Thunderbird: использование мастер-пароля с OAuth2

Question

Я использую Thunderbird уже много лет, и я включил мастер-пароль для защиты паролей моей учетной записи.

Теперь все мои учетные записи используют аутентификацию OAuth2. Является ли использование мастер-пароля какого-либо использования или это избыточно?

Answer 1

Ваш вопрос вращается вокруг хранения паролей, в вашем случае, якобы зашифрованных мастер-паролем Thunderbird, на вашем компьютере в каталоге профиля.

Это входит в техническую и сложную часть того, как Thunderbird хранит пароли, которые сильно изменились за последнее десятилетие или около того. Сначала я бы направил вас в свой каталог профилей, в котором, возможно, остались старые кучи от многих лет назад. Он может иметь или не иметь до трех разных способов хранения ваших паролей, а именно logins.json (по состоянию на 2018 год), signons.sqlite (более старый) и signons.txt . Были также некоторые файлы, оканчивающиеся на одиночные « .s », которые могли предшествовать этому. Так как ваш профиль мог быть отредактирован, поврежден, отремонтирован или перемещен без разбора с предыдущего компьютера, нет никакого способа узнать, существует ли какой-либо из этих файлов, который может иметь ваш текущий пароль на вашем компьютере. Независимо от того, измените все свои пароли и не используйте те же самые из ... 2004.

Вот ссылка на поиск каталога вашего профиля: http://kb.mozillazine.org/Profile_folder_-_Thunderbird И еще одна ссылка, которая сообщает вам, что каждый файл должен хранить там: http://kb.mozillazine.org/Files_and_folders_in_the_profile_- _Thunderbird

Если предположить, что в вашем профиле TB хранится современная версия файла паролей 2018 года, то все ваши пароли там зашифрованы и бесполезны для хакера, который может получить доступ к logins.json.

Поэтому я понимаю, что вы больше не хотите вводить свой мастер-пароль на ТБ. Вот шаги, чтобы сделать это и убедиться, что мастер-пароль действительно "избыточен" в ваших словах или "лишен" в моих.

1. Взгляните на свой профиль TB и поищите старые файлы паролей, на всякий случай. Удалите старые файлы паролей (перечислены выше) со старыми датами файлов. Очевидно, не удаляйте файлы с недавними датами файлов. Просматривайте файлы в Блокноте или стороннем средстве просмотра необработанного текста с включенной Word Wrap. Ваш logins.json будет перечислять ваши пароли в зашифрованном виде, поэтому вам не нужно возиться с этим.
2. Перейдите в Сервис -> Параметры -> Безопасность -> Сохраненные пароли ... и нажмите Удалить все.
3. Удалите ваш главный пароль TB. Сервис -> Параметры -> Безопасность -> Снимите флажок Использовать мастер-пароль.
4. Выйдите из Thunderbird после завершения этого процесса.
5. Измените ваши пароли электронной почты OAuth2 с помощью Google, et al. (Важный шаг. Этот шаг практически сводит на нет любой вопрос о том, являются ли ваши локально сохраненные пароли действительными, если они получены и расшифрованы злоумышленником с доступом к вашему жесткому диску.)
6. Запустите Thunderbird.
7. Предполагая, что вы используете Oath2 для всего, как вы заявили, все ваши учетные записи будут использовать этот метод.
8. Теперь вы должны использовать туберкулез без мастер-пароля. Убедитесь, что все ваши аккаунты работают.
9. Я новичок в этом обмене, поэтому, пожалуйста, будьте добры!

И, наконец, на вашем компьютере останутся файлы со ссылками на пароли в зашифрованном и не так зашифрованном виде. Хорошие хакеры или криминалисты могут получить эти файлы и, потратив достаточно времени и денег, найти информацию о вашей истории паролей. Если это для вас новость, вы можете рассмотреть шифрование всего диска, смарт-карты и другие приемы безопасности, которые выходят за рамки ввода пароля на клавиатуре.

Часть 2 добавлена для Баунти

Щедрость охватывает немного большую область, поэтому я считаю, что это важный ответ на вопрос об OAuth2. Как правило, человек должен запустить Thunderbird 38 или новее для совместимости с OAuth2. Кроме того, есть кое-что о "новых" учетных записях Gmail, которые больше не работают со стандартными логинами в стиле паролей IMAP. Поскольку этот пользователь, очевидно, имеет "старую" учетную запись gmail, использование паролей IMAP может быть вариантом для пользователя ToDo. Этот вопрос подразумевает, что, хотя пользователь ранее использовал свою учетную запись для входа в старый пароль электронной почты, он больше не желает использовать этот метод и решил использовать OAuth2.

Вот соответствующие ссылки:

1. https://support.mozilla.org/en-US/kb/new-thunderbird-38#w_google-oauth2

2. https://support.mozilla.org/en-US/kb/thunderbird-and-gmail

3. и технический от Google: https://developers.google.com/gmail/imap/xoauth2-protocol

В последней ссылке вы видите, что PLAIN , LOGIN , XOATH2 являются разрешенными методами для входа на SMTP-сервер Google. Однако использование PLAIN и LOGIN и более старых форм аутентификации SMTP или IMAP разрешено только тем пользователям, которые включают небезопасные приложения в своем профиле Google. Google хочет, чтобы вы использовали OAuth2. И они предпочитают двухфакторную аутентификацию. LOGIN и PLAIN - это не одно и то же, поэтому пожилые пользователи IMAP были в восторге.

Позвольте менее безопасным приложениям использовать вашу учетную запись . Вы можете попасть туда, нажав https://myaccount.google.com/lesssecureapps или прочитать об этом, проверив здесь: https://support.google.com/accounts/answer/6010255?hl=ru.

И для тех из вас, кто интересуется, должен ли каждый использовать OAuth2 в Thunderbird или любом другом приложении, ответ - нет. Старые аккаунты Gmail, особенно те из нас, кто использует IMAP, все еще могут использовать более старые методы аутентификации для IMAP и SMTP. Совершенно новые учетные записи Gmail могут не использовать эти устаревшие методы, поскольку Google предпочитает использовать приложение Gmail и другие программы, такие как Thunderbird 38 или новее, с этой возможностью.

Answer 2

При стандартном входе в систему электронной почты Thunderbird по умолчанию используется для хранения ваших паролей в незашифрованной базе данных. В последнее время база данных зашифрована, но со случайным ключом ("ключом SDR"), который хранится в вашем профиле и может быть доступен злоумышленнику. Когда вы используете мастер-пароль, он используется для шифрования ключа SDR, защищая базу паролей. Если у вас нет мастер-пароля или каких-либо других средств аутентификации в Thunderbird, шифрование будет довольно бессмысленным, поскольку любой, кто имеет доступ к вашей копии Thunderbird, сможет ее расшифровать.

С OAuth2 вы предоставляете свой пароль Google или другому поставщику услуг, а не Thunderbird. В ответ вы получаете токен аутентификации (ОК, он немного сложнее ), который вы можете использовать для входа в службу в течение определенного периода времени. Вместо того, чтобы хранить ваш пароль, Thunderbird сохраняет ваш токен аутентификации.

Я предполагаю, что без мастер-пароля Thunderbird будет хранить токен OAuth так же, как он хранит пароли, так что они могут быть относительно легко украдены вредоносным ПО или злоумышленником, имеющим доступ к вашей системе. Злоумышленник может получить доступ к вашей учетной записи, по крайней мере, до истечения срока действия токена. Я не смог проверить, так ли это, но если вы посмотрите в диспетчере паролей Thunderbird (Инструменты / Параметры / Безопасность / Сохраненные пароли), вы увидите там свои токены OAuth. Поэтому я считаю, что ваши токены OAuth хранятся так же, как и традиционные пароли.

Чтобы ответить на вопрос OP, если мое предположение верно, то я бы сказал, что даже если все ваши учетные записи используют OAuth2, все равно полезно иметь главный пароль для защиты ваших учетных данных OAuth.

Другие причины использования мастер-пароля

• предотвратить случайный доступ к Thunderbird. Я использую надстройку StartupMaster для запроса мастер-пароля при запуске. Это можно легко обойти, но это мешает моим маленьким детям / кошкам удалять мои электронные письма.
• если вы хотите установить сертификаты S / MIME для цифровых подписей или шифрования. Для обеспечения безопасности ваш закрытый ключ должен храниться в зашифрованном виде, а Thunderbird нужен главный пароль, чтобы сохранить его в безопасности.

Как указывает @uruiamme, функциональность OAuth2 впервые появилась в Thunderbird 38, но вы все еще можете использовать более старые механизмы аутентификации с Gmail. Подробности о том, как это настроить, находятся в базе знаний MozillaZine. Хотя Google может в какой-то момент решить настаивать на использовании OAuth2 для всего доступа к Gmail, Thunderbird, вероятно, будет поддерживать обычные пароли в обозримом будущем. Есть еще много других почтовых сервисов, которые не используют OAuth.

Источники:

• Шифрование мастер-паролей в FireFox и Thunderbird - простое объяснение с советами по повышению безопасности.
• Как браузеры хранят ваши пароли (и почему вы не должны их пускать) - более сложное техническое объяснение, ориентированное на Firefox, но Thunderbird работает так же.
• Использование OAuth 2.0 с API Google - проект, демонстрирующий, что без безопасного хранилища возможно украсть учетные данные OAuth2 из одного приложения и использовать их в другом.