Geändertes Master-Password-Verhalten in TB3?

  • Hallo zusammen,


    habe gerade TB3 installiert und musste feststellen dass ich das Master-Password nur zum Schutz der Passwortanzeige nicht mehr verwenden kann. Ich könnte schwören, in TB2 war es möglich das Master-Password zu deaktivieren, aber trotzdem wurde es abgefragt, wenn man in den Einstellungen bei Gespeicherte Passwörter auf "Passwörter anzeigen" geklickt hat. In TB3 scheint nur an globales Master-Password an/aus möglich zu sein. Nur die Passwortanzeige damit zu schützen geht nicht mehr. Entgeht mir was oder ist das wirklich so?


    Alex

  • Hallo Alex


    und willkommen im Thunderbird-Forum!


    Zitat


    Ich könnte schwören, in...

    ja ja, so geht es mir auch manchmal, aber nein, das war afaik noch nie so.

  • Hallo rum,


    danke für die schnelle Antwort! Nun habe ich mir aber doch noch die Mühe gemacht und bin einmal TB2 und zurück gegangen :) Ich hatte Recht. In TB2 ist das Häkchen bei "Gespeicherte Passwörter mit Hilfe des Master-Passworts verschlüsseln" nicht gesetzt. Trotzdem wird das Master-Password unter "Passwörter anzeigen" abgefragt. Genauso hätte ich es eben auch gerne in TB3. Scheint aber nicht möglich zu sein.

  • Hi Alex,


    ja, du hast - teilweise - richtig beobachtet. Ich habe irgendwo gelesen, dass das Master-PW wohl jetzt auch zum Schutz des gesamten Profils genutzt wird (einige User haben auch bei uns immer wieder danach gefragt. Vor allem die, die nur ein einziges Betriebssystem-Konto besitzen, welches die ganze Familie benutzt ... .)
    Aber beim ersten Abrufen der PW aus der Passwortdatei hat TB immer nach dem Master-PW gefragt. Nur eben nicht immer sofort nach dem Start. Begründung: Mit dem Master-PW werden die PW in der Datei verschlüsselt. Und ohne Master-PW kann der TB nicht darauf zurückgreifen und es dann dem Server zusenden.
    Ganz abgesehen davon, rate ich jedem, ein Master-PW zu setzen, um damit seine Konten-PW zu schützen.


    Ich habe bei mir (Testinstallation mit 3.0 unter Linux) aber noch einen übleren Bug entdeckt:


    Sofort nach dem Start stapeln sich bei mir gleich 8 Eingabefelder für das Masterpasswort sauber übereinander. Ganz oben liegt das Feld mit dem Titel "Passwort erforderlich (7)" Gebe ich dort das Master-PW ein, kann ich die anderen 7 Eingabefelder mit [Esc] schließen. Soweit so gut. Aber es sieht so aus, als ob damit meine ftp-Zugänge (=> Kalender) und mein ldap-Zugang (=> Adressbuch) nicht mit den entsprechenden PW versorgt werden. Diese wollen das PW wohl sofort haben, während die Mailkonten ein weilchen warten, bis ihnen der PW-Manager die PW liefert.
    Kann das noch jemand bestätigen?


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo und guten Morgen,


    alex : ich habe das nie getestet, was passiert, wenn man den genannten Haken weg lässt.
    Vom Textverständnis würde das

    Zitat

    Wenn Sie ein Master PW verwenden, schützt dieses alle Ihre anderen gespeicherten Passwörter.
    Sie müssen das Master PW einmal pro Sitzung eingeben

    bedeuten, dass die Passwortdatei durch das Masterpw. zwar gegen Öffnen geschützt ist, aber die Passwörter nicht damit verschlüsselt werden, wenn du dann oben drüber den Haken weglässt. Aber die Abfrage müsste trotzdem beim ersten Online gehen erfolgen.


    Peter : wie ich dir bereits sagte, unter Win habe ich das Problem nicht, ich kenne es aber vom Firefox: wenn ich eine TAB-Sammlung öffne und darin mehrere Sites mit PW-Abfrage sind, erhalte ich, vermutlich durch die gleichzeitige Abfrage, eine mehrfache Master-PW-Abfrage.
    Aber das hat imho nichts damit zu tun

    Zitat

    dass das Master-PW wohl jetzt auch zum Schutz des gesamten Profils genutzt wird


    Ich habe davon auch nichts gehört oder festgestellt. :nixweiss:

  • Hi,


    ich habe mich heute mal intensiv damit befasst.
    Was habe ich gemacht:
    1. Lightning (1.0b1pre) deaktiviert
    2. Adressbuch wieder auf "herkömmlich" umgestellt und den ldap-Eintrag entfernt.


    Ergebnis:
    Sieben der acht Eingabemasken kommen (mit großer Sicherheit!) von Lightning!
    Der ldap wird erwartungsgemäß erst bei der ersten Abfrage zum ersten mal angesprochen. Dann ist aber das erste PW längst eingegeben. Weitere Eingaben erfordert dieser nicht.
    Jetzt Lightning in der o.g. Version wieder aktiviert => und schon kommen beim Start die acht Eingabeaufforderungen. Eine für die Freigabe der Mailpasswörter und eine je Kalenderdatei (= sieben passwortgesicherte ftp-Verbindungen). Lightning wartet also bei TB v.3 im Gegensatz zu TB v.2 nicht, bis der PW-MAnager freigeschaltet ist, sondern sondern fordert unverzüglich seine PW an :-(


    Also kein Thunderbird, sondern wohl eher ein Lightning-Problem.
    Und da die Zahl derer, die ihre Kalender auch entsprechend schützen wollen, recht gering ist, ist es noch niemandem aufgefallen ... .


    Dass das Masterpasswort auch zum Schutz des Mailprofils genutzt wird, habe ich irgendwo gelesen. Für mich war das absolut nicht relevant, denn ich schütze mein Profil so wie es sich gehört auf Betriebssystemebene. Die von mir gemachte Aussage dazu ist also keineswegs relevant ("Ich habe irgendwo gelesen, ...").



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hi Peter,


    da bin ich dann ja doch recht froh, dass wir da kein generelles Problem haben. Denn mehrere Konten beim Start abrufen haben viele, im Fuchs mehrere Sites mit Abfrage oder wie in deinem Fall, dass dürfte uns dann seltener tangieren.


    Ich habe jetzt mal im Testprofil ein Master PW angelegt und TB offline gestartet bzw. das sofortige Abrufen der Konten abgewählt und tB fragt zwar nach sofort dem PW, aber nach Abbrechen kann ich ganz normal arbeiten.