默认情况下,Thunderbird 115.6.0 在设置中显示密码(设置 > 隐私和安全 > 已保存的密码 > 显示密码)。
我启用了以下配置,在显示已保存的密码之前要求输入 Windows 密码:
登录.管理.页面.操作系统身份验证.已启用 真的
这是一种安全的方法吗?或者密码仍然以明文形式保存在某些配置文件中?
答案1
否,os-auth仅影响显示的按钮你打开已保存的密码列表时输入密码。这是一个完全自愿的提示——请注意,当你连接到邮件服务器,尽管 Thunderbird 需要有密码的纯文本版本才能连接。
Windows 确实有几种方法可以让 Thunderbird 存储使用您的操作系统帐户加密的密码(DPAPI、EFS),但它们都是“安静的”(它们只是重复使用实际的操作系统登录密码)。这意味着它们只能保护存储免受外部盗窃,而不能防止在您自己的帐户下运行的恶意程序。如果这适合您,您可以转到 Thunderbird 的配置文件目录并为 key4.db 启用“加密此文件”(也许对其他所有内容也一样 - 不仅存储了您的密码;您的所有邮件消息也缓存在磁盘上!)。
Thunderbird 设置中有一个单独的“主密码”或“主密码”按钮,可以使用单独的密码加密您存储的密码数据库,每次启动 Thunderbird 时您都需要输入该密码。(Firefox 具有相同的功能。)
答案2
您的解决方案对于偶尔访问您计算机的人非常有效,但是对于可以自由访问计算机的知识渊博的人却没有任何保护措施。
查看帖子 如何以纯文本形式读取key3.db和logins.json?,其中上述文件就是存储密码的地方。
文章中描述的检索所有密码的方法包括使用专门的实用程序、安装密码导出扩展等,但肯定还存在更多的方法。
最好的保护措施是限制对计算机的访问。如果计算机受到良好保护,Thunderbird 以明文形式显示密码就不是什么大问题。