TB 3.04 Master-Passwort Sinn/Unsinn?

  • Hallo,


    ich nutze das Master-Passwort für Thunderbird, damit die Passwörter der einzelnen E-Mailkonten nicht zugänglich sind. So weit, so gut. Warum auch immer frägt Thunderbird beim Starten das Passwort 3x ab. (Warum eigentlich?^^). Das ist schonmal etwas blöd. Darum wollte ich das Passwort deaktivieren. Allerdings sieht man dann die Passwörter wieder.


    Jetzt möchte ich gerne mal denn Sinn darin verstehen, warum es nicht möglich ist nur ein Passwort zu vergeben um ein Einblicken in die Datenbank zu verhindern, ganz unabhängig vom normalen Starten von Thunderbird?


    Soweit ich weiß werden die Passwörter sowieso in einer unverschlüsselten Datei im Roaming Ordner abgelegt.

  • Hallo maxpd,


    "maxpd" schrieb:

    Soweit ich weiß werden die Passwörter sowieso in einer unverschlüsselten Datei im Roaming Ordner abgelegt.


    Von wem hast du diese Weisheit?


    "maxpd" schrieb:

    Warum auch immer frägt Thunderbird beim Starten das Passwort 3x ab. (Warum eigentlich?^^).


    Thunderbird selbst fragt das Masterpasswort genau ein mal ab. Sollte das nicht so sein, liegt bei dir ein Fehler vor.
    Passiert das mit der dreimaligen Abfrage auch ohne Add-ons? (Safe-Mod)
    Nutzt du Lightning? Wenn ja, wo befinden sich deine Kalender?


    Mit den bei uns üblichen Grüßen!


    Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Die Weisheit habe ich.. ich weiß nicht mehr. Kann möglicherweise ein Forum gewesen sein, dass mit Keepass zusammenhängt.


    Safe-Mode frägt tatsächlich nur einmal ab. Lightning ist installiert, jap. Nutzt den Google Calendar.


    Du meinst ich hätte Grüßen sollen?
    Ok :-)


    Gruß maxpd

  • Hallo maxpd,


    "maxpd" schrieb:

    Safe-Mode frägt tatsächlich nur einmal ab. Lightning ist installiert, jap. Nutzt den Google Calendar.


    Also trifft meine Vermutung zu.
    Es ist ein bekannter, alter, sowohl im Forum als auch bei Bugzilla dokumentierter Fehler, dass Lightning nicht wartet, bis das Masterpasswort die verschlüsselt abgelegten Konto- und auch Kalenderpasswörter (ftp- oder WebDAV-PW usw.) freigibt. Dieser Fehler tritt erstmals bei TBv3.x auf. Eine kleine Forensuche hätte dir das Thema gebracht.
    Im TB wurde das bislang nicht gefixt - man ist sich wohl nicht einig, ob es ein TB- oder ein Lightningproblem ist.


    Lösungsmöglichkeit (bis es evtl. mal gefixt wird): Add-on "StartupMaster"



    "maxpd" schrieb:

    Du meinst ich hätte Grüßen sollen?


    Zumindest ist das bei uns hier so üblich und gern gesehen.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Danke dir Peter,


    aber in meiner Frage ging es ja hauptsächlich darum, ob es denn nicht möglich wäre die Passworteingabe abzuschalten und dennoch die eigentliche Passwortanzeige mit einem Passwort zu verschlüsseln. Und worin der Sinn liegt solch eine funktion nicht zu integrieren.

  • Moin!

    "maxpd" schrieb:

    aber in meiner Frage ging es ja hauptsächlich darum, ob es denn nicht möglich wäre die Passworteingabe abzuschalten und dennoch die eigentliche Passwortanzeige mit einem Passwort zu verschlüsseln. Und worin der Sinn liegt solch eine funktion nicht zu integrieren.


    Auch wenn ich nicht der TB Crack bin und mich auch regelmäßig ob der aufpoppenden Abfrage ärgere: Es macht wohl wenig Sinn, den manuellen Zugriff auf die Passwörter zu verhindern, einen internen Zugriff durch TB bzw. Lightning (oder andere AddOns) zu gestatten. Schließlich ist die schützenswerte Information nicht wirklich die Passwortliste, sondern die Mails in Deinem Postfach, die durch dieses Passwort vor Fremdeinblicken geschützt werden.


    Seit ich mir das klar gemacht habe, fällt es mir wesentlich leichter, nach jedem TB Start einmal das Masterpasswort einzutippen. ;-)


    Just my 2 Cent!


    Gruß Dirk

  • Die Mails am Rechner sieht man ja sobald Thunderbird gestartet ist und ich schalte es ja nicht aus wenn ich mich mal 2 Minuten umdrehe. Damit kann man ja nicht viel anfangen. Wenn man jetzt aber mit zwei Klicken das Mailpasswort abfragen kann, dann kann sich zu Hause natürlich mit meinem Mailaccount verknügen.

  • Guten Morgen;


    wenn ich will komme ich an Dein Passwort auch nach der Vergabe eines Masterpasswortes, egal ob was verschlüsselt wird oder nicht. Du wirst wohl immer eine Lücke finden, die ausgenutzt werden kann (z.B. Tastatursniffer).


    Ich arbeite nicht mit dem Masterpasswort und kann deshalb zu dem Sinn oder Unsinn nicht viel sagen. Jeder muss für sich selber entscheiden, wie wichtig Ihm was ist und ob er es denn noch schafft sich die dutzend Passworte für die unterscheidlichen Systeme zu merken. Wenn Du beginnst, ein Passwort für min. 2 unterschiedliche System zu benutzen, hast Du imho eine Lücke geschaffen die ausgenutzt werden kann. Denn nicht jedes System verschlüsselt Passwörter!


    Für mich ist die Frage relevant "Wie wichtig sind meine Mails und kann jemand damit was anfangen, wenn er seiner Habhaft wird?". Je nach dem wie Du diese Frage beanwortest, solltest Du Unannehmlichkeiten einplanen. Um so einfacher für Dich - um so einfacher für einen Angreifer (jaaaaa, stimmt nicht ganz, aber ihr wißt was ich meine *hoff*).


    Zitat:
    "Just my 2 Cent". ;)


    Greetz

  • Hallo und guten Tag @all,


    nur eine kurze Randbemerkung:


    Die Passwörter liegen in der Passwortdatei unverschlüsselt. Sobald man aber ein Masterpasswort anlegt, kann man die Datei damit verschlüsseln lassen, einfach den Haken bei "Gespeicherte Passwörter mit Hilfe des Masterpas... verschlüsseln" setzen und dann sind die PWs auch relativ gut geschützt. Klar, unknackbar ist nicht...


    Sinn? Nun, wenn jemand, wie auch immer, an meinen PC kommt, liegen die PWs wenigstens nicht sofort offen dargeboten auf der Platte.


    Aber das

    "Dirk" schrieb:


    Schließlich ist die schützenswerte Information nicht wirklich die Passwortliste, sondern die Mails in Deinem Postfach, die durch dieses Passwort vor Fremdeinblicken geschützt werden.

    trifft nur dann zu, wenn sie Mails per IMAP abgerufen werden und nur auf dem Server liegen, also nicht offline verfügbar sind.
    :!: Vorsicht, in TB 3 werden Mails aber standardmäßig offline verfügbar gemacht, man muss die Funktion also explizit abschalten :!:
    somit genau anders als in TB 2.

  • Genau, und hier möchte ich, dass die Passwortliste nicht "öffentlich" ist, man allerdings ruhig "öffentlich" auf die Mails kommt.

  • Bin nicht immer der schnellste....
    aber ist Deine Frage nicht beantwortet?
    - die 3malige Eingabe hängt mit einem Add-On zusammen und kann wohl nur mit der von Peter genannten Erweiterung gehandhabt werden.
    - Die Passwörter können mit dem Masterpasswort verschlüsselt auf der Platte abgelegt werden. Was imo keine Auswirkung auf die "normale Arbeit des TB hat".


    :?:


    Greetz

  • Wollte nur wissen, warum ich denn die Passworteingabe für die Passwortliste und das Starten von Thunderbird nicht trennen kann. Warum kann ich das nicht, also worin liegt der Sinn. Denn bei Keepass ist es exakt das gleiche Verhalten. Aber ich kapier einfach den Sinn nicht.

  • Ein Schuss ins blaue...
    Du mußt das Masterpasswort eingeben, damit auf die List der Passwörter zugegriffen werden kann. Erst dann kann ein Abgleich der anderen Passwörter erfolgen.

  • Demnach gibts keine App oder Addon, dass nur die Sichtbarkeit der Passwörter sperrt. Blöd.

  • Es gibt die Möglichkeit Daten oder Festplatten zu verschlüsseln....


    ABER da halte ich mich mal gepflegt raus. Wer nicht aufpaßt zerlegt sich seine ganzen Daten.

  • Zitat


    Wollte nur wissen, warum ich denn die Passworteingabe für die Passwortliste und das Starten von Thunderbird nicht trennen kann. Warum kann ich das nicht,

    das kannst du durchaus, denn die PWs werden ja erst beim Verbinden abgefragt. Solange du also nicht abrufen lässt, kommt die Frage nicht ;)