Passwort wird nur einmalig abgefragt. [erl.]

Hallo Hans,

Zitat von "Hans"

ich habe die Passwörter in TB nicht gespeichert, so dass beim Abruf der E-Mails das Passwort erfragt wird.

Nun, das ist deine Sache.
Ich würde mich aber freuen, wenn du mir einen einzigen Grund dafür nennen würdest. Mir fällt beim besten Willen keiner ein.

Zitat

Alllerdings erfolgt dies nur beim erstmaligen Mail-Abruf. Schließe ich TB nicht, so können die Mails ohne Eingabe des Passwortes abgerufen werden.

Das ist völlig korrekt.
Die PW werden zwischengespeichert ("gekached")
Und das ist auch gut so ... .

Zitat

Erst nach dem Schließen und erneuten Öffnen des Programmes erfolgte wieder die Passwortabfrage.

Das ist der Bweis dafür, dass der Cache mit dem Beenden des Programms geleert wird.
Und auch das ist gut so ... .

Zitat

Lässt sich dieses Verhalten ändern, so dass bei jedem Abruf - also auch ohne Neustart - die Kennworteingabe erforderlich ist?

Mir ist keine Lösung dafür bekannt.
Du kannst aber gern in den erweiterten Einstellungen nach "Caching" oder anderen Suchwörtern filtern und experimentieren. Ich kann mich auch nicht daran erinnern, von diesem seltsamen Wunsch jemals im Forum gelesen zu haben.
Verstehe wirklich nicht, wieso sich das ein berechtigter Nutzer freiwillig antun will.
Irgendwie erinnert mich das an Masochismus ... .

MfG Peter

Hallo Hans,

nun, deine Antwort ist doch gut. Und ich kann deine Ängste auch verstehen.

Nach den letzten mir bekannten Informationen (*) verschlüsseln die Mozilla-Produkte die gespeicherten Passworte für die Mailkonten und auch alle anderen, die Schlüssel für die S/MIME-Verschlüsselung von E-Mails und weitere Daten mit dem bewährten und auch heute noch als sicher geltenden symmetrischen Verfahren "Triple DES" (3DES).
Dabei wird aus dem vom Nutzer im "Passwortmanager" eingetragenen Masterpasswort ein Schlüssel generiert, welcher für die Ver- und Entschlüsselung dieser Daten genutzt wird.
Dieses Verfahren kannst du, ein einigermaßen sicheres Masterpasswort vorausgesetzt, als sicher betrachten. Also selbst wenn es einem Angreifer gelingen sollte, dein stets mit den aktuellsten Patches versehenes Betriebssystem und dein mit einem guten Passwort geschütztes eingeschränktes Benutzerkonto zu "hacken", und die Passwortdatei (signons.sqlite) zu erbeuten, so wird er einige Zeit damit verbringen, diese Verschlüsselung zu brechen. In dieser Zeit hat dein hoffentlich regelmäßiger Passwortwechsel seinem Treiben längst den Sinn genommen.

Auf jeden Fall ist diese lokale und verschlüsselte Speicherung der o.g. Daten wesentlich sicherer als das im Internet übliche unverschlüsselte Senden der Mailpasswörter (Authentifizierungsmethode: "Passwort, normal" = unverschlüsselt!). Das kannst du nicht ändern, du kannst höchstens den kompletten Traffic zu den Mailservern (damit auch die PW) verschlüsseln (SSL/TLS, STARTTLS). Das gilt zwar als sicher, aber zum einen bietet das nicht jeder Provider an, und zum andern führt das sehr häufig zu Problemen mit dem AV-Scanner.

Ein weiterer echter Nachteil der immer wieder händisch einzuhackenden PW ist, dass der (grundsätzlich bequeme) Mensch sich ein gut merkbares und somit schlechtes Passwort ausdenkt, dieses niemals oder nur extrem selten ändert und es meistens auch überall nutzt. (Nein, das trifft für dich natürlich niemals zu! Oder doch ;-))
Das PW eines sicherheitsbewussten Users sieht zum Bsp. für exakt eines seiner Mailkonten so aus: "pIt1ls4QhQ4VB5yYFfNgJJMnedeErDIcHZ8h". Das kann sich "Mensch" niemals merken. Aber der Passwortmanager und die (verschlüsselte) Datei oder auch die Liste, wo er dieses für Notfälle gespeichert hat. Und für das Masterpasswort wird natürlich ein gut zu merkendes verwendet. Nach der 20. Eingabe funktioniert sogar ein etwas kompliziertres aus dem Kopf.

(*) Ich habe es mir vor einiger Zeit angetan, die englische Originaldokumentation und speziell alles, was zu Fragen der Sicherheit und Verschlüsselung beschrieben wird, durchzuarbeiten. Für jemandem, der sich nach dem Erlernen von "Schul-Englisch" vor über 40 Jahren das Verstehen von Fachtexten selbst angelernt hat ist das etwas, was ich nicht unbedingt regelmäßig wiederholen will. Deshalb sind meine Angaben nicht unbedingt up to date. Auf jeden Fall wird die heute angewandte Verschlüsselung keinesfalls "schlechter" geworden sein, eher werden modernere Verfahren wie AES genutzt.

OK?

MfG Peter