今天,我在 Windows 10(Build 19041)上全新安装的 Thunderbird 版本 78.2.2 上创建了一个新配置文件。单击“使用主密码”复选框时,会弹出密码提示,要求我输入 Windows 帐户的密码(见屏幕截图 - 灰色部分是我的帐户名)。我被告知 Firefox 中也发生了同样的事情。
这似乎是 Windows 操作系统的合法提示。但我有点困惑为什么需要它。它是否使用 Windows 内置的某种密钥环来存储密码?在 Windows 中创建密钥环是否需要帐户密码?
Control Panel\User Accounts\Credential Manager关于凭证存储,根据“上次修改”时间戳,Thunderbird 似乎没有在 下创建任何内容。所以这不是原因。
答案1
总结
它不会对您的 Windows 帐户或 Windows 密码执行任何操作。它只是用来验证它是否真的你在电脑前。(完整内容如下)
完整故事
感谢 @Ramhound 的评论,我能够优化我的网络搜索,除了 Thunderbird 之外,还包括 Firefox。这带来了更多搜索结果。以下是我发现的内容:
首先,Thunderbird(和 Firefox)会将您存储的所有密码以未加密的形式[注 1]存储在您的硬盘上。
在 Firefox 76 之前,任何使用您的 PC 的人都可以打开 Firefox/Thunderbird 设置并单击Show Saved Passwords以显示您的所有秘密,而无需任何访问控制。
为了防止这种情况发生,Mozilla 开发人员添加了 Windows 账户密码提示这个问题就是关于这个的。当您单击 时 Show Saved Passwords,它现在会要求您输入 Windows 密码,以防止别人在您离开时随意查看您的密码。例如,当您在喝咖啡时忘记锁定 PC 时,您的(假设的)爱管闲事的同事。
Windows 帐户密码不用于任何其他用途,只是确保 PC 前的用户确实你。它不用于加密您存储的密码或执行任何与安全相关的操作。任何有权访问您帐户的人仍然可以从您的硬盘驱动器读取所有未加密的密码,如果他们知道在哪里查找的话。
[...] 在当前的错误中,我们没有改变密码的存储方式,我们只是使用一个api向他询问他的windows密码:这有点作弊,所以普通用户感觉更安全,而且他确实更能抵御普通人的攻击,然而在后台:高级用户仍然可以获取密码。[...]
推论:此功能较少的比锁定 PC 更安全。[注 2]
创建主密码[注 3]与访问所有存储的密码相同,因为所有现有(未加密)存储的密码都会转移到新的加密主密码存储中。从现在开始,单击 时需要输入主密码,而不是 Windows 密码Show Saved Passwords。
因此,为了防止您的(假设的)爱管闲事的同事通过设置主密码来绕过 Windows 密码提示,Firefox/Thunderbird 需要先询问 Windows 密码,然后才允许您创建主密码。
设置主密码之前需要进行操作系统身份验证,因为设置主密码将取代操作系统身份验证。
我的个人结论
此功能只是为了防止最不熟练的攻击者发起最基本的攻击。显然,这也是为了惹恼用户,因为 Mozilla快速禁用该功能由于用户的强烈抗议,Firefox 76 首次发布后,该功能被重新引入(至少在 Thunderbird 中,我不使用 Firefox,因此无法确认)。
注 1: 好吧,从技术上来说他们是加密,但加密密钥就位于你的配置文件文件夹中加密密码的旁边. 因此任何有权访问您的用户帐户的人可以访问您存储的 Firefox/Thunderbird 密码。除非您设置了一个主密码。
笔记2:此外,除了登录操作系统之外,要求输入操作系统密码是一个非常糟糕的设计决定。如果您告诉用户在 Web 浏览器中输入 Windows 密码是可以的,那么就会为各种骗局打开大门。网站可以轻松伪造此 Windows 登录提示。是的,已经针对该主题进行了科学研究,多达 20% 的不知情用户陷入了这一陷阱。
注 3: 现在称为使用主密码代替主密码因为“大师”一词的由来。