Wer seinen Webmailer Roundcube öffentlich erreichbar macht, kann dank eines Plugins auch eine Zwei-Faktor-Authentifizierung verwenden, bei der neben Benutzernamen und Passwort ein weiterer Faktor abgefragt wird. Dabei handelt es sich um eine mittelbare Zwei-Faktor-Authentifizierung, bei der der zweite Faktor aus einer ständig wechselnden Zeichenkombination als Einmalkennwort besteht.
Generiert wird dieses Einmalpasswort aus der Uhrzeit und einem Geheimnis, das zuvor zwischen einem Server und einem Gerät im Besitz des Benutzers geteilt wird (Time-based One-time Passwords – TOTP).
Da es sich um ein shared secret handelt, darf das Geheimnis nur dem Server (hier Roundcube) und dem Client bekannt sein. Sicherheitsprobleme treten bei gerooteten Smartphones, bei Sicherheitslücken im Betriebssystem und zweifelhaften Apps auf dem Smartphone auf. Der Google Authenticator speichert das secret zudem im Klartext auf den Geräten und hat die Länge des geheimen Codes von 128 Bits (nach RFC 4226: SHOULD) und 160 Bits (nach RFC446: RECOMMMENDED) auf 80 Bits gekürzt.
Im -> Official Plugin Repository von Roundcube findet man die Anleitung zur Installation und die Software selbst liegt auf -> GitHub.
Eine ausgezeichnete deutsche Anleitung findet man -> hier. Daher habe ich hier auf eine Installationsbeschreibung verzichtet.
Für Android verwende ich die App -> FreeOTP , die auch für iOS erhältlich ist.
