Mail-Passwort

[fischig]

Mir wäre das viel zu mühsam und fehlerträchtig, bei jedem Mailversand und -Empfang das Passwort einzugeben!

Was mühsam ist, muss nicht unbedingt fehlerträchtig sein. Wichtiger ist mir die Frage, ob die Mühe auch belohnt wird.
Aber wenn du sagst, dass das auch bei claws-mail verschlüsselt ist, dann wäre zumindest willy vielleicht zufriedengestellt. Und wenn ich das Bisherige so überblicke, hat bis jetzt niemand begründet darauf hingewiesen, dass es gefährlich sei, dass Mail-PW dem client anzuvertrauen.
Über Sorgfalt/Vielfalt bei der PW-Gestaltung müssen wir hier ja eigentlich nicht reden. Aber selbst das ist ja manchen Zeitgenossen „zu mühsam“.

Beim Rechner meiner Frau wurde tatsächlich auch einmal ein Email-Konto gekapert. (bei web de)

So auch hier.

[willy4711]

Es gibt kein Master-Passwort für die verschiedene Konten-Passwörter.
Mir wäre das viel zu mühsam und fehlerträchtig, bei jedem Mailversand und -Empfang das Passwort einzugeben! Natürlich, wenn jemand vor dem (bereits eingeloggten) Rechner sitzt, oder ihn sonstwie gekapert hat, dann kann er auch die Passwörter des Email-Clients, ebenso wie die im Browser gespeicherten, sich im Klartext anzeigen lassen und gegebenenfalls ändern.

Das ist nicht richtig interpretiert.

Das Auslesen der Passwörter ist bei Firefox sowie Thunderbird auch bei geöffneten Programm nicht möglich
es sei denn, du gibst dafür nochmals das Master-PW ein, soweit du eins gesetzt hast..

Das Master-PW dient dazu

Thunderbird zuerst überhaupt öffnen zu können, und den Mailverkehr zu ermöglichen.

Willst du Passwörter einsehen / Ändern musst du das Master-PW erneut eingeben, da sie sonst nicht angezeigt werden.
Beim Versandt / Empfang von Mails brauchst du natürlich das Master PW natürlich nicht noch einmal eingeben.

Ausführung dazu:
http://kb.mozillazine.org/Master_password

[fischig]

Da ist nicht richtig interpretiert.

Ich denke, TuxPeter bezieht sich da nur auf claws-mail.

[willy4711]

Ich denke, TuxPeter bezieht sich da nur auf claws-mail.

Wenn Claws-Mail das nicht bietet, wäre das aus meiner Sicht eine Sicherheitslücke, die mich davon abhalten würde, das
Programm zu nutzen.
Immer aus der Paranoia Sicht eines kompromittierten Rechners

Aber hätte man diese Sicht nicht, bräuchte man auch keinen PW-Manager und hätte seine Zugangsdaten zu allem und
jedem in einer Textdatei, von der aus man dann per Copy & Paste das gewünschte einträgt.

Edit:

Ooohhh wehh - Jetzt habe ich mich als Rassist geoutet

Der Begriff Master- PW ist eindeutig rassistisch
Heißt jetzt Haupt PW.
Ich hoffe, ich bin der Einzige hier im Forum der diese Begriffe noch benutzt.
Nehme gerne eine Sperre in Kauf, wenn es dazu dient, mich zu leutern
https://support.mozilla.org/de/kb/haupt ... r-passwort
https://winfuture.de/news,117026.html

[Huo]

Claws-Mail bietet ab Version 3.14.0 die Möglichkeit ein Masterpasswort zu setzen:

Einstellungen -> Sonstiges -> Vermischtes ... dort ganz unten auf "Eine Haupt-Passphrase verwenden" klicken. Dann Claws-Mail neu starten und im selben Einstellungsmenü auf "Haupt-Passphrase ändern" klicken und gewünschtes Master-Passwort eintragen.

Das so angelegte Masterpasswort muss fortan jeweils beim Programmstart eingegeben werden – nicht jedoch beim Senden/Empfangen von Mails, sofern in den Konteneinstellungen das Passwort für den Mailaccount eingetragen wurde. Ohne Masterpasswort sind die Passwörter übrigens im Klartext in der Datei ~/.claws-mail/accountrc enthalten, mit Masterpasswort verschlüsselt in der Datei ~/.claws-mail/passwordstorerc.

[willy4711]

Claws-Mail bietet ab Version 3.14.0 die Möglichkeit ein Masterpasswort zu setzen:

Dann ist das ja direkt mit Thunderbird zu vergleichen.
Scheint aber niemandem aufgefallen zu sein
Danke für die Info.

[fischig]

Ich danke ebenfalls!

mit Masterpasswort (sind die Passwörter übrigens) verschlüsselt in der Datei ~/.claws-mail/passwordstorerc (enthalten).

Und das Masterpasswort?

[TuxPeter]

Claws-Mail bietet ab Version 3.14.0 die Möglichkeit ein Masterpasswort zu setzen

Das ist ja ... da nutze ich nun schon soo lange Claws-Mail und habe mich noch nie bis an diese Stelle des Menüs vorgearbeitet. (Warum auch, funktionierte ja alles )

Jedenfalls Danke für die Info!
Ob ich es nutzen werde, muss ich mir noch überlegen.

Und: Die Passwörter für den Kontenzugriff sind natürlich NICHT unverschlüsselt gespeichert, und in accountrc befinden sich die allgemeinen Account-Daten; die Datei "passwordstorerc" existiert auch bei meiner Installation, ohne jemals ein MasterPW angelegt zu haben.

[Huo]

Und: Die Passwörter für den Kontenzugriff sind natürlich NICHT unverschlüsselt gespeichert, und in accountrc befinden sich die allgemeinen Account-Daten; die Datei "passwordstorerc" existiert auch bei meiner Installation, ohne jemals ein MasterPW angelegt zu haben.

Ja, da hast Du wohl recht. Ich hatte einst bei der Einrichtung von Claws-Mail die Migrationsfunktion für die automatische Übernahme der Sylpheed Konten-Einstellungen benutzt. Daraufhin waren die Konten-Passwörter – wie bei Sylpheed – unverschlüsselt, und die Verschlüsselung erfolgte erst nach Vergabe des Master-Passworts ...

Die bei Sylpheed fehlende Möglichkeit der Passwort-Verschlüsselung war für mich überhaupt der Grund zum Fork Claws-Mail zu wechseln.

mit Masterpasswort (sind die Passwörter übrigens) verschlüsselt in der Datei ~/.claws-mail/passwordstorerc (enthalten).

Und das Masterpasswort?

Gute Frage! Habe das Master-Passwort gerade – verschlüsselt – in der Datei ~/.claws-mail/clawsrc gefunden.

[schwedenmann]

Hallo

Und: Die Passwörter für den Kontenzugriff sind natürlich NICHT unverschlüsselt gespeichert, und in accountrc befinden sich die allgemeinen Account-Daten; die Datei "passwordstorerc" existiert auch bei meiner Installation, ohne jemals ein MasterPW angelegt zu haben.

Also könnte man doch ,wenn man eine PC mit claws-mail kompromitiert hätte, den gesamtem Ordber runterladen, in eien frische claws-mail Installtion kopieren, claws-mail starten (im falle eines materpw das PW in der clawsrc löschen, claws-amil starten,jetzt ohne Masterpaßwort (ist für ich nicht rassistisch) und dann bei Kontoeinstellunegn und dort das Häkchen setzen, bzw,. nciht setzen um die paßwörter sichtbarzumachen.
Wäre das machbar,um an die PW zu kommen, obwohl für dämliche PW ein bischen viel Aufwand.

mfg
schwedenmann

[willy4711]

hmm--- für eine Verschlüsselung braucht es doch in der Regel ein Passwort ?
Womit wird denn dann verschlüsselt ?
Ich kann zwar das Master-PW bei Thunderbird - wenn vergessen - resetten,
aber damit sind alle gespeicherten Passwörter und Zugangsdaten unwiderruflich verloren.
So muss es auch sein. Nur so macht es Sinn.

Was da bei claws-mail angeblich passiert, kann ich nicht nachvollziehen.

[TuxPeter]

Ich verstehe das Problem nicht ganz. Wenn ich ein Programm clone, d.h. inclusive aller Configurationsdateien wieder herstelle, kann ich selbstverständlich mit dem Clon alles machen, was ich auch mit dem Original anstellen kann. Dabei ist es unerheblich, ob der Clon aus einer oder mehreren Quellen erststellt wurde.

[fischig]

Alles nicht mehr mein Problem. Ich beschränke mich mal aufs Mitlesen. Als gelöst kann ich Faden ja schlecht kennzeichnen.