unerwünschte Paßwortspeicherung deaktivieren

    Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:

    • Thunderbird-Version: 68.6.0 (32bit)
    • Wurde gerade auf eine neue Versionsreihe aktualisiert (alte und neue Version angeben): nein
    • Betriebssystem + Version: Windows 10 (64bit)
    • Kontenart (POP / IMAP): IMAP
    • Postfach-Anbieter (z.B. GMX): yahoo & gmail
    • Eingesetzte Antiviren-Software: Windows Defender
    • Firewall (Betriebssystem-intern/Externe Software): intern
    • Router-Modellbezeichnung (bei Sende-Problemen):

    Hallo alle zusammen,

    nutze seit vielen Jahren TB ohne Probleme unter Linux, mußte mir jetzt aber für die Arbeit einen Windowsrechner einrichten und habe das ganze System dabei neu aufgesetzt.Dabei ist folgendes Problem aufgetreten:

    Ich möchte, daß TB meine Paßwörter nicht speichert. Also habe ich bei der Einrichtung der Konten die entsprechenden Häkchen entfernt. Bei erstmaliger Einrichtung der Konten wird man ja dann zur Seite des Anbieters weitergeleitet, wo man bestätigen muß, daß man TB die Berechtigungen erteilt. So weit, so gut.

    Mir ist dann aufgefallen, daß mich TB nicht nach den Paßwörtern fragt. Also Extras > Einstellungen > Sicherheit > Paßwörter > alle entfernt.

    Klicke ich nun auf ein Mailkonto, kommt nicht die bekannte Paßwortabfrage (wo ich auch nochmal das Häkchen bei speichern enrfernen könnte) sondern ich werde wieder zum Anbieter weitergeleitet und soll abermals bestätigen, daß ich TB die Berechtigungen erteile. Tue ich das, ist das Paßwort wieder gespeichert.

    Was nun?

    Gruß

    601er

  • graba March 24, 2020 at 12:03 PM

    Approved the thread.

    Dies liegt am OAuth-Verfahren, dass letztlich einen Token speichert und ist in gewissem Sinn nicht die Schuld von Thunderbird.

    Du kannst im Passwort-Manager dann einfach isoliert die Passwörter für IMAP und SMTP löschen, lasse aber das Pseudopasswort für OAuth im Passwort-Manager stehen. Dies ist der Token, der nur mit Thunderbird funktioniert. Ich befürchte allerdings, dass dieser im Falle eines Diebstahls auch von jedem genutzt werden könnte.

    Das ach so sichere OAuth-Verfahren hat da scheinbar auch ein paar Nachteile.

    Hab mal nen Screenshot davon gemacht, wie das momentan bei mir aussieht.

    Habe die Konten nur eingerichtet und über den Anbieter bestätigt, daß TB auf das Konto zugreifen darf. Getrennte Paßwörter für IMAP und SMTP sind nicht eingetragen.

    Schließe ich TB und öffne neu, werden alle Konten abgefragt und aktualisiert, ohne daß ein Paßwort von mir verlangt wird. Scheint also nicht den gewünschten Erfolg zu haben.

    Gruß

    601er

    Quote from 601er

    Schließe ich TB und öffne neu, werden alle Konten abgefragt und aktualisiert, ohne daß ein Paßwort von mir verlangt wird. Scheint also nicht den gewünschten Erfolg zu haben.

    Bei Dir sind im Screenshot die OAuth-Tokens für 2 Gmail-Konten und für 2 Yahoo-Konten gespeichert. Die Passwörter sind da zumindest nicht mehr gespeichert und können somit zumindest auch von niemandem ausgelesen werden. Aber natürlich hast Du Recht, dass durch die gespeicherten Tokens beim Verbinden auch nicht erneut nach den notwendigen Passwörtern gefragt wird. Dies liegt in gewissem Sinne an der Implementierung in Thunderbird. Du musst Dir aber bewusst machen, dass sonst jedes Mal der ganze Prozess mit dem OAuth-Fenster wieder kommen würde, was vermutlich auch nervig (aber dann zwangsweise so) wäre.

    Ich denke, für Dein Ziel musst Du einen anderen Weg wählen: Lasse die Oauth-Tokens (wie im Screenshot) gespeichert. Sorge dafür, dass Du in Thunderbird das/ein Master-Passwort verwendest. Damit kann schon mal niemand mehr ohne das Master-Passwort die Mails abrufen und/oder senden. Das Master-Passwort wird dann immer automatisch einmal pro Sitzung abgefragt (also immer wenn Thunderbird geschlossen war). Falls Du dann noch willst, dass dies bei einer neuen Thunderbird-Sitzung erst passiert, wenn Du manuell auf Abrufen oder Senden klickst, dann musst Du in den Konten-Einstellungen für jedes Konto erstens das Abrufen beim Programmstart und alle paar Minuten deaktivieren. Zweitens müsstest Du in den jeweiligen erweiterten Server-Einstellungen die IDLE-Funktion noch deaktivieren.

    OK. Danke einstweilen.

    Ist das eine neue Funktion in TB68.x? Auf Linux habe ich noch TB 60.x und dort wird nach den Paßwörtern gefragt, ohne daß die OAuth-Fenster erscheinen.

    Achso, und grad noch eingefallen: ich hab noch ein 5. Mailkonto, das ist eine Dienstmail und läuft über einen Server beim Arbeitgeber, da wird im Paßwortmanager gar nix hinterlegt, auch kein OAuth-Token. Beim dem Konto wird dann auch jedes Mal klassisch nach dem Paßwort gefragt. Das liegt dann vmtl. an der Servereinstellung beim Arbeitgeber?

    Gruß

    601er

    OAuth wird für IMAP-Konten schon länger unterstützt. Für POP3-Konten wird es erst seit 68.5.0 unterstützt, was bei Dir ja aber nicht zutrifft.

    Es kann sein, dass Du unter Linux gar nicht per OAuth arbeitest, sondern noch klassisch per Benutzername/Passwort und seitens Google dann mit der Einstellung "weniger sichere Apps erlauben". Es kann sein, dass Thunderbird erst seit der 68er-Reihe standardmäßig Google-Konten per OAuth authentifiziert, da bin ich aber nicht sicher.

    Entscheidend ist, dass Google und auch Yahoo das klassische Login-Verfahren leider sowieso komplett abschalten wollen. Die werden dann einzig und allein das OAuth-Verfahren weiter unterstützen, was eigentlich eine Art Browser-Technologie ist...