Passwort-Sicherheit in The Bat! 5

  • Hallo,

    ich habe mir gerade die Testversion von The Bat! 5 installiert und bin soweit angetan, insbesondere die direkte Integration von OpenPGP finde ich super. Ich hab aber noch ein paar Fragen zum sicheren Umgang mit Passwörtern in The Bat! 5.

    Man kann ein Masterpasswort vergeben, ohne das man keinerlei Zugriff auf die Konten hat. Soweit ich das sehe, kann man nicht mal die lokalen Mails lesen, geschweige denn welche abrufen oder senden. Find ich gut und kenne ich so aus keinem anderen Mailprogramm (normalerweise sperren Master-Passwörter ja nur den Zugriff auf den Konto-Server, nicht aber auf die lokalen Mails).

    Mich würde aber noch interessieren, wie die Passwörter in The Bat! (also Master-Passwort, aber auch die Konto-Passwörter) gesichert sind. Ich habe mir bereits ein paar Programme zum Auslesen der Passwörter in The Bat besorgt (u.a. The Bat Password Recovery) konnte meine eigenen Passwörter nicht lesbar machen. Find ich gut!

    Nun meine Frage: Werden die Passwörter verschlüsselt gespeichert? Wenn ja, mit welchem Algorithmus?

    (Und bevor jetzt jemand komisch guckt: nein, ich habe nicht vor jemand anderes The Bat! zu hacken. Seitdem mir ein Freund vor kurzem gezeigt hat, dass Microsoft auch im Jahre 2013 offenbar noch nichts von Passwortverschlüsselung in Windows Live Mail gehört hat, bin ich sensibilisiert. Bevor ich jetzt Geld für The Bat! ausgebe, möchte ich es einfach genau wissen.)

  • Man kann ein Masterpasswort vergeben, ohne das man keinerlei Zugriff auf die Konten hat.

    In TB! gibt es zwei Passwort-Möglichkeiten. Entweder über OTFE und ein Masterpasswort oder ohne OTFE über Kontopasswörter (STRG+F12 bzw. Menü "Konto | Konto-Passwort setzen..."). OTFE ist u.U. sicherer, da aber dort fast alles verschlüsselt wird, kann man im Notfall kaum etwas wiederherstellen, falls man keine Sicherung hat.


    Ich habe mir bereits ein paar Programme zum Auslesen der Passwörter in The Bat besorgt (u.a. The Bat Password Recovery) konnte meine eigenen Passwörter nicht lesbar machen.

    Bei eingeschalteter OTFE ist es nicht möglich, ansonsten schon.


    Nun meine Frage: Werden die Passwörter verschlüsselt gespeichert? Wenn ja, mit welchem Algorithmus?

    Gespeichert wird das Masterpasswort in der Datei "mastrkey.dat". Mit welchem Algorithmus, kann ich nicht sagen. Müsste wahrscheinlich in der Beschreibung stehen, wenn man während der Installation OTFE aktiviert.

    Zur Sicherheit und OTFE muss man noch Folgendes anmerken. Wir haben hier eine Anleitung gepostet, wie man OTFE rückgängig machen kann. Durch diese Vorgehensweise wird auch das Masterpasswort abgeschafft. Wer also an eine TBK-Sicherung herankommt, kann diese ohne das Masterpasswort wiederherstellen. Die Sicherung sollte also entweder bereits während der Erstellung gleich in TB! mit einem Passwort versehen werden oder später in ZIP etc. mit einem Passwort gepackt werden bzw. nachträglich anderswie geschützt werden.

  • Vielen Dank für die Antwort, hat mir wirklich weitergeholfen. Für mich heißt das, The Bat! ist eine feine Sache, aber wenn, sollte man sich gleich die Professional-Version zulegen.

    Der Hinweis mit der Verschlüsselung der Backups ist ein wichtiger. Ich habe hier übrigens gelesen, dass The Bat! mit einer AES-Verschlüsselung arbeitet.
    The Bat! Voyager 5.0.30.1

    Auch wenn leider nichts zur bit-Stärke gesagt wird, ist AES ja selbst in der "kleinen" Variante kaum überwindlich für Normalsterbliche.

    Danke und Gruß

  • Der Hinweis mit der Verschlüsselung der Backups ist ein wichtiger. Ich habe hier übrigens gelesen, dass The Bat! mit einer AES-Verschlüsselung arbeitet.

    Wenn Voyager mit AES arbeitet, dann wird das bei Pro nicht anders sein. Dort steht auch, dass ein neuer Switch unterstützt wird, und zwar:

    Code
    /AES_BENCHMARK


    Vielleicht bekommst du damit mehr Infos. Wenn du mehr erfährst, dann poste das bitte für alle hier.