2fa is ingeschakeld.

https://plugins.roundcube.net/packages/ ... henticator
https://plugins.roundcube.net/packages/ ... key-plugin

En in de tweede stap is het dan mogelijk om 2fa in te schakelen terwijl er een oplossing is gevonden voor gebruik van 2fa én imap/pop.

Gebruikersavatar
Joris de Leeuw
Antagonist staff
Berichten: 1090
Lid geworden op: 13 feb 2016, 20:15

Re: Two-factor voor mail

Bericht door Joris de Leeuw » 05 sep 2018, 13:28

Bij Antagonist kiezen we er bewust voor om het in een keer goed te doen. Wij zijn niet van het halve werk en halve oplossingen. Dit kost dus wellicht meer werk, maar uiteindelijk zorg je voor een makkelijker begrijpbaarder en ook betrouwbaardere omgeving. Dit is mede de reden dat onze SSL implementatie zo betrouwbaar werkt. Het kost flink meer tijd in ontwikkeling, maar uiteindelijk levert het een betrouwbaardere en zelfs snellere situatie op.

Het enkel bieden van 2FA zien wij dan ook niet als gewenste situatie. Mede omdat juist vaak de oorzaak is dat malware een wachtwoord uit een computer leest. Dit gaat deze situatie dus niet voorkomen en kan Google dus nu bijvoorbeeld ook niet. Wij hopen dat we dus wat slimmers op te bedenken wat ten goede komt van de veiligheid van authenticatie op mail.

Zodra er meer concreet is zal ik dat zeker delen. Al verwacht ik dat dit lange tijd zal duren, gezien we momenteel bezig zijn met enkele andere interessante projecten. :)
Met vriendelijke groet,

Joris de Leeuw
Antagonist staff

hallway
Berichten: 6
Lid geworden op: 04 sep 2018, 09:31

Re: Two-factor voor mail

Bericht door hallway » 05 sep 2018, 17:06

Joris de Leeuw schreef:
05 sep 2018, 13:28
Het enkel bieden van 2FA zien wij dan ook niet als gewenste situatie. Mede omdat juist vaak de oorzaak is dat malware een wachtwoord uit een computer leest.
Met 2FA bedoelde ik niet alleen TOTP, maar ook U2F.
Joris de Leeuw schreef:
05 sep 2018, 13:28
Dit gaat deze situatie dus niet voorkomen en kan Google dus nu bijvoorbeeld ook niet.
Google kwam dankzij gebruik van U2F afgelopen tijd in het nieuws. Google op "Google u2f employee".

De oplossing is er al bij Google in de vorm van Google Advanced Protection. De sleutels heb ik inmiddels ook al. En ik weet zeker dat als anderen de voordelen inzien van U2F, dat ze die sleutels ook zullen kopen. Zeker nadat ze slachtoffer van malware o.i.d. zijn geworden.

Hopelijk kunnen U2F en TOTP worden ingeschakeld op mail.antagonist.nl, Mijn Antagonist en DirectAdmin voordat er meer klanten van Antagonist het slachtoffer worden van malware. Laat de keuze (U2F of TOTP) over aan de klanten. En als het nodig is ben ik bereid om deze opties te testen voordat ze door jullie worden gelanceerd. :)

Gebruikersavatar
Joris de Leeuw
Antagonist staff
Berichten: 1090
Lid geworden op: 13 feb 2016, 20:15

Re: Two-factor voor mail

Bericht door Joris de Leeuw » 06 sep 2018, 08:18

De oplossingen die Google zelf heeft gebouwd zijn zeker interessant. :)

Deze oplossingen zijn helaas specifiek enkel van Google voor Google diensten. Binnen de mail-wereld bestaan er nog te weinig standaardisatie op dit vlak. Mede hierom is er nog geen 2FA oplossing in POP3 en IMAP.

Dit goed bedenken en bouwen gaat dus nog zeer veel tijd kosten. Denk hier eerder aan jaren dan maanden voordat je een goede standaard hebt.
Zowel mailprogramma's als mailservers dienen namelijk deze niet bestaande uitbreidingen op het POP3 en IMAP protocol te ondersteunen.

Mede hierom hebben wij specifiek op beveiligingsvlak al andere maatregelen genomen die de kans verkleinen. Denk hierbij aan een inbraakbeveiligingssysteem en het opslaan van wachtwoorden op ons platform van moderne hashing-algoritmes. Ook op dit vlak gaan wij dus de komende tijd verder.

Mocht je nu al gebruik wensen maken van de oplossingen van Google kan je overwegen G Suite in te schakelen voor je domeinnaam:
- https://www.antagonist.nl/help/nl/email/setup/gsuite
Met vriendelijke groet,

Joris de Leeuw
Antagonist staff

Plaats reactie