GESAMTES Benutzerkonto mir Masterpasswort versehen

  • Hallo Thunderbird-Gemeinde.


    Ich verwende thunderbird mit einem Masterpasswort (Einstellungen=>Sicherheit=>Passwörter=>"Master-Passwort verwenden") in der Absicht, dass man erst nach eingabe des Masterpassworts Nachrichten (alte wie auch neue) lesen kann.


    Wenn ich aber TB öffne, zeigt sich gleich das erste Problemm:
    Noch bevor ich das Passwort eingegeben habe, wird der Inhalt des zuletzt geöffneten Ordners angezeigt. Also die Betreffzeilen und Absender der erhaltenen Nachrichten. Bereits das will ich mit dem Masterpasswort eigentlich vermeiden.


    Wenn ich dann weiter die Passworteingabe verweigere (auf "abbrechen" bei Passwortanforderung klicken, bis sie weg ist), kann ich auch noch die angezeigten Nachrichten anklicken und durchlesen, falls sie schon mal gespeichert wurden.


    Nun habe ich in Konten-Einstellungen=>Synchronisation und Speicherplatz das zwischenspeicern abgestellt und die Ordner komprimiert. Das nützt aber auch nur bedingt, weil die aktuellste nachricht aus welchen Grund auch immer nicht gelöscht wird.


    Gibt es Einstellungen oder Erweiterungen für Thunderbird, mit denen man den Zugriff auf das gesamte TB-Benutzerkonto bzw. alle emailfächer generell mit einem Passwort sperren kann, also inklusive der Ordnerinhalt-Ansicht und der alten Nachrichten?


    PS: Ein Windows-Accountpasswort will ich nicht verwenden, da ich nur im emailfach persöhnliche Informationen habe, die ich schützen will. Es wurde nur beim Hochfahren stören.

  • Hallo Döhnervogel,


    und willkommen im Forum!
    Dein "Problem" wurde schon gefühlte 100x im Forum angesprochen und auch entsprechend oft beantwortet ... .
    NEIN, ein Passwort für das gesamte Benutzerkonto bzw. für die grafische Oberfläche des Thunderbird gibt es nicht.
    Warum? Weil dieses absolut sinnfrei wäre!


    Wie du unserer Anleitung entnehmen kannst, werden die Mails in so genannten mbox-Dateien in deinem Profi, gespeichert. Sämtliche Einstellungen usw. ebenso. Dieses ZB-Userprofil ist von jedem, der Zugriff zu deinem Benutzeerkonto hat jederzeit auf einen USB-Stick zu kopieren und dann in aller Ruhe zu Hause auszuwerten. Das ist eben so! Welchen Sinn sollte es machen, das eigentliche Programm mit einem PW zu schützen, wenn die eigentlichen Nutzdaten dahinter unverschlüsselt und frei zugänglich sind? Das wäre das Gleiche, wie am Haus vorne eine einbruchhemmende Tür der Schutzklasse 4 und hinten eine aus Wellpappe.


    Es gibt eine einzige vernünftige und auch sichere und zumutbare Lösung.
    Aber genau diese Lösung schließt du aus.
    Die Bemerkung, die ich jetzt dazu auf der Zunge habe, spare ich mir.


    BTW:
    1.) Das Masterpasswort dient einzig und allein der Verschlüssselung deiner Konten-PW, evtl. vorhandener anderer Zugangsdaten usw.
    2.) Glaubst du wirklich, dass in einer unverschlüsselten E-Mail persönliche Daten sicher aufgehoben sind?


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo,

    Zitat

    Nun habe ich in Konten-Einstellungen=>Synchronisation und Speicherplatz das zwischenspeicern abgestellt und die Ordner komprimiert. Das nützt aber auch nur bedingt, weil die aktuellste nachricht aus welchen Grund auch immer nicht gelöscht wird.


    Könntest du näher erläutern? Du löschst die letzte Nachricht manuell und sie verschwindet nicht aus dem Ordner?
    Das dürfte nicht sein.
    Da du das Zwischenspeichern abgestellt hast, empfehle ich dir, Thunderbird zu beenden und den kompletten Ordner für dieses Konto zu löschen. Nach Neustart werden dann alle Ordner wieder neu aufgebaut. Oft verbleiben nämlich noch Reste in den Ordnern.

    Zitat

    Gibt es Einstellungen oder Erweiterungen für Thunderbird, mit denen man den Zugriff auf das gesamte TB-Benutzerkonto bzw. alle emailfächer generell mit einem Passwort sperren kann, also inklusive der Ordnerinhalt-Ansicht und der alten Nachrichten?


    Es gibt in der Tat ein Add-on, mit dem man das Öffnen des Profils ohne ein vorgegebenes Kennwort verhindern kann. Wie Peter_Lehmann aber schon geschrieben hat: das ist nur ein äußerer Schutz vor Computer-Anfängern. Würde ein unbedarfter User unsere Anleitungen im Forum studieren, wüsste er schnell, wie er trotzdem die Mails lesen kann und du würdest davon nichts bemerken.
    Wenn du aber tatsächlich deine Vorstellungen verwirklichen willst - und zwar sicher - und kein Windows-Benutzerkonto haben möchtest, empfehle ich dir Outlook. Das hat einen geschützten Bereich, an den kaum heranzukommen ist,weil der komplette Nutzerbereich aus nur einer einzigen verschlüsselten Datei besteht.

    Zitat

    Ein Windows-Accountpasswort ....wurde nur beim Hochfahren stören.


    Ja, warum? Ich habe auch mehrere Benutzerkonten und trotzdem bootet Windows ohne Unterbrechung und Passwortabfrage in das festgelegte gewünschte Konto. Den Benutzerwechsel führe ich dann von dort in 5 Sekunden durch, wobei das normale Profil dabei noch nicht mal geschlossen wird.


    Gruß

    Konversationen ohne vorherige Anforderung werden ignoriert..
    Windows 10, 64-bit, immer die aktuelle Thunderbird-Version und ältere Testversionen. Testprofile vorhanden.
    Testkonten bei den meisten größeren Mailanbietern wie GMX, Web.de usw

  • Zitat von "Peter_Lehmann"

    Wie du unserer Anleitung entnehmen kannst, werden die Mails in so genannten mbox-Dateien in deinem Profi, gespeichert. Sämtliche Einstellungen usw. ebenso. Dieses ZB-Userprofil ist von jedem, der Zugriff zu deinem Benutzeerkonto hat jederzeit auf einen USB-Stick zu kopieren und dann in aller Ruhe zu Hause auszuwerten.


    Danke für die Information. Genau die Tatsache, dass die Nachrichten da unverschlüsselt rumliegen verwirrt mich ja.
    Deswegen frage ich halt auch nach einem Sicherheitsmodul, dass entweder den gesamten account oder einzelne Mailfächer verschlüsseln kann.


    Zitat von "Peter_Lehmann"

    Es gibt eine einzige vernünftige und auch sichere und zumutbare Lösung.
    Aber genau diese Lösung schließt du aus.


    Selbst wenn ich ein Windowspasswort setze: hab gerade mit Parted Magic mein Admin-Account Passwort zurückgesetzt nach dieser Anleitung http://www.youtube.com/watch?v=i9W5fYVzMVI. Besonders sicher scheint der Windows-Account nicht zu sein.


    Auserdem: Könnten nicht die unverschlüsselten mbox Dateien mit Trojaner oder anderem Hacker-Angriff einfach gestohlen werden? Da wäre es schon gut, wenn man eine Möglichkeit hätte, diese Dateien zu verschlüsseln.


    Zitat von "mrb"

    Da du das Zwischenspeichern abgestellt hast, empfehle ich dir, Thunderbird zu beenden und den kompletten Ordner für dieses Konto zu löschen. Nach Neustart werden dann alle Ordner wieder neu aufgebaut. Oft verbleiben nämlich noch Reste in den Ordnern.


    Danke. Habe die Ordner für meinen Account gelöscht. Dann war auch die letzte Datei weg (ich meinte nicht manuelles löschen, sonder dass die offline-Version der Datei von der Fesplatte verschwinden soll).
    Wenn Ich aber jetzt TB beende und wieder starte, bleiben wieder einige Dateien lesbar. Das funktioniert sogar nach einem Neustart. Demzufolge werden die Dateien für eine Sitzung wohl doch gespeichert.


    Kann man es in TB generell einstellen, zumindestens die Nachrichter-Inhalte auf der Festplatte nicht zu speichern? Rein theoretisch sollte es doch möglich sein, den Austausch mit dem mailserver nur über RAM laufen zu lassen. Groß genug ist er ja.
    Oder geht es technisch nicht, weil TB halt so programmiert ist, dass die Nachrichteninhalte auf der Festplatte gespeichert werden müssen, um gelesen zu werden?

  • Zitat

    Genau die Tatsache, dass die Nachrichten da unverschlüsselt rumliegen verwirrt mich ja.


    Dann erkläre mir bitte mal, welchen Sinn es machen soll, deine unverschlüsselten E-Mails, die auf ihrem Weg quer durchs Internet auf Storagesystemen in England und den USA und natürlich bei deinem eigenen Provider und dem Provider des Absenders und allen anderen Stellen dazwischen, längst "zwischengespeichert" sind, ausgerechnet an der sichersten Stelle, bei dir zu Hause, zu verschlüsseln? => Humbug!
    E-Mails sind und bleiben kein Transportmittel für vertrauliche Daten, denn sie sind immer "offen wie eine Postkarte"! Es sei denn, du machst dir die kleine Mühe und nutzt eine "von Ende zu Ende-Verschlüsselung".


    Zitat

    Selbst wenn ich ein Windowspasswort setze: hab gerade mit Parted Magic mein Admin-Account Passwort zurückgesetzt ... .


    Dann muss das ja ein echter DAU-Rechner sein, wenn man ihn so problemlos von einem externen Medium booten kann.


    Zitat

    Auserdem: Könnten nicht die unverschlüsselten mbox Dateien mit Trojaner oder anderem Hacker-Angriff einfach gestohlen werden?


    Selbstverständlich ist das möglich.
    Die entsprechenden Kollegen der Beamten, welche Schnüffelwolfgang immer das Internet ausdrucken mussten, können das garantiert. Und deren US-Amerikanischen großen Vorbilder erst Recht. Und was die können, dass können "die bösen Hacker" ebenfalls.
    Nur, die beiden erstgenannten haben das nicht nötig - sie haben deine Mails ja schon gespeichert bzw. sie können sie sich jederzeit beim Provider "ausleiten" und nach Hause "ins Amt" schicken lassen. Genau so wie sie das mit deinen Passswörter machen können. Und vor "Trojanern" hilft nur der richtige und vor allem der richtig angewandte Malwareschutz in Verbindung mit entsprechendem eigenen Verhalten.


    Selbstverständlich kannst du deine komplette Festplatte "vollverschlüsseln". Das ist für mein privates und erst Recht für mein dienstliches Notebook eine Selbstverständlichkeit. Aber dieser Schutz sorgt nur davor, dass Diebe mir lediglich meine Hardware aber nicht meine Daten stehlen können. In dem Moment, wo diese Rechner durch mich eingeschaltet wurden, sind die Daten wieder unverschlüsselt. Sonst würden die Rechner ja nicht funktionieren. Und genau so kannst du dir die Mühe machen, dein geheimnisvolles TB-Userprofil in einem Truecrypt-Container zu verschlüsseln. Musst dann eben jedes mal diesen Container mounten, wenn du den TB startest. Aber ob das wirklich sinnvoll ist, musst du selbst entscheiden. Daten, die einmal deinen Rechner verlassen haben, gelten als "verbrannt". Siehe oben.



    So, für mich ist das Thema hiermit abgeschlossen.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Zitat

    Kann man es in TB generell einstellen, zumindestens die Nachrichter-Inhalte auf der Festplatte nicht zu speichern?Kann man es in TB generell einstellen, zumindestens die Nachrichter-Inhalte auf der Festplatte nicht zu speichern?


    Stimmt, um die Nachricht lesen zu können, muss sie ja temporär gespeichert werden und zwar so lange Thunderbird geöffnet ist um zu vermeiden, dass eine Mail nach Schließen des Ordners neu geladen werden muss.
    Mit ist kein Verfahren bekannt, welches deinem Wunsch näher käme.


    Gruß

    Konversationen ohne vorherige Anforderung werden ignoriert..
    Windows 10, 64-bit, immer die aktuelle Thunderbird-Version und ältere Testversionen. Testprofile vorhanden.
    Testkonten bei den meisten größeren Mailanbietern wie GMX, Web.de usw

  • Zitat von "Peter_Lehmann"


    Dann erkläre mir bitte mal, welchen Sinn es machen soll, deine unverschlüsselten E-Mails, die auf ihrem Weg quer durchs Internet auf Storagesystemen in England und den USA und natürlich bei deinem eigenen Provider und dem Provider des Absenders und allen anderen Stellen dazwischen, längst "zwischengespeichert" sind, ausgerechnet an der sichersten Stelle, bei dir zu Hause, zu verschlüsseln? => Humbug!


    Tut mir leid, aber gerade das unverschlüsselt rumliegen lassen verstehe ich eben nicht. Da habe ich wohl einen Knick in meiner Logik. Vielleicht kannst du mir den ja erkläeren:


    Ich benutze ssl-verschlüsselung, damit sollte der weg von mir zu dem Provider gesichert sein. Als provider nutze ich secure-mail. Eingenen Angaben nach benutzt dieser wiederum eine 4096-bit Verschlüsselung, um die emails zu speichern.
    Die meisten anderen Provider nutzen inzwischen auch ssl.
    Die Kommunikation zwischen einzelnen Providern wird in der Regel auch verschlüsselt, wenn ich es richtig verstehe?
    Die Abgespeicherten Mails auf Servern der Provider werden ebenfalls gesichert. Vielleicht nicht so extrem wie bei secure-mail, aber so dass kein Hacker oder neugieriger Mitarbeiter so ohne weiteres rankommt. Wenn ich mich nicht täusche, sind die Provider dazu sogar rechtlich verpflichtet.


    Jetzt liegen die mails aber in dem Zeitpunkt vor/nach der ssl-Übertragung unverschlüsslt vor.
    Schnüffelwolfgang und seine trans- oder ost-atlantische Freunde dürfen in Deutschland da legal aber nur mit richterlicher Genehmigung ran. Falls sie es ohne wollen, müssen sie irgendwelche Hacker engagieren.


    Für wirklich sensible Daten benutze ich daher PGP. Blöderweise kann ich aber nicht jedem Vollpfosten, mit dem ich kommuniziere PGP oder S/MIME anzwingen.


    Und da ist es doch naheliegend, den restlichen emailverkehr möglichst unanfällig für Hacker zu machen.
    Und da halte ich meinen bescheidenen Rechner für anfälliger, als die Server oder die ssl-übertragung.


    Jetzt ist inzwischen bekannt, dass die NSA mit verschieden Anbietern kooperiert. Da können die natürlich meine mails auch direkt beim Provider lesen.


    Aber das war ja technisch und rechtlich gesehen ursprünglich so nicht gedacht. Und genau da hab ich jetzt den Knick in meiner Interpretation, wie der emailverkehr "eigentlich" gedacht war:
    1) Man überträgt die mails sicher über ssl zum Provider.
    2) Man wählt einen seriösen Anbieter, der für die Sicherheit der emails sorgen sollte.
    3) Und dann lässt man die Nachrichten ausgerechnet auf einem einfachen endnutzer-Rechner ungeschützt rumliegen.


    Okay, natürlich sollte man seinen PC-Account mit passwort sichern, aber ich ging bisher davon aus, dass man bei mails noch eine extra-sicherheit hat. Weil emails halt auch etwas sensibleres sind, als irgendwelche Katzenbilder.

  • Habe das Problemm jetzt folgendermaßen gelöst:
    Der lokale Ordner (Konten-Einstellungen => Servereinstellungen => "Lokaler Ordner") befindet sich in einem TrueCrypt-Kontainer, der beim Start gemountet wird (mit Passworteingabe).
    Wenn ich TB ohne dem mounten starte, sieht man nur die emailadressen, aber nicht den Inhalt - nicht einmal die existierenden IMAP - Ordner. Die sind ja im container.

  • Zitat

    Der lokale Ordner (Konten-Einstellungen => Servereinstellungen => "Lokaler Ordner") befindet sich in einem TrueCrypt-Kontainer, der beim Start gemountet wird (mit Passworteingabe).


    Womit du den lokalen Ordner sozusagen aus dem Profil ausgelagert/gesplittet hast.
    Wir Helfer geben so einen (nicht empfehlenswerten) Tipp nur unter ganz bestimmten Voraussetzungen, da beim Auseinanderreißen des Profils ein dauerhaftes Funktionieren nicht gewährleistet werden und sogar zum Profilneuaufbau zwingen kann.
    Nur mal zum Lesen:
    http://www.thunderbird-mail.de…iewtopic.php?f=31&t=63991
    Warum verschiebst du nicht das komplette Profil in den Container?


    Gruß

    Konversationen ohne vorherige Anforderung werden ignoriert..
    Windows 10, 64-bit, immer die aktuelle Thunderbird-Version und ältere Testversionen. Testprofile vorhanden.
    Testkonten bei den meisten größeren Mailanbietern wie GMX, Web.de usw

  • Zitat

    Die Kommunikation zwischen einzelnen Providern wird in der Regel auch verschlüsselt, wenn ich es richtig verstehe?


    Nein, es wird bei uns immer wieder darauf hingewiesen, dass dieses nicht der Fall ist und die Mails nach dem ersten Server unverschlüsselt sind.
    Beitrag#4


    Gruß

    Konversationen ohne vorherige Anforderung werden ignoriert..
    Windows 10, 64-bit, immer die aktuelle Thunderbird-Version und ältere Testversionen. Testprofile vorhanden.
    Testkonten bei den meisten größeren Mailanbietern wie GMX, Web.de usw

  • Zitat von "mrb"

    Warum verschiebst du nicht das komplette Profil in den Container?


    Meinst du den gesamten Ordner? Also den:


    C:\Dokumente und Einstellungen\<Benutzername>\Anwendungsdaten\Thunderbird\Profiles\<******>.default


    Aber wie mache ich das? Ich finde bei TB nur die erwähnte Einstellung, mit dem ich den lokalen Ordner einzelner emailkonten verschieben kann. Nicht den gesamten Ordner aller Profile oder so was.


    Oder soll ich das machen, indem ich in der Datei
    C:\Dokumente und Einstellungen\Michailovitsch\Anwendungsdaten\Thunderbird\profiles.ini
    den Ordner ändere, also auserhalb des Setups?


    Oder wäre es besser, gleich den ganzen ...\Anwendungsdaten\Thunderbird Ordner zu verschieben? Dann muss ich das wahrscheinlich in der registry machen.


    Was wäre die stabilste Lösung?

  • Hallo Döhnervogel,


    Zitat von "Döhnervogel"

    Oder soll ich das machen, ... . Oder wäre es besser,


    Beide Weg führen nach Rom. Wenn Du den gesamten Ordner "Thunderbird" verschiebst, hat das m.E. einen Nachteil: Solltest Du den TB starten, bevor das TrueCrypt-Laufwerk gemountet ist, kann TB die profiles.ini nicht finden. Er geht dann davon aus, dass noch kein Profil existiert und legt ein neues an. Gleiches passiert natürlich dann, wenn jemand den TB unter Deinem User startet und Du den TC-Container bewusst nicht gemounted hast. Das kannst Du vermeiden, indem Du lediglich das Profil in einen TC-Container verschiebst.


    Gruß


    Susanne


  • Nein, nur das, was sich im Ordner Profiles befindet.
    Vermutlich würde ich noch anders vorgehen, nämlich ein dummy-Profil (mit Mails aber unwichtigen) hinzufügen und mit diesem starten. Den Zielpfad zum Container in der profiles.ini ändern, so dass jetzt 2 Profile drin stehen.
    Achtung ein externes Profil verlangt in der profiles.ini absolute Pfade. Das müsste so aussehen.

    Code
    1. [Profile1]
    2. Name=Test
    3. IsRelative=0
    4. Path=F:\Eigene Dateien\Thunderbird\Profiles\0a6qapfj.Test


    Den Eintrag "default=1" schreibst du unter das Normalprofil (unverschlüsselt) so dass sich dieses zuerst öffnet.
    Dann installierst du auf dem unverschlüsselten Profil (oder auf beiden) das Add-on ProfileSwitcher.
    Mit diesem kannst von Thunderbird aus mehre Profile gleichzeitig öffnen und entspr. umschalten.
    Du öffnest als das normale unverschlüsselte Profil gehst auf Datei > Profil Switcher und wählst das verschlüsselte Profil aus, was dann aber gemountet sein muss.


    Gruß

    Konversationen ohne vorherige Anforderung werden ignoriert..
    Windows 10, 64-bit, immer die aktuelle Thunderbird-Version und ältere Testversionen. Testprofile vorhanden.
    Testkonten bei den meisten größeren Mailanbietern wie GMX, Web.de usw

  • mrb, danke für deine hilfe. Habe alles genau so eingerichtet. Funktioniert wunderbar.


    Noch Paar neugiersfragen:


    1)

    Zitat von "mrb"


    [Profile1]
    Name=Test
    IsRelative=0
    Path=F:\Eigene Dateien\Thunderbird\Profiles\0a6qapfj.Test


    Ist es egal, wie der letzte Ordner 0a6qapfj.Test heist? Ich habe einfach mein altes Profil aus ...\Anwendungsdaten\Thunderbird\... in den container verschoben. Der ordner hatte statt *.Test ein *.default. Kann ich also den Ordnernamen absolut beliebig wählen?


    2) Habe den lokalen Ordner (Konten-Einstellungen => Servereinstellungen => "Lokaler Ordner") jeder emailadresse jetzt in dem neuen Profil in den unterordner "Imapmail" untergebracht, in neuen, willkürlich gewählten ordnernamen.
    Wäre es der stabilität halber besser, wenn ich die ganzen emailadressen lösche und neu aufsetze, damit die Ordner für die emailadressen von tb standartmäßig vergeben werden?
    Oder ist es schon in ordnung, wenn der lokale Ordner im Profil-Unterordner ist, und das Profil nicht auseinandergerissen ist, wie vorhin.

  • Hallo,


    zu 1.)

    Zitat

    Ist es egal, wie der letzte Ordner 0a6qapfj.Test heist?

    Ja, meiner heißt z.B. "TB_Profil1".
    Er muss eben mit dem Eintrag in der profiles.ini übereinstimmen.
    Ich würde an deiner Stelle hier keine "Sonderzeichenexperimente" machen und Leerzeichen vermeiden (aber das ist bestimmt nur meine persönliche Paranoia).



    Grüße, Ulrich