Dringend: Passwort aus Thunderbird-Cache holen

  • Thunderbird-Version: 24.6.0
    Betriebssystem + Version: Windows 7 Professional
    Kontenart (POP / IMAP): IMAP
    Postfachanbieter (z.B. GMX): mailbox.org


    Hallo,


    ich habe heute mein Passwort bei Mailbox.org geändert und versäumt, das neue bei keepass auch zu speichern. Nun habe ich keinen alternativen Kommunikationsweg dort hinterlegt und kann dementsprechend mein Passwort nicht zurücksetzen.
    Die einzige und allerletzte Möglichkeit bietet der Thunderbird Cache (NICHT der Passwort-Manager von Thunderbird!). In dieser Sitzung kann ich noch Mails empfangen, daher muss Thunderbird das PW noch irgendwo im Cache haben.
    Gibt es irgendeine Möglichkeit, das PW aus diesem Cache auszulesen?
    Ihr seid meine letzte Hoffnung! Wenn ich TB schließe oder den Rechner runterfahre, wars das gewesen um meine wichtigste Mailadresse :(


    Danke für jede Hilfe!

  • Hallo numbi,


    es wäre schlimm, wenn es ginge. Gut also, dass ich Dich da enttäuschen muss. Aber wo ist das Problem, Dich an Deinen Anbieter zu wenden und das Passwort von diesem zurücksetzen zu lassen?


    Gruß
    slengfe

    Meine Beiträge sind subjektiv und manipulativ, erheben Anspruch auf Allwissenheit und können Spuren von Ironie oder Sarkasmus enthalten.


    Windows 10 64 Bit | Thunderbird 32 Bit | Firefox 64 | Avira Free Security Suite

  • Danke für deine Antwort. Das Problem besteht darin, dass ich keinen alternativen Kommunikationsweg (Mail, Handy) hinterlegt habe. Damit ist das Zurücksetzen des Passworts normalerweise ausgeschlossen. Ich habe eine Mail an den Support geschrieben mit der Bitte, eine Mail zum Rücksetzen des PWs an meine mailbox.org-Adresse schicken zu lassen. Aber auch das wird nur gehen, bis mein Rechner mal abstürzt oder ich aus Versehen Thunderbird schließe. Ich hoffe, dass die mir eher als Montag antworten oder mein Rechner und das Programm so lange durchhalten.

  • Wenn ich meinen Thunderbird-Arbeitsspeicher dumpe, finde ich darin tatsächlich einige Passwörter im Klartext. Allerdings kann ich keine Regelmäßigkeit erkennen, die mir sagen könnte, wo das gesuchte PW steckt.

  • Hallo,


    "numbi" schrieb:

    Wenn ich meinen Thunderbird-Arbeitsspeicher dumpe, finde ich darin tatsächlich einige Passwörter im Klartext.


    Das kann ich (leider) bestätigen. Habe es gerade nachvollzogen. Das damit verbundene Risiko ist vielleicht nicht sehr hoch, u.a. auch weil Windows (bereits seit Vista!) ASLR implementiert hat (MacOS und Linux vollständig erst ab 10.7 bzw. 3.14).
    Wenn jemand jedoch unsichere Passwörter verwendet, z.B. solche, die man im Wörterbuch findet, oder wenn der Angreifer eine Sequenz des Passwortes kennt, dann findet man das Passwort sehr schnell.


    Gerade für Windows gibt es zahlreiche Tools, mit denen man den Speicher in Echtzeit (also ohne Dump) durchsuchen kann, z.B. um bei Spielen zu schummeln. Ein Angreifer, der Zugang zu dem PC hat, hat da leichtes Spiel. Wenn das kein weiterer Grund ist, gute und kryptische Passwörter zu verwenden!


    numbi
    Nichts gegen Dich. Ich kenne Dich ja gar nicht. Deine Geschichte kommt mir allerdings ein wenig spanisch vor. Entschuldige daher mein Misstrauen und dass ich nichts weiter zur Sache beitragen mag.


    Gruß


    Susanne

  • Hallo,


    "SusiTux" schrieb:

    kommt mir allerdings ein wenig spanisch vor. Entschuldige daher mein Misstrauen und dass ich nichts weiter zur Sache beitragen mag.


    ich sehe das auch sehr zweischneidig.
    Aber wenn ich mal kurz G***le anwerfe und nach mailbox.org suche finde ich sofort FAQ | mailbox . org | mailbox . org und dort

    "[url=https://mailbox.org/passwort-vergessen-so-bekommen-sie-ein-neues/ schrieb:

    Passwort vergessen? So bekommen Sie ein neues[/url]"]Wenn Sie Ihr Passwort vergessen haben können Sie sich von uns einen Code zusenden lassen, mit dem Sie sich ein neues Passwort erstellen können. Voraussetzung ist, dass Sie bei der Anmeldung


    eine Mobiltelefonnummer, an die wir eine SMS schicken können oder
    eine alternative Mailadresse, an die wir eine E-Mail senden können angegeben haben.


    Haben Sie weder Mobilfunknummer noch alternative Mailadresse angegeben, können Sie telefonisch bei uns ein Zurücksetzen des Passworts beantragen. Bitte halten Sie dafür Ihr Telefonpasswort bereit, welches Sie bei der Anmeldung festgelegt haben.


    Also wo ist das Problem?

  • Er hat 2x deutlich geschrieben, dass er keinen zweiten Kommunikationsweg hinterlegt hat.


    DAS ist jetzt (in Verbindung mit seiner komischen Art seine PW zu wechseln) sein Problem.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo,


    ja, ich schrieb ja auch schon, dass der Anbieter helfen könnte. Und auch ich mag niemanden dabei unterstützen, das Postfach seiner Frau / seines Mannes zu knacken oder noch Schlimmeres. Ich denke, der Anbieter wird auf jeden Fall eine Möglichkeit finden. Damit ist das Thema für mich erledigt.


    Gruß
    slengfe


    PS: Bin schon schockiert, dass TB-Passwörter offen im Cache auslesbar sind... :confused:

    Meine Beiträge sind subjektiv und manipulativ, erheben Anspruch auf Allwissenheit und können Spuren von Ironie oder Sarkasmus enthalten.


    Windows 10 64 Bit | Thunderbird 32 Bit | Firefox 64 | Avira Free Security Suite

  • Hallo


    @Peter:

    "Peter_Lehmann" schrieb:

    Er hat 2x deutlich geschrieben, dass er keinen zweiten Kommunikationsweg hinterlegt hat.

    ja, das habe ich gesehen und deshalb in der Hilfe nachgesehen und zitiert

    "FAQ" schrieb:

    Haben Sie weder Mobilfunknummer noch alternative Mailadresse angegeben, können Sie telefonisch bei uns ein Zurücksetzen des Passworts beantragen. Bitte halten Sie dafür Ihr Telefonpasswort bereit, welches Sie bei der Anmeldung festgelegt haben.


    Wenn der User auch das nicht mehr weiß, sorry, da gebe ich Susi und slengfe Recht, es ist nicht erkennbar, ob für den Rechner und das Postfach tatsächlich eine Zugriffsberechtigung des Users existiert, oder?

  • Hallo numbi,


    wenn die Passwörter noch im Klartext übertragen werden, kannst du du dein PW vielleicht doch noch herausfinden, beispielsweise per Wireshark, hab ich vor einigen Jahren auch mal gemacht. Wenn der Rechner noch Mails abholen kann, muss er das PW zum Server übertragen und sich authentifizieren. Warum das PW dann nicht aus dem PW-Manager ablesbar ist, verstehe ich aber auch nicht. Wireshark (früher unter dem Namen Ethereal angeboten) gibt es auch als portable Version, du musst also nicht installieren oder gar neu starten ....


    Das Tool generiert viele Daten und das Extrahieren der gesuchten Option ist nicht einfach. Am besten alle anderen Programme schließen außer dem TB und einen Moment warten. Dann Wireshark starten, zum TB umschalten und das Konto abrufen, dann fix zurück zu Wireshark und die Aufzeichnung stoppen (vorheriger Probelauf zum Finden der richtigen Knöppe schadet nicht) - dann ist das Datenvolumen überschaubar und die gesuchte Info vergleichweise leicht zu finden. Aber ich bin kein Wireshark-Profi. Vielleicht kann dir jemand mehr dazu sagen, wie das leichter geht oder von vornherein auf bestimmte Programme oder Protokolle zu filtern geht.


    MfG
    Drachen

  • Hallo,


    das bringt doch nichts, denn wenn

    "numbi" schrieb:

    Die einzige und allerletzte Möglichkeit bietet der Thunderbird Cache (NICHT der Passwort-Manager von Thunderbird!). In dieser Sitzung kann ich noch Mails empfangen, daher muss Thunderbird das PW noch irgendwo im Cache haben.

    TB also tatsächlich noch eingeloggt ist, dann ja nach dieser Schilderung mit dem alten Passwort, denn das neue wurde ja nie eingegeben.

  • Hallo rum,


    da der Server die Verbindung nach einer Weile der Inaktivität wieder trennt, muss sich der TB m.E. beim nächsten Abruf wieder authentifizieren und ein PW an den Server senden ... darauf zielte ich ab. Wo der TB welches PC speichert, ist dafür nachrangig, immerhin scheint das an den Server gesendete PW ja korrekt zu sein und sofern seine Übertragung unverschlüsselt erfolgt, kann man es dann auch mitschneiden.


    Sollte die Verbindung zum Server dagegen nicht abgebaut und neu aufgebaut werden samt Authentifizierung, dann ist der Gedanke natürlich nicht hilfreich.


    Gruß
    Drachen

  • Hallo,


    davon abgesehen, dass ich es nach wie vor für keine gute Idee halte, hier Hilfe zum Ausspähen von Passwörtern zu geben, wird Wireshark nicht weiterführen. Der Provider macht auf den ersten Blick einen guten Eindruck und ist laut seinen Webseiten sehr um Datenschutz bemüht. Dazu gehört dann natürlich auch:


    "mailbox.org" schrieb:


    Alle Dienste sind immer nur über verschlüsselte Protokolle erreichbar.


    :mrgreen:


    Auch wenn es dem Sinn eines Forums widerspricht, in diesem Fall halte ich es für besser, dass jemand der trotz Bedenken helfen möchte, dies besser per PN durchführt.



    Gruß


    Susanne

  • Hallo,


    so, nun habe ich das mal getestet und habe bei einem meiner Postfächer beim Provider das Passwort geändert, wobei TB am Laufen war, und dann habe ich mir Mails auf das Konto gesendet. Kein Problem, die Änderung beim Provider bewirkte erst einmal nichts.
    Dann habe ich meinen PC nun alleine gelassen und gemütlich ein Eis gegessen, der PC geht dabei irgendwann auf Energiesparmodus, auch da kein Problem, nach 1,5 Stunden konnte ich immer noch Mails abrufen.
    Danach habe ich in Extras>Einstellungen mal den allgemeinen TB-Cache gelöscht, immer noch kein PW erforderlich.
    Nun habe ich TB neu gestartet und jetzt kam auch die Nachfrage nach dem PW.


    Ergo 1: der Provider hat die Verb. nicht getrennt und das PW wird nicht benötigt, solange das Ideling läuft. Zumindest meinen Provider stört keine Inaktivität, der Donnervogel muss sich schon abmelden.


    Ergo 2: TB kann nicht über ein geändertes PW verfügen, es kann nicht im Cache liegen, solange man es nicht in TB eingegeben hatte, logisch, ne?


    Ergo 3: numbi kann mit einem PW im Cache, so es dort eines gibt, nichts anfangen

  • Hallo rum,


    ich sehe, Du scheust mal wieder keine Mühen :-)


    Wie der Drache hatte auch ich numbi so verstanden, dass er/sie im TB bereits das neue Passwort benutzt hat, es aber nicht gespeichert hatte. Ansonsten ergibt die Frage keinen Sinn.


    Dann hätte numbi das neue Passwort aber bereits mindestens dreimal eingegeben (zweimal beim Ändern, einmal im TB). Das war für mich ein Teil des "Spanischen" und hat mein Misstrauen geweckt.
    Ob zurecht oder zu unrecht ist insofern egal, als dass Du natürlich Recht hast: Das alte Passwort im Cache nutzt nicht.


    Nun ab zum Fernseher, knackige Fussballer anschauen ;-)


    Susanne

  • Hallo und erst mal vielen Dank für eure Hilfe. Dazu muss ich sagen, dass ich eure Bedenken nachvollziehen kann. Leider kam am nächsten Morgen dann doch die Meldung von TB, das PW sei falsch. Anscheinend "vergisst" das Programm nach einer gewissen Zeit das PW im Cache.
    Dass TB zwei verschiedene PW hatte, kann ich mir nur so erklären: Das alte war im Passwort-Manager gespeichert und am Anfang der Sitzung wurde es gesendet. Dann hab ich es bei mailbox.org geändert und neu abgerufen. Das PW war dann natürlich falsch und ich hab es neu eingegeben, allerdings nicht im Passwort-Manager gespeichert. Damit man nicht bei jedem Neu-Abrufen das PW neu eingeben muss, speichert TB das PW wohl für eine gewisse Dauer im Cache. Und solange ich das neue nicht im PW-Manager speichere (den Haken anhake), bleibt dort das alte gespeichert.
    Die Wireshark-Methode hätte vllt. helfen können, aber bei verschlüsstler Übertragung wäre das wohl auch unwirksam. Ist jetzt aber eh zu spät
    Ich habe nun über den Dump ein Script laufen lassen, das mir alle Zeichenketten rausholt, die die Länge und Zusammensetzung von von KeePass generierten Passwörtern haben. Leider sind nicht alle Klartext-PW im Cache alleinstehend, sondern sie gehen in andere Zeichenketten über. Damit hab ich jetzt 30.000 Möglichkeiten...
    Beim Provider muss ich mir nicht viel Hoffnung machen, aber ich warte jetzt trotzdem erst mal die Beantwortung meines Tickets ab.
    Wenn noch jemand Ideen hat, was ich mit dem Dump anstellen kann, nur her damit :)

  • Hallo,


    "numbi" schrieb:

    Die Wireshark-Methode hätte vllt. helfen können,

    nein, denn wie du aus meinen Test erkennen kannst, wird das PW vom Server während einer Sitzung nicht erneut abgefragt. Sobald es gefragt wird, greift TB dann aber auf den Manager zu und holt das PW dort raus, anders ist das

    "rum" schrieb:

    wobei TB am Laufen war, und dann habe ich mir Mails auf das Konto gesendet. Kein Problem, die Änderung beim Provider bewirkte erst einmal nichts.
    Dann habe ich meinen PC nun alleine gelassen und gemütlich ein Eis gegessen, der PC geht dabei irgendwann auf Energiesparmodus, auch da kein Problem, nach 1,5 Stunden konnte ich immer noch Mails abrufen.
    Danach habe ich in Extras>Einstellungen mal den allgemeinen TB-Cache gelöscht, immer noch kein PW erforderlich.

    nicht erklärbar, denn bei mir kann im PC nicht das neue PW gestanden haben und TB blieb trotzdem im Kontakt.


    Vertraue mal auf deinen Provider, der macht ja keinen so schlechten Eindruck. Lt. Website hat der sogar im Notfall am Wochenende (vermutlich mit nachhelfen durch $$$ :mrgreen: ) Notdienste.