如何將 Thunderbird 連接到強大的密碼管理器?
集成在 Mozilla Thunderbird 電子郵件程序中的密碼管理器顯然有點過時了,使用 70 年代加密 (3DES) 來儲存帶有主密碼的密碼,即使發生了更改,儘管速度很慢(錯誤 524403,需要 10 年才能完成)修復/提高安全性,錯誤 973759,打開)。
有沒有辦法在不借助外掛的情況下連接外部(本地、GNU/Linux、開源)密碼管理器?
理想情況下,這將是一個像KeePassXC這樣的知名產品。
編輯:我的主要威脅模型是一個正在執行的程序(類似於帶有一兩個錯誤的網路瀏覽器)讀取和洩露密碼儲存文件 - 由於加密弱,這很容易受到攻擊。我的系統具有全盤加密 (FDE),因此當關閉時,這應該不是問題。我的網路瀏覽器實際上無法訪問該文件(瀏覽器周圍有一個容器,使用諸如firejail或bwrap 之類的東西),但是許多其他程序未經檢查且“未經容器”執行。
當然,你可以這樣做,特別是如果你願意重新編譯 Thunderbird 本身。但是,我必須問**你的威脅模型是什麼?**您想通過使用不同的密碼管理器來保護什麼?
回顧一下:Mozilla Thunderbird 儲存了許多秘密(例如電子郵件伺服器密碼),以便它可以執行諸如獲取您的郵件(您可能想要的事情)之類的事情。可以使用主密碼保護這些機密。
沒有它,可以訪問系統的攻擊者(在 Thunderbird 未執行時)可以獲取您下載/記憶體的郵件的副本或安裝木馬,但是 - 假設您使用的是主密碼,並且它足夠強大 -無法檢索它用於訪問郵件伺服器的機密。
你提出商店正在使用 3DES,這不是最好的可用密碼。我同意你的看法。但是,我認為 3DES 仍然足夠安全(截至 2020 年),即使有更高的迭代次數會很好(這與使用 3DES 不同)。
至於你問什麼,有幾個 Thunderbird 擴展聲稱可以滿足你的要求:
- GNOME 密鑰環密碼集成
- GNOME 密鑰環集成
- 奇鳥。使用 KeePass Password Safe 管理您的登錄憑據。
- pass-manager用 *zx2c4 的 pass*替換集成的密碼管理器儲存
不過,您不想使用附加組件。另一種不需要與 Thunderbird 集成的方法是將保存密碼儲存的文件(key4.db、cert9.db…)移動到加密位置(單獨的 luks 分區、encfs 掛載…) . 您可以使用符號連結將它們指向那裡,或者甚至更好地直接加密整個雷鳥配置文件,從而也保護本地文件。
然而,整個磁碟應該已經被加密(除非機器總是位於一個安全的位置,物理攻擊不是問題),因此,為什麼還要為雷鳥機密安裝一個單獨的加密層呢?
總之,
- 如果威脅是攻擊者竊取筆記型電腦或硬碟,則加密磁碟可以完全保護,您不需要雷鳥主密碼。
- 如果威脅是攻擊者在系統執行時訪問系統(例如讓電腦無人看管)並且您打開了 Thunderbird,那麼不同的儲存將無濟於事。我認為許多人在登錄時傾向於打開他們的郵件客戶端,並且(幾乎)一直保持打開狀態(如果關閉和打開它需要提供另一個密碼,這將得到加強)。您需要以不同的方式進行防禦(例如,在離開之前鎖定電台,在啟動螢幕保護程序之前設置短暫的超時)
- 這僅在威脅是攻擊者訪問正在執行的系統但沒有打開郵件客戶端的情況下才有意義,在這種情況下,他們仍然可以執行相當多的惡意操作,如上所述(鎖定會話可以防止它們兩者)。
因此,我懷疑 Thunderbird 密碼儲存使用 3DES 這一事實並沒有真正顯著降低您的安全性。