Mail-Passwort

Alles rund um sicherheitsrelevante Fragen und Probleme.
fischig
Beiträge: 1326
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Mail-Passwort

Beitrag von fischig » 16.04.2021 23:10:52

Spricht eigentlich etwas dagegen, das Mail-Passwort im Mail-Client (hier Claws-Mail) zu speichern?

mcb
Beiträge: 721
Registriert: 25.06.2020 17:28:49

Re: Mail-Passwort

Beitrag von mcb » 16.04.2021 23:27:20

Nein -

- ok Spamversand wäre ohne Passwort schwieriger (im Falle einer Übernahme) - aber mit sowas abe ich keinerlei Erfahrung. :wink:

fischig
Beiträge: 1326
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Re: Mail-Passwort

Beitrag von fischig » 17.04.2021 11:22:14

Ich hätt's fairer gefunden wenn du dich rausgehalten hättest.
https://wiki.debianforum.de/Debianforum ... tensregeln

Die Frage ist ernst gemeint. Bringt es einen (wenn auch vielleicht nur kleinen) Sicherheitsgewinn, wenn man darauf verzichtet, ein solches Passwort auf der Maschine (im Mail-client) zu speichern.
Meiner Frau wurden in den letzten Tagen zwei Mailkonten gehackt (mittlerweile gesperrt und gelöscht). Lag mit einiger Sicherheit am fahrlässig simpel konstruierten Passwort. War aber insofern ganz heilsam, als die Einsicht gewachsen ist, da vielleicht doch mehr Wert drauf zu legen. Meine Frage steht in dem Zusammenhang, da laientauglich für mehr Sicherheit zu sorgen.

mcb
Beiträge: 721
Registriert: 25.06.2020 17:28:49

Re: Mail-Passwort

Beitrag von mcb » 17.04.2021 12:54:52

fischic hat geschrieben: ↑ zum Beitrag ↑
17.04.2021 11:22:14
Ich hätt's fairer gefunden wenn du dich rausgehalten hättest.
https://wiki.debianforum.de/Debianforum ... tensregeln

Die Frage ist ernst gemeint. Bringt es einen (wenn auch vielleicht nur kleinen) Sicherheitsgewinn, wenn man darauf verzichtet, ein solches Passwort auf der Maschine (im Mail-client) zu speichern.
Meiner Frau wurden in den letzten Tagen zwei Mailkonten gehackt (mittlerweile gesperrt und gelöscht). Lag mit einiger Sicherheit am fahrlässig simpel konstruierten Passwort. War aber insofern ganz heilsam, als die Einsicht gewachsen ist, da vielleicht doch mehr Wert drauf zu legen. Meine Frage steht in dem Zusammenhang, da laientauglich für mehr Sicherheit zu sorgen.
Unfair habe ich das nicht gemeint :roll: Und Gedankenlesen kann ich auch nicht ...

Meine Meinung lieber ein schweres Passwort im EMail-Programm speichern als ein zu einfaches. So long...

Benutzeravatar
willy4711
Beiträge: 5088
Registriert: 08.09.2018 16:51:16

Re: Mail-Passwort

Beitrag von willy4711 » 17.04.2021 13:37:07

fischic hat geschrieben: ↑ zum Beitrag ↑
17.04.2021 11:22:14
Meiner Frau wurden in den letzten Tagen zwei Mailkonten gehackt (mittlerweile gesperrt und gelöscht). Lag mit einiger Sicherheit am fahrlässig simpel konstruierten Passwort.
Wenn das auf dem Rechner deiner Frau passiert sein sollte, ist dieser kompromittiert-----> löschen und Neuinstallation.
Das Passwort wird vom Mail-Client zum Server nach Verbindungs- Herstellung verschlüsselt übertragen.
Möglich aber unwahrscheinlich, dass es dabei passiert.

Meist passiert dass aber dadurch, dass irgendwo mal wieder Adressdatenbanken gehackt wurden. (war wohl gerade
mal wieder bei Facebook ca, 500.000 Stück.

Viele User benutzen ja aus Faulheit ein und dasselbe PW für X- Gelegenheiten. Abhilfe schafft da nur - wie du ja sagtest -
vernünftige PW's und ein PW- Manager.
Die Mailkonten PW's habe ich in Thunderbird gespeichert. Nur einsehbar mit einem Master-PW.
Ab und zu wechseln--> gut ist. Mir reicht das so.

Weiß ja nicht, was andere so treiben Mein Mailkonto ist in mittlerweile 23 Jahren (5-stellige GMX- Nr) noch nie gehackt worden.
Allerdings habe ich schon häufig Mail von gehackten Konten bekommen. Das beste war mal ein Angebot (samt Schriftverkehr)
über ein Projekt in Russland über mehrere Millionen :mrgreen:
war ziemlich leicht zu orten, und der gute gab dann zu, seine kompletten Adressen bei GMX gespeichert zu haben.
Macht man halt nicht.

fischig
Beiträge: 1326
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Re: Mail-Passwort

Beitrag von fischig » 17.04.2021 13:48:09

Wenn das auf dem Rechner deiner Frau passiert sein sollte, ist dieser kompromittiert.
Der Provider meinte, dass das Konto bei ihm gehackt sei und hat es gesperrt.
Meine Frage harrt immer noch einer Antwort: Bringt es was, ein Passwort nicht im Client/Browser zu speichern?
Ob der Rechner nun kompromittiert ist oder nicht und was dann zu tun wäre ist ein anderes Thema.

@mcb
Ich habe nicht geschrieben, dass der Beitrag unfair war, ich habe geschrieben, was ich fairer gefunden hätte. Und zur Sache (Sinnhaftigkeit von Passwortspeicherung im Mail-Client) hattest du in deinem 1. Beitrag nun mal nichts beizutragen. Das kann man niemandem vorwerfen, aber wenn's halt so ist, sollte man sich raushalten.

So, nix für ungut. Nochmal: ich fand deinen Beitrag nicht unfair, aber überflüssig. Friede!

Benutzeravatar
niemand
Beiträge: 14591
Registriert: 18.07.2004 16:43:29

Re: Mail-Passwort

Beitrag von niemand » 17.04.2021 13:56:05

fischic hat geschrieben: ↑ zum Beitrag ↑
17.04.2021 13:48:09
Bringt es was, ein Passwort nicht im Client/Browser zu speichern?
Ob der Rechner kompromittiert ist ist ein anderes Thema.
Ähm, nein – das ist genau das Thema. Wenn der Rechner nicht kompromittiert ist, hat es auf die Sicherheit keinerlei Einfluss, ob das Passwort gespeichert ist, oder nicht.

Im Umkehrschluss: Wenn der Rechner kompromittiert ist, muss der Angreifer nicht warten, bis der User das Passwort eingibt, um seine Mails abzurufen.

OT, aber interessiert mich:
fischic hat geschrieben: ↑ zum Beitrag ↑
17.04.2021 11:22:14
Ich hätt's fairer gefunden wenn du dich rausgehalten hättest.
https://wiki.debianforum.de/Debianforum ... tensregeln
Inwiefern hat denn die Antwort gegen die verlinkten Verhaltensregeln verstoßen? Ich meine, das „Nein“ von mcb war ja nun vollkommen On-Topic und die direkte Antwort auf die gestellte Frage? Ich frage nur, um nicht in die gleiche Falle zu tappen …
non serviam.

Benutzeravatar
willy4711
Beiträge: 5088
Registriert: 08.09.2018 16:51:16

Re: Mail-Passwort

Beitrag von willy4711 » 17.04.2021 13:58:28

fischic hat geschrieben: ↑ zum Beitrag ↑
17.04.2021 13:48:09
Meine Frage harrt immer noch einer Antwort: Bringt es was, ein Passwort nicht im Client/Browser zu speichern?
Aus meiner Sicht: Nein.
Das Eintippen bringt ja höchstens noch andere Angriffsmöglichkeiten.
Werden die PW's auf deinem Rechner ausspioniert, ist es eh zu spät.

fischig
Beiträge: 1326
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Re: Mail-Passwort

Beitrag von fischig » 17.04.2021 14:14:35

Bei der Einrichtung eines Mail-Clients
niemand hat geschrieben:Wenn der Rechner nicht kompromittiert ist, hat es auf die Sicherheit keinerlei Einfluss, ob das Passwort gespeichert ist, oder nicht.
Das ist eine Antwort auf meine Frage. Welches Thema willy und du daraus machen ist eine andere. Hätt ich 'doch bloß nicht auf mcbs 1. Beitrag geantwortet. Es hatte schon seinen Grund, warum ich eingangs nichts von kompromittiert schrieb.

fischig
Beiträge: 1326
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Re: Mail-Passwort

Beitrag von fischig » 17.04.2021 14:21:46

willy4711 hat geschrieben:Das Eintippen bringt ja höchstens noch andere Angriffsmöglichkeiten.
Es gibt noch andere, weniger bequeme Möglichkeiten der Passworteingabe. Und ich frage, ob es Sinn macht, meine Gattin darauf zu verweisen. Ich stelle fest, dass zwei erfahrene Leute meinen, dass dem nicht so sei.

Und seid beruhigt, ob der Rechner nun kompromittiert ist oder nicht, werde ich weiter beobachten und gegebenenfalls Fragen dazu stellen.

fischig
Beiträge: 1326
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Re: Mail-Passwort

Beitrag von fischig » 17.04.2021 14:36:50

niemand hat geschrieben:Inwiefern hat denn die Antwort gegen die verlinkten Verhaltensregeln verstoßen? Ich meine, das „Nein“ von mcb war ja nun vollkommen On-Topic und die direkte Antwort auf die gestellte Frage?
Stimmt!
Aber damit war's ja nicht zu Ende und wenn's weitergeht, erwartet man, in diesem Falle: ich, dass dann in diesem Fortgang das „nein“ begründet wird. Die anschließende Spam-Erläuterung fand ich diesbezüglich nicht hilfreich.
Ergo blieb für mich der Eindruck: Schlauer geworden bist du jetzt nicht. Es wäre besser gewesen, gar nicht zu antworten.

Und akzeptiert: Den Verweis auf die Verhaltensregeln halte ich im Nachhinein auch für überzogen. Entschuldigung mcb!

mcb
Beiträge: 721
Registriert: 25.06.2020 17:28:49

Re: Mail-Passwort

Beitrag von mcb » 17.04.2021 20:14:51

Ja was rät man nun ?

- muß man das Paßwort immer eingeben, wählt der Benutzer ein zu einfaches
- speichert man das Paßwort -> die Möglichkeit des Spamversandes (deshalb hatte ich mein Nein noch ergänzt) ^^
- das Paßwort / der Zugang kann auch beim Provider geklaut werden ...
- läuft der Client und man hat das Paßwort eingegeben kann es auch gemopst werden


In meinen Augen alles nicht ideal und ähnlich sicher oder unsicher ...

fischig
Beiträge: 1326
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Re: Mail-Passwort

Beitrag von fischig » 17.04.2021 21:48:28

Die Möglichkeit, an die ich dachte, (und so praktiziere ich das zumeist) ist, das Passwort aus einer verschlüsselten Datei per copy and paste einzugeben, natürlich kein simples (ich weiß da gibt's auch professionelle Lösungen, aber ich mache meine Fehler gerne selbst :wink: ). Nach dem Desaster stehen die Chancen gar nicht schlecht, dass die beste aller Frauen dazu bereit wäre. Aber 1. ist das für mich ziemlich mühsam (sowas richte ich als Laie nicht jeden Tag ein) und die zweite Frage ist halt: Lohnt der Aufwand, wenn man's gefahrlos bequem im client speichern kann?

Benutzeravatar
willy4711
Beiträge: 5088
Registriert: 08.09.2018 16:51:16

Re: Mail-Passwort

Beitrag von willy4711 » 18.04.2021 00:15:15

fischic hat geschrieben: ↑ zum Beitrag ↑
17.04.2021 21:48:28
Die Möglichkeit, an die ich dachte, (und so praktiziere ich das zumeist) ist, das Passwort aus einer verschlüsselten Datei per copy and paste einzugeben,
Dann hast du das Passwort in der Zwischenablage frei verfügbar,
Du öffnest also eine Datei ---> ist dann im Klartext lesbar und kopierst den Klartext dann auch noch in die Zwischenablage
---> nicht sehr sinnvoll.

Ich kenne nur Thunderbird, Claws-Mail kenne ich nicht.

Dort sind die Passwörter durch ein Master Passwort geschützt und verschlüsselt (logins.json)
Auszulesen sind sie so nicht. Ob andere Mail Clients das auch können weiß ich nicht.
Die Benutzung einer extra verschlüsselten Datei ist bei der richtigen Verwendung von Thunderbird also obsolet,
bzw. öffnet Angriffsflächen, die nicht nötig sind.

TuxPeter
Beiträge: 1644
Registriert: 19.11.2008 20:39:02
Lizenz eigener Beiträge: MIT Lizenz

Re: Mail-Passwort

Beitrag von TuxPeter » 18.04.2021 10:35:22

In Claws Mail sind die Passwörter selbstverständlich auch verschlüsselt abgespeichert. Es gibt kein Master-Passwort für die verschiedene Konten-Passwörter.
Mir wäre das viel zu mühsam und fehlerträchtig, bei jedem Mailversand und -Empfang das Passwort einzugeben! Natürlich, wenn jemand vor dem (bereits eingeloggten) Rechner sitzt, oder ihn sonstwie gekapert hat, dann kann er auch die Passwörter des Email-Clients, ebenso wie die im Browser gespeicherten, sich im Klartext anzeigen lassen und gegebenenfalls ändern. Bei mir sind im Browser nur die weniger wichtigen Passwörter gespeichert, z.B. für Forem. Vermutlich wäre ein Browser ein lohnenderes Angriffsziel als irgend ein kleiner Email-Client. Ich denke, wenn jetzt beispielsweise im df jemand in meinem Namen Beiträge verfasste, dann würde mir das schon auffallen und wäre schnell zu beenden ...

Beim Rechner meiner Frau wurde tatsächlich auch einmal ein Email-Konto gekapert. (bei web de) Die Mitteilung kam über das Referenzkonto, fast gleichzeitig, als sie merkte, dass sie keinen Zugriff mehr hatte. Die Sache konntet werden, ehe irgendwas schlimmes passierte. Sie hatte ein zwar längeres, aber lexikalisch gültiges Passwort, das sie an vielen Stellen benutzte, besonders auch in diversen Internet-shops. (die ja gerne gehackt werden) Seitdem hat sie (wie ich schon lange geraten hatte) lauter unterschiedliche Passwörter.

Antworten