gmail-App: Passwörter bei IMAP lokal?

  • Antworten:6
  • OffenNicht stickyBentwortet
  • Forum-Beiträge: 3

05.10.2018, 09:20:26 via Website

Vor einiger Zeit ging durch die Presse, dass einige email-Apps für Android die Passwörter auf den Servern der Anbieter der Apps speichern. Der E-Mail-Verkehr lief so teilweise über die entsprechenden Server.

Hat jemand Erfahrung oder verlässliche Angaben, ob das bei der gmail-App auch so ist?
Oder speichert diese angelegte Konten (IMAP) und vor allem die Passwörter anderer Anbieter bzw. von einem eigenen Server nicht auf Google-Servern sondern nur lokal?

Vielen Dank für kompetente Antworten!

— geändert am 05.10.2018, 18:30:51

Diskutiere mit!
Beste Antwort
  • Forum-Beiträge: 15.633

05.10.2018, 19:59:12 via Website

Wenn man bei Google ein Konto hat, muss Google natürlich das Passwort gespeichert haben.
Wenn man bei der Telekom ein Konto hat, muss die Telekom natürlich das Passwort gespeichert haben.
Wenn man bei GMX ein Konto hat, muss GMX natürlich das Passwort gespeichert haben.
...

Allerdings haben diese die Passworte hoffentlich nicht im Klartext gespeichert, sondern als sogenannten "Salted Hash", Hash" bedeutet, das Passwort ist verfälscht. Typische Verfahren dazu nennen sich Blowfish oder SHA-256. MD5 und SHA-1 werden hoffentlich nicht mehr verwendet, denn diese Verfahren sind geknackt.

"Salted" bedeutet, es wurde ein zusätzliches "Geheimnis" verwendet, durch das eine Rückrechnung des Hashes erschwert werden soll. Rückrechnen ist möglich, wenn man eine genügend große Anzahl Hashes, genug Rechenleitung und/oder Zeit hat.

Gerade heute wurde bekannt, dass eine Datenbank mit nicht gehashten Passworten von A1 Telekom geknackt wurde. Manche beachten aktuelle die Sicherheitsregeln nicht oder passen alte Systeme nicht an.

Die E-Mail-Programme benötigen selbstverständlich auch die Passworte. Bei jedem Kontakt zum E-Mail-Konto wird Benutzername und Passwort übertragen, der Server errechnet desn Hash (eventuell mit dem Salt) und vergleicht den Wert mit dem in der Kundendatenbank. Passt beides zusammen, wird der Zugriff gewährt.

Damit wird klar, dass die Zugangsdaten an mehreren Stellen mitgelesen werden können. Benutzername und Passwort müssen über das Internet übertragen werden und irgendwo könnte ein "Man in the Middle" sitzen. Zum Beispiel der Admin des WLANs in einem Internetcafe oder anderem öffentlichen WLAN. Deshalb wird seit einigen Jahren eine Transportverschlüsselung (SSL/TLS) bei E-Mail bei vielen Provider als Zwang eingesetzt. Ich empfehle jedem, der Provider hat, die das nicht anbieten, den Provider zu wechseln.

Die nächste Stelle ist das E-Mail-Programm. Das E-Mail-Programm (bzw. die E-Mail-App) kann auf das Internet zugreifen und kennt Server, Benutzername und Passwort. Das alles könnte das Programm (die App) an den Entwickler übermitteln. Dann kann der Entwickler jederzeit die Mails lesen und manipulieren oder die Identität übernehmen.

Apps wie BlueMail und TypeApp haben sich diese Rechte sogar per AGB geben lassen. Deshalb warne ich vor deren Nutzung.

Nun gibt es noch ein weiteres Verfahren, bei dem kein Benutzername und Passwort benötigt wird. Diese werden nur bei der ersten Anmeldung am Konto benötigt. Ist die erfolgt, wird ein sogenanntes Zugriffstoken erstellt. Das ist ein digitaler Schlüssel, aber im Grunde nichts anderes als eine Datei, die einen bestimmten Aufbau hat, damit man die Korrektheit eines Tokens prüfen kann. Wenn ein Token ausgetauscht wurde, wird nur noch dieses zur Authentifizierung am Konto benutzt. Das erschwert das Mitschneiden von Benutzernamen und Passwort nochmals.

Google nutzt das für seinen Dienst GMail. Die App GMail nutzt das auch. Auch viele andere Apps nutzen Token, wenn sie Googlekonten ansprechen. Solchen App-Entwicklern gestattet Google das lesen der Mails. Das ist auch per AGB von jedem Googlenutzer abgenickt worden!

Kürzlich wurde das als Skandal veröffentlicht. Tatsächlich finde ich das nicht gut, weil kaum jemand die AGB liest. Allerdings ist es soweit eigene Schuld. Liest man die AGB, versteht man die Technik noch lange nicht und erkennt damit nicht, worauf man sich einlässt. Insofern ist das, was Google macht schon skandalös, sie wollen es jedoch nicht ändern.

"FairEmail" und "K-9 Mail" sind OK.
"AquaMail", "MailDroid" und "Nine" sind meines Wissens OK, ich kann das aber nicht mit Sicherheit sagen.
Von GMail, Outlook, BlueMail und TypeApp rate ich ab.

FairMail ist noch recht neu und sehr einfach gehalten und noch nicht als stable deklariert. Insgesamt ist K-9 Mail eine gute Wahl und in der Vergangenheit bei allgemeinen Sicherheitsproblemen immer postiiv aufgefallen.

Grüße
Aries


Meine Nachbarn hören gute Musik, ob sie wollen oder nicht!

Hilfreich?
Diskutiere mit!
  • Forum-Beiträge: 404

05.10.2018, 17:28:10 via Website

Hallo,

werden die Passworte nicht sowieso auf den Servern gespeichert?
Sonst würde man ja über den Browser nicht ins E-Mailkonto kommen. Die frage ist doch höchstens, wie diese Server gesichert sind und/oder wer darauf Zugriff hat.

Grüße aus Leipzig

Hilfreich?
Diskutiere mit!
  • Forum-Beiträge: 3

05.10.2018, 18:29:45 via Website

Die Passwörter sollten in keinem Falle von fremden Servern gespeichert werden!
Das ist ja genau das Problem...

Eine App, die es nachgewiesenermaßen nicht tut wäre K9. Hier kommt es bei mir und mit meinem Server aber leider zu Problemen.

Daher suchte ich nach einer Alternative. Und da die Mail-App von Google eh installiert ist und IMAP bei Fremdkonten unterstützt, wollte ich wissen, ob das bei dieser App nicht so ist, sondern eine ausschließlich lokale Speicherung der Daten erfolgt.

Vgl. netzwelt.de/betrugswarnungen/164143-mail-apps-android-uebermitteln-passwoerter-anwendungen-betroffen.html

Hilfreich?
Diskutiere mit!
  • Forum-Beiträge: 881

05.10.2018, 19:08:53 via Website

Zur Gmail-App habe ich - im Gegensatz zu anderen Apps - bis jetzt zumindest noch keinen Bericht gefunden, dass da Passwörter zu Appanbieter Google übertragen würden.

Ob ein Passwort lokal gespeichert werden muss, hängt natürlich vor allem vom Mailserver bzw. dem E-Mail-Provider ab.

Gute alternative Apps in der gefragten Hinsicht sind "AquaMail", "FairEmail", "K-9", "MailDroid" und "Nine".

Den Aspekt "ist eh installiert" halte ich übrigens für völlig irrelevant ;).

— geändert am 05.10.2018, 19:09:15

Hilfreich?
Diskutiere mit!
Beste Antwort
  • Forum-Beiträge: 15.633

05.10.2018, 19:59:12 via Website

Wenn man bei Google ein Konto hat, muss Google natürlich das Passwort gespeichert haben.
Wenn man bei der Telekom ein Konto hat, muss die Telekom natürlich das Passwort gespeichert haben.
Wenn man bei GMX ein Konto hat, muss GMX natürlich das Passwort gespeichert haben.
...

Allerdings haben diese die Passworte hoffentlich nicht im Klartext gespeichert, sondern als sogenannten "Salted Hash", Hash" bedeutet, das Passwort ist verfälscht. Typische Verfahren dazu nennen sich Blowfish oder SHA-256. MD5 und SHA-1 werden hoffentlich nicht mehr verwendet, denn diese Verfahren sind geknackt.

"Salted" bedeutet, es wurde ein zusätzliches "Geheimnis" verwendet, durch das eine Rückrechnung des Hashes erschwert werden soll. Rückrechnen ist möglich, wenn man eine genügend große Anzahl Hashes, genug Rechenleitung und/oder Zeit hat.

Gerade heute wurde bekannt, dass eine Datenbank mit nicht gehashten Passworten von A1 Telekom geknackt wurde. Manche beachten aktuelle die Sicherheitsregeln nicht oder passen alte Systeme nicht an.

Die E-Mail-Programme benötigen selbstverständlich auch die Passworte. Bei jedem Kontakt zum E-Mail-Konto wird Benutzername und Passwort übertragen, der Server errechnet desn Hash (eventuell mit dem Salt) und vergleicht den Wert mit dem in der Kundendatenbank. Passt beides zusammen, wird der Zugriff gewährt.

Damit wird klar, dass die Zugangsdaten an mehreren Stellen mitgelesen werden können. Benutzername und Passwort müssen über das Internet übertragen werden und irgendwo könnte ein "Man in the Middle" sitzen. Zum Beispiel der Admin des WLANs in einem Internetcafe oder anderem öffentlichen WLAN. Deshalb wird seit einigen Jahren eine Transportverschlüsselung (SSL/TLS) bei E-Mail bei vielen Provider als Zwang eingesetzt. Ich empfehle jedem, der Provider hat, die das nicht anbieten, den Provider zu wechseln.

Die nächste Stelle ist das E-Mail-Programm. Das E-Mail-Programm (bzw. die E-Mail-App) kann auf das Internet zugreifen und kennt Server, Benutzername und Passwort. Das alles könnte das Programm (die App) an den Entwickler übermitteln. Dann kann der Entwickler jederzeit die Mails lesen und manipulieren oder die Identität übernehmen.

Apps wie BlueMail und TypeApp haben sich diese Rechte sogar per AGB geben lassen. Deshalb warne ich vor deren Nutzung.

Nun gibt es noch ein weiteres Verfahren, bei dem kein Benutzername und Passwort benötigt wird. Diese werden nur bei der ersten Anmeldung am Konto benötigt. Ist die erfolgt, wird ein sogenanntes Zugriffstoken erstellt. Das ist ein digitaler Schlüssel, aber im Grunde nichts anderes als eine Datei, die einen bestimmten Aufbau hat, damit man die Korrektheit eines Tokens prüfen kann. Wenn ein Token ausgetauscht wurde, wird nur noch dieses zur Authentifizierung am Konto benutzt. Das erschwert das Mitschneiden von Benutzernamen und Passwort nochmals.

Google nutzt das für seinen Dienst GMail. Die App GMail nutzt das auch. Auch viele andere Apps nutzen Token, wenn sie Googlekonten ansprechen. Solchen App-Entwicklern gestattet Google das lesen der Mails. Das ist auch per AGB von jedem Googlenutzer abgenickt worden!

Kürzlich wurde das als Skandal veröffentlicht. Tatsächlich finde ich das nicht gut, weil kaum jemand die AGB liest. Allerdings ist es soweit eigene Schuld. Liest man die AGB, versteht man die Technik noch lange nicht und erkennt damit nicht, worauf man sich einlässt. Insofern ist das, was Google macht schon skandalös, sie wollen es jedoch nicht ändern.

"FairEmail" und "K-9 Mail" sind OK.
"AquaMail", "MailDroid" und "Nine" sind meines Wissens OK, ich kann das aber nicht mit Sicherheit sagen.
Von GMail, Outlook, BlueMail und TypeApp rate ich ab.

FairMail ist noch recht neu und sehr einfach gehalten und noch nicht als stable deklariert. Insgesamt ist K-9 Mail eine gute Wahl und in der Vergangenheit bei allgemeinen Sicherheitsproblemen immer postiiv aufgefallen.

Grüße
Aries


Meine Nachbarn hören gute Musik, ob sie wollen oder nicht!

Hilfreich?
Diskutiere mit!
  • Forum-Beiträge: 3

05.10.2018, 21:06:49 via Website

Vielen Dank für eure Hilfe.

Ich werde mir Mal FairEmail anschauen.
Der Entwickler scheint sympathisch.

Gmail werde ich dann nicht weiter nutzen und sogar ggf. das Passwort ändern.

Hilfreich?
Diskutiere mit!
  • Forum-Beiträge: 404

05.10.2018, 22:49:04 via Website

Hallo,

also sehr ausführlich, Dank an Dich, Aries!
Genau das hatte ich auch in Erinnerung - wie sonst soll das ganze funktionieren!
Deshalb ja auch sensible Sachen mit Passworten nicht in öffentlichen WLAN nutzen!
Das rede ich dauernd mit meiner Frau! - Kein Gehör und das, obwohl wir ein Fritzbox-VPN haben.

Grüße aus Leipzig

Hilfreich?
Diskutiere mit!

Empfohlene Artikel