Minimize on Start and Close

  • Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
    * Thunderbird-Version: 45.1.1
    * Betriebssystem + Version: Win 10


    Hallo,


    Minimize on Start and Close ist so eingestellt:



    Das Programm sollte beim Klick auf das X rechts oben also minimiert werden. Nach dem Upgrade auf Windows 10 wird TB aber geschlossen, wenn ma nauf X klickt.


    Auch in einem frischen Profil tritt das Problem auf.


    "MinimizeToTray" minimiert in den Infobereich und nicht in die Schnellstartleiste wie Minimize on Start and Close es unter Windows 8.1 gemacht hat. Grüße Basel

  • Guten Tag Basel,


    ich empfehle dir, dieses Problem dem Entwickler dieses Add-ons zu melden. Da dieses Add-on unter "älteren" Windows-Versionen ja funktioniert und nur unter Win 10 nicht, werden da wohl noch Anpassungen nötig sein.



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo,


    unter den Bewertungen des Add-ons wird gehäuft berichtet, dass das Add-on nicht mehr funktioniert. Die offizielle Angabe: Kompatibel mit Thunderbird 2.0 - 28.0. Das Add-on ist zum letzten Mal vor 6 Jahren(!) angepasst worden.

  • Hallo,


    danke für eure Antworten. Das Problem ist in Bewertungen bereits tatsächlich mehrfach beschrieben. Bei der Eingabe des Posts hatte ich ein paar Probleme, sodass die Frage, ob es eine Alternative gibt ganz verloren gegangen ist ..


    Grüße


    Basel

  • Hallo zusammen,


    das ist jetzt nicht böse gemeint. Aber kann mir jemand die "Sinnhaftigkeit" erklären?


    Eine solche Erweiterung ergibt doch eigentlich nur dann einen Sinn, wenn jemand seinen Donnervogel über die "Autostart"-Funktion seines Betriebssystems aktiviert und mit diesem gleichzeitig mehrere andere Programme gestartet werden.


    Und ist es nicht inzwischen bei allen gängigen (und aktuellen) Betriebssystemen so, dass die Programme über das Betriebssystem auch per "Autostart" in den Tray gelegt werden können, ohne sofort zu öffnen?


    Gruß
    Feuerdrache

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier

    Einmal editiert, zuletzt von Feuerdrache ()

  • Hallo,


    ich starte TB manuell und geb dann für div. Konten die Passwörter ein und lass die Konten dann regelmäßig auf neue E-Mails prüfen. Wenn man dann auf X klickt, muss ich wieder alle Passwörter eingeben und es werden keine E-Mails gecheckt. Das Add-On verhindert das ausversehene Schließen des Programms, indem es dann das Programm minimiert.


    Grüße


    Basel

  • Hallo Basel!


    Jetzt weiß ich endlich, was ich 30 Jahre lang gesucht habe ... .


    Nein! Ich muss mich der Meinung vom Feuerdrachen anschließen: auch ich sehe dahinter sehr wenig Sinn.


    Was ich absolut nicht verstehen kann:


    ... und geb dann für div. Konten die Passwörter ein und lass die Konten dann regelmäßig auf neue E-Mails prüfen. Wenn man dann auf X klickt, muss ich wieder alle Passwörter eingeben ...

    Ich kann beim besten Willen nicht verstehen, warum du nicht den Passwort-Manager des Thunderbirds dafür benutzt?
    Ein Passwort, welches du (vielleicht noch aus dem Kopf) händisch eintippst, ist immer schwach. Oder gar noch bei allen Konten identisch. Ein Mensch ist niemals in der Lage, für ~5 Mailkonten oder mehr aus dem Gedächtnis eine Zeichenfolge einzugeben, welche die Bezeichnung "Passwort" verdient. Und zum Abtippen vom Zettel ist bei derartigen PW jeder Mensch den ich kenne (mich eingeschlossen) zu f*** bzw. zu be****.


    Genau um "ordentliche" Passwörter zu nutzen, wurde der TB mit einem PW-Manager ausgestattet. Und mit dem Masterpasswort (gerade noch gut merkbar!) wird dessen Datenbank verschlüsselt.


    Wo also siehst du das Problem?



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Basel,


    Genau um "ordentliche" Passwörter zu nutzen, wurde der TB mit einem PW-Manager ausgestattet. Und mit dem Masterpasswort (gerade noch gut merkbar!) wird dessen Datenbank verschlüsselt.


    und ergänzend zu Peter_Lehmann, wenn Du dann noch die Erweiterung (= Add-on) StartupMaster nutzt, dann brauchst Du dieses Masterpasswort nur einmal (eben beim Start von Thunderbird) einzugeben.


    Gruß
    Feuerdrache

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier

  • Hallo zusammen,


    naja, ich will die Passwörter nicht auf meiner Festplatte haben und jedem der das Masterpasswort rausbekommt, Zugang zu allen E-Mail-Konten ermöglichen, die alle brav andere Passwörter haben.


    Wo also siehst du das Problem?

    Das ich verhindern möchte, dass ich mit einem unbedachten Klick das Programm schließe, z. B. weil ich mich damit unbemerkt von den eingehenden E-Mails trenne. Das hat erst einmal mit Passwörtern gar nichts zu tun.

    und ergänzend zu Peter_Lehmann, wenn Du dann noch die Erweiterung (= Add-on) StartupMaster nutzt, dann brauchst Du dieses Masterpasswort nur einmal (eben beim Start von Thunderbird) einzugeben.


    Aber auch nach dem unbeabsichtigten Schließen.


    Ich schätze eure Hilfe hier und sehe eurer Wissen, aber hier werden wir nicht einig werden, ob der Klick auf das X rechts oben das Programm beenden soll oder nicht.


    Grüße


    Basel

  • OK, ich akzeptiere, dass wir hier keine Einigung erzielen werden.
    Aber:

    ... ich will die Passwörter nicht auf meiner Festplatte haben und jedem der das Masterpasswort rausbekommt ...

    hier eine Frage:
    Hast du schon mal versucht, ein Masterpasswort zu "Knacken"?
    Ich gehe davon aus, dass dir hier nur der "Brute-Force-Angriff" bleibt.
    Ein Angreifer, der es bis auf deinen Rechner schafft, wird dir eher einen Keylogger (als Trojaner oder als Hardware-Teilchen) installieren. Das ist einfacher, schneller und billiger.



    Immer schön sicher bleiben - aber dabei nicht paranoide werden ;-)


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Vielleicht noch ein Hinweis für spätere Leser, die sich Sorgen um die Sicherheit ihres Master-Passwortes machen:


    naja, ich will die Passwörter nicht auf meiner Festplatte haben ...

    Ich weiß nicht, wie der TB das genau handhabt. Ich gehe aber davon aus, dass es der üblichen Vorgehensweise entspricht. Dabei werden nicht die Passwörter auf der Platte gespeichert sondern lediglich ein zugehöriger Hash, ggf. mit Salz und Pfeffer.


    Der TB wird vermutlich ohne Salz und Pfeffer arbeiten, aber hashen wird er das Master-Passwort bestimmt. Das wäre schon traurig, wenn es nicht so wäre. Das Master-Passwort selbst liegt also gar nicht auf der Platte. (Das beziehe ich übrigens ausdrücklich auf den TB. Bei irgendwelche Erweiterungen, die ein zusätzliches Passwort bieten, würde es mich nicht wundern, wenn die das Passwort abspeichern.)


    Ein Angreifer könnte natürlich die dazugehörigen Dateien stehlen und dann offline einen Wörterbuchangriff fahren. Der steht und fällt mit der Qualität des Master-Passwortes. Der Angreifer müsste

    • wissen, wie man die Schutzmaßnahmen von Windows (Stichwort Benutzerkonto) umgehen kann
    • sich ziemlich gut mit dem TB auskennen und wissen, wie und wo genau die Hashes abgelegt werden
    • Zugriff auf den PC haben
    • Tools und Wörterbücher haben, um damit dann den Angriff offline zu fahren
    • Den Angriff unbemerkt hinbekommen

    Das alles, um an ein paar private E-Mails zu gelangen?


    Außerdem sei an dieser Stelle auch nochmals erwähnt, dass E-Mails im Klartext vorliegen, sofern sie nicht verschlüsselt oder in einer verschlüsselten Partition gespeichert wurden. Selbst ein Laie kann an solche E-Mails gelangen, ohne dazu ein Passwort knacken zu müssen. Hier liegt also die viel größere Schwachstelle.


    Gruß


    Susanne

  • Vielen Dank, Susanne!


    Dem kann ich wirklich (fast) nichts mehr hinzufügen. Hier ist alles gesagt.


    Trotzdem zwei ganz kleine Ergänzungen:

    • Bei meiner letzten Recherche vor ein paar Jahren habe ich aus der englischen Beschreibung unter "Security" herauslesen können, dass die beiden Mozilla-Produkte zur Verschlüsselung der Zugangsdaten (damals noch die "signons.txt") "3DES" verwenden. Ein uralter symmetrischer Algorithmus, welcher in den Jahrzehnten seiner Existenz noch keinerlei kryptologisch ausnutzbare Schwachstellen gezeigt hat. Es ist sehr wohl möglich, dass mittlerweile auch ein modernerer Algorithmus verwendet wird. Aber unbedingt nötig wäre das nicht.
      Alles weitere ist so, wie es von Susanne beschrieben wurde.
    • Für die Laufzeit des Programms - und zwar unabhängig davon, ob die garantiert minderwertigen Passwörter händisch eingehackt, oder ob gute komplexe PW aus der Datenbank ausgelesen wurden - verbleiben die PW unverschlüsselt im RAM. Sie werden ja in dieser Form für die ständigen unbemerkten Anfragen der Mailserver benötigt. Anders geht das eben nicht!


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

    Einmal editiert, zuletzt von Peter_Lehmann ()

  • Hallo zusammen,


    jetzt haben wir mein Problem zwar noch nicht gelöst, aber sind bei einem ganz anderem Thema.

    Hast du schon mal versucht, ein Masterpasswort zu "Knacken"?


    Ich gehe davon aus, dass dir hier nur der "Brute-Force-Angriff" bleibt.
    Ein Angreifer, der es bis auf deinen Rechner schafft, wird dir eher einen Keylogger (als Trojaner oder als Hardware-Teilchen) installieren. Das ist einfacher, schneller und billiger.

    Was bringt mir zu Hause ein super tolles Passwort, wenn die E-Mail-Konten-Passwörter dann irgendwo notiert sein müssen, falls der Rechner stirbt? Oder weil man die E-Mails auch anderswo mal lesen muss, z. B. den Uni-Account an der Uni? Da ist das an der ganzen Uni für alles ein Passwort, von Lernplattform bis E-Mail über Service-Portal und Datei-Ablage. Da kann man ja wie ihr sagt nicht überall so §$"TDFG$3edf4(=üp-Passwörter nehmen.


    Außerdem sei an dieser Stelle auch nochmals erwähnt, dass E-Mails im Klartext vorliegen, sofern sie nicht verschlüsselt oder in einer verschlüsselten Partition gespeichert wurden. Selbst ein Laie kann an solche E-Mails gelangen, ohne dazu ein Passwort knacken zu müssen. Hier liegt also die viel größere Schwachstelle.

    Das ist ja wieder etwas anderes als der Identitäten-Diebstahl, wenn E-Mail-Accountes gekapert werden.

    • Für die Laufzeit des Programms - und zwar unabhängig davon, ob die garantiert minderwertigen Passwörter händisch eingehackt, oder ob gute komplexe PW aus der Datenbank ausgelesen wurden - verbleiben die PW unverschlüsselt im RAM. Sie werden ja in dieser Form für die ständigen unbemerkten Anfragen der Mailserver benötigt. Anders geht das eben nicht!


    Hmm ... ich ging davon aus, dass die irgendwo für sachkundige Leute leicht zu finden gewesen wären. Das dürfte bei der normalen Passwort-Speicherfunktion so sein, oder?


    Grüße


    Basel

  • Hallo Basel,

    jetzt haben wir mein Problem zwar noch nicht gelöst, aber sind bei einem ganz anderem Thema.

    so anders ist das Thema gar nicht. Letztendlich geht es doch darum, dass Du dieses Feature deshalb benötigst, weil Du die Passwörter nicht so oft von Hand eingeben möchtest. So verstehe ich diesen Satz von Dir:

    Wenn man dann auf X klickt, muss ich wieder alle Passwörter eingeben und es werden keine E-Mails gecheckt.

    Wenn man nun keine Lösung mittels dieser Erweiterung kennt, sollte man über andere Möglichkeiten nachdenken. Die einfachste wäre sicher, nicht mehr auf das X zu klicken. Eine andere, und um die ging es in den letzten Beiträgen, wäre die, die Passwörter im TB zu speichern und durch ein Masterpasswort zu schützen.


    Was bringt mir zu Hause ein super tolles Passwort, wenn die E-Mail-Konten-Passwörter dann irgendwo notiert sein müssen, falls der Rechner stirbt?

    Dafür hat man üblicherweise ein Backup, und zwar nicht nur der E-Mails sondern aller wichtigen Daten auf dem Rechner. Dazu gehört meiner Meinung nach ganz ohne Zweifel das gesamte TB-Profil, inklusive der Passwörter. Das Master-Passwort musst Du natürlich gesondert "sichern".


    Da ist das an der ganzen Uni für alles ein Passwort, von Lernplattform bis E-Mail über Service-Portal und Datei-Ablage. Da kann man ja wie ihr sagt nicht überall so §$"TDFG$3edf4(=üp-Passwörter nehmen.

    SSO ist sehr benutzerfreundlich und deshalb weit verbreitet. Mit einem Login erhält man Zugriff auf alles. Damit ähnelt es dem Prinzip des Master-Passwortes. Dabei ist es egal, ob es nur um den TB geht, einen Passwortmanager wie KeyPass und Co. oder um eine komplett verschlüsselte Festplatte. Am Ende schützt ein Passwort den ganzen Rest. Dieses eine Passwort sollte deshalb hinreichend stark sein.


    Firmen geben meist automatisiert Regeln vor: Das Passwort muss alle x Wochen erneuert werden, es muss eine Mindestlänge haben, Sonderzeichen enthalten, darf nicht im Wörterbuch stehen und auch kein recyceltes Passwort sein. Das ist manchmal gar nicht einfach, aber ich halte das auch durchaus für zumutbar, zumal der Gewinn an Komfort ja hoch ist.


    Das ist ja wieder etwas anderes als der Identitäten-Diebstahl, wenn E-Mail-Accountes gekapert werden.

    Ja, das stimmt, zumindest auf den ersten Blick. Ein Identitätsdiebstahl ist noch eine ganz andere Nummer als wenn jemand "nur" Deine E-Mails liest. Zum Schutz davor gelten jedoch dieselben Regeln wie oben: Starke Passwörter, unterschiedliche Passwörter wo möglich, starke Verschlüsselung. Bei den starken Passwörtern landest Du dann schnell wieder bei einem Passwortmanager und einem Masterpasswort, egal ob es um den Passwortspeicher des TB, des FF oder ein spezielles Tools geht.


    Warum schrieb ich "auf den ersten Blick"? Nun, der Diebstahl der E-Mail-Identität allein ist sicher schlimm genug. Der Schaden bleibt aber begrenzt, wenn man das Passwort nicht noch für andere Dinge verwendet und sofern man keine unverschlüsselten E-Mails mit den Passwörtern hat, die man zusammen mit der Adresse nutzt.


    Ich will damit sagen, dass jemand, der ein E-Mailkonto übernimmt, deshalb noch lange keinen Zugriff auf mein Bank- oder Amazonkonto hat. (Deshalb gern nochmal der Hinweis, dass die E-Mails im Klartext auf Deiner Platte und auch beim Provider vorliegen, wenn Du nichts dagegen unternimmst.)


    In einigen Fällen lässt sich auch eine Zwei-Faktor-Authentifizierung nutzen (Wissen + Besitz), wie z.B. beim Online-Banking. Doch auch die befreit Dich nicht von einem möglichst starken Passwort pro Account.


    Du kannst stattdessen auch mit einem System arbeiten und die Passwörter gar nicht speichern. Vor dem häufigsten Fall des Identitätsdiebstahls schützt Dich das aber leider auch nicht. Die meisten Passwörter werden nämlich nicht von einzelnen Rechnern gestohlen sondern direkt bei den Betreiber der Dienste. Und damit sind wir wieder bei einem möglichst starken Passwort, das hinreichend oft geändert werden sollte.


    Ich habe mich für einen Mix verschiedener Verfahren entschieden.


    Die Keylogger habe ich jetzt außen vor gelassen, weil in diesem Fall auch das stärkste Passwort natürlich nicht hilft.


    Um den Faden von oben wieder aufzunehmen, besser als schwache Passwörter und eine Erweiterung, die ein versehentliches Schließen des TB verhindert, ist die Benutzung eines Passwortspeichers mit starkem Master-Passwort. Und komfortabler ist das dann auch noch.



    Gruß


    Susanne

  • Hallo SusiTux,


    da ist mein Anliegen falsch rüber gekommen. Ich will nicht ausversehen TB schließen, wenn ich auf das Y anstelle des _ komme. Das stört hier mehr als bei anderen Programmen u. a. weil ich dann nicht mehr autoamtisch E-Mails im Hintergrund abgerufen bekomme und halt auch, weil ich die Passwörter dann immer wieder neu eingeben muss.


    Bei den Masterpasswörtern (unabhängig ob lokal oder auf Serverebene wie SSO) finde ich es problematisch, dass man mit dem einen Passwort Zugang zu allem hat und je mehr Zugang ein Passwort bietet, je interessanter ist es, desto eher versucht sich jemand dran. Man kann ja auch komplizierte Passwörter nehmen, die man dann modifiziert nach einem nicht sofort offensichtlichen System.



    Zitat von SusiTux

    Warum schrieb ich "auf den ersten Blick"? Nun, der Diebstahl der E-Mail-Identität allein ist sicher schlimm genug. Der Schaden bleibt aber begrenzt, wenn man das Passwort nicht noch für andere Dinge verwendet und sofern man keine unverschlüsselten E-Mails mit den Passwörtern hat, die man zusammen mit der Adresse nutzt.


    Naja, wenn jemand eine berufliche Adresse kapert und Ruf ruinierende Dinge schreibt ... oder eine Uni-Adresse und dann z. B. E-mails schreibt, dass man von einer Prüfung zurücktritt ...


    Du kannst stattdessen auch mit einem System arbeiten und die Passwörter gar nicht speichern. Vor dem häufigsten Fall des Identitätsdiebstahls schützt Dich das aber leider auch nicht. Die meisten Passwörter werden nämlich nicht von einzelnen Rechnern gestohlen sondern direkt bei den Betreiber der Dienste. Und damit sind wir wieder bei einem möglichst starken Passwort, das hinreichend oft geändert werden sollte.


    Dann bringt mir das sicherste Passwort am Ende nichts ...


    Grüße


    Basel

  • Bei den Masterpasswörtern (unabhängig ob lokal oder auf Serverebene wie SSO) finde ich es problematisch, dass man mit dem einen Passwort Zugang zu allem hat ...

    Das ist nun mal der Preis für den Komfort. Zu Schutzmaßnahmen, siehe oben.


    Naja, wenn jemand eine berufliche Adresse kapert und Ruf ruinierende Dinge schreibt ... oder eine Uni-Adresse und dann z. B. E-mails schreibt, dass man von einer Prüfung zurücktritt ...

    Dagegen kann man sich sehr gut mit Hilfe einer digitalen Signatur schützen. (Oh weh, noch ein Passwort!) Übrigens sind E-Mails ohne eine qualifizierte digitale Signatur meines Wissens eh nicht rechtsgültig.

    Dann bringt mir das sicherste Passwort am Ende nichts ...

    Da irrst Du Dich. Wie ich oben schon geschrieben habe, werden üblicherweise nicht die Passwörter sondern deren Hashes + Salt + Pepper gespeichert. Ein starkes Passwort hilft also sehr wohl, zumindest bringt es einen großen zeitlichen* Vorteil. Und wenn man dann noch seine Passwörter regelmäßig wechselt ... .


    * : wenn Dein Passwort im Wörterbuch zu finden ist, dann beträgt dieser Vorteil allerdings nur wenige Sekunden. ;-)

    Einmal editiert, zuletzt von SusiTux ()

  • Hallo SusiTux,


    Dagegen kann man sich sehr gut mit Hilfe einer digitalen Signatur schützen. (Oh weh, noch ein Passwort!) Übrigens sind E-Mails ohne eine qualifizierte digitale Signatur meines Wissens eh nicht rechtsgültig.


    Wie viele Empfänger glauben dem Inhalt einer E-Mail nur, wenn sie digital unterschrieben ist?


    Zitat von SusiTux

    Da irrst Du Dich. Wie ich oben schon geschrieben habe, werden üblicherweise nicht die Passwörter sondern deren Hashes + Salt + Pepper gespeichert. Ein starkes Passwort hilft also sehr wohl, zumindest bringt es einen großen zeitlichen* Vorteil. Und wenn man dann noch seine Passwörter regelmäßig wechselt ... .
    * : wenn Dein Passwort im Wörterbuch zu finden ist, dann beträgt dieser Vorteil allerdings nur wenige Sekunden. ;-)

    Dann muss ich das aber noch mitbekommen, dass jemand versucht es zu knacken und ich kann dann dass Passwort auch auf die Zeichenkombination ändern, die als nächstes getestet wird. Sehr sehr unwahrscheinlich ...


    Du hast oben schon von Salz und Pfeffer gesprochen. Ich dachte, dass das ein Witz war, scheint es aber wohl doch nicht.


    Grüße


    Basel

  • Liebe(r) Basel,


    gehörst zu den Menschen, für die die Maß nie halb voll sondern stets halb leer ist? ;-)


    Klar, wenn Du das Haar in der IT-Suppe suchst, dann wirst Du immer fündig werden. Eine absolute Sicherheit bietet die IT nicht. Aber sie bietet viele Hilfsmittel, um ein gutes Maß an Sicherheit zu erreichen. Man muss sie nur nutzen.

    Wie viele Empfänger glauben dem Inhalt einer E-Mail nur, wenn sie digital unterschrieben ist?

    Solange Du nicht signierst oder/und verschlüsselst - kein einziger. Das ist mal gewiss.
    Was aber wäre, wenn die Empfänger es gewohnt wären, von Dir nur signierte E-Mails zu bekommen? Dann würde das hoffentlich sofort auffallen. Der TB stellt das schön farblich da.


    Der entscheidende Punkt ist jedoch der, es gar nicht so weit kommen zu lassen. Da kannst Du es drehen und wenden wie Du magst, starke Passwörter und deren regelmäßiger Wechsel sind geradezu eine Notwendigkeit.


    Dann muss ich das aber noch mitbekommen, dass jemand versucht es zu knacken und ich kann dann dass Passwort auch auf die Zeichenkombination ändern, die als nächstes getestet wird. Sehr sehr unwahrscheinlich ...

    Nein, das musst Du gar nicht. Selbst wenn ein Angreifer in den Besitz des Hashes und des Salts kommt, dann kann er daraus das Passwort nur dann in einem realistischen Zeitrahmen rekonstruieren, wenn es sich um ein schwaches Passwort handelt, dessen Hash in einer sogenannten Rainbow Table vorliegt, also im Wörterbuch vorkommt.
    Das Knacken starker Passwörter per Brute Force Angriff ist für den normalen Angreifer nicht machbar und selbst auf Super-Computern eine sehr langwierige Sache. Bis dahin hast Du längst ein neues Passwort. Es ist also egal, ob Du es bemerkst oder nicht.


    Um wenigsten ein paar Härchen in der Suppe zu lassen, sei erwähnt, dass das natürlich davon abhängt, dass der Service-Provider sauber arbeitet. Wenn eine fiktive Firma Facegoog die Passwörter im Klartext und ungesalzen speichern würde, dann bräuchte man sie natürlich nicht mehr zu knacken.
    Für den Passwortspeicher des TB hat es Peter oben schon erwähnt: Die werden mit 3DES gehasht und liegen auf Deiner Platte gar nicht vor.



    Du hast oben schon von Salz und Pfeffer gesprochen. Ich dachte, dass das ein Witz war, scheint es aber wohl doch nicht.

    Selbstverständlich nicht. =O Seit wann dürfen denn hier Witze gemacht werden? ;-)


    Wenn Dich das Thema interessiert, dann schau mal hier: https://de.wikipedia.org/wiki/Salt_(Kryptologie)


    Gruß


    Susanne

  • Hallo Susanne,


    Lieber wäre korrekt. :-)


    Das mit dem Salz und Peffer versteh ich so halb bis 3/4, glaub ich.


    gehörst zu den Menschen, für die die Maß nie halb voll sondern stets halb leer ist? ;-)

    Mag sein, aber vor allem möchte die Dinge verstehen. Ich versteh z. B. nicht, dass Banksachbearbeiter völlig unruhig werden, wenn man fragt: "Der maximale Verlustrisiko ist also 100%" Damit schließe ich eine Anlageforma ja nicht aus, aber ich will das mit berücksichtigen.


    Warum der regelmäßige Wechsel sinnvoll ist, weiß ich nicht. Wenn der Angreifer jedes Passwort nur einmal testet, ist für jedes Test-Passwort die Wahrscheinlichkeit gleich groß, beim nächsten Versuch dran zu kommen, egal ob es schon länger so ist oder nicht.


    Grüße


    Basel

  • Hallo Basel,

    Warum der regelmäßige Wechsel sinnvoll ist, weiß ich nicht.

    Das ist einfach erklärt. Lassen wir der Einfachheit halber Salt und Pepper mal außer acht.


    Nimm an, es gelingt jemanden, die Hashes Deiner Passwörter zu stehlen - sei es von Deinem PC oder durch Einbruch bei einem Service-Provider. Wenn er damit etwas anfangen will, muss er aus den Hashwerten die jeweiligen Passwörter ermitteln. Durch Probieren aller möglichen Passwörter (Brute Force) gelingt das nur äußerst schwer und verlangt utopisch lange Rechenzeiten pro Passwort.
    Deshalb benutzen die böse Buben sogenannte Rainbow Tables. Das sind Wörterbücher, in denen zu den Wörtern die Hashes verzeichnet sind. Wenn Hash und zugehöriges Passwort im Wörterbuch enthalten sind, dann ist das Knacken eine Sachen von Sekunden. In der Vergangenheit sind Angreifer auf diese Art immer wieder mal an Millionen von Passwörtern gelangt. (Wobei da eben auch Schlamperei beim Provider vorlag, weil z.B. Salt und Pepper fehlten oder die Passwörter gar nicht gehasht waren).
    Deshalb: Nur starke Passwörter verwenden, die nicht in Wörterbüchern auftauchen. Mit solchen starken Passwörtern wird es für normale Angreifer praktisch unmöglich, das Passwort aus dem Hash zu rekonstruieren.


    Nun nimm den schlimmsten Fall an: Superschurke Dr. X interessiert sich für Deinen Account und hat tatsächlich die technische Möglichkeit, auch ein starkes Passwort per Brute Force zu knacken. Sagen wir, er hat die besten Computer der Welt und benötigt dazu nur 4 Monate. Wenn Du Dein Passwort alle drei Monate wechselst, dann hat er trotz seines gewaltigen Aufwands nichts davon.


    Realistischer ist, dass ein Passwort auf anderem Weg gestohlen wird. Jemand schaut Dir über die Schulter oder findet den Zettel, auf dem Du Dir das Passwort notiert hast. Vielleicht tippst Du es auch in ein gut gemachtes Phishing-Formular.


    Wenn dieser Jemand damit Deinen Account übernimmt und Dich aussperrt, hast Du Pech gehabt. Immerhin würdest Du das aber ziemlich schnell bemerken. Bei Verwendung einer Signatur, Deine Mailpartner ebenfalls.
    Wenn der Angreifer das gestohlene Passwort nur benutzt, um heimlich Deine Mails zu lesen, dann bemerkst Du das u.U. gar nicht. Aber spätestens beim nächsten Wechsel des Passwortes ist der Mitleser wieder draußen. Das heißt umgekehrt: Änderst Du Deine Passwörter nie, dann kann u.U. jemand über Jahre Deine (unverschlüsselten) E-Mails lesen, ohne dass Du es bemerkst.


    Also:

    • Starke Passwörter verwenden.
    • Passwörter nicht mehrfach verwenden sondern für jeden Zweck / jedes Konto ein eigenes Passwort benutzen.
    • Passwörter regelmäßig erneuern. Dabei keine alten Passwörter recyclen.

    Da starke Passwörter schwierig zu merken sind, spricht nichts gegen einen Passwortmanager. Für eher unwichtige Konten, wie z.B. ein Forum, genügt auch ein schwächeres Passwort. Das muss auch nicht so oft geändert werden.
    Für wichtige Konten (Bank, Online-Shops, E-Mail, ...) rate ich Dir sehr, Obiges zu beachten.
    Alle meine bisherigen Arbeitgeber (IT) hatten entweder ein technisches Verfahren etabliert, dass die Mitarbeiter dazu zwingt, diese Punkte zu beachten oder sie benutzten Security Token, die übrigens ebenfalls regelmäßig erneuert wurden. Glaub mir, die wissen schon, weshalb ... .


    Gruß


    Susanne