SOC-Modul mit 2FA - (Um-)Frage: Komfort vs. Datenschutz

[rleidner]

Ich bin dabei, das smartEQ SOC-Modul in owb 2.x um 2-Faktor-Authentisierung zu erweitern.

Der 2. Faktor (PIN mit 15 min Gültigkeit) wird vom Server nach Anforderung per email übermittelt.
Die normale Vorgehensweise ist
- die PIN aus der Email lesen
- diese manuell in die Konfiguration des SOC-Moduls eintragen
- eine weitere SOC-Abfrage (Kreispfeil) veranlassen - alles innerhalb von 15 min.

Das SOC-Modul holt sich dann die Token, kann ab dann Soc&Range abfragen und die Token bei Bedarf erneuern.
Es ist im Normalfall also nur einmal notwendig.

Zum Testen habe ich diesen Ablauf automatisiert, d.h. die PIN wird
- in einem separaten Python-Script per imap Modul abgeholt (mit Filter auf Sender und Sendezeit)
- in die SOC-Modul-Konfiguration per MQTT eingetragen
- ein weiterer SOC-Abruf gestartet um die Token und Soc&Range abzuholen.

Dazu benötigt das Test-Programm natürlich Zugriff auf das email-Postfach, d.h. imap Adresse, User und Passwort.

Nachdem das zum Testen gut funktioniert bringt mich das auf den Gedanken, das - optional - in das SOC-Modul zu integrieren.
Das würde erfordern die email Zugangsdaten in der Konfiguration des SOC-Moduls zu hinterlegen.
Um diese nicht unnötig in der Konfiguration zu halten könnten die Email-Daten nach erfolgreichem Holen der Token automatisch gelöscht werden.

Das wäre komfortabel aber ich frage mich ob es aus Datenschutz-Sicht akzeptabel ist.

Wie ist Eure Meinung dazu?

[LutzB]

Ich weiß nicht, ob man diesen Komfort für eine einmalige Einrichtung benötigt. Da kann ich auch schnell am PC oder Handy/Tablet in die Mail App wechseln und den PIN kopieren. Persönlich würde ich das lieber einmalig manuell kopieren/einfügen, als einem System den kompletten Zugang zu meinen Mails zu erlauben.

Ein ganz großes Problem sehe ich noch, dass dieser "Komfort" bei jeder Änderung am Inhalt und/oder Layout der Mail, vermutlich nicht mehr funktioniert, weil der PIN nicht mehr geparst werden kann. Möchtest Du Dir neben der Pflege des SoC Moduls an sich auch noch das ans Bein binden?

Kurzer Exkurs:
Ich verwende eine App für alle meine Bankzugänge. Leider bieten einige Banken keinen Zugang über standardisierte Schnittstellen (z.B. HBCI), sondern nur über die eigene Webseite. Gefühlt gibt es jede Woche ein Update, weil irgendein Parser angepasst werden muss.

[Gero]

Ich denke auch, dass ein kleiner Ausflug in die Mailbox für Copy&Paste durchaus akzeptabel ist. Zumal man das ja auch nicht täglich macht. Tesla möchte z.B. für 2FA irgendeine der diversen 2FA-App benutzt haben, da kommst Du mit dem Ansatz über Mail auch nicht weiter.

[mrinas]

Ganz klar copy&paste, der direkte Abruf der Mails durch die openWB wird meist vermutlich nicht funktionieren, nicht gewünscht sein, oder diejenigen die das konfigurieren haben vermutlich keine rechte Idee was ein IMAP server ist.

[derNeueDet]

Mercedes hat die 2FA ja auch eingebaut. Ich nutze das über Homeassistant, dort wird bei der Konfig des Moduls dann einfach die Eingabe für den Pin eingeblendet. Funktioniert problemlos. Ich würde jetzt auch nicht unbedingt gerne einen IMAP Account in der Garage haben.

Finde es zu unbequem auf dem Display der openWB meine Mails zu lesen

VG
Det

[rleidner]

Danke für die Rückmeldungen.
Ich hatte das schon vermutet.
Dann bleibt es bei copy&paste.