master passwort wird mehrfach abgefragt

    Hallo alle zusammen,
    ich habe in TB drei Email- Konten plus Google-Kalender (Ligtning) zusammengefasst (jeweils mit Passwort).
    Um die dauernde Abfrage aller vier Passworte beim Start zu verhindern, habe ich diese im Passort Manager gespeichert und ein Masterpasswort eingestellt. Jetzt werde ich zwar nicht mehr nach den einzelnen Passworten gefragt, aber das Masterpasswort wird 4x hintereinander abgefragt. War das im Sinn des Erfinders ?
    Zusätzlich stört, dass auch bei Abbruch der Masterpasswort-Eingabe voller Zugriff auf bereits vorhandene Daten möglich ist - kann man das verhindern?

    Grüße aus Wien
    Franz

    Info:
    * Thunderbird-Version: 31.4.0
    * Betriebssystem + Version: ubuntu 14.04 LTS
    * Kontenart (POP / IMAP): 2x POP, 1x IMAP
    * Postfachanbieter (z.B. GMX): 2x GMX, 1x gmail

    Hallo Franz,

    und willkommen im Forum!
    Diese Mehrfach-Abfrage kommt daher, dass (wohl?) unterschiedliche Zugriffe (von den Mailkonten und auch von verschiedenen Kalendern) auf die Passwort-Datei erfolgen. Aber dieses (mir seit Jahren bekannte und auch bereits mehrfach als Frage und auch Lösung gepostete) Problem ist schnell gelöst! Installiere das Add-ond "StartupMaster" und fertig ist ... .

    Zu deiner zweiten Frage:
    Das Masterpasswort schützt ("nur", aber so gewollt!) alle deine in der Passwort-Datenbank gespeicherten Zugangspasswörter. Also die der Mailkonten, zu den Kalendern usw. Das Masterpasswort schützt niemals die lokal gespeicherten Mails, deine sonstigen Einstellungen usw. Diese Daten sind immer unverschlüsselt lokal gespeichert. Und jeder, der Zugang zu deinem Konto im Betriebssystem besitzt, kann darauf zugreifen. DORT musst du ansetzen!


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

    Zitat von Peter_Lehmann

    Diese Mehrfach-Abfrage kommt daher, dass (wohl?) unterschiedliche Zugriffe (von den Mailkonten und auch von verschiedenen Kalendern) auf die Passwort-Datei erfolgen.

    Irgend etwas verstehe ich jetzt nicht, wenn die Passwörter im Passwort-Manager gespeichert sind sollte diese Passwörter doch automatisch erkannt und eingetragen werden. Früher gab es Probleme wenn man ein Kalender-Passwort gespeichert hatte, diese wurden sporadisch nicht erkannt. Aus diesem Grunde hatten wir das Passwort in den Aufrufparameter mit gespeichert.
    Um auszuschließen das es am Kalender liegt, deaktiviere den oder die Kalender die mit einem Passwort versehen sind.
    Doppelklick auf den Kalendernamen und dann oben links den Haken entfernen.

    Und teste es einmal ohne Kalender.

    Gruß
    EDV-Oldi

    Ich hatte bei meinen vielen Kalendern (manchmal bis zu 20 Stück) ebenfalls das Problem, dass ich [Kalenderanzahl +1] * das Masterpasswort (nicht etwa die für Handeingabe unzumutbaren komplexen Kalenderpasswörter) eingeben musste. Seit ich das genannte Add-on nutze, ist das Geschichte. Wir hatten damals ellenlange Thread dazu im Forum.

    Es sieht so aus, als ob Lightning die PW eher haben will, als die Mailkonten die ihrigen.
    Ist das Add-on aber installiert, dann wird der Start des Programms so lange verhindert, bis das Master - PW eingegeben wurde. Und das wars dann.

    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

    Hallo Peter_Lehmann ,

    ich habe seit meiner Verschlüsselung ebenfalls das lästige Problem der mehrfachen Abfrage des MP.
    Noch sclimmer ist es, wenn ich dann Thunderbird schließen möchte, muss ich alle mehrfachen Abfragen (mitunter bis zu 5) beantworten, sonst kann ich Thunderbird nicht schließen.
    Werde das von dir empfohlene Add-on installieren, auch wenn es lt. Angabe nur bis V. 24 funktioniert.

    Gruß

    Hi,

    also ich nutze StartupMaster v. 1.6, und dieses funktioniert bei mir mit TBv 31.4.0 perfekt. Der Thunderbird wartet geduldig, bis ich das Masterpasseort 1x (!) eingehackt habe. Ggw. 17 Kalender und 16 IMAP/POP3-Konten sowie 13 SMTP-Einträge mit allesamt einzelnen und sehr langen und komplexen PW.
    Ich würde wieder Snailmails schreiben, wenn das nicht mit einmaliger PW-Eingabe funktionieren würde.

    Zitat

    ich habe seit meiner Verschlüsselung ebenfalls das lästige Problem der mehrfachen Abfrage des MP.


    Mit Verschlüsselung meinst du die S/MIME-Verschlüsseldung deiner E-Mails - oder die Verschlüsselung der Verbindung zu den Mailservern ("Verbindungssicherheit")?
    Bei ersterem kann ich mir beim besten Willen nicht vorstellen, dass dieses auf die Auth am Mailserver einen Einfluss hat. In den Mails befindet sich lediglich ein einziger großer Dateianhang "smime.p7m" aus reinem ASCII-Text. Dieser wird wie jeder anderer reine Text übertragen. Und was die Verbindungssicherheit betrifft (also eine statische Einstellung, die ja sicherlich nie wieder geändert wird), empfehle ich, sämtliche Einstellungen für alle Mailserver (Ein- und Ausgangsserver) aus dem PW-Manager zu löschen, und einmalig komplett neu zu speichern. Ich kann mir gut vorstellen, dass da vlt. noch alte Einträge liegen.
    Aber trotzdem: die Auth-Daten werden nach der ersten Anmeldung gecached. Mir ist deshalb eine mehrfache Abfrage unverständlich.

    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

    Womit verschlüsselst und signiertst du deine Mails?

    • S/MIME (haben wir ja beide zusammen eingerichtet), oder
    • GnuPG (wovon ich bei dir bislang nichts wusste).

    Bei S/MIME wird der privateKey nachdem er einmal (unter Nutzung des Transport-PW) im Zertifikatsstore des TB gespeichert wurde, nach einmaliger Eingabe des gemeinsamen Master-PW (gemeinsam, weil damit alle PW für die Mailkonten, alle Zugänge zu ext. gehosteten Kalendern und auch alle privateKey geschützt werden) freigeschaltet.
    Ich habe es wirklich noch nie erlebt, dass ich, nur weil ich verschlüsselte Mails entschlüsseln muss oder weil ich mit einem meiner privateKeys eine Mail signieren will, ein zweites mal das Master-PW eingeben musste. (Bei der Nutzung einer ordentlichen Mikroprozessor-Signaturkarte ist das natürlich etwas ganz anderes. Aber das ist hier ja kein Thema.)


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

    Hallo Peter,

    mit S/MIME. Heißt das, ich brauche das Masterpasswort nicht permanent aktivieren? Dann habe ich vermutlich irgendetwas missverstanden.
    Mal sehen was Thunderbird sagt, wenn ich es abstelle.

    Gruß
    edit: Thunderbird meckert, dass jetzt meine privaten Schlüssel und Daten nicht mehr geschützt sind.

    Zu Recht ...

    Die .p12- oder .pfx-Datei mit dem private Key ist (sollte sein!) mit einem guten Transport-Passwort gesichert. Dieses (und nur dieses) benötigst du nur ein einziges mal, wenn du diesen Schlüssel in deinem Zertifikatsmanager importierst. Fertig.

    Der Passwort-Manager und der Zertifikats-Manager werden mit dem gleichen Master-Passwort gesichert. Und das sollte man auch unbedingt tun! Selbst wenn man der einzige Nutzer auf der Kiste ist! (Immer daran denken, es gibt nicht nur die "sichtbaren" Nutzer, sondern leider auch die "unsichtbaren"! Warum sollte man es diesen einfacher machen als nötig?)
    Zumindest der Zertifikats-Manager weist dich darauf hin, der Passwort-Manager leider nicht. Hier erfolgt wohl eine falsch gemeinte Unterstützung für die Faulen unter uns.

    Wenn der Mailserver das erste Konto-Passwort haben will, wenn Lightning sich am Kalender-Server anmeldet, wird zuerst das Master-PW abgefragt, welches die Datenbank für alle PW (signons.sqlite) freischaltet. Normalerweise sollte die einmalige Eingabe dieses Master-PW reichen, um sowohl die signons.sqlite als auch die Datenbank für die privaten Schlüssel (key3.db) zu entsperren. Wir wir feststellen, klappt das nicht immer.
    Und genau an dieser Stelle setzt der StartupMaster an.
    So lange ich dieses Add-on benutze, muss ich das Masterpasswort genau 1 mal eingeben, und schalte mit dieser einmaligen Eingabe alle Mail- und Kalenderpasswörter sowie sämtliche privaten Schlüssel frei.

    OK?


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

    Zitat von Peter_Lehmann

    Der Passwort-Manager und der Zertifikats-Manager werden mit dem gleichen Master-Passwort gesichert.

    Hallo Peter,
    ich habe beim Zertifikats-Manager kein Master-Passwort, es wurde auch nicht danach gefragt. ?(

    Gruß
    EDV-Oldi

    Es wird in den (allgemeinen) Einstellungen >> Sicherheit >> Passwörter ein generelles Masterpasswort aktiviert und eingestellt. Dieses (eine, für den TB allgemeingültige) Masterpasswort gilt dann für alle Datenbanken, welche sicherheitskritische Daten speichern. Also Passwörter und private Schlüssel (X.509, aber nicht GnuPG!)

    Nimm den Haken mal raus, und der Zertifikatsmanager wird dieses mit einer von mrb geposteten Meldung zu recht "bemeckern".

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

    Zitat von Peter_Lehmann

    Es wird in den (allgemeinen) Einstellungen >> Sicherheit >> Passwörter ein generelles Masterpasswort aktiviert und eingestellt. Dieses (eine, für den TB allgemeingültige) Masterpasswort gilt dann für alle Datenbanken,

    Ich habe kein Masterpasswort angelegt.

    Gruß
    EDV-Oldi

    Auch wenn ich ein Masterpasswort anlege und dann wieder lösche, habe ich keine Probleme beim senden.

    Gruß
    EDV-Oldi

    Hallo zusammen,

    aufgrund dieses Faden habe ich nachträglich (und verbunden mit der zusätzlichen Installation der Startup-Master-Erweiterung) dem Donnervogel ein Master-Passwort verpasst.

    1. Testmail an S/MIME-Mailpartner verschickt Hat reibungslos funktioniert. Jetzt warte ich nur noch auf die Antwortmail, damit ich es dann mit dem Lesen einer neuen S/MIME-verschlüsselten eingegangenen Mail den Abruf bzw. das Lesen testen kann.

    2. Mit openPGP-Verschlüsselung habe ich Versand und Empfang noch nicht getestet. Wird aber noch nachgeholt.

    3. Nach der Abfrage des MP durch Startup-Master wird innerhalb des Thunderbird erneut eine MP-Abfrage dann verlangt, wenn ich per [Bearbeiten]/[Extras]-[Einstellungen]-[Sicherheit]-[Gespeicherte Passwörter] den Schalter [Passwörter anzeigen] aktiviere.
    Und dies auch jedesmal, wenn ich erneut darauf zugreife. Hier merkt sich Thunderbird wohl nicht, dass zum Zugriff darauf das Master-Passwort schon einmal eingegeben wurde.

    Soweit meine Beobachtungen (bis jetzt).

    Gruß
    Feuerdrache

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier

    @EDV-Oldie:
    Das Programm weist die "bequemen" Anwender (die kein Master-PW gesetzt haben), beim Import des privaten Schlüssels auf deren Fehler hin. Wenn dieser Hinweis ignoriert wird, dann ist das eben das Risiko des Anwenders, welcher bewusst seinen privaten Schlüssel nicht sichern will.
    Mehr kann man auch derartige Anwender nicht vor sich selbst schützen.

    Bei der eigentlichen Nutzung fragen die PW- und Zertifikatsmanager nicht mehr nach dem Master-PW (normalerweise, und wenn doch, gibt es ja den StartupMaster).

    Feuerdrache:
    Die Verschlüsselungsfunktion für die Datenbanken ist (meiner persönlichen Erfahrung nach!) so implementiert, dass man jederzeit ein PW setzen, löschen oder auch ändern kann. Mir ist es noch nie passiert, dass ich bei derartigen "Spielereien" die Datenbanken meiner (Test-)Profile beschädigt habe.

    1. Wie zu erwarten war.
    2. PGP & Co. läuft völlig außerhalb vom TB. Hier macht das alles das Add-on Enigmail.
    3. Ja, es ist wohl so gewollt (was auch völlig in Ordnung ist!), dass man beim Auslesen eines PW noch einmal das Master-PW eingeben muss.

    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

    Zitat von Peter_Lehmann

    Das Programm weist die "bequemen" Anwender (die kein Master-PW gesetzt haben), beim Import des privaten Schlüssels auf deren Fehler hin.

    Hallo Peter,
    da müsste ich jetzt lügen. Ich bin der Meinung das diese Abfrage nicht gekommen ist.
    Ist auch Egal bei der nächsten Änderung stelle ich es fest.

    Gruß
    EDV-Oldi