Met dank aan het internet voor de detail-informatie:

Thunderbird op Ubuntu (en alle Linux-systemen) slaat de wachtwoorden van je e-mailaccounts op in je Thunderbird-profielmap (/home/<je-gebruikersnaam>/.thunderbird/<willekeurig>.default-release/), waarbij dezelfde twee bestanden worden gebruikt als op Windows:
- logins.json — versleutelde opgeslagen wachtwoorden
- key4.db — de versleutelingssleutel die nodig is om ze te ontsleutelen (Thunderbird gebruikt dit zelfs als er geen hoofdwachtwoord is ingesteld)

In die map vindt u:
- logins.json — versleutelde wachtwoorden
- key4.db — versleutelingssleutel
- prefs.js — accountinstellingen
- Mail/ImapMail — uw e-mailopslag

Thunderbird versleutelt wachtwoorden die zijn opgeslagen in logins.json met behulp van de sleutel die is opgeslagen in key4.db.
(Als iemand beide bestanden heeft, kan hij de wachtwoorden ontsleutelen met behulp van bekende tools (bijv. Python-scripts))


Dus nee, ze worden niet plaintext opgeslagen. Daar heb je ook geen bewijs voor aangeleverd, alleen een (intuitieve) aanname.
De wachtwoorden staan versleuteld in een verborgen map op Ubuntu, en je moet moeite doen om de voor mensen leesbare wachtwoorden tevoorschijn te toveren.


PS. ipv papier kun je je wachtwoorden ook in een wachtwoord kluis opslaan. Bv keepass of 1pasword.
Dan hoe je niets lang en complex met de hand over te kloppen vanaf papier.
De kluis wel regelmatig backuppen.

De wachtwoorden staan geëncodeerd (o.a. in base64) in logins.js in je profiel directory. Ze worden dus niet letterlijk in plain text opgeslagen. Dit is hoe standaard wachtwoorden werken in smtp/pop3/imap.

Je kunt ze laten tonen vanuit Thunderbird. In feite is er dan geen beveiliging behalve de inlog op het OS.

Je kan ook e.e.a. instellen zodat de wachtwoorden niet worden onthouden. Dan zul je ze bij het starten van Thunderbird opnieuw moeten opgeven. Dat blijft dan bewaard totdat je het programma sluit.

Vergelijk het met een inbraakwerende voordeur. Met de sleutel (key4.db) onder de deurmat. Met een bordje op de deur 'de sleutel ligt onder de mat' (want open source).

Het proces van het terugzetten van een Thunderbird account laat vermoeden dat er geen gevoelige wachtwoorden in de backup opgeslagen staan. Dit is een vals gevoel van veiligheid die de gebruiker van Thunderbird krijgt.

Verder kan je na het op mijn manier terugzetten van de backup de usernames en wachtwoorden opvragen in het programma zelf. Dat is niet heel veel moeite om te doen. Hierna zijn ze bruikbaar op elke andere computer.

:-)
TS

Dan sla je de wachtwoorden niet op in het programma. Jouw vrije keuze.

Maar als je dat wel doet, hoe wil je dan dat het programma ze opslaat en hergebruikt? Daar heeft hij die key voor nodig. En die moet dan ergens staan (in die backup)


vwb "plaintext":
Dan "staan" die wachtwoorden van jouw nog steeds niet "plaintext" in de backup zoals je claimde. want dan zou je ze zonder extra hulpmiddelen letterlijk moeten kunnen lezen in het bestand logins.json .
Dat is wat plaintext betekent.

"In de cryptografie verwijst ‘platte tekst’ (plaintext) doorgaans naar onversleutelde informatie die nog in cryptografische algoritmen moet worden ingevoerd, meestal versleutelingsalgoritmen. Dit heeft meestal betrekking op gegevens die onversleuteld worden verzonden of opgeslagen."

En dat is bij Thuderbird niet het geval .

Maar wat is jouw perfecte oplossing dan?

Dat gaat voorbij aan het feit dat je originele claim onjuist is dat je daar geen verantwoordelijkheid voor neemt en dat je nu over gaat naar een andere claim terwijl dat niet over plain tekst opslag gaat.
Je hebt simpelweg geen gelijk op je originele claim.

Op je tweede claim daar hebben we de functie hoofdwachtwoord voor. En ja Mozilla kan inderdaad betere uitleg geven over waarom dat erin zit en wat het doet maar de functie zit erin dus je kan vanuit de software prima veilige backups maken.

En als je een tijdje in het IT vak zit weet je ook dat gemiddelde gebruikers slordig omgaan met hun gegevens dat je tig keer wachtwoord reset aanvragen krijgt en waar je dat makkelij met een mail account kan doen lukt dat niet met een hoofdwachtwoord in de software zelf. Gevolg als de gebruiker niet IMAP gebruikt of POP3 met server opslag aan zijn ze hun data kwijt. En dan mag je hopen dat je provider nog een backup kan terughalen en tenzij je managed hosting onder een MSP zit good luck met dat en zelfs dan betaal je waarschijnlijk nog ervoor. Of je moet je eigen server hebben maar dan weet ik echt niet waarom je uberhaubt POP3 zou gebruiken je kan dan veel veiligere opstelling maken.

Dus ja de manier die je gebruikt kan je inderdaad alles mee terughalen *dat is zo bedoeld* wil je het veilig doen dan moet je gebruik maken van het hoofdwachtwoord functie.
https://support.mozilla.org/nl/kb/thunderbird-wachtwoorden-beschermen-hoofdwachtwoord

De deur vergelijking klopt dus niet want je legt zelf die sleutel onder de mat terwijl je dus een sleutelkluis had om die sleutel in te leggen je bent alleen vergeten om die kluis op te zoeken.

En het heeft absoluut niks met opensource te maken dit gedrag vind je ook in closed source.
Outlook O365 applicatie kun je in de modernde variant altijd het wachtwoord achterhalen in instellingen met 1 druk op de knop. En je kan dat niet uitzetten tenzij je in Pro of Enterprise zit handmatig een GPO aanpassing maakt of registry edit uitvoerd. Dat is dus nog erger standaard dan hoe Thunderbird dat doet.

Of nu big endian, little endian, UTF-8, base64, rot13 of wat dan ook gebruikt wordt, maakt niet uit. De beveiliging van je e-mail wachtwoorden in Thunderbird is vergelijkbaar met de beveiliging van plaintext. Er is geen secret die het veilig maakt. De beveiliging is gelijkwaardig aan plain text.

Ik geef wel toe dat je er een hoofdwachtwoord op kunt zetten. Ik vind dat zelf lastig. Ook kan het hoofdwachtwoord gestolen worden door malware terwijl je het intikt. Ik vind wachtwoordzinnen meer iets voor GnuPG. Maar vroeger heb ik ook wel de naam van het account waarmee ik postte gebruikt, zodat automatisch de juiste sleutel gekozen werd. Dat is ook gemak.

Een hoofdwachtwoord voor Thunderbird is meer als je een gemeenschappelijke computer gebruikt. Iets wat Microsoft steeds meer onmogelijk maakt. Iedereen moet zijn eigen Microsoft Account hebben met 2FA via de smartphone.

TS

Nog een keer opnieuw (je ongelijk toegeven is moeilijk):
Plaintext is niet beveiligd. Zo'n wachtwoord kun je overtypen en meteen hergebruiken.
De waarden in het json-bestand kun je niet overtypen en meteen gebruiken. Daar moet jij of thunderbird een extra decryptie voor uitvoeren.

Als je een "secret" wilt gebruiken, dan is dat het "hoofdwachtwoord", wat je dan wel elke keer zelf moeten intypen, Want "secret". Ook voor Thunderbird.
Hoe lastig je dat ook vindt.

Maar je kunt natuurlijk altijd je eigen mailsoftware schrijven, helemaal op je eigen voorkeuren afgestemd. Dan heb je dit soort ongemakken niet. 0:-)



In theorie kan dat met elke toetsaanslag. Ook als je andere wachtwoorden overtypt van bv je papieren wachtwoordkluis. Dat zijn ook toetsaanslagen. ;-)

Maar als je bij het terugzetten van een (thunderbird) backup op een schone installatie al last van malware hebt, dan heb je heel andere problemen, in een heel andere orde van grootte.

>Maar wat is jouw perfecte oplossing dan?
Op linux hebben we een secret manager (e.g. KDE Wallet). Deze gebruikt je user account password om secrets te encrypten op de disk. En het kan onder andere via /proc/{PID}/exe verifieren dat deze gegevens alleen vanuit de correcte app opgevraagd worden. Moet je natuurlijk wel je apps netjes als root installeren.

Windows heeft vergelijkbare oplossingen en thunderbird zou er goed aan doen om deze te gebruiken. Maar thunderbird wordt al jaren niet actief ontwikkeld/verbeterd.

Het enige dat je moet doen, is een backup maken van ~/snap/thunderbird
Dit terug zetten voordat je Thunderbird voor de eerste keer opstart (of verwijderen als dit niet zo is).

Exact did "plain text is niet beveiligd"

We hebben het niet over de sterkte van enige beveiliging we hebben het over je claim van plaintext opslag. Anders moeten we het ook gaan hebben over ciphers en nog meer voor deze claim compleet overbodige informatie. Dan kan je net zo goed je gehele opsec er bij betrekken wat again niks te maken heeft met de plaintekst claim. En iets zegt me gezien je dingen zegt als UTF8 wat geen versleuteling is maar encoding (wat dus wel heel veel uitmaakt omtrent je nieuwe argument voering) dat je daar weinig verstand van hebt. Dus iets neerzetten als TLS_AES_256_GCM_SHA384 of Elliptic Curve Ephemeral Diffie-Hellman gaan we niks mee opschieten. Maar als je het over de complete opsec wilt hebben dan komt dat wel weer om de hoek kijken.

De malware argumentatie is ook niet relevant die kunnen ook copy pastes onderscheppen vanuit keymanagers als je niet aanvullende maatregelen hebt getroffen zoals memory protection. Zodra jij malware op het systeem hebt staan die een privilege escalation heeft veroorzaakt dan helpt niks je. En ik bewijfel tenzeerste dat je beschikt over EDR/SIEM koppeling en een killswitch protocol.

Dat je een hoofdwachwoord ofwel secret lastig vind ja dat kan, dat vinden de meeste daarom dat het ook geen verplicht iets *helaas* is. Maar dan waar gaat de hele discussie over als je beveiligen zelf lastig vind.

Je vind dat de beveiliging niet up to par is maar je weigert dus zelf je beveiliging op te schroeven. Of zoals jij het stelt je hebt een inbraak werende deur (bestaat niet btw dat heet vertragende) en inplaats van de picking en slijptol vertragend slot en sleutel(hoofdwachtwoord met AES 256) kies je ervoor alleen een AXA fiets slot en universele sleutel op te zetten omdat je geen zin hebt die sleutel constant mee te sjeulen en dus in je slot laat.

Wat denk je dat de meeste hier doen die gebruiken een keymanager met een hoofdwachtwoord *los* van hun mail applicatie ofwel MUA. Je typt je hoofdwachtwoord in je keymanager de applicatie runt voor x seconden zonder herverificatie en je geeft opdracht voor het vullen van de hoofdwachtwoord gekoppeld aan applicatie veld in de MUA. En dat is basis beveiliging nog niet te hebben over FIDO2, een losse TOTP, app password / OAuth2 wat je op enterprise niveau zult zien voor toegang tot je MUA. Maar voor de meeste is dat allemaal overkill zelfs een hoofdwachtwoord is voor de meeste overkill maar als je echt wilt hebben over opsec en geen vals gevoel van veiligheid dan werk je met zero trust architecture (ZTA)

Je zegt "mijn mailserver" bedoel je je eigen of bedoel je een licentie, seat voor gebruik van een provider MTA op hun domein. Als het je eigen beheerder server is dan ga ik me nog meer zorgen maken om je data gezien wat je allemaal brabbelt over beveiliging.

Want voor de meeste in het vak is de minste zorg wel wat de MUA zelf lokaal doet want iemand met lokale toegang heeft reeds toegang verkregen is door het gros van je beveiliging heen en dan houdt je reguliere opsec op dan moet je vertrouwen op reactive alerts. De MTA is waar je je mee bezig zou moeten houden hoe veiliig is het transport van de MTA naar de MUA. Hoe is je POP3 ingesteld heb je Implicit of opertunistic TLS of nog erger connect je via poort 110. Want als je je transport al niet in orde hebt maakt het ook geen donder meer uit als het wel plain text was lokaal *wat het dus klaarblijkelijk al niet is*

Dus theoretisch plain text wachtwoord opslag oh dat is wel je minste zorg als het om mailserver infra en gekoppelde opslag gaat. De meeste hier snappen dat die proberen je dat ook uit te leggen maar je kronkelt om de discussie heen en verzeker je je houd hier niemand voor de gek daarmee door wild termen te gaan noemen.

En had je gesteld van *ik denk* dat er plaintext wordt gebruikt dan was de discussie nog gevoerd maar wel andere toon van de meeste hier. Nu is het erger want weet je wat ik en denk meeste hier van balen? De valse claim is geindexeerd omdat je het als onderwerp hebt neergezet en die data vervuld dus nu ook de zoekmachines.

We doen niet aan aannames in de IT we lopen stappenplannen af escalatie routes, we onderzoeken we analyseren, we auditen data we maken PoC's we vragen kennisgroepen we vragen leveranciers *voor* we een claim of conclusie de wereld in helpen. Daarom hebben we ook zaken als responsible disclossure.


Want dat is de volgende discussie die we eigenlijk zouden moeten voeren als je gelijk had *wat je niet hebt* Waarom zou je dit op een willekeurig forum posten je eigen opsec notabene in gevaar brengen in plaats van de leverancier benaderen voor controle en patching voor het een probleem zou worden. Nogmaal hypothetisch want er was nul risico qua threat landscape maar voor the sake of the argument benader ik het alsof het zo wel is. Los van of je wel of niet gelijk had gehad absoluut niet slim en zelfs gevaarlijk.

Die sht zien we helaas nu constant terug in de vorm van AI assisted reports en tooling. Ergste nog is dat zelfs gerenomeerde partijen in die valkuil trappen. Ik had drie weken geleden een partij die tijdens een attack in the wild een ongecontroleerde fix de wereld in hielp wegens paniek en duizenden server beheerders een hart aanval bezorgde met het ongefundeerde advies dat de systemen gewiped moesten worden wegens infectie.

Uiteindelijk bleek het detectie script stuk te zijn en veilige sessie informatie van zichzelf als kwaadaardig te zien.
https://support.cpanel.net/hc/en-us/articles/40073787579671-Security-CVE-2026-41940-cPanel-WHM-WP2-Security-Update-04-28-2026

Duizenden servers als gevolg gingen op zwart toegang van eindgebruikers tijdelijk weggehaald bij providers omdat een detectie script en advies van een gerenomeerde partij zei dat het mis was en beheerders die beter hadden moeten weten blindelings het advies volgde in plaats een redteam simulatie uit te voeren of de detectie wel goed werkte. Want een goede ITer die vertrouwd niet eens blindelings op het advies van zijn leveranciers want uiteindelijk ben jij aansprakelijk, verantwoordelijk voor de acties niet die leverancier. "Never Trust always Verify" geldt dan ook niet enkel voor security maar alle aspecten in de IT zelfs tot je eigen kennis.

Bovenstaande is een schoolvoorbeeld van het gevaar wat er gebeurt als je niet goed analyseert voor je claims de wereld in helpt met consequenties er aan verbonden. Hoe eerder je die les leert en belangrijker ervan leert hoe minder schade je jezelf en andere bezorgt.

Laatste wat ik hier over heb gezegd want als het kwartje nu nog niet is gevallen waarom het vanaf begin flawed logic was dan is verdere argumentering nutteloos en als het wel is gevallen dan is de argumentatie klaar.

Niet zo pedant zeuren, TS heeft meer gelijk dan jij.

Er is geen sprake van "decryptie" als het alleen maar een opslag formaat is - dan is er geen _beveiliging_ .

De betekenis van plaintext is "niet ge-encrypt" . Dat is niet precies hetzelfde als "opgeslagen in een human-readable formaat".
Het kan in een database staan , en dan is "pas" leesbaar als je een SQL query doet , maar niet altijd goed zichtbaar als je naar de rauwe table kijkt.
Base64, UTF8, sqllite db - allemaal "plaintext" maar hebben wat processing nodig om de exacte string eruit te halen.
Sterker - wachtwoorden.doc is niet eens _ZO_ plaintext, het is niet zo heel erg vanzelf "leesbaar" .

Punt is : er is geen _password_ nodig , en dat maakt het een plaintext .

Je mag je ongelijk toegeven hoor.

[knip over hoofdwachtwoord]


Dat klopt . Ik snap niet zo goed wat het threat-model is dat mensen hanteren die blij worden van een "hoofdwachtwoord" .

Je gaat dan uit van een aanvaller die _wel_ die opgeslagen wachtwoord bestanden kon stelen, maar ondanks dat die aanvaller daar bij kon, dan NIET in staat was om het wachtwoord bij intikken te onderscheppen .
En ook ga je ervan uit dat je gekozen hoofdwachtwoord zodanig sterk is dat het bestand blijft tegen de dictionary/brute force aanvaller die de aanvaller erop los gaat laten .

Ik snap echt onder welke omstandigheden iemand zegt "yep, ik ben er 100% zeker van dat de aanval precies zo beperkt is en daarom hoef ik verder niks te doen " .

Ik heb ooit eens opgezocht hoe dat hoofdwachtwoord in Thunderbird en Firefox wordt gebruikt voor een versleuteling, en daar was geen goede 'key derivation'. Goede key derivation is iets dat zwaar is en je wachtwoord omzet in 256 random bits. Firefox gebruikte gewoon een hash. Dat is al even geleden, maar volgens mij is er weinig veranderd.

Ik ben het verder eens met de stelling dat geobfusceerd gewoon zo goed als plain text genoemd mag worden. Het is nog steeds waardeloos.

Overigens, cookies in browsers zijn ook prut opgeslagen in je profiel. Zo is Clinical Diagnostics gehackt: info stealers zoeken sessies. Dan hoef je geen 2FA te kraken. Ik heb dat zelfs gemeld bij Firefox als bug.

Een lastig punt voor gebruikers is dat je niet kan zien of een onthouden wachtwoord goed wordt opgeslagen. Ik heb verschillende systemen gezien, van sqlite DBs in Mozilla production, Windows credential store, andere Windows APIs, etc. Overal is wel wat op aan te merken. En in Linux is het meestal een gebrek aan goede standaard, en een fallback op slechte dingen.

Voor als je wat geavanceerder tools/infa tot je beschikking hebt: ik heb mijn IMAP server voorzien van een hapxory met X509 client certificaat authenticatie. Dan moet je naast je wachtwoord invullen ook dat client cert importeren in Thunderbird. Veel IMAP clients kunnen het niet, vooral op Apple, maar Thunderbird en K9 mail op Android wel.

Op Android is het al een stuk veiliger omdat dat certificaat in het OS staat, en niet in Thunderbird. Op Linux is het nog steeds uit te lezen door een info stealer. Maar het is ongewoon, dus biedt al iets meer bescherming.

Jij gaat echter met je argumentatie voorbij aan de context van deze tread. Namelijk dat de wachtwoorden van TS leesbaar (plaintext) opgeslagen worden. En dat is niet zo.

Voorbeeld van een thunderbird logins.json:


{
"id": 1,
"hostname": "imap://mail.example.com",
"encryptedUsername": "MDIEEPgBBBBABBBEwFAYIbaZIhvcNAwcEaAFsqdqBAiJyHK56O9cid==",
"encryptedPassword": "MDoEEPgBCCCCAAAAAAEwFCDIKoZIBAtABCG4rNAexni08zRm4Sraz/"
}


Je hebt er het SQLite database bestand key4.db (en een extra tool) voor nodig om het te ontsleutelen.
Letterlijk het wachtwoord overtypen vanuit logins.json naar Thunderbird werkt niet.
Dus is het niet zo plaintext zoals TS zelf denkt.


In zijn woorden:

"Je account wachtwoorden staan plaintext in je backups".

Want (is zijn redenatie) Thunderbird kan ze lezen na een "recovery", en het programma hoeft niet de gebruiker (opnieuw) om die wachtwoorden te vragen.

Maar dat is niet alleen tijdens een recovery/terugzetten van de backup het geval, maar elke keer als hij Thunderbird start.
Want waar onthoudt Thunderbird die wachtwoorden dan anders, als het niet dezelfde bestanden zijn die hij kan lezen bij de recovery?
(Mijn aanvulling, waar TS niet eens aan gedacht heeft)


Kan een hacker dit kraken. Natuurlijk. Net zoals zoveel andere dingen default nooit 100% veilig zijn.
Maar dat was de originele discussie niet.

En blijkbaar is TS niet in staat of onwillig om extra maatregelen te nemen.
Al was het maar mbv het hoofdwachtwoord functie in Thunderbird.
Want dat vond hij zelf lastig. (zijn woorden)


Voor een zakelijke omgeving heb je meer beveilging en andere tools nodig.
En niet alleen icm Thunderbird. (zoals anoniem van 23-05-2026 22.28 uur uitvoerig uitlegt. Dat ga ik hier allemaal niet herhalen)

Maar voor een prive of thuissituatie zal het veel mensen geen reet schelen.
Als het maar werkt. Liefst met zo min mogelijke challenges of hobbels. Want ze hebben toch niets te verbergen (voort elkaar thuis).

Wil een prive gebruiker meer veiligheid, dan zal die gebruiker dat zelf op moeten zetten.
Of zelf iets in elkaar moeten knutselen. Want dan heeft die gebruiker de volledige controle.

Het is jouw definitie dat de betekenis van "plaintext" alleen maar "puur ASCII" moet zijn.

In de meeste crypto literatuur wordt niet ingegaan op de details van een opslag (of transport) formaat , alleen het verschil tussen "plaintext" in de zin van "niet gecrypt" .

Een zip-zonder-password beschouw je ook als "plaintext" wanneer je dat verstuurt .

Ik denk overigens dat het doel van base64 hier niet eens obfuscatie is, maar gewoon "ascii opslag" van plaintext die ook UTF8, accenten, etc kan bevatten,of misschien zelf volledig binary .
Dan is Base64 een prima manier om dat robuust weg te schrijven in een verder ascii-formaat zoals json .


mwwww. In een hoop situaties zijn 'bekenden' of 'huisgenoten' nu juist de enigen voor wie je sommige dingen _wel_ wilt verbergen. Of op z'n minst - niet "delen" . Of het nu om game accounts gaat waarvan je je score niet wilt laten vernaggelen door je kleine broertje, een aankoop account bij bol, een beetje porno .

Een hoop lieden hier doet alsof de NSA permanent achter ze aan zit, maar feitelijk zijn de enigen met ietwat interesse in huis-tuin-keuken personen de sociale omgeving ervan.


Ik denk dat dat "hoofdwachtwoord" een beetje een artefact uit de tijd van "gedeelde accounts" is .

Feitelijk - de personal computer is nog meer personal geworden , en de meeste afscherming komt gewoon uit "eigen account" als eventueel de hardware nog gedeeld wordt.

Waar je je tegen moet weren zijn niet je husigenoten. Het zijn info stealers: malware die op je computer komt te draaien die alles wat geheim is uploadt naar een hacker. Dit moet je niet onderschatten. Dit is een heel snel groeiende aanvalshoek.

Daarom is een opmerking als:

> Kan een hacker dit kraken. Natuurlijk. Net zoals zoveel andere dingen default nooit 100% veilig zijn. Maar dat was de originele discussie niet.

juist wel de discussie. Als een secret wordt opgeslagen met de encryptiekey ernaast, is het voor een infostealer kinderspel. Omkeerbare versleuteling is enkel obfuscatie en is waardeloos.

En dat hoofdwachtwoord beschermt in theorie wel tegen info stealers (tenzij ze ook een keylogger installeren), maar omdat het een simpele 'wachtwoord-naar-MD5' is, kan je met een GPU met 'hashcat' daar zo doorheen.

En, omdat het info stealers zijn waar je je tegen wilt weren, zijn de zorgen van de oorspronkelijke poster correct. Je moet helaas een beveiligsexpert zijn om te weten wanneer een onthouden wachtwoord of sessie wel veilig wordt opgeslagen. De gebruiker krijgt immers slechts wat domme vragen. Op een Windows 11 systeem met TPM bijvoorbeeld is een PIN voldoende (afgezien van de Bitlocker hack van laatst). Maar, zonder die TPM of Yubikey ofzo is een PIN waardeloos. Maar, dat kan je als gebruiker gewoon niet weten. Sterker nog, ik ben redelijk expert, maar ik vond het op mijn laatste Android telefoon al moeilijk te interpreteren. Je moet wat van die dialoogjes door, maar hij verstopt zoveel mogelijk implementatiedetails, dus ik weet niet waar ik echt antwoord op geef.

Even aansluitend bij de discussie in de laatste bijdragen: het onderscheid tussen versleutelde en niet versleutelde (plaintext) gegevens gaat niet over hoe goed de sleutel geheim wordt gehouden, maar simpelweg over de vraag of je de data kan gebruiken zonder er eerst het decryptiealgoritme met de juiste sleutel overheen moet gooien. Bij plaintext heb je je gegevens al in bruikbare staat, versleutelde gegevens moet je nog ontsleutelen.

Voor dat onderscheid maakt het geen donder uit of je die sleutel zorgvuldig geheim houdt of hem van de daken schreeuwt. Versleutelde gegevens gaan geen plaintext heten als je de sleutel kent. De term slaat op de vraag "aan welke kant" de gegevens van een versleutelingsalgoritme zitten, in een context waar dat algoritme wordt ingezet. Als je het decryptiealgoritme nog toe moet passen met de juiste sleutel om er iets zinnigs mee te kunnen is het geen plaintext, zelfs niet als iedereen bij de sleutel kan.

In welk threat model voel jij je goed als er _wel_ een infostealer op je systeem staat, maar je toch een wachtwoord of een yubi key gebruikt ?

Waarom ga je er vanuit dat de infostealer NIET meekijkt als het 'echte' wachtwoord naar de mailserver, of naar amazon, of naar netflix etc gaat ?

Het is IMO een ontzettend klein gebied waarin je werkelijk kunt zeggen dat de infostealer niks kon bereiken - je moet weten wanneer die erop gekomen is, weten dat er in die tijdsspanne geen secrets gebruikt zijn (of exact weten wat de betreffende infostealer wel of niet kan) , weten dat de eventuele opslag of encryptie of key bestand is tegen een mogelijke dictionary/brute force .

IMO - als je een infostealer infectie gehad hebt vrees ik dat je toch moet acteren alsof alle credentials die je hebt potentieel compromised zijn, en die boel gaan vervangen.

Wat zou helpen, is als Thunderbird een eigen Export Database functie had. Er is zelfs een programma (welke ik niet gebruik want niet meer op Windows) in dit gat gesprongen; MailStore Home. De Export functie van Thunderbird is gelimiteerd tot 2 GB (dus 32 bits code). En de resulterende .zip heeft geen compressie heb ik ontdekt, terwijl tekst super goed compressed. Ik gebruik zip -o -r -9 BackupThunderbirdMetWachtwoorden ~/snap/thunderbird/common/.thunderbird onder Ubuntu, wat veel betere compressie geeft en portable is naar bijvoorbeeld Windows of een ander besturingssysteem dat .zip ondersteunt. Ik ben van Windows naar Xubuntu naar Windows naar Xubuntu naar Ubuntu gegaan zonder (grote) problemen.

Bij het exporteren van de mail database kan Thunderbird dan de wachtwoorden van je mail accounts wissen, wat ze kennelijk willen uitstralen dat gebeurt.

Nu geeft Mozilla een dubbele boodschap af. Namelijk dat wachtwoorden opnieuw moeten worden ingevoerd na het terugzetten van een backup. En dat hun 'ciphertext' kennelijk zo goed is dat in de mail database backups de wachtwoorden mogen blijven staan. Want encrypted .json.

TS

Wanneer Thunderbird die wachtwoorden kan ontcijferen zonder input van de gebruiker, zijn ze infeite 'plain tekst' opgeslagen.
Iedereen met toegang tot je systeem kan bij die wachtwoorden. Het versleutelen van wachtwoorden zonder hoofdwachtwoord biedt 0 toegevoegde waarde.

Aanname van OP is best accuraat.