TB Profil öffnet sich ohne Master-PW

  • Hallo,


    ich habe 3 Profile angelegt, 2 mit akitven eMail-Adressen und 1 weiteres als Backup, darauf läuft aber keine eMail mehr.
    Die beiden ersten fragen das Master-Passwort brav ab, das andere nicht. Obwohl diese Option angehackt ist kann mit Doppelklick jeder den Account öffnen und fleissig alles lesen usw. --- Warum? wie kann ich diesen Account Passwort schützen????


    Danke, Christian


    3.1.3, W7 Ultimate 64bit

  • Hallo und guten Tag,


    das Masterpasswort schützt nur davor, dass die Passwörter verwendet werden und die Passwörter werden ja nur bei einer Verbindung zum Server gebraucht. Die lokal vorhandenen Mails oder das Profil werden damit nicht geschützt.
    Dafür gibt es Benutzerkonten des Betriebssystems.
    mehrere Nutzer
    Bei Thunderbird hilft http://www.erweiterungen.de/de…ssword_%28Thunderbird%29/ , ist aber kein wirklicher Schutz....

  • Okay, dann liegt es daran. Es gibt auch keine geeignete Software diese massive Schwachstelle zu beseitigen?

  • "investor" schrieb:

    Okay, dann liegt es daran. Es gibt auch keine geeignete Software diese massive Schwachstelle zu beseitigen?

    nein, es gibt nur den oben verlinkten Pseudo-Schutz und sorry, das ist keine TB-Schwachstelle, sondern eine des Userdenkens :flehan:
    Das Betriebssystem ist der einzig sinnige Ort für den hier gewünschten Schutz, weil sonst müsstest du die Maildateien ja auch einzeln schützen und wohin das führt, sieht man bei den proprietären Produkten aus Redmond...

  • Naja, es macht schon Sinn auf dem Firmenrechner auch auf den privaten Account zuzugreifen. Das muss ja allerdings nicht jeder andere auch können der an der Maschine sitzt, oder?


    Desweiteren würde ich die Files auch gerne als backup bereithalten. Wenn man die dann vorher zippen, verschlüsseln und was weiss ich was muss macht das ja wenig sinn.

  • "investor" schrieb:

    Desweiteren würde ich die Files auch gerne als backup bereithalten. Wenn man die dann vorher zippen, verschlüsseln und was weiss ich was muss macht das ja wenig sinn.

    äh, ja, und genau das müsste doch geschehen, wenn TB selber nur seine Daten schützen wollte, denn sonst liegen die Daten ja frei lesbar auf der Platte, denn TB arbeitet mit MBoxen, die quasi mit jedem Editor gelesen werden können.
    Schau doch mal in unsere Anleitung z.B. unter Punkt 11.
    Wenn ich meinen PC verlasse, dann sperre ich den. Wenn das nicht möglich wäre, wären da auch möglichst keine pers. Daten von mir drauf :rolleyes:

  • Ja, den PC sperre ich auch, schon klar.
    Nur warum speichere ich das Passwort beim gmx.de und Co nicht und habe somit den Zugriff für jeden der an dem Rechner sitzt verhindert und der "richtige" Client legt alles offen?
    Das vorherige zippen und verschlüsseln geht so einfach nicht autmatisch; von daher frage ich mich wie Ihr dann ernsthaft automatische Backups auf externe Platten/Server etc. macht??

  • Guten Morgen,


    nochmal: die PWs sichern nur den Zugang zum Server und das Master-PW sichert die in TB gespeicherten PWs, TB verschlüsselt diese PW-Datei dann auf Wunsch mit dem Master-PW. Zusätzlich werden damit auch die Zertifikate etc. gesichert.
    Alles andere im Profil liegt unverschlüsselt auf der Platte im jeweiligen Anwendungsordner des Benutzers, die Mails in MBox-Dateien, welche mit jedem Texteditor gelesen werden können.
    Der Schutz des Startes von TB mittels eines PWs würde daran nichts ändern und ist deshalb nur ein Pseudo-Schutz, aber das sagte ich ja bereits.
    Somit ist das Einrichten von Benutzerkonten ein sinnvoller Schutz, nicht nur für die TB Daten.

    "investor" schrieb:

    Oder macht Ihr einfach keine Backups?

    Datensicherung? Aber Hallo... :rolleyes: 
    Ich kopiere einfach mittels eines Programmes den gesamten Profilordner automatisch beim Runterfahren des PCs auf eine 2. Platte und am Wochenende auf einen externen Datenträger bzw. auf mein Onlinelaufwerk.
    Das geht z.B. mit Personal Backup von Rathlev sogar kostenlos.

  • Hallo investor,


    ich habe schmuntzelnd diese Diekussion verfolgt - nun mische ich mich doch noch ein.
    Ich mache kein Hehl daraus, dass ich mich beruflich mit dem Thema IT-Sicherheit befasse. Und das schon seit Zeiten, wo wohl ein großer Teil unserer Forenmitglieder noch zur Schule gingen ... .


    IT-Sicherheit ist keine statische Größe, sondern ein ständig laufender Prozess. Was heute gut und richtig war, kann morgen schon überholt sein. Und es ist vor allem ein ständiges Abwägen zwischen Aufwand und Nutzen! Was bei diesem Abwägen am Ende herauskommt, nennen wir das "kalkulierbare Restrisiko", also das Risiko, mit dem wir gewillt sind zu leben, weil dessen weitere Verringerung eben sprunghaft die Kosten in die Höhe treiben würde und in keinem Verhältnis zum Wert der zu schützenden Güter (=> Daten) steht. Im privaten Umfeld bedeutet das, dass das Nutzen des PC vor lauter Sicherheitsschranken einfach keinen Spaß mehr macht.


    Zurück zum Thema. Ich beziehe mich ab jetzt auf "normale Sicherheitsanforderungen" in den üblichen Firmen und bei privaten Nutzern!
    Moderne Betriebssysteme ermöglichen eine saubere Einrichtung von Benutzerkonten. Und in Verbindung mit dem Filesystem NTFS und der Vergabe entsprechender Benutzerrechte und natürlich einem Bootschutz (weil sich die Linux-Boot-CD nicht von den Rechten der WinDOSe beeindrucken lässt) ist hiermit ein völlig ausreichender Schutz der Benutzerdaten gegeben. Wenn es in einer Firma angewiesen wird, dass jeder Benutzer sein eigenes passwortgeschütztes Benutzerkonto bekommt und dieses auch bei Abwesenheit zu sperren ist, betrachte ich dieses Thema als erledigt. Für gemeinsames Arbeiten kann man ja auch das Konto für eine Arbeitsgruppe einrichten. Und mit der schnellen Benutzerumschaltung kann sogar eine WinDOse gleichzeitig mehrere angemeldete Nutzer verkraften.
    Bei den Pro-Versionen ist es sogar noch möglich die MS-eigene Verschlüsselung des Filesystems zu aktivieren.
    Wenn die anderen Benutzer deines PC durch den o.g. Schutz nicht an deine persönlichen Daten herankommen, dann können sie auch nicht die in lesbaren mbox-Dateien gespeicherten Mails lesen oder gar dein Mailprogramm benutzen.
    Nur, den PC sperren musst du selbst! Hier ist die von dir bemühte Schwachstelle der User!


    Backup, Zugriff für Admin usw.
    Selbstverständlich kann der Admin alles lesen. Dafür ist der Admin-Posten auch eine Vertrauensstellung. Und ein Backup, welches mit Adminrechten angestoßen wird, erfasst auch alle Daten. Wenn du damit nicht leben kannst/willst, musst du bestimmte sensible Daten extra verschlüsseln. Das geht vom kleinen Programm "Locknote" für Textschnipsel bis hin zum bekannten Truecrypt.
    Für das private Backup gibt es wunderbare Programme, welche sogar völlig automatisch alle zu sichernden Dateien komprimieren, mit AES-verschlüsseln und an einen beliebigen Ort (=> WebDAV-Server im Internet!) speichern.


    Zum Thunderbird:
    Die Passworte und andere Daten wie die privaten S/MIME-Schlüssel werden bei gesetztem Masterpasswort mit 3DES verschlüsselt. Eine derartige Verschlüsselung betrachte ich als völlig ausreichend, wird diese ja weltweit sogar (immer noch) als Standard für S/MIME-verschlüsselte Mails eingesetzt. (Zumindest bis die Masse aller Mailprogramme AES beherrschen und 3DES abgelöst wird.)
    Ich sehe absolut keinen Sinn darin, auf die Speicherung der Kontenpasswörter im PW-Manager zu verzichten! Ich sehe sogar eine echte Gefahr darin!


    Begründung dafür:
    Wenn du dein Konto-PW für mehrere Mails händisch eingibst, dann verwendet der "ONU" garantiert ein einfach zu merkendes PW und mit großer Wahrscheinlichkeit auch für alle Konten das gleiche. Die Kompromittierung oder das Erraten eines der PW hat dann gewisse Auswirkungen.
    Deshalb ist es immer besser, für jedes Konto ein langes und komplexes PW zu verwenden und dieses im PW-Manager zu speichern. Und weil man sich das nicht merken kann (16 stellige Zufalls-PW ...) kann man diese dann zur Sicherheit in einem Locknote-Container speichern.
    Das einzige PW, welches man sich merken muss, ist das Masterpasswort. Da hier Besitz (der Passwortdatei) und Wissen (das PW) sich ergänzen, sehe ich an dieser Stelle ein merkbares "human" Passwort als akzeptabel an. IMHO kann man sogar das Betriebssystem-PW dafür verwenden, denn selbst der Admin hat ja nur den Hashwert davon.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Danke euch beiden für die Antworten.


    rum,


    ich kopiere das automatisiert auch auf ein 2. Laufwerk, derzeit allerdings (noch) ein USB Stick. Desweiteren mittels SFTP auf einen Server im Netz. Wie sicher der Server ist ist immer so ne Frage. Aber alleine der USB-Stick ist ja dann ungeschützt; heißt dieser wird abgezogen und jeder kann die Daten lesen. Da bringt mir die Windows-Nutzereinstellung, Boot-Kennwort und so weiter ja alles nichts. Ganz im Gegenteil, würde es nur um Mails gehen könnte man darauf verzichten wenn man die auf einer Platte nebendran offen präsentiert.


    Peter,


    ich stimme eigentlich Deinen Aussagen in jeder Hinsicht zu. Meine Maschine sperre ich immer (wobei die die 3er-Komb und sofortiges "enter" bei allen Maschinen funzt, ausser bei der Win7-Kiste. Die braucht einen Augenblick bis "enter" gedrückt werden kann, das nervt. Aber gut)
    Der Admin kann alles lesen, das ist schon klar. Macht aber nix, gibt nur mich. Das Master-PW bleibt auf jedenfall; die einzelnen Passwörter für die Mails sind mit großen, kleinen, Sonderzeichen usw. ;-)


    Die Lösung ist vllt. wirklich nur das eben die Datei bevior auf den Stick verschoben mit einem Programm verschlüsselt wird. trueCrypt habe ich auf der Maschine, allerdings müßte ein einfaches ".zip" mit PW+Verschlüsselung ja auch reichen. (Oder hat das einen Nachteil?)


    Viele Grüße,
    Christian

  • Hi Christian,


    klar reicht auch ein einfaches ZIP+Passwort. Wir wollen es ja nicht übertreiben.
    Vielleicht noch ein kleiner Tipp "für unterwegs": Schau dir mal das kleine Programm "LockNote" von Steganos an. Das ist ein kleiner einfacher Texteditor, der mit PW gesichert wird, und "sich selbst verschlüsselt". Ideal für kleine Textschnipsel, Passwortlisten usw. Und läuft auf jeder WinDOSe auch ohne Adminrechten.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • "investor" schrieb:

    Meine Maschine sperre ich immer (wobei die die 3er-Komb und sofortiges "enter" bei allen Maschinen funzt, ausser bei der Win7-Kiste. Die braucht einen Augenblick bis "enter" gedrückt werden kann, das nervt. Aber gut)


    Hallo Christian :)


    verwende alternativ Win-L.


    Schnelles Sperren Ihres Computers und Verwendung anderer Tastenkombinationen mit der Windows-Logo-Taste (funktioniert auch unter Vixxa und den Sieben Todsünden)


    Gruß Ingo

  • Hi Peter,


    wie ist denn der Unterschied zu einer Zip-Lösung bei dem LockNote?


    Hi Ingo,


    danke für den Tip, das würde wirklich schneller gehen. Mal sehen ob ich die Umgewöhnung schaffe ;)


    Inwiefern ist es denn "einfach" machbar automatisiert irgendein verschlüsseltes File zu erstellen (und idealerweise im Anschluss auf externe HDD/SVR kopieren/verschieben)?


    Vielen Dank & viele Grüße,
    Christian