Ich bin in diesem Sinne auf eM Client aus Prag gestoßen.
https://de.emclient.com/
Ich teste das Programm unter meinem Anspruch an Privatsphäre, Datenreduktion und Verschlüsselung für die nächsten Wochen.
Hat jemand Erfahrungen mit eM Client ?
PS: Habe gerade gesehen, dass es im Forum schon ein Beitrag gab: https://www.kuketz-forum.de/t/ios-e-mail-client-pgp-s-mime/9411
eM liest sich gut. Die haben aber keinen Linux Client und scheinen lt. deren Forum auch keinen machen zu wollen.
Jap, damit sind sie für mich raus. Zu Windows Zeiten hab ich den Mal genutzt und ist auch echt gut aufgebaut.
Ich verstehe den Hauptbeitrag ganz oben nicht. Ist diese rote Leiste in BetterBird jetzt die Lösung für alles, was bei TB falsch läuft? In TB gibt es außerdem auch eine solche Leiste samt Dropdown-Menü, nur gelb statt rot.
Das mit dem leicht knackbaren Masterpaßwort von Mozilla habe ich noch nie gehört/gelesen. Gibt es dazu Quellen? Würde mir sehr interessieren.
@Frank Die rote Leiste in Betterbird ist eine Antwort auf das Problem mit der pauschalen Blockierung externer Inhalte in PGP-verschlüsselten Nachrichten. Sie ist nicht die Lösung für alle Probleme, die in Thunderbird existieren, sondern eine gezielte Verbesserung, die es Nutzern ermöglicht, selbst zu entscheiden, ob sie externe Inhalte in bestimmten Nachrichten anzeigen möchten. Das ist besonders für Nutzer von PGP-Verschlüsselung relevant, da sie häufig externe Inhalte manuell zulassen müssen, wenn sie sicher arbeiten möchten.
Leiste in Betterbird
Ja, auch Thunderbird hat eine ähnliche gelbe Leiste, allerdings fehlt dort die Flexibilität und Nutzerfreundlichkeit, die Betterbird jetzt bietet.
Dass das Masterpasswort in Mozilla-Produkten unsicher ist, wurde in der Vergangenheit mehrfach dokumentiert. Das Problem besteht darin, dass es mit sehr einfachen Mitteln (geringe Rechenleistung und Basiswissen) geknackt werden kann. Dazu gibt es diverse Quellen:
Diese Quellen zeigen, dass das Problem seit vielen Jahren bekannt ist, aber keine grundsätzliche Lösung implementiert wurde.
Der Bugreport wurde vor 5 Jahren geschlossen und ist wohl seitdem auch kein Thema mehr.
@ToKu Das hast du richtig gesehen.
Das Problem wurde zumindest teilweise angegangen, jedoch wurde keine endgültige Lösung implementiert, die in allen Aspekten zufriedenstellend ist.
Die Schwachstelle des Master-Passworts wurde technisch entschärft, aber nicht vollständig behoben. Das Problem bleibt insbesondere bei älteren Datenbanken key3.db bestehen. Auch die Verwendung moderner Algorithmen wie PBKDF2 wurde noch nicht vollständig umgesetzt. Wer das Master-Passwort nutzt, sollte daher Vorsicht walten lassen, da die grundlegende Sicherheit immer noch nicht auf einem aktuellen Stand ist.
Auch wenn der Bugreport zu Mozillas unsicherem Master-Passwort vor Jahren geschlossen wurde, bleibt das Problem bestehen: Das Master-Passwort ist weiterhin anfällig für Brute-Force-Angriffe. Die ergriffenen Maßnahmen waren unzureichend, und eine moderne, sichere Lösung fehlt bis heute.
Die Sinnhaftigkeit eines Masterpasswortes hängt natürlich sehr von der individuellen Arbeitsumgebung und Verhalten ab.
Ein Masterpasswort wird doch nur in Situationen benötigt, in denen man Gefahr läuft, dass nicht vertrauenswürdige Personen, sich am laufenden Rechner zu schaffen machen.
Achtet man in solchen Situationen darauf, bei Abwesenheit den Rechner abzumelden oder herunterzufahren und hat auch ein entsprechendes Passwort gesetzt, braucht man auch kein Mailmasterpasswort. Für den Fall eines Diebstahls des Rechners hilft in meinen Augen eine Verschlüsselung der Festplatte viel mehr und man kann sich auch hier ein Mailmasterpasswort sparen.
Mich würde auch interessieren, wieviel Prozent der Thunderbirdnutzer überhaupt ein Masterpasswort benutzen? Ich persönlich kenne keinen Einzigen und ich selber habe es auch relativ schnell deaktiviert, da ich unter oben angegeben Vorkehrungen, außer Komfortverlust, überhaupt keinen Mehrwert erkennen konnte.
Würde das dann auch bei dir bedeuten, dass du ein Masterpasswort auch bei einem Passwort-Manager für unnötig hältst?
Ich verstehe die Argumentation, dass man quasi eh „verloren“ hat, wenn jemand Zugriff auf deinen Rechner hat. Nichtsdestotrotz würde ich sensibel Daten absichern. Also Plan B.
Ich habe trotzdem bestimmte Daten auf meinem Rechner mit einem Masterpasswort gesichert. Ein Verlust des Komforts erlebe ich dank Fingerabdrucksensor oder Face-ID nicht.
Aber sehr interessanter Punkt!
Wenn sie nur auf meinem Rechner wäre, in letzter Konsequenz theoretisch ja.
Praktisch aber nein. Für meine Mails halte ich meinen Rechner und meine Umgebung für sicher genug. Da ich kein IT Experte bin, gehe ich aber bei dermaßen sensiblen Daten wie eine Passwortdatenbank auf Nummer sicher. Insbesondere, da es bei der Handlichkeit der Keepassdatenbanken wunderbar möglich ist, sie mal eben auf einem USB Stick abzuspeichern und auf einem anderen Rechner mit einer anderen Datenbank zu synchronisieren und mir die Daten auch so wichtig sind, dass sie regelmäßig mehrfach an verschiedenen Orten gesichert sind, ist es mir lieber auch sie mit einem Passwort zu sichern. Die verschiedenen Orte sind zwar verschlüsselte Backupplatten, aber alleine wegen der USB Stick Praxis hätte ich Angst, eventuell doch einmal den Überblick zu verlieren und liefe dann in Gefahr, dass eine Keepassdatenbank ungesichert irgendwo „rumgammelt“.
Nur schwache Master-Passwörter sind anfällig für Brute-Force-Angriffe. Selbst wenn man einen schwachen (weil schnellen) Hashalgorithmus wie MD5 zugrunde legt, ist ein Brute-Force-Angriff auf ein gutes Passwort zu teuer und zu zeitintensiv.