<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"></head><body dir="auto">Problem is that not many client support it - especially mobile ones.<div dir="auto">So wireguard VPN is the way to go, much simpler for the users.</div><div><br></div><div align="left" dir="auto" style="font-size:100%;color:#000000"><div>-------- Originalmeddelande --------</div><div>Från: Rick Romero <rick@havokmon.com> </div><div>Datum: 2021-07-15  17:04  (GMT+01:00) </div><div>Till: dovecot@dovecot.org </div><div>Ämne: Re: Sv: 2FA/MFA with IMAP & postfix/submission </div><div><br></div></div>
<p>Quoting Alex <<a href="mailto:mysqlstudent@gmail.com">mysqlstudent@gmail.com</a>>:</p>
<blockquote type="cite" style="border-left:2px solid blue;margin-left:2px;padding-left:12px;">
<p>Hi,<br></p>
<blockquote type="cite" style="border-left:2px solid blue;margin-left:2px;padding-left:12px;">
<p>Unfortunately the best way to do multifactor authentication today is to use OAUTH2, which isn't currently supported for own installations. Or you can use client certs.<br>
<br>
If you want to use some kind of MFA with tokens, you end up having to feed your token all the time. So the best option, for now, is device passwords.</p>
</blockquote>
Client certs appears to be a good solution.<br>
<br>
What's the process for managing them with more than a hundred client accounts?<br>
<br>
I believe the problem they are trying to solve is hacked accounts from<br>
compromised passwords. Does client certs solve that problem?</blockquote>
<p>Client certs would solve that - but you'll need some management around it (creation/deployment/renewal/device changes/etc). The easiest method is to run MDM and PKI infrastructure, but with 100 clients I kinda doubt that's in place and I wonder if they have the budget for it.<br>
<br>
Another option, not open source, but if you engage Recorded Future, you can get a report and notifications of password compromises, and then take action on that info (ie, force affected user to change password).<br>
<br>
Alternatively, and free, don't use the email address as the username for authenticaiton, use some other generic ID.<br>
<br>
Rick</p>

</body></html>