Wo werden meine Passwörter gespeichert?


  • Passwörter für den Zugriff (Login) zu E-Mail-Konten, News-Servern etc. können in Thunderbirds Passwort-Manager gespeichert werden. Ein Master-Passwort sollte zum Schutz der anderen Passwörter verwendet werden. Die gespeicherten Passwörter kann man in einem Dialogfeld einsehen und auf Wunsch löschen.

    Thunderbird besitzt genau wie alle anderen Mozilla-Anwendungen einen Passwort-Manager, der auf Wunsch Ihre notwendigen Passwörter speichern kann. Dies erspart das vielleicht nervige, wiederholte Eingeben der Passwörter, da Thunderbird dies dann automatisch für Sie erledigen kann.

    Hinweis

    Passwörter werden (wenn noch nicht gespeichert) immer dann abgefragt, wenn sie von Thunderbird tatsächlich benötigt werden (beispielsweise beim Abrufen eines Postfachs oder Senden einer Nachricht). Dabei haben Sie dann jeweils die Option, das eingegebene Passwort speichern zu lassen. Im Passwort-Manager kann man also nicht direkt Passwörter eingeben, um diese zu speichern. Er dient dem Verwalten der bereits gespeicherten Passwörter.


    Thunderbirds Passwort-Manager ist über den Einstellungen-Dialog (Menü Extras ➔ Einstellungen ➔ Sicherheit ➔ Passwörter bzw. ➔ Einstellungen ➔ Sicherheit ➔ Passwörter) zu erreichen.

    1 Wozu dient ein Master-Passwort?

    Ein Master-Passwort hat nichts direkt mit Ihren E-Mail-Postfächern zu tun. Es kann und sollte vollkommen unterschiedlich zu den Passwörtern Ihrer E-Mail-Konten sein, damit die Passwörter zu den E-Mail-Konten und zu weiteren Zugängen (wie evtl. im Zusammenhang mit Thunderbird genutzten ftp-, CalDAV-, CardDAV- und weiteren Servern), aber auch ihre privaten Schlüssel für die Mailverschlüsselung mit S/MIME sicher verschlüsselt auf dem Datenträger gespeichert werden können. Der dazu benutzte Schlüssel wird aus dem Master-Passwort abgeleitet.


    Folgende Vorgehensweise wird empfohlen:

    • Für das Master-Passwort ist ein gut merkbares, aber dafür relativ einfaches Passwort zu verwenden.
    • Für die Passwörter der einzelnen E-Mail-Konten wird ein jeweils unterschiedliches, langes und auch "kryptisches" (also nicht merkbares) Passwort empfohlen.

    Um einen Vergleich zu machen, kann man die normalen Passwörter als "Schlüssel" zu Ihren "Briefkästen" bezeichnen. Sie können durchaus mehrere Briefkästen und somit auch zugehörige Schlüssel besitzen. Diese Schlüssel lagern Sie zu Hause in einem kleinen Schlüsselkasten mit einer Tür davor, sodass nicht jeder darauf zugreifen kann. Die Tür des Schlüsselkastens wird ebenfalls mit einem (zentralen) Schlüssel abgeschlossen. Dieser zentrale Schlüssel ist quasi das Master-Passwort.


    Es ist sehr ratsam, die entsprechende Option im Passwort-Manager zu aktivieren.

    1.1 Master-Passwort verwenden

    Sobald Sie die Option Master-Passwort verwenden aktivieren, werden Sie aufgefordert, ein neues Master-Passwort einzugeben und nochmals zu bestätigen. Bedenken Sie, dass ein Master-Passwort einerseits gut merkbar, aber andererseits besonders schwer zu knacken sein sollte, da es ja zahlreiche andere Passwörter schützen soll! Benutzen Sie also ein Passwort, welches bei der Passwort-Qualitätsmessung den grünen Balken (wenigstens nahezu) mit Vollausschlag anzeigt:



    1.2 Master-Passwort ändern

    Wenn Sie bereits ein Master-Passwort in Thunderbird verwenden und dieses nachträglich ändern möchten, rufen Sie den oben gezeigten Dialog per Master-Passwort ändern... auf. Sie haben dann die Möglichkeit, das bisherige Master-Passwort durch ein neues zu ersetzen. Dazu müssen Sie das aktuelle/bisherige Master-Passwort noch kennen und eingeben. Das neu gewünschte Master-Passwort müssen Sie ebenfalls eintippen und nochmals bestätigen.

    1.3 Wenn das Master-Passwort vergessen wurde

    Wenn Sie das aktuelle/bisherige Master-Passwort vergessen haben, werden Sie mit dem Dialog "Master-Passwort ändern" keinen Erfolg haben. Sie müssen dann die zugehörige(n) Datei(en) mit den gespeicherten Passwörtern und Zertifikaten manuell im Profilordner löschen (siehe weiter unten). Sobald die Passwörter für die Verbindung zu Ihren Postfächern wieder benötigt werden, fragt Thunderbird diese von Ihnen erneut ab und bietet wieder die Option, sie zu speichern. Ein Master-Passwort müssen Sie dann bitte ebenfalls wieder festlegen.

    2 Gespeicherte Passwörter verwalten

    Rufen Sie mit einem Klick auf Gespeicherte Passwörter... den zugehörigen Dialog in Tabellenform auf. Sie sehen eine Liste aller Server-Adressen (in der vielleicht etwas verwirrend benannten Spalte "Website") und Benutzernamen, zu denen Passwörter gespeichert sind. Die Passwörter werden Ihnen in der Liste aber erst dann in einer weiteren Spalte angezeigt, wenn Sie zusätzlich auf die Schaltfläche Passwörter anzeigen klicken. Werden die Passwörter durch ein Master-Passwort geschützt, muss dieses korrekt eingegeben werden.



    2.1 Ein gespeichertes Passwort entfernen oder auch alle Passwörter löschen

    In obigem Dialogfeld können Sie in der Liste beliebige Zeilen markieren und auf Entfernen klicken, um die zugehörigen Passwörter aus dem Passwort-Manager zu löschen.

    Hinweis

    Beachten Sie, dass es jeweils getrennte Einträge für Posteingangs-Server (IMAP bzw. POP) und Postausgangs-Server (SMTP) gibt (also theoretisch immer ein Paar).

    2.2 Ein geändertes Passwort von Thunderbird abfragen lassen

    Wenn Sie bei Ihrem Postfach-Anbieter das Passwort für den Zugang zu Ihrem E-Mail-Postfach geändert haben, fragt Thunderbird normaler Weise eigenständig nach dem neuen Passwort, sobald man Nachrichten abrufen und/oder senden möchte. Die Reaktion Thunderbirds hängt aber von der (technischen) Rückmeldung der E-Mail-Server des Postfach-Anbieters ab. Manchmal muss man deshalb von Hand im Passwort-Manager die gespeicherten Passwörter löschen. Dazu müssen entsprechend beide Einträge (IMAP bzw. POP und SMTP) aus dem Passwort-Manager gelöscht werden. Anschließend sollte Thunderbird dann auf jeden Fall bei Bedarf wieder nach dem neuen Passwort fragen und die Option zum erneuten Speichern des Passworts anbieten.

    2.3 Die Datei(en) mit den gespeicherten Passwörtern im Profilordner

    Auf dem Datenträger speichert Thunderbird die gemerkten Passwörter in einer Datei im Profilordner.

    Wichtig

    Die Datei wird ohne Master-Passwort ungeschützt gespeichert - also bitte ein Master-Passwort verwenden!


    Im Laufe der Versionsgeschichte Thunderbirds wurden verschiedene technische Varianten und Dateinamen verwendet, um die Passwörter zu speichern. Die momentan (Stand Version 38.* und auch 45.*) aktuelle Datei heißt logins.json. Ältere Varianten könnten aber auch noch im Profilordner vorhanden sein: signons.sqlite, signons.txt oder xxxxxxxx.s (die x sind eine zufällige Zeichenkette)


    Hinweis

    Die hier genannte(n) Datei(en) müssen gelöscht werden, wenn man sein Master-Passwort vergessen hat. Anschließend kann ein neues Master-Passwort erstellt werden und Thunderbird fragt die einzelnen Passwörter der Postfächer wieder ab.

    Da mit dem Master-Passwort auch die S/MIME-Zertifikate bzw. deren private Schlüssel gesichert werden, müssen bei vergessenem Master-Passwort eventuell auch die Dateien key3.db und cert8.db gelöscht werden. Diese beiden Dateien werden beim nächsten Start wieder neu erstellt. Die vorinstallierten Herausgeberzertifikate sind dann auch wieder vorhanden, aber durch den Anwender selbst installierte Benutzer- und evtl. auch Herausgeberzertifikate und die eigenen privaten Schlüssel müssen dann neu installiert werden.

    3 Siehe auch


    Beteiligte Autoren

    Graba, Rum, Thunder