Posts by Basel

    Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:

    • Thunderbird-Version: 60.3.0
    • Betriebssystem + Version: Win 10 1803
    • Kontenart (POP / IMAP): RSS (ansonsten IMAP)
    • Postfach-Anbieter (z.B. GMX):
    • Eingesetzte Antiviren-Software:
    • Firewall (Betriebssystem-intern/Externe Software):
    • Router-Modellbezeichnung (bei Sende-Problemen):


    Diese Worte hier können Sie mit Ihrem Text bitte überschreiben.


    Seit dem Update sind die RSS-Feeds ausgegraut (Bild anonymisiert):




    Ist das Absicht?


    Grüße


    Basel

    Hallo,


    ehrlich gesagt, verstehe ich nicht, wie die Situation war, bevor IT Mann Böse kam.


    Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:

    • Thunderbird-Version:
    • Betriebssystem + Version:
    • Kontenart (POP / IMAP):
    • Postfachanbieter (z.B. GMX):
    • Speicherdienst (z.B. Dropbox):
    • Eingesetzte Antivirensoftware:
    • Firewall (Betriebssystem-intern/Externe Software):


    Ersteinmal zu den m. E. wichtigsten Punkten aus dieser Liste:


    Die Thunderbird-Version findest du unter Hilfe > Über Thunderbird (in Thunderbird)


    Um herauszufinden, welche Version von Windows auf dem PC ausgeführt wird, drück die Windows-Logo-Taste und gleichzeitig R, gib dann "winver" ohne Anführungszeichen ein und klicke dann auf OK. Da steht Version und eine vierstellige Zahl hinter.


    Bei welchem Anbieter bist du mit deiner E-Mail-Adresse (das du das Programm Thunderbird zum Abrufen benutzt, wissen wir), also z. B. GMX. Kannst du dich da über eine Webseite einloggen? Wenn ja: Sind dann E-Mails zu sehen? Das bringt uns näher auf die Spur, ob du POP oder IMAP genutzt hast. Das sind unterschiedliche Techniken zum Anrufen von E-Mails.


    ---

    Was meinst du mit Archiven? E-Mail-Ordner im E-Mail-Account? Lokale E-Mail-Ordner, die du in Thunderbird siehst? Ein ganz normaler Ordner auf dem PC?


    Grüße


    Basel


    P. S.: Wenn jemand schon nicht sagen kann, was seine Kompetenzbereiche bei IT sind, würde ich immer die Finger davon lassen. Keiner kann da alles.

    Hallo,


    ich habe das Gleiche Problem. (TB 45.2.0)


    Ich habe ein Konto unter der gleichen Domain das bei Google problemlos läuft und es kommt nun ein neues hinzu mit besagter Fehlermeldung bei der Einrichtung. Wenn ich auf Weiter dort klicke, kommt ein POP-UP-Fenster zum (erfolgreichen) Login in das Webinterface - zumindestens wird das Passwort angenommen und mal landet bei einer Seite "Cookies aktivieren oder deaktivieren".


    In den Einstellungen gibt es keine Zwei-Schritt-Methode zu deaktiveren.


    POP zusätzlich zu IMAP aktivieren, bringt auch nichts. POP ist nun wieder deaktiviert.


    Weniger sichere Apps zulassen hat nichts gebracht. Ist nun auch wieder deaktiviert.


    Eine Handy-Nr. habe ich nicht angegeben und werde ich auch nicht angeben. Ist ein Konto, auf das mehrere Leute zugreifen sollen.


    edit: Die Hilfe redet auch andauernd von getrennten Passwörtern.


    Wenn Sie die Bestätigung in zwei Schritten aktivieren, müssen Sie Desktop-Anwendungen, Telefone oder sonstige Geräte, die auf Ihr Konto zugreifen, jeweils mithilfe eines anwendungsspezifischen Passworts autorisieren. Falls Sie Ihr Google-Konto beispielsweise auf Ihrem Android-Gerät und für die Picasa-Desktop-Anwendung nutzen, müssen Sie zwei anwendungsspezifische Passwörter erstellen und verwenden.


    Dieser Vorgang muss pro Anwendung bzw. Gerät nur einmal durchgeführt werden und dauert jeweils einige Minuten.

    Wenn ich dem Link in dem Zitat folge und, lande ich nach ein paar Klicks auf https://security.google.com/settings/security/apppasswords wo es dann heißt: "Die gesuchte Einstellung ist für Ihr Konto nicht verfügbar." Das bleibt auch so, wenn ich <Weniger sichere Apps zulassen> wieder aktivieren zum testen.


    Grüße


    Basel

    Hallo,


    ich will nicht gegen starke Passwörter argumentieren, keine Sorge.


    Unwahrscheinlich heißt, das es für denen einen, den es trifft trotzdem sehr real ist und nicht nur ein bisschen. Das fällt dann unter nicht ausschliessbares Restrisiko, denke ich.


    Grüße


    Basel

    Hallo Susanne,


    ok, das mit dem Mitlesen stimmt.


    Würdest du mir zustimmen bei


    1) Die angegebenen Knackzeiten bei den Verfahren sind Maximalzeiten. Erst werden die Wörterbücher durchgerasselt und dann werden Zeichenkombis ausprobiert. Es kann sein, dass meine Zeichenkombination direkt am Anfang dabei ist und dann war's da.
    2) Mit der Änderung des Passwortes kann ich eine Zeichenkombination wählen, die der zeitgleiche Angreifer schon gewählt hat. Aber genauso gut kann es mir passieren, dass ich einer der nächsten zu testenden Zeichenkombinationen wähle. Darauf habe ich keinen Einfluss.
    3) Beim Pishing, Key-Loggern, ÜBer-Die-Schulter-gucken etc. ist die Stärke des Passwortes ziemlich egal.


    Ist es nicht so, dass man mit zu hohen Anforderungen an Passwort und die Änderungshäufigkeit erst provoziert, dass es Post-its und Zettel in der Schublade gibt, auf denen das Passwort steht? Das bin ich sehr hin und her gerissen, welchen Kompromiss man da eingehen darf.


    Grüße


    Basel

    Hallo Susanne,


    Lieber wäre korrekt. :-)


    Das mit dem Salz und Peffer versteh ich so halb bis 3/4, glaub ich.


    gehörst zu den Menschen, für die die Maß nie halb voll sondern stets halb leer ist? ;-)

    Mag sein, aber vor allem möchte die Dinge verstehen. Ich versteh z. B. nicht, dass Banksachbearbeiter völlig unruhig werden, wenn man fragt: "Der maximale Verlustrisiko ist also 100%" Damit schließe ich eine Anlageforma ja nicht aus, aber ich will das mit berücksichtigen.


    Warum der regelmäßige Wechsel sinnvoll ist, weiß ich nicht. Wenn der Angreifer jedes Passwort nur einmal testet, ist für jedes Test-Passwort die Wahrscheinlichkeit gleich groß, beim nächsten Versuch dran zu kommen, egal ob es schon länger so ist oder nicht.


    Grüße


    Basel

    Hallo SusiTux,


    Dagegen kann man sich sehr gut mit Hilfe einer digitalen Signatur schützen. (Oh weh, noch ein Passwort!) Übrigens sind E-Mails ohne eine qualifizierte digitale Signatur meines Wissens eh nicht rechtsgültig.


    Wie viele Empfänger glauben dem Inhalt einer E-Mail nur, wenn sie digital unterschrieben ist?


    Quote from SusiTux

    Da irrst Du Dich. Wie ich oben schon geschrieben habe, werden üblicherweise nicht die Passwörter sondern deren Hashes + Salt + Pepper gespeichert. Ein starkes Passwort hilft also sehr wohl, zumindest bringt es einen großen zeitlichen* Vorteil. Und wenn man dann noch seine Passwörter regelmäßig wechselt ... .
    * : wenn Dein Passwort im Wörterbuch zu finden ist, dann beträgt dieser Vorteil allerdings nur wenige Sekunden. ;-)

    Dann muss ich das aber noch mitbekommen, dass jemand versucht es zu knacken und ich kann dann dass Passwort auch auf die Zeichenkombination ändern, die als nächstes getestet wird. Sehr sehr unwahrscheinlich ...


    Du hast oben schon von Salz und Pfeffer gesprochen. Ich dachte, dass das ein Witz war, scheint es aber wohl doch nicht.


    Grüße


    Basel

    Hallo SusiTux,


    da ist mein Anliegen falsch rüber gekommen. Ich will nicht ausversehen TB schließen, wenn ich auf das Y anstelle des _ komme. Das stört hier mehr als bei anderen Programmen u. a. weil ich dann nicht mehr autoamtisch E-Mails im Hintergrund abgerufen bekomme und halt auch, weil ich die Passwörter dann immer wieder neu eingeben muss.


    Bei den Masterpasswörtern (unabhängig ob lokal oder auf Serverebene wie SSO) finde ich es problematisch, dass man mit dem einen Passwort Zugang zu allem hat und je mehr Zugang ein Passwort bietet, je interessanter ist es, desto eher versucht sich jemand dran. Man kann ja auch komplizierte Passwörter nehmen, die man dann modifiziert nach einem nicht sofort offensichtlichen System.



    Quote from SusiTux

    Warum schrieb ich "auf den ersten Blick"? Nun, der Diebstahl der E-Mail-Identität allein ist sicher schlimm genug. Der Schaden bleibt aber begrenzt, wenn man das Passwort nicht noch für andere Dinge verwendet und sofern man keine unverschlüsselten E-Mails mit den Passwörtern hat, die man zusammen mit der Adresse nutzt.


    Naja, wenn jemand eine berufliche Adresse kapert und Ruf ruinierende Dinge schreibt ... oder eine Uni-Adresse und dann z. B. E-mails schreibt, dass man von einer Prüfung zurücktritt ...


    Du kannst stattdessen auch mit einem System arbeiten und die Passwörter gar nicht speichern. Vor dem häufigsten Fall des Identitätsdiebstahls schützt Dich das aber leider auch nicht. Die meisten Passwörter werden nämlich nicht von einzelnen Rechnern gestohlen sondern direkt bei den Betreiber der Dienste. Und damit sind wir wieder bei einem möglichst starken Passwort, das hinreichend oft geändert werden sollte.


    Dann bringt mir das sicherste Passwort am Ende nichts ...


    Grüße


    Basel

    Hallo zusammen,


    jetzt haben wir mein Problem zwar noch nicht gelöst, aber sind bei einem ganz anderem Thema.

    Hast du schon mal versucht, ein Masterpasswort zu "Knacken"?


    Ich gehe davon aus, dass dir hier nur der "Brute-Force-Angriff" bleibt.
    Ein Angreifer, der es bis auf deinen Rechner schafft, wird dir eher einen Keylogger (als Trojaner oder als Hardware-Teilchen) installieren. Das ist einfacher, schneller und billiger.

    Was bringt mir zu Hause ein super tolles Passwort, wenn die E-Mail-Konten-Passwörter dann irgendwo notiert sein müssen, falls der Rechner stirbt? Oder weil man die E-Mails auch anderswo mal lesen muss, z. B. den Uni-Account an der Uni? Da ist das an der ganzen Uni für alles ein Passwort, von Lernplattform bis E-Mail über Service-Portal und Datei-Ablage. Da kann man ja wie ihr sagt nicht überall so §$"TDFG$3edf4(=üp-Passwörter nehmen.


    Außerdem sei an dieser Stelle auch nochmals erwähnt, dass E-Mails im Klartext vorliegen, sofern sie nicht verschlüsselt oder in einer verschlüsselten Partition gespeichert wurden. Selbst ein Laie kann an solche E-Mails gelangen, ohne dazu ein Passwort knacken zu müssen. Hier liegt also die viel größere Schwachstelle.

    Das ist ja wieder etwas anderes als der Identitäten-Diebstahl, wenn E-Mail-Accountes gekapert werden.

    • Für die Laufzeit des Programms - und zwar unabhängig davon, ob die garantiert minderwertigen Passwörter händisch eingehackt, oder ob gute komplexe PW aus der Datenbank ausgelesen wurden - verbleiben die PW unverschlüsselt im RAM. Sie werden ja in dieser Form für die ständigen unbemerkten Anfragen der Mailserver benötigt. Anders geht das eben nicht!


    Hmm ... ich ging davon aus, dass die irgendwo für sachkundige Leute leicht zu finden gewesen wären. Das dürfte bei der normalen Passwort-Speicherfunktion so sein, oder?


    Grüße


    Basel

    Hallo zusammen,


    naja, ich will die Passwörter nicht auf meiner Festplatte haben und jedem der das Masterpasswort rausbekommt, Zugang zu allen E-Mail-Konten ermöglichen, die alle brav andere Passwörter haben.


    Wo also siehst du das Problem?

    Das ich verhindern möchte, dass ich mit einem unbedachten Klick das Programm schließe, z. B. weil ich mich damit unbemerkt von den eingehenden E-Mails trenne. Das hat erst einmal mit Passwörtern gar nichts zu tun.

    und ergänzend zu Peter_Lehmann, wenn Du dann noch die Erweiterung (= Add-on) StartupMaster nutzt, dann brauchst Du dieses Masterpasswort nur einmal (eben beim Start von Thunderbird) einzugeben.


    Aber auch nach dem unbeabsichtigten Schließen.


    Ich schätze eure Hilfe hier und sehe eurer Wissen, aber hier werden wir nicht einig werden, ob der Klick auf das X rechts oben das Programm beenden soll oder nicht.


    Grüße


    Basel

    Hallo,


    ich starte TB manuell und geb dann für div. Konten die Passwörter ein und lass die Konten dann regelmäßig auf neue E-Mails prüfen. Wenn man dann auf X klickt, muss ich wieder alle Passwörter eingeben und es werden keine E-Mails gecheckt. Das Add-On verhindert das ausversehene Schließen des Programms, indem es dann das Programm minimiert.


    Grüße


    Basel

    Hallo,


    danke für eure Antworten. Das Problem ist in Bewertungen bereits tatsächlich mehrfach beschrieben. Bei der Eingabe des Posts hatte ich ein paar Probleme, sodass die Frage, ob es eine Alternative gibt ganz verloren gegangen ist ..


    Grüße


    Basel