Mail-Passwort

[fischig]

Spricht eigentlich etwas dagegen, das Mail-Passwort im Mail-Client (hier Claws-Mail) zu speichern?

[mcb]

Nein -

- ok Spamversand wäre ohne Passwort schwieriger (im Falle einer Übernahme) - aber mit sowas abe ich keinerlei Erfahrung.

[fischig]

Ich hätt's fairer gefunden wenn du dich rausgehalten hättest.
https://wiki.debianforum.de/Debianforum ... tensregeln

Die Frage ist ernst gemeint. Bringt es einen (wenn auch vielleicht nur kleinen) Sicherheitsgewinn, wenn man darauf verzichtet, ein solches Passwort auf der Maschine (im Mail-client) zu speichern.
Meiner Frau wurden in den letzten Tagen zwei Mailkonten gehackt (mittlerweile gesperrt und gelöscht). Lag mit einiger Sicherheit am fahrlässig simpel konstruierten Passwort. War aber insofern ganz heilsam, als die Einsicht gewachsen ist, da vielleicht doch mehr Wert drauf zu legen. Meine Frage steht in dem Zusammenhang, da laientauglich für mehr Sicherheit zu sorgen.

[mcb]

Ich hätt's fairer gefunden wenn du dich rausgehalten hättest.
https://wiki.debianforum.de/Debianforum ... tensregeln

Die Frage ist ernst gemeint. Bringt es einen (wenn auch vielleicht nur kleinen) Sicherheitsgewinn, wenn man darauf verzichtet, ein solches Passwort auf der Maschine (im Mail-client) zu speichern.
Meiner Frau wurden in den letzten Tagen zwei Mailkonten gehackt (mittlerweile gesperrt und gelöscht). Lag mit einiger Sicherheit am fahrlässig simpel konstruierten Passwort. War aber insofern ganz heilsam, als die Einsicht gewachsen ist, da vielleicht doch mehr Wert drauf zu legen. Meine Frage steht in dem Zusammenhang, da laientauglich für mehr Sicherheit zu sorgen.

Unfair habe ich das nicht gemeint Und Gedankenlesen kann ich auch nicht ...

Meine Meinung lieber ein schweres Passwort im EMail-Programm speichern als ein zu einfaches. So long...

[willy4711]

Meiner Frau wurden in den letzten Tagen zwei Mailkonten gehackt (mittlerweile gesperrt und gelöscht). Lag mit einiger Sicherheit am fahrlässig simpel konstruierten Passwort.

Wenn das auf dem Rechner deiner Frau passiert sein sollte, ist dieser kompromittiert-----> löschen und Neuinstallation.
Das Passwort wird vom Mail-Client zum Server nach Verbindungs- Herstellung verschlüsselt übertragen.
Möglich aber unwahrscheinlich, dass es dabei passiert.

Meist passiert dass aber dadurch, dass irgendwo mal wieder Adressdatenbanken gehackt wurden. (war wohl gerade
mal wieder bei Facebook ca, 500.000 Stück.

Viele User benutzen ja aus Faulheit ein und dasselbe PW für X- Gelegenheiten. Abhilfe schafft da nur - wie du ja sagtest -
vernünftige PW's und ein PW- Manager.
Die Mailkonten PW's habe ich in Thunderbird gespeichert. Nur einsehbar mit einem Master-PW.
Ab und zu wechseln--> gut ist. Mir reicht das so.

Weiß ja nicht, was andere so treiben Mein Mailkonto ist in mittlerweile 23 Jahren (5-stellige GMX- Nr) noch nie gehackt worden.
Allerdings habe ich schon häufig Mail von gehackten Konten bekommen. Das beste war mal ein Angebot (samt Schriftverkehr)
über ein Projekt in Russland über mehrere Millionen
war ziemlich leicht zu orten, und der gute gab dann zu, seine kompletten Adressen bei GMX gespeichert zu haben.
Macht man halt nicht.

[fischig]

Wenn das auf dem Rechner deiner Frau passiert sein sollte, ist dieser kompromittiert.

Der Provider meinte, dass das Konto bei ihm gehackt sei und hat es gesperrt.
Meine Frage harrt immer noch einer Antwort: Bringt es was, ein Passwort nicht im Client/Browser zu speichern?
Ob der Rechner nun kompromittiert ist oder nicht und was dann zu tun wäre ist ein anderes Thema.

@mcb
Ich habe nicht geschrieben, dass der Beitrag unfair war, ich habe geschrieben, was ich fairer gefunden hätte. Und zur Sache (Sinnhaftigkeit von Passwortspeicherung im Mail-Client) hattest du in deinem 1. Beitrag nun mal nichts beizutragen. Das kann man niemandem vorwerfen, aber wenn's halt so ist, sollte man sich raushalten.

So, nix für ungut. Nochmal: ich fand deinen Beitrag nicht unfair, aber überflüssig. Friede!

[DeletedUserReAsG]

Bringt es was, ein Passwort nicht im Client/Browser zu speichern?
Ob der Rechner kompromittiert ist ist ein anderes Thema.

Ähm, nein – das ist genau das Thema. Wenn der Rechner nicht kompromittiert ist, hat es auf die Sicherheit keinerlei Einfluss, ob das Passwort gespeichert ist, oder nicht.

Im Umkehrschluss: Wenn der Rechner kompromittiert ist, muss der Angreifer nicht warten, bis der User das Passwort eingibt, um seine Mails abzurufen.

OT, aber interessiert mich:

Ich hätt's fairer gefunden wenn du dich rausgehalten hättest.
https://wiki.debianforum.de/Debianforum ... tensregeln

Inwiefern hat denn die Antwort gegen die verlinkten Verhaltensregeln verstoßen? Ich meine, das „Nein“ von mcb war ja nun vollkommen On-Topic und die direkte Antwort auf die gestellte Frage? Ich frage nur, um nicht in die gleiche Falle zu tappen …

[willy4711]

Meine Frage harrt immer noch einer Antwort: Bringt es was, ein Passwort nicht im Client/Browser zu speichern?

Aus meiner Sicht: Nein.
Das Eintippen bringt ja höchstens noch andere Angriffsmöglichkeiten.
Werden die PW's auf deinem Rechner ausspioniert, ist es eh zu spät.

[fischig]

Bei der Einrichtung eines Mail-Clients

Wenn der Rechner nicht kompromittiert ist, hat es auf die Sicherheit keinerlei Einfluss, ob das Passwort gespeichert ist, oder nicht.

Das ist eine Antwort auf meine Frage. Welches Thema willy und du daraus machen ist eine andere. Hätt ich 'doch bloß nicht auf mcbs 1. Beitrag geantwortet. Es hatte schon seinen Grund, warum ich eingangs nichts von kompromittiert schrieb.

[fischig]

Das Eintippen bringt ja höchstens noch andere Angriffsmöglichkeiten.

Es gibt noch andere, weniger bequeme Möglichkeiten der Passworteingabe. Und ich frage, ob es Sinn macht, meine Gattin darauf zu verweisen. Ich stelle fest, dass zwei erfahrene Leute meinen, dass dem nicht so sei.

Und seid beruhigt, ob der Rechner nun kompromittiert ist oder nicht, werde ich weiter beobachten und gegebenenfalls Fragen dazu stellen.

[fischig]

Inwiefern hat denn die Antwort gegen die verlinkten Verhaltensregeln verstoßen? Ich meine, das „Nein“ von mcb war ja nun vollkommen On-Topic und die direkte Antwort auf die gestellte Frage?

Stimmt!
Aber damit war's ja nicht zu Ende und wenn's weitergeht, erwartet man, in diesem Falle: ich, dass dann in diesem Fortgang das „nein“ begründet wird. Die anschließende Spam-Erläuterung fand ich diesbezüglich nicht hilfreich.
Ergo blieb für mich der Eindruck: Schlauer geworden bist du jetzt nicht. Es wäre besser gewesen, gar nicht zu antworten.

Und akzeptiert: Den Verweis auf die Verhaltensregeln halte ich im Nachhinein auch für überzogen. Entschuldigung mcb!

[mcb]

Ja was rät man nun ?

- muß man das Paßwort immer eingeben, wählt der Benutzer ein zu einfaches
- speichert man das Paßwort -> die Möglichkeit des Spamversandes (deshalb hatte ich mein Nein noch ergänzt) ^^
- das Paßwort / der Zugang kann auch beim Provider geklaut werden ...
- läuft der Client und man hat das Paßwort eingegeben kann es auch gemopst werden


In meinen Augen alles nicht ideal und ähnlich sicher oder unsicher ...

[fischig]

Die Möglichkeit, an die ich dachte, (und so praktiziere ich das zumeist) ist, das Passwort aus einer verschlüsselten Datei per copy and paste einzugeben, natürlich kein simples (ich weiß da gibt's auch professionelle Lösungen, aber ich mache meine Fehler gerne selbst ). Nach dem Desaster stehen die Chancen gar nicht schlecht, dass die beste aller Frauen dazu bereit wäre. Aber 1. ist das für mich ziemlich mühsam (sowas richte ich als Laie nicht jeden Tag ein) und die zweite Frage ist halt: Lohnt der Aufwand, wenn man's gefahrlos bequem im client speichern kann?

[willy4711]

Die Möglichkeit, an die ich dachte, (und so praktiziere ich das zumeist) ist, das Passwort aus einer verschlüsselten Datei per copy and paste einzugeben,

Dann hast du das Passwort in der Zwischenablage frei verfügbar,
Du öffnest also eine Datei ---> ist dann im Klartext lesbar und kopierst den Klartext dann auch noch in die Zwischenablage
---> nicht sehr sinnvoll.

Ich kenne nur Thunderbird, Claws-Mail kenne ich nicht.

Dort sind die Passwörter durch ein Master Passwort geschützt und verschlüsselt (logins.json)
Auszulesen sind sie so nicht. Ob andere Mail Clients das auch können weiß ich nicht.
Die Benutzung einer extra verschlüsselten Datei ist bei der richtigen Verwendung von Thunderbird also obsolet,
bzw. öffnet Angriffsflächen, die nicht nötig sind.

[TuxPeter]

In Claws Mail sind die Passwörter selbstverständlich auch verschlüsselt abgespeichert. Es gibt kein Master-Passwort für die verschiedene Konten-Passwörter.
Mir wäre das viel zu mühsam und fehlerträchtig, bei jedem Mailversand und -Empfang das Passwort einzugeben! Natürlich, wenn jemand vor dem (bereits eingeloggten) Rechner sitzt, oder ihn sonstwie gekapert hat, dann kann er auch die Passwörter des Email-Clients, ebenso wie die im Browser gespeicherten, sich im Klartext anzeigen lassen und gegebenenfalls ändern. Bei mir sind im Browser nur die weniger wichtigen Passwörter gespeichert, z.B. für Forem. Vermutlich wäre ein Browser ein lohnenderes Angriffsziel als irgend ein kleiner Email-Client. Ich denke, wenn jetzt beispielsweise im df jemand in meinem Namen Beiträge verfasste, dann würde mir das schon auffallen und wäre schnell zu beenden ...

Beim Rechner meiner Frau wurde tatsächlich auch einmal ein Email-Konto gekapert. (bei web de) Die Mitteilung kam über das Referenzkonto, fast gleichzeitig, als sie merkte, dass sie keinen Zugriff mehr hatte. Die Sache konntet werden, ehe irgendwas schlimmes passierte. Sie hatte ein zwar längeres, aber lexikalisch gültiges Passwort, das sie an vielen Stellen benutzte, besonders auch in diversen Internet-shops. (die ja gerne gehackt werden) Seitdem hat sie (wie ich schon lange geraten hatte) lauter unterschiedliche Passwörter.

[fischig]

Mir wäre das viel zu mühsam und fehlerträchtig, bei jedem Mailversand und -Empfang das Passwort einzugeben!

Was mühsam ist, muss nicht unbedingt fehlerträchtig sein. Wichtiger ist mir die Frage, ob die Mühe auch belohnt wird.
Aber wenn du sagst, dass das auch bei claws-mail verschlüsselt ist, dann wäre zumindest willy vielleicht zufriedengestellt. Und wenn ich das Bisherige so überblicke, hat bis jetzt niemand begründet darauf hingewiesen, dass es gefährlich sei, dass Mail-PW dem client anzuvertrauen.
Über Sorgfalt/Vielfalt bei der PW-Gestaltung müssen wir hier ja eigentlich nicht reden. Aber selbst das ist ja manchen Zeitgenossen „zu mühsam“.

Beim Rechner meiner Frau wurde tatsächlich auch einmal ein Email-Konto gekapert. (bei web de)

So auch hier.

[willy4711]

Es gibt kein Master-Passwort für die verschiedene Konten-Passwörter.
Mir wäre das viel zu mühsam und fehlerträchtig, bei jedem Mailversand und -Empfang das Passwort einzugeben! Natürlich, wenn jemand vor dem (bereits eingeloggten) Rechner sitzt, oder ihn sonstwie gekapert hat, dann kann er auch die Passwörter des Email-Clients, ebenso wie die im Browser gespeicherten, sich im Klartext anzeigen lassen und gegebenenfalls ändern.

Das ist nicht richtig interpretiert.

Das Auslesen der Passwörter ist bei Firefox sowie Thunderbird auch bei geöffneten Programm nicht möglich
es sei denn, du gibst dafür nochmals das Master-PW ein, soweit du eins gesetzt hast..

Das Master-PW dient dazu

Thunderbird zuerst überhaupt öffnen zu können, und den Mailverkehr zu ermöglichen.

Willst du Passwörter einsehen / Ändern musst du das Master-PW erneut eingeben, da sie sonst nicht angezeigt werden.
Beim Versandt / Empfang von Mails brauchst du natürlich das Master PW natürlich nicht noch einmal eingeben.

Ausführung dazu:
http://kb.mozillazine.org/Master_password

[fischig]

Da ist nicht richtig interpretiert.

Ich denke, TuxPeter bezieht sich da nur auf claws-mail.

[willy4711]

Ich denke, TuxPeter bezieht sich da nur auf claws-mail.

Wenn Claws-Mail das nicht bietet, wäre das aus meiner Sicht eine Sicherheitslücke, die mich davon abhalten würde, das
Programm zu nutzen.
Immer aus der Paranoia Sicht eines kompromittierten Rechners

Aber hätte man diese Sicht nicht, bräuchte man auch keinen PW-Manager und hätte seine Zugangsdaten zu allem und
jedem in einer Textdatei, von der aus man dann per Copy & Paste das gewünschte einträgt.

Edit:

Ooohhh wehh - Jetzt habe ich mich als Rassist geoutet

Der Begriff Master- PW ist eindeutig rassistisch
Heißt jetzt Haupt PW.
Ich hoffe, ich bin der Einzige hier im Forum der diese Begriffe noch benutzt.
Nehme gerne eine Sperre in Kauf, wenn es dazu dient, mich zu leutern
https://support.mozilla.org/de/kb/haupt ... r-passwort
https://winfuture.de/news,117026.html

[Huo]

Claws-Mail bietet ab Version 3.14.0 die Möglichkeit ein Masterpasswort zu setzen:

Einstellungen -> Sonstiges -> Vermischtes ... dort ganz unten auf "Eine Haupt-Passphrase verwenden" klicken. Dann Claws-Mail neu starten und im selben Einstellungsmenü auf "Haupt-Passphrase ändern" klicken und gewünschtes Master-Passwort eintragen.

Das so angelegte Masterpasswort muss fortan jeweils beim Programmstart eingegeben werden – nicht jedoch beim Senden/Empfangen von Mails, sofern in den Konteneinstellungen das Passwort für den Mailaccount eingetragen wurde. Ohne Masterpasswort sind die Passwörter übrigens im Klartext in der Datei ~/.claws-mail/accountrc enthalten, mit Masterpasswort verschlüsselt in der Datei ~/.claws-mail/passwordstorerc.

[willy4711]

Claws-Mail bietet ab Version 3.14.0 die Möglichkeit ein Masterpasswort zu setzen:

Dann ist das ja direkt mit Thunderbird zu vergleichen.
Scheint aber niemandem aufgefallen zu sein
Danke für die Info.

[fischig]

Ich danke ebenfalls!

mit Masterpasswort (sind die Passwörter übrigens) verschlüsselt in der Datei ~/.claws-mail/passwordstorerc (enthalten).

Und das Masterpasswort?

[TuxPeter]

Claws-Mail bietet ab Version 3.14.0 die Möglichkeit ein Masterpasswort zu setzen

Das ist ja ... da nutze ich nun schon soo lange Claws-Mail und habe mich noch nie bis an diese Stelle des Menüs vorgearbeitet. (Warum auch, funktionierte ja alles )

Jedenfalls Danke für die Info!
Ob ich es nutzen werde, muss ich mir noch überlegen.

Und: Die Passwörter für den Kontenzugriff sind natürlich NICHT unverschlüsselt gespeichert, und in accountrc befinden sich die allgemeinen Account-Daten; die Datei "passwordstorerc" existiert auch bei meiner Installation, ohne jemals ein MasterPW angelegt zu haben.

[Huo]

Und: Die Passwörter für den Kontenzugriff sind natürlich NICHT unverschlüsselt gespeichert, und in accountrc befinden sich die allgemeinen Account-Daten; die Datei "passwordstorerc" existiert auch bei meiner Installation, ohne jemals ein MasterPW angelegt zu haben.

Ja, da hast Du wohl recht. Ich hatte einst bei der Einrichtung von Claws-Mail die Migrationsfunktion für die automatische Übernahme der Sylpheed Konten-Einstellungen benutzt. Daraufhin waren die Konten-Passwörter – wie bei Sylpheed – unverschlüsselt, und die Verschlüsselung erfolgte erst nach Vergabe des Master-Passworts ...

Die bei Sylpheed fehlende Möglichkeit der Passwort-Verschlüsselung war für mich überhaupt der Grund zum Fork Claws-Mail zu wechseln.

mit Masterpasswort (sind die Passwörter übrigens) verschlüsselt in der Datei ~/.claws-mail/passwordstorerc (enthalten).

Und das Masterpasswort?

Gute Frage! Habe das Master-Passwort gerade – verschlüsselt – in der Datei ~/.claws-mail/clawsrc gefunden.

[schwedenmann]

Hallo

Und: Die Passwörter für den Kontenzugriff sind natürlich NICHT unverschlüsselt gespeichert, und in accountrc befinden sich die allgemeinen Account-Daten; die Datei "passwordstorerc" existiert auch bei meiner Installation, ohne jemals ein MasterPW angelegt zu haben.

Also könnte man doch ,wenn man eine PC mit claws-mail kompromitiert hätte, den gesamtem Ordber runterladen, in eien frische claws-mail Installtion kopieren, claws-mail starten (im falle eines materpw das PW in der clawsrc löschen, claws-amil starten,jetzt ohne Masterpaßwort (ist für ich nicht rassistisch) und dann bei Kontoeinstellunegn und dort das Häkchen setzen, bzw,. nciht setzen um die paßwörter sichtbarzumachen.
Wäre das machbar,um an die PW zu kommen, obwohl für dämliche PW ein bischen viel Aufwand.

mfg
schwedenmann