Keine GMail-Verbindung über TB

  • • Thunderbird-Version 91.10.0

    • Betriebssystem + Version Windows 10

    • Kontenart (POP / IMAP) IMAO

    • Postfachanbieter (z.B. GMX) GMail

    • Eingesetzte Antivirensoftware Windows Defender

    • Firewall (Betriebssystem-intern/Externe Software) Betriebssystem-intern

    • Router-Modellbezeichnung (bei Sende-Problemen)



    Hallo,

    vermutlich liegt der Fehler nicht in Thunderbird, aber ich wüsste nicht, wo ich sonst fragen sollte.

    Seit dem ich heute Thunderbird gestartet habe, bekomme ich die Fehlermeldungen, dass das IMAP-Passwort von GMail falsch ist. Ich habe drei verschiedene Google-Konten und alle gehen nicht. Zwei Nicht-Google-Konten funktionieren.

    Im Web kann ich mich ohne Probleme bei GMail einloggen. Ich habe auch schon versucht, das Passwort zu ändern, funktioniert alles nicht. Thunderbird-Neustart übrigens auch nicht.


    Jemand eine Idee für mich? Danke schon mal.

  • Hier lesen:

  • Oder kurz zusammengefaßt: Google hat den Zugriff mit sog. "weniger sichere Apps" – die nur gerade Benutzername und Passwort benötigen – abgestellt. Für den Zugriff auf Google-Konten (gMail) muß als Authentifizerungsmethode nun zwingend "OAuth2" gewählt sein – "Passwort, normal" reicht nicht (mehr).

  • … – und 2FA funktioniert nur mit Mobilelephonnummer (auch zwingend).

    Auch das ist falsch – es funktioniert auch mit einer Festnetznummer.

    Ob Festnetz- oder Mobilnummer ist hierbei einerlei – Google forciert so eine zwingende Identifizierung, was abzulehnen ist.


    Zudem stellt sich die Frage, wieviele Mail-Konten Google auf derselben Telephonnummer zuläßt (und das müßten mind. 20, dürften effektiv aber kaum mehr als 5 sein). Zudem würde mit mehreren Konten auf derselben Nummer eine Querverbindung zwischen den Konten hergestellt, was auch abzulehnen ist.

  • Ob Festnetz- oder Mobilnummer ist hierbei einerlei – Google forciert so eine zwingende Identifizierung, was abzulehnen ist.

    Im Gegenteil – damit hat Google tatsächlich mal etwas für die Sicherheit der Ressourcen seiner Nutzer eingeführt, im Gegensatz zum implementierten Potokoll 'OAuth', bei dem nur einmal beim Generieren des Access-Tokens eine Authentifizierung stattfindet. Danach hat jeder im Besitz des Tokens freien Zugriff auf die Resource des Nutzers.


    Im übrigen wundere ich mich immer wieder, wieso gerade Inhaber von GMail-Konten sich so dagegen sträuben, Google eine Telefonnummer für die 2FA zur Verfügung zu stellen. Dabei stellen sie – insbesondere die IMAP-Nutzer – doch permanent ihre Nachrichten anderen (auch Google) zur Analyse auf dem Präsentierteller dauerhaft bereit …


    "Die auf dem Server des Providers gespeicherten E-Mails unterliegen NICHT mehr dem Tele­kommunikations­geheimnis nach Artikel 10 GG, wenn der Nutzer die Möglichkeit hatte, sie zur Kenntnis zu nehmen und zu löschen. Das BVerfG hat diese Rechts­auffassung 2009 in dem Urteil 2 BvR 902/06 bestätigt."


    https://www.privacy-handbuch.de/handbuch_31c.htm

  • Lasst euch nur nicht verunsichern!


    Der angebliche Access-Token ist nichts weiter als ein Cookie. Die eigentlichen Access Tokens bekommt der Benutzer gar nicht zu Gesicht.


    Richtig ist, wer Zugriff auf den Thunderbird samt Cookie hat, bekommt ohne weitere Nachfrage Zugriff auf das Konto.

    Das ist aber überhaupt nichts Besonderes. Wenn nämlich jemand an das Telefon, die App oder die Smartcard kommt, ist es ganz genau so. Der eine muss auf seinen Rechner aufpassen, der andere eben auf sein Telefon.


    Einen Unterschied gibt es aber noch. Cookies lassen sich leicht löschen. Das erzwingt eine neue Passwortabfrage. Beim Telefon ist das nicht ganz so einfach.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

  • Die eigentlichen Access Tokens bekommt der Benutzer gar nicht zu Gesicht.

    Das ist nicht der Punkt, s. auch:

    GitHub: Log-in-Details von 100k npm-Konten gestohlen
    Wie GitHub aktuell bekanntgab, konnten Angreifer mit Hilfe gestohlener OAuth-App-Tokens die Anmeldedaten von etwa 100.000 npm-Konten stehlen.
    www.heise.de

    … , bekommt ohne weitere Nachfrage Zugriff auf das Konto.

    Genau darum geht es: Authorisierung ohne zusätzliche Authentifizierung!

  • Aus dem Artikel über Github:


    Quote


    Die Passwort-Hashes in den archivierten Daten wurden noch mit schwachen Hash-Algorithmen wie PBKDF2- oder "salted" SHA1-Algorithmen erzeugt.

    [...]

    GitHub hat die Passwörter der betroffenen Nutzer zurückgesetzt und ist dabei, Betroffene direkt per E-Mail zu benachrichtigen.

    und

    Quote

    Zudem hatte die npm-Registry seit dem 1. März 2022 die E-Mail-Verifizierung für alle Konten aktiviert, für die keine Zwei-Faktor-Authentifizierung aktiviert ist. Somit ist es laut GitHub durch den zusätzlichen Schutz nicht mehr möglich, ein npm-Konto zu kompromittieren, ohne Zugriff auf die zugehörige E-Mail-Adresse (oder auf den zweiten Faktor der 2FA) zu besitzen.


    Aus dem verlinkten Kommentar von GitHub:


    Quote

    We do not believe the attacker obtained these tokens via a compromise of GitHub or its systems because the tokens in question are not stored by GitHub in their original, usable formats.


    Schwacher Hash bei den gestohlenen Passwörtern, keine 2FA, unsicheres Speichern der User-Tokens. Das sind Fehler, die man nicht dem OAuth-Verfahren anlasten kann, sondern den beiden Betreiber Heroku und Travis CI.

    Google hingegen verlangt die 2FA.


    Genau darum geht es: Authorisierung ohne zusätzliche Authentifizierung!

    Wenn 2FA und OAuth beim Betreiber richtig implementiert sind, findet die 2FA über das Cookie und Benutzername/Passwort statt. Es gibt immer eine Authentifikation.


    Nicht verunsichern lassen, liebe Leute! Man muss Google nicht auch noch für die Dinge kritisieren, die sie gut machen.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

    Edited once, last by Susi to visit: Typo ausgebessert ().

  • Wenn 2FA und OAuth beim Betreiber richtig implementiert sind, findet die 2FA über das Cookie und Benutzername/Passwort statt.

    Ist das so bei GMail implementiert? Nein – der Clou ist ja, daß der über OAuth authorisierte Mailclient eben nicht über die Zugangsdaten für das Konto verfügen muß. Jeder im Besitz des Tokens hat somit vollen Zugriff darauf.

    Es gibt immer eine Authentifikation.

    Ja – einmalig beim Erstellen des Access-Tokens.

  • Ist das so bei GMail implementiert?

    Das weiß ich nicht. Aber so sollte es gemäß der Specs sein. Und so ist es auch überall implementiert, wo ich mit OAuth zu tun habe, z.B. bei uns in der Firma.

    Nein

    Wer ein Google-Konto hat, kann das leicht testen: Alle gespeicherten Passwörter löschen, Thunderbird neu starten. Ich habe kein solches Konto, deshalb bitte ich um einen Beleg dieser Aussage.


    Sollte es so sein, dass Google sich allein auf das Cookie verlässt, dann wäre das zwar nicht im Sinne von OAuth implementiert, es bleibt immer noch der Sicherheitsfaktor und Passwortschutz "Zugriff auf den Rechner." Das sollte dir bekannt vorkommen. Damit wäre immer noch derselbe Sicherheitsstandard gewährt wie bei einem Passwortmanager, z.B. dem des Thunderbird.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

  • Da mit einem Beleg für diese Behauptung:

    Ist das so bei GMail implementiert? Nein – der Clou ist ja, daß der über OAuth authorisierte Mailclient eben nicht über die Zugangsdaten für das Konto verfügen muß.

    wohl nicht zu rechnen ist, habe ich es nun selbst getestet. Ich habe ein GMail-Konto erstellt und dieses per OAuth2 in Thunderbird eingefügt. Das funktionierte soweit, auch nach einem Neustart.

    Nach dem Löschen der zugehörigen Passwörter aus dem Passwortspeicher des Thunderbird wird man dann aber erneut zur Anmeldung aufgefordert.

    Somit ist alles so, wie es sein soll. Es werden 2 Faktoren benötigt, Cookie + Benutzername/Passwort. Die obige Behauptung ist nachweislich falsch!


    Bei der Ersteinrichtung gab es eine kleine Überraschung, die o0Julia0o interessieren dürfte. Zur Registrierung des Thunderbird war zunächst ein Sicherheitscode erforderlich, den Google per E-Mail an die hinterlegte Adresse zur Wiederherstellung geschickt hat. Damit allein war Google nicht zufrieden. Unter dem Hinweis, dieses Konto sei bisher noch nicht auf diese Art benutzt worden, verlangte Google eine Telefonnummer, um einen weiteren Sicherheitscode zu übermitteln. Es gab dort noch eine Option der Art "Lassen Sie sich von Google helfen". Das habe ich mir nicht weiter angeschaut.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

  • Nach dem Löschen der zugehörigen Passwörter aus dem Passwortspeicher des Thunderbird wird man dann aber erneut zur Anmeldung aufgefordert.

    Somit ist alles so, wie es sein soll. Es werden 2 Faktoren benötigt, Cookie + Benutzername/Passwort.

    Das wäre absurd – es würde bedeuten: der Client (hier Thunderbird) verfügt nicht nur über den Acces-Token, sondern auch noch über die Zugangsdaten des Kontos!


    Wozu wurde OAuth noch mal entwickelt …?

    Ein Endbenutzer (User oder Resource Owner) kann mit Hilfe dieses Protokolls einer Anwendung (Client oder Relying Party) den Zugriff auf seine Daten erlauben (Autorisierung), die von einem anderen Dienst (Resource Server) bereitgestellt werden, ohne geheime Details seiner Zugangsberechtigung (Authentifizierung) dem Client preiszugeben.

    OAuth – Wikipedia
    de.wikipedia.org


    Und ja – ich habe OAuth in TB nicht getestet, sondern den Zugang für das GMail-Konto mit einem App-Passwort für TB konfiguriert, das nichts mit dem Zugangspasswort über das Webinterface zu tun hat und außerdem ohne Cookies auskommt. Weder TB noch einer meiner Browser kennt das Zugangs- Passwort für das Google-Konto, das ich (gezwungenermaßen) anlegen mußte.

  • Daran ist überhaupt nichts absurd. Der Benutzer benötigt Benutzername/Passwort + einen zweiten Faktor, hier ein Cookie. Er kann selbst entscheiden, ob er das Passwort im Thunderbird speichern lässt oder nicht.

    Zuvor haben Benutzername und Passwort genügt, nun müsste ein "Angreifer" auch noch an den PC des Opfers gelangen. Das ist eindeutig eine weitere Sicherheitsstufe.

    Und ja – ich habe OAuth in TB nicht getestet,

    Dann solltest du dich vielleicht mit solchen Behauptungen wie oben einfach zurückhalten oder wenigstens im Konjunktiv schreiben.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

  • Bei der Ersteinrichtung gab es eine kleine Überraschung, die o0Julia0o interessieren dürfte. Zur Registrierung des Thunderbird war zunächst ein Sicherheitscode erforderlich, den Google per E-Mail an die hinterlegte Adresse zur Wiederherstellung geschickt hat. Damit allein war Google nicht zufrieden. Unter dem Hinweis, dieses Konto sei bisher noch nicht auf diese Art benutzt worden, verlangte Google eine Telefonnummer, um einen weiteren Sicherheitscode zu übermitteln. Es gab dort noch eine Option der Art "Lassen Sie sich von Google helfen". Das habe ich mir nicht weiter angeschaut.

    Also an einem komplett neuem PC und komplett neuem Thunderbird?


    Wenn ich ein bestehendes vor 30.05.2022 Thunderbird(Oauthaktiviertes) auf einem anderem neuen PC nutze, dann funktioniert der Abruf ohne Probleme.

  • Natürlich kein neuer PC. Soviel ist mit ein Test dann doch nicht wert. ;)

    Das Konto war aber ganz neu. Es wurde also noch nie mit einem Mailprogramm zusammen benutzt. Das besagte auch die Meldung.

    Wenn ich ein bestehendes vor 30.05.2022 Thunderbird(Oauthaktiviertes) auf einem anderem neuen PC nutze, dann funktioniert der Abruf ohne Probleme.

    Schrieb ich dir ja, dass du dir keine Sorgen machen sollst. :)

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

  • Bei der Ersteinrichtung gab es eine kleine Überraschung, die o0Julia0o interessieren dürfte. Zur Registrierung des Thunderbird war zunächst ein Sicherheitscode erforderlich, den Google per E-Mail an die hinterlegte Adresse zur Wiederherstellung geschickt hat.

    Moin,


    die Aussage finde ich etwas mißverständlich. Hat Google dich gezwungen eine alternative Emailadresse zu hinterlegen für den Account? Oder hast du (versucht) bei dem Googlemail Account 2FA zu aktivieren?


    Grüße dErzOnk