TB 3: Master-Passwort und gespeicherte Passwörter

Hallo,

lange gesucht aber nichts gefunden. Es geht um folgendes Sicherheitsproblem bei TB 3 (derzeit 3.0.4 - Windows):

Bisher konnte man die "gespeicherten Passwörter" in TB der 2er-Versionen mit einem Passwort sichern. So war gewährleistet, dass die user diese Passwörter nicht auslesen konnten.

Jetzt jedoch wird man beim Start von TB bereits gezwungen dieses Master-Passwort einzugeben und hat damit auch gleich vollen Zugriff auf die gespeicherten Passwörter! Ein Trennen der beiden Passwörtern scheint nicht möglich zu sein! Das ist mir ein zu großes Sicherheitsrisiko.

Da ich niergends eine Lösung für dieses Sicherheitsleck gefunden habe, durchsuchte ich gerade noch die Addons, ob hier evtl. bereits was vorhanden ist, was diese Sicherheitslücke schließen könnte. Aber leider war auch hier meine Suche erfolglos.

Daher meine Frage:

Weiss jemand wie, ob mit Addon oder nicht, die beiden Passwörter getrennt werden können, so dass die user die gespeicherten e-mail-Passwörter nicht auslesen können? Bisher war immer ein Master-Passwort derart gesetzt, dass es nur eingegeben werden mußte, wenn man die Passwörter auslesen wollte. Jetzt, mit der Version 3 geht dies leider nicht mehr.

Vielen Dank im Voraus.

Hallo Peter,

Zitat

vielleicht solltest du dich mal etwas gründlicher mit dem Passwort-Manager und dem Masterpasswort befassen.

warum so Vorwurfsvoll? Hört sich zumindest so an. Muss doch net sein, wenn es so gemeint gewesen wäre. Vielleicht hab ichs aber auch nur in falschen Hals bekommen

Aber zurück zum Thema:

Das Masterpasswort dient generell als Schlüssel zum Entschlüsseln deiner Konto-Passwörter und evtl. weiterer gespeicherter Informationen. Diese Entschlüsselung wird nicht nur zum Ansehen der Passwörter, sondern überhaupt zur Nutzung der selbigen benötigt.

Wie schon oben erwähnt, konnte man in den 2er Versionen von TB die Abfrage der gespeicherten E-Mail-Konten-Passwörter mit einem Passwort schützen, ohne dass man ein Masterpasswort setzen mußte, das die Benutzer gleich zu Beginn eingegeben haben. Sondern es wurde erst dann abgefragt, wenn man die Passwörter abfragen wollte.

Jetzt, in den 3er-Versionen wird zum einen sehr empfohlen (mit sicherlich gutem Grund) ein generelles Masterpasswort zu setzen. Soweit kein Problem.

Aber nochmals der schon erwähnte Hinweis: Damit wird auch gleichzeitig die Abfrage nach den E-Mail-Konten-Passwörtern ermöglicht! Ein separates Passwort ist hier nicht möglich. Dadurch erhalten die User die Möglichkeit, wenn sie es wissen und auch machen, die Passwörter abzufragen. Und das ist sehr wohl ein Sicherheitsrisiko. Ich denke, da sind wir uns doch einig, oder?

Ich glaube, das Misverständnis bei Dir ist, Du sprichst vermutlich von einem privat genutzten E-Mail-Programm. Da ist es ziemlich egal, aber nicht wenn es in einer Firma läuft. Und TB läuft bekanntlich in einigen kleinen Firmen/Unternehmen. Und hier ist es halt nicht egal, wenn User die Möglichkeit haben, diese Passwörter auslesen zu können. Vermutlich ist das Dein Mißverständnis, bzw. hätte ich es noch klarer ausdrücken sollen, dass es hier nicht um private TB-Mailkonten sondern in Firmen genutztes TB geht. Dafür sorry, hätte ich vielleicht klarer ausdrücken sollen.

Aber ich möchte auch dahingehend widersprechen, dass es auch bei privat genutzen E-Mail-Konten nicht sehr sinnvoll ist, wenn Passwörter einfach im Klartext abrufbar sind. Lasse ich meinen privat genutzten PC kurz unbeaufsichtigt, könnte jeder kurz über TB meine Mailkonten-Passwörter im Klartext lesen wenn TB läuft. Und wer läßt sein E-Mail-Programm nicht die ganze Zeit laufen...? Sicherlich, wann wird das passieren und wer würde es tun? Eher unwahrscheinlich, aber gut finde ich persönlich das dennoch nicht. Aber wie gesagt, darum gehts mir hier net mal.

Grüße

Vielen Dank.

Folgendem Punkt kann ich nicht zustimmen besser gesagt, kann ich der Argumentation nicht ganz folgen:

Zitat

Wenn das Vertrauen in die Mitarbeiter nicht ausreichend hoch ist, so dass man den berechtigten Nutzern des firmeneigenen Mailclients unbedingt die Passwörter vorenthalten muss,...

Bitte, welche Firme präsentiert die E-Mail-Passwörter auf einem Präsentierteller, egal ob die Mitarbeiter vertraunsvoll sind oder weniger? :eek: Es spielt einfach keine Rolle wie man einem Mitarbeiter vertraut oder nicht. Derartige Passwörter haben nur den Admin und den Firmeneigentümer zu interessieren. In meinem Fall sind diejenigen, die derzeit mit TB arbeiten voll vertraunesvoll, daher ist es im Moment nicht so schlimm, aber es kommen wohl noch andere hinzu und die gehen diese Passwörter wirklich nichts an. Alleine die Datenschutzrichtlinien, EDV-Richtlinien für Firmen etc. (bitte frag mich jetzt net welche das alle wären/sind und wie sie genau heißen, das müßte ich auch erst raussuchen) ist von Firmenseite immer auf Sicherheit zu achen, und dem widerspricht ein frei zugängliches Passwort ja deutlich. Das ist zumindest meine Nicht-Juristen-Meinung.

Daher werden wir wohl den eigenen Mailserver, der derzeit noch zurückgestellt wurde weil andere Prioritäten da sind/waren, doch etwas vorziehen müssen.

Mir ist einfach unverständlich, warum TB so etwas macht. In jedem anderen E-Mail-Programm das ich kenne, sind die Passwörter wenigstens hinter * versteckt, so dass ein 0-8-15-user damit nix anfangen kann. Nur TB zeigt sie einem offen als Klartext. Gut finde ich das nicht, so gut mir TB auch sonst gefällt. Ich weiss ja nicht ob man es nicht anders hätte programmieren können, aber andere Software kanns doch auch. Demnach sollte das doch möglich sein und: in der 2er Version konnte ich die Passwörter noch verstecken mit dem Passwort. Jetzt leider nicht mehr.

Aber vielleicht kennt ja noch jemand eine Möglichkeit wie man dieses Problem lösen könnte.

Erst mal vielen Dank soweit.

Hallo zusammen,

Ihr unterliegt einem Irrtum, glaubt mir, ich habe mehrere clients und Notebooks in der Firma genauso eingerichtet, wenn Ihr meint, man hätte es bei der 2er Version nicht gekonnt. Es funktioniert auch prima.

Es ist kein Masterpasswort eingegeben, wenn jemand aber die Passwörter aufrufen will, muss ein Passwort eingeben werden! Es geht bzw. ging

Wenn ich dazu komme, beschreib ich mal den Weg, es ging ganz einfach, nur weiss ich grad nimmer auswendig wie. Ich glaube(!) man hat danach einfach den Haken rausgenommen bei Master-Passwort und das wars Bin mir aber nimmer sicher, obs so war. Läuft ja schon eine ganze Weile so problemlos. Übrigens habe ich genau das auch gestern über die google-Suche so gefunden in anderen Foren. Bin also nicht der Einzige der das so gemacht hat. Ob es die Entwickler von TB so vorgesehen hatten, wie ich und andere es nachher eingesetzt haben, sei dahingestellt... Funktioniert hat es seit der Version 1.5 herum, als ich es auf TB umgestellt habe, bis zur letzten Version der 2er Reihe.

Wg. Server: Das ist schon klar, dass das kein Hexenwerk ist, nur: es geht um 13 GB TB-Daten, mehrere clients mit mehreren Profilen... bis das alles umgestellt ist, und der VMware Server entsprechend eingerichtet, das wird ein gutes Wochende dauern. Ist also nicht ganz sooo einfach und schnell erledigt Kommt noch... Dazu kommt gerade noch eine andere Umstellung von VMware auf ESXi und die Einrichtung eines Ersatzservers für Notfälle u.vm.

Die Idee mit dem Ausblenden, finde ich als Lösung gar nicht schlecht. Das würde mir schon sehr helfen. Ich probiers aus. Vielen Dank für den Tipp! :top:

Vielen Dank an alle!