TB 3: Master-Passwort und gespeicherte Passwörter

  • Hallo,


    lange gesucht aber nichts gefunden. Es geht um folgendes Sicherheitsproblem bei TB 3 (derzeit 3.0.4 - Windows):


    Bisher konnte man die "gespeicherten Passwörter" in TB der 2er-Versionen mit einem Passwort sichern. So war gewährleistet, dass die user diese Passwörter nicht auslesen konnten.


    Jetzt jedoch wird man beim Start von TB bereits gezwungen dieses Master-Passwort einzugeben und hat damit auch gleich vollen Zugriff auf die gespeicherten Passwörter! Ein Trennen der beiden Passwörtern scheint nicht möglich zu sein! Das ist mir ein zu großes Sicherheitsrisiko.


    Da ich niergends eine Lösung für dieses Sicherheitsleck gefunden habe, durchsuchte ich gerade noch die Addons, ob hier evtl. bereits was vorhanden ist, was diese Sicherheitslücke schließen könnte. Aber leider war auch hier meine Suche erfolglos.


    Daher meine Frage:


    Weiss jemand wie, ob mit Addon oder nicht, die beiden Passwörter getrennt werden können, so dass die user die gespeicherten e-mail-Passwörter nicht auslesen können? Bisher war immer ein Master-Passwort derart gesetzt, dass es nur eingegeben werden mußte, wenn man die Passwörter auslesen wollte. Jetzt, mit der Version 3 geht dies leider nicht mehr.


    Vielen Dank im Voraus.

  • Hi edvler,


    vielleicht solltest du dich mal etwas gründlicher mit dem Passwort-Manager und dem Masterpasswort befassen.
    Nur so viel:
    Das Masterpasswort dient generell als Schlüssel zum Entschlüsseln deiner Konto-Passwörter und evtl. weiterer gespeicherter Informationen. Diese Entschlüsselung wird nicht nur zum Ansehen der Passwörter, sondern überhaupt zur Nutzung der selbigen benötigt. Also auch dann, wenn der Server danach fragt.


    Jetzt erkläre mir bitte, wo ein Sicherheitsproblem besteht, wenn du als berechtigter Nutzer deines passwortgesicherten Betriebssystemkontos dein Mailprogramm startest, und du auf dein persönliches Thunderbird-Nutzerkonto gehst, wo alle deine Passwörter (hoffentlich für jedes Konto ein eigenes) und auch evtl. vorhandene Schlüssel für Mailverschlüsselung ("Zertifikate") verschlüsselt abgelegt sind und nur beim Start des Programms mit dem Master-PW entschlüsselt wurden?


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    Zitat

    vielleicht solltest du dich mal etwas gründlicher mit dem Passwort-Manager und dem Masterpasswort befassen.


    warum so Vorwurfsvoll? Hört sich zumindest so an. Muss doch net sein, wenn es so gemeint gewesen wäre. Vielleicht hab ichs aber auch nur in falschen Hals bekommen :)


    Aber zurück zum Thema:


    Code
    1. Das Masterpasswort dient generell als Schlüssel zum Entschlüsseln deiner Konto-Passwörter und evtl. weiterer gespeicherter Informationen. Diese Entschlüsselung wird nicht nur zum Ansehen der Passwörter, sondern überhaupt zur Nutzung der selbigen benötigt.


    Wie schon oben erwähnt, konnte man in den 2er Versionen von TB die Abfrage der gespeicherten E-Mail-Konten-Passwörter mit einem Passwort schützen, ohne dass man ein Masterpasswort setzen mußte, das die Benutzer gleich zu Beginn eingegeben haben. Sondern es wurde erst dann abgefragt, wenn man die Passwörter abfragen wollte.


    Jetzt, in den 3er-Versionen wird zum einen sehr empfohlen (mit sicherlich gutem Grund) ein generelles Masterpasswort zu setzen. Soweit kein Problem.


    Aber nochmals der schon erwähnte Hinweis: Damit wird auch gleichzeitig die Abfrage nach den E-Mail-Konten-Passwörtern ermöglicht! Ein separates Passwort ist hier nicht möglich. Dadurch erhalten die User die Möglichkeit, wenn sie es wissen und auch machen, die Passwörter abzufragen. Und das ist sehr wohl ein Sicherheitsrisiko. Ich denke, da sind wir uns doch einig, oder?


    Ich glaube, das Misverständnis bei Dir ist, Du sprichst vermutlich von einem privat genutzten E-Mail-Programm. Da ist es ziemlich egal, aber nicht wenn es in einer Firma läuft. Und TB läuft bekanntlich in einigen kleinen Firmen/Unternehmen. Und hier ist es halt nicht egal, wenn User die Möglichkeit haben, diese Passwörter auslesen zu können. Vermutlich ist das Dein Mißverständnis, bzw. hätte ich es noch klarer ausdrücken sollen, dass es hier nicht um private TB-Mailkonten sondern in Firmen genutztes TB geht. Dafür sorry, hätte ich vielleicht klarer ausdrücken sollen.


    Aber ich möchte auch dahingehend widersprechen, dass es auch bei privat genutzen E-Mail-Konten nicht sehr sinnvoll ist, wenn Passwörter einfach im Klartext abrufbar sind. Lasse ich meinen privat genutzten PC kurz unbeaufsichtigt, könnte jeder kurz über TB meine Mailkonten-Passwörter im Klartext lesen wenn TB läuft. Und wer läßt sein E-Mail-Programm nicht die ganze Zeit laufen...? Sicherlich, wann wird das passieren und wer würde es tun? Eher unwahrscheinlich, aber gut finde ich persönlich das dennoch nicht. Aber wie gesagt, darum gehts mir hier net mal.


    Grüße

  • Wenn ein berechtigter Nutzer mit Thunderbird arbeitet, dann benötigt das Programm zur Anmeldung an den Mailservern die Passwörter in unverschlüsselter Form. Sie liegen also während der Laufzeit des Programms unverschlüsselt vor. Dabei spielt es keine Rolle, ob der "Innentäter" sich die PW aus dem Passwortmanager abtippt, oder in anderer geeigneter Form vom Rechner kopiert. Das war im Übrigen bei allen Versionen vor v3 auch schon so.


    Wenn das Vertrauen in die Mitarbeiter nicht ausreichend hoch ist, so dass man den berechtigten Nutzern des firmeneigenen Mailclients unbedingt die Passwörter vorenthalten muss, dann bleibt euch nur ein eigener Mailserver welcher die ankommenden Mails einsammelt und an die Mitarbeiter weiterleitet. Das lässt sich schon mit einer so einfachen Lösung wie dem Janaserver realisieren. Auf diesem Server hat dann jeder Nutzer ein eigenes Konto mit eigenem Passwort und ihm bleiben die zentralen firmeneigenen PW verborgen.


    Nebenbei: Ich mache generell keinen grundsätzlichen Unterschied, ob es sich um einen privat oder einen berufliche genutzen Client handelt. Der IMHO erforderliche Grundschutz ist der gleiche, nur je nach Erfordernissen bei den dienstlichen Einrichtungen wesentlich höher.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Vielen Dank.


    Folgendem Punkt kann ich nicht zustimmen besser gesagt, kann ich der Argumentation nicht ganz folgen:


    Zitat

    Wenn das Vertrauen in die Mitarbeiter nicht ausreichend hoch ist, so dass man den berechtigten Nutzern des firmeneigenen Mailclients unbedingt die Passwörter vorenthalten muss,...


    Bitte, welche Firme präsentiert die E-Mail-Passwörter auf einem Präsentierteller, egal ob die Mitarbeiter vertraunsvoll sind oder weniger? :eek: Es spielt einfach keine Rolle wie man einem Mitarbeiter vertraut oder nicht. Derartige Passwörter haben nur den Admin und den Firmeneigentümer zu interessieren. In meinem Fall sind diejenigen, die derzeit mit TB arbeiten voll vertraunesvoll, daher ist es im Moment nicht so schlimm, aber es kommen wohl noch andere hinzu und die gehen diese Passwörter wirklich nichts an. Alleine die Datenschutzrichtlinien, EDV-Richtlinien für Firmen etc. (bitte frag mich jetzt net welche das alle wären/sind und wie sie genau heißen, das müßte ich auch erst raussuchen) ist von Firmenseite immer auf Sicherheit zu achen, und dem widerspricht ein frei zugängliches Passwort ja deutlich. Das ist zumindest meine Nicht-Juristen-Meinung.


    Daher werden wir wohl den eigenen Mailserver, der derzeit noch zurückgestellt wurde weil andere Prioritäten da sind/waren, doch etwas vorziehen müssen.


    Mir ist einfach unverständlich, warum TB so etwas macht. In jedem anderen E-Mail-Programm das ich kenne, sind die Passwörter wenigstens hinter * versteckt, so dass ein 0-8-15-user damit nix anfangen kann. Nur TB zeigt sie einem offen als Klartext. Gut finde ich das nicht, so gut mir TB auch sonst gefällt. Ich weiss ja nicht ob man es nicht anders hätte programmieren können, aber andere Software kanns doch auch. Demnach sollte das doch möglich sein und: in der 2er Version konnte ich die Passwörter noch verstecken mit dem Passwort. Jetzt leider nicht mehr. :(


    Aber vielleicht kennt ja noch jemand eine Möglichkeit wie man dieses Problem lösen könnte.


    Erst mal vielen Dank soweit.

  • Hallo,


    es gäbe noch die Möglichkeit den Button "Passwörter anzeigen" mit einem Eintrag in der userChrome.css auszublenden:


    Code
    1. #togglePasswords {
    2. display: none !important;
    3. }


    Gruß
    muellerpaul

    --
    Hier könnte Ihre Werbung stehen

  • Hallo,


    nur mal am Rande

    Zitat


    in der 2er Version konnte ich die Passwörter noch verstecken mit dem Passwort. Jetzt leider nicht mehr

    das wäre mir neu...
    Ich sitze gerade an einer 2er Version und ich wüsste nicht, wo ich da ein weiteres Passwort haben soll?
    TB fragt beim ersten Verbinden nach dem Masterpw. und genau dieses kann ich auch nutzen, um in den Einstellungen die PWs anzusehen.

  • Hallo rum,


    ich habe ja auch versucht, letzteres in meinem letzten Beitrag zu erklären ("Das war im Übrigen bei allen Versionen vor v3 auch schon so.").
    Der einzige Unterschied ist, dass bei TBv2 die Abfrage nach dem Master-PW erst kam, wenn die unverschlüsselten PW zum ersten mal benötigt wurden, also wenn der erste Server danach fragte. Und TBv3 zieht das eben etwas vor, also bereits beim Programmstart. IMHO vermeidet man damit, dass es zu unnützen Eingabefenstern und Timeoutproblemen kommt, wenn der Nutzer nicht gerade auf die Aufforderung zur Passworteingabe gewartet und sofort reagiert hat.


    @ edvler:
    Es ist wirklich so, dass bei größeren Firmen nur mit der Serverlösung (also der zentralen Mailverwaltung) bestimmte zentrale PW "geheim" gehalten werden können. Mit allen gängen Mailprogrammen, welche direkt auf einem Client laufen, kann ein "Interessierter" (ich schreibe diesmal bewusst nicht "Innentäter") die Mailpasswörter abgreifen. Du hast es ja selbst beim TBv2 nur nicht gewusst ... .
    Mit dem von mir genannten Jana-Server kann dies aber jeder Amateur-Administrator in drei Stunden erledigen. Es wird lediglich ein ausgedienter Bürorechner benötigt.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo zusammen,


    Ihr unterliegt einem Irrtum, glaubt mir, ich habe mehrere clients und Notebooks in der Firma genauso eingerichtet, wenn Ihr meint, man hätte es bei der 2er Version nicht gekonnt. Es funktioniert auch prima.


    Es ist kein Masterpasswort eingegeben, wenn jemand aber die Passwörter aufrufen will, muss ein Passwort eingeben werden! Es geht bzw. ging :)


    Wenn ich dazu komme, beschreib ich mal den Weg, es ging ganz einfach, nur weiss ich grad nimmer auswendig wie. Ich glaube(!) man hat danach einfach den Haken rausgenommen bei Master-Passwort und das wars :) Bin mir aber nimmer sicher, obs so war. Läuft ja schon eine ganze Weile so problemlos. Übrigens habe ich genau das auch gestern über die google-Suche so gefunden in anderen Foren. Bin also nicht der Einzige der das so gemacht hat. Ob es die Entwickler von TB so vorgesehen hatten, wie ich und andere es nachher eingesetzt haben, sei dahingestellt... :D Funktioniert hat es seit der Version 1.5 herum, als ich es auf TB umgestellt habe, bis zur letzten Version der 2er Reihe.


    Wg. Server: Das ist schon klar, dass das kein Hexenwerk ist, nur: es geht um 13 GB TB-Daten, mehrere clients mit mehreren Profilen... bis das alles umgestellt ist, und der VMware Server entsprechend eingerichtet, das wird ein gutes Wochende dauern. Ist also nicht ganz sooo einfach und schnell erledigt :) Kommt noch... Dazu kommt gerade noch eine andere Umstellung von VMware auf ESXi und die Einrichtung eines Ersatzservers für Notfälle u.vm. :D


    Die Idee mit dem Ausblenden, finde ich als Lösung gar nicht schlecht. Das würde mir schon sehr helfen. Ich probiers aus. Vielen Dank für den Tipp! :top:


    Vielen Dank an alle!