Passwort wird nur einmalig abgefragt. [erl.]

  • Thunderbird-Version: 17.0.4
    Betriebssystem + Version: OS X 10.7.5
    Kontenart (POP / IMAP): POP
    Postfachanbieter (z.B. GMX): Diverse


    Hallo zusammen,


    ich habe die Passwörter in TB nicht gespeichert, so dass beim Abruf der E-Mails das Passwort erfragt wird.


    Alllerdings erfolgt dies nur beim erstmaligen Mail-Abruf. Schließe ich TB nicht, so können die Mails ohne Eingabe des Passwortes abgerufen werden.


    Erst nach dem Schließen und erneuten Öffnen des Programmes erfolgte wieder die Passwortabfrage.


    Lässt sich dieses Verhalten ändern, so dass bei jedem Abruf - also auch ohne Neustart - die Kennworteingabe erforderlich ist?


    VG Hans

  • Hallo Hans,



    "Hans" schrieb:

    ich habe die Passwörter in TB nicht gespeichert, so dass beim Abruf der E-Mails das Passwort erfragt wird.


    Nun, das ist deine Sache.
    Ich würde mich aber freuen, wenn du mir einen einzigen Grund dafür nennen würdest. Mir fällt beim besten Willen keiner ein.


    Zitat

    Alllerdings erfolgt dies nur beim erstmaligen Mail-Abruf. Schließe ich TB nicht, so können die Mails ohne Eingabe des Passwortes abgerufen werden.


    Das ist völlig korrekt.
    Die PW werden zwischengespeichert ("gekached")
    Und das ist auch gut so ... .


    Zitat

    Erst nach dem Schließen und erneuten Öffnen des Programmes erfolgte wieder die Passwortabfrage.


    Das ist der Bweis dafür, dass der Cache mit dem Beenden des Programms geleert wird.
    Und auch das ist gut so ... .


    Zitat

    Lässt sich dieses Verhalten ändern, so dass bei jedem Abruf - also auch ohne Neustart - die Kennworteingabe erforderlich ist?


    Mir ist keine Lösung dafür bekannt.
    Du kannst aber gern in den erweiterten Einstellungen nach "Caching" oder anderen Suchwörtern filtern und experimentieren. Ich kann mich auch nicht daran erinnern, von diesem seltsamen Wunsch jemals im Forum gelesen zu haben.
    Verstehe wirklich nicht, wieso sich das ein berechtigter Nutzer freiwillig antun will.
    Irgendwie erinnert mich das an Masochismus ... .




    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    danke dir für dein Antwort.


    Ich bin kein TB-Experte und kann daher keine Aussage darüber treffen, wie und vorallem wie sicher TB die Passwörter speichert.


    Daher bestand mein Ansatz bisher darin, die Passwörter eben nicht zu speichern.

  • Hallo Hans,


    nun, deine Antwort ist doch gut. Und ich kann deine Ängste auch verstehen.


    Nach den letzten mir bekannten Informationen (*) verschlüsseln die Mozilla-Produkte die gespeicherten Passworte für die Mailkonten und auch alle anderen, die Schlüssel für die S/MIME-Verschlüsselung von E-Mails und weitere Daten mit dem bewährten und auch heute noch als sicher geltenden symmetrischen Verfahren "Triple DES" (3DES).
    Dabei wird aus dem vom Nutzer im "Passwortmanager" eingetragenen Masterpasswort ein Schlüssel generiert, welcher für die Ver- und Entschlüsselung dieser Daten genutzt wird.
    Dieses Verfahren kannst du, ein einigermaßen sicheres Masterpasswort vorausgesetzt, als sicher betrachten. Also selbst wenn es einem Angreifer gelingen sollte, dein stets mit den aktuellsten Patches versehenes Betriebssystem und dein mit einem guten Passwort geschütztes eingeschränktes Benutzerkonto zu "hacken", und die Passwortdatei (signons.sqlite) zu erbeuten, so wird er einige Zeit damit verbringen, diese Verschlüsselung zu brechen. In dieser Zeit hat dein hoffentlich regelmäßiger Passwortwechsel seinem Treiben längst den Sinn genommen.


    Auf jeden Fall ist diese lokale und verschlüsselte Speicherung der o.g. Daten wesentlich sicherer als das im Internet übliche unverschlüsselte Senden der Mailpasswörter (Authentifizierungsmethode: "Passwort, normal" = unverschlüsselt!). Das kannst du nicht ändern, du kannst höchstens den kompletten Traffic zu den Mailservern (damit auch die PW) verschlüsseln (SSL/TLS, STARTTLS). Das gilt zwar als sicher, aber zum einen bietet das nicht jeder Provider an, und zum andern führt das sehr häufig zu Problemen mit dem AV-Scanner.


    Ein weiterer echter Nachteil der immer wieder händisch einzuhackenden PW ist, dass der (grundsätzlich bequeme) Mensch sich ein gut merkbares und somit schlechtes Passwort ausdenkt, dieses niemals oder nur extrem selten ändert und es meistens auch überall nutzt. (Nein, das trifft für dich natürlich niemals zu! Oder doch ;-))
    Das PW eines sicherheitsbewussten Users sieht zum Bsp. für exakt eines seiner Mailkonten so aus: "pIt1ls4QhQ4VB5yYFfNgJJMnedeErDIcHZ8h". Das kann sich "Mensch" niemals merken. Aber der Passwortmanager und die (verschlüsselte) Datei oder auch die Liste, wo er dieses für Notfälle gespeichert hat. Und für das Masterpasswort wird natürlich ein gut zu merkendes verwendet. Nach der 20. Eingabe funktioniert sogar ein etwas kompliziertres aus dem Kopf.


    (*) Ich habe es mir vor einiger Zeit angetan, die englische Originaldokumentation und speziell alles, was zu Fragen der Sicherheit und Verschlüsselung beschrieben wird, durchzuarbeiten. Für jemandem, der sich nach dem Erlernen von "Schul-Englisch" vor über 40 Jahren das Verstehen von Fachtexten selbst angelernt hat ist das etwas, was ich nicht unbedingt regelmäßig wiederholen will. Deshalb sind meine Angaben nicht unbedingt up to date. Auf jeden Fall wird die heute angewandte Verschlüsselung keinesfalls "schlechter" geworden sein, eher werden modernere Verfahren wie AES genutzt.


    OK?


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!