Ich verstehe den Vorteil vin PKI Authentikation und von One Time Pads. (habe für die Arbeit 4 verschiedene am Schlüsselbund)
Wenn die Mail jetzt nicht mit Deinem Public Key verschlüsslet wurde, sehe ich nur zusätzlichen Aufwand ohne Erhöhung der Sicherheit.
Die selben Angriffsverfahren die man auf die direkte Kennworteingabe anwenden kann, kann man auch auf die Mail anwenden.
In Verbindung mit Sessiontimeout wenn man mal länger einen Post offen hat um z.B. an einer Antwort zu arbeiten, sehe ich eigentlich nur Nachteile.
Als Szenario vielen mir nur Länder ein wo der Einsatz von Keylogern kein Datenschutzgesetz verletzt, da dort einem neugierigem "Schnüffler" das dann den Prozess 10 Sekunden länger aufhält, bis er mit dem ebenfalls längst abgegriffenen E-Mail Kennwort die Anwort Mail liest, nutzt und anschließend löscht (auch aus gelöschte Mails).
Wenn der zweite Faktor eine SMS wäre, also ein vom Computer getrenntes Medium (was auch heist sich nicht über Smartphone ans Roboternetz anmelden) dann wird der Aufwand für einen Angreifer höher, da er zwei getrennte Kommunikationskanäle/Endgeräte synchon angreifen muß.
Da das Forum von Google und Co sowieso voll Indiziert wird, liegt also keine Geheimhaltung von Daten vor. Bleibt einzig das kein Dritter in deinem Namen Posts erstellt.
Das ist aber schon mit dem jetzigen Verfahren möglich. (Wenn man denn als User alles richtig macht)
Zitieren
Lesezeichen