Topic: Thunderbird Aggiorna Password da solo

[Bengala]

Salve a tutti
Scrivo perché mi è successa una cosa un po' preoccupante che non riesco a spiegarmi e per cui non ho trovato alcuna risposta in giro su internet ed in questo forum.
È iniziato tutto con una mail sospetta, apparentemente auto inviatomi (ma so che ci sono modi per farlo infatti l'IP di provenienza era estero e la mail è stata filtrata come spam automaticamente), contenente un ricatto in cui mi si diceva che mi avevano violato il PC ecc ecc... Sono sicuro al 99,9% che si tratta di un bluff per tanti motivi, ma comunque ho deciso di cambiare la password del mio account Microsoft, la cui email la visualizzo con Thunderbird.
Dopo aver scansionato tutti i miei sistemi a dovere ed aver ricontrollato le autorizzazioni dei firewall ecc... mi sono connesso da casa alla pagina Microsoft ed ho cambiato la mia password.
Il giorno dopo (oggi) ho messo la mia nuova password su pennina (file criptato) e l'ho portata in negozio per cambiarla su Thunderbird; ed è qui che è successa una cosa preoccupante:
Thunderbird si è connesso alla mail senza necessità di cambiare password! (ci ha messo un pochino di più del solito).
Quindi sono andato a vedere sulle opzioni ed ho visto che era comparsa la mia password nuova, che avevo cambiato la sera prima dalla pagina internet dell'account, connettendomi da un computer installato in un'altra abitazione rispetto a quella dove uso Thunderbird!
Qualcuno sa spiegarmi come caspita è possibile?
Ho cercato se esistessero delle procedure ed accordi per cui fosse possibile una cosa del genere ma non ho trovato niente.
Pensate che abbia un qualche virus, malware o comunque che i miei sistemi/Account siano in qualche modo compromessi?
Grazie mille in anticipo.

[miki64]

Allora prima di tutto vorrei capire se hai effettivamente aperto l'email sospetta con Thunderbird.
Per seconda cosa vorrei capire se hai portato a seguito di questo problema il tuo PC in un negozio in assistenza.
Per terza cosa vorrei capire se comunque hai fatto una scansione dopo avere scoperto che tanto che Thunderbird conosceva già la password.
Effettivamente sembra che il tuo sistema sia stato compromesso, non mi spiego neppure io perché Thunderbird conoscesse già la password però questa è un utile indicazione che fornisce un client email rispetto ad una connessione online in webmail.
Altra cosa: stiamo parlando di un account Outlook/Live di Microsoft?
Hai dei componenti aggiuntivi installati su Thunderbird? Quali?
Hai abilitato l'Oath o come-cavoletto-si-chiama su quell'account?
Hai provato un programma come Adaware?

[Bengala]

l'ho aperta con Thunderbird, ma non sono presenti link in essa ne lo stesso Thunderbird ha bloccato niente ne io ho consentito niente.
non l'ho portato all'assistenza.
sul pc che poi "ha trovato da se" la password ho fatto (prima ancora di modificare la mia password dall'account) una scanzione completa con comodo antivirus, ma dovevo andare via e l'ho lasciato finire da se con l'opzione di spegnimento automatico. sembra non abbia trovato minacce.
dopo che ho appreso della password ho usato anche Malwarebytes; sempre nulla.
è un account Outlook/Live di Microsoft darivato da vecchissima mail hotmail.
come componenti aggiuntivi ho Lightning per il calendario.
Cos'è l'Oath?

anche se il sitema fosse compromesso non credo dipenda da quella mail (ho visto in giro su internet che è arrivata la stesssa mail a molti negli ultimi giorni ed a me il contenuto non si applica), ma magari da qualcos'altro avvenuto precedentemente.

[miki64]

l'ho aperta con Thunderbird, ma non sono presenti link in essa ne lo stesso Thunderbird ha bloccato niente ne io ho consentito niente.

Benissimo.

non l'ho portato all'assistenza.

Avevo capito di sì, avendo tu scritto la parola "negozio" in precedenza.

sul pc che poi "ha trovato da se" la password ho fatto (prima ancora di modificare la mia password dall'account) una scanzione completa con comodo antivirus,

Stop, basta così.
Su Windows uso anche io Comodo e se non è proprio il top dei top come antivirus, tutti i suoi altri moduli della Internet Suite (firewall, auto-containment., HIPS) non danno scampo a nessun malware, quindi per me in effetti sei a posto da quel punto di vista.
Tuttavia, giusto per scrupolo, una scansione con il formidabile Adaware io la farei lo stesso.

dopo che ho appreso della password ho usato anche Malwarebytes; sempre nulla.

Logico.
Anche se poco considerato, l'antivirus di Comodo è comunque un buon antivirus.

come componenti aggiuntivi ho Lightning per il calendario.

Solo quello? Sicuro?

Cos'è l'Oath?

In poche parole, l'autenticazione a due fattori ma non ricordo bene, tecnicamente, come si scrive.
Se in precedenza sul sito di Microsoft avevi consentito al login tramite un account terzo che fa da "lasciapassare", allora probabilmente l'esserti poi ritrovato la giusta password nel tuo client senza averla mai digitata avrebbe potuto dipendere da questo tipo di autenticazione, ma se non sai che cos'è è chiaro che non c'è (e quindi il mistero rimane).

anche se il sitema fosse compromesso non credo dipenda da quella mail (ho visto in giro su internet che è arrivata la stesssa mail a molti negli ultimi giorni ed a me il contenuto non si applica), ma magari da qualcos'altro avvenuto precedentemente.

Potrebbe essere, boh... 

[Bengala]

Arcano risolto

La spiegazione più semplice spesso è quella vera:
semplicemente ho confuso le password ed in effetti c'era sempre quella vecchia in Thunderbird 
complice il fatto che, in qualche modo mi ha scaricato comunque una mail nuova, quindi mi ha spinto a credere che fosse cambiata...

comunque ho approfittato della cosa per migliorare la sicurezza del pc: fra i vari accorgimenti, so che Comodo non è il Top come antivirus così ho anche scaricato Adaware ed ho scansionato come suggerivi. Ha trovato un paio di positivi, ma direi non correlati (anche perchè di fatto non dovrebbe essere successo niente).
poi Wise Registry Cleaner per pulire un po' il registro.
ho visto che Adaware ha una modalità di installazione per la compatibilità con altri programmi tipo Comodo e l'ho scelta. Stavo comunque pensando di usare comodo come Firewall + Hips ecc e Adaware come antivirus (spengendo o disistallando quindi quello di Comodo). Me lo consiglieresti?

l'atenticazione a due fattori. Ne ho sentito parlare ma non credo di averla mai usata.

e per quanto riguarda i componenti aggiuntivi, nella gestione dei componenti di Thunderbird io vedo solo Lightning.

Grazie mille comunque per i consigli.
Alla fine tutto e bene quello che finisce bene anche se l'arteriosclerosi è sempre più potente in me...

[miki64]

La spiegazione più semplice spesso è quella vera:
semplicemente ho confuso le password ed in effetti c'era sempre quella vecchia in Thunderbird 
complice il fatto che, in qualche modo mi ha scaricato comunque una mail nuova, quindi mi ha spinto a credere che fosse cambiata...

Risolto il mistero, se ne apre un altro: come ha fatto a scaricare un messaggio con la password vecchia? 

ho visto che Adaware ha una modalità di installazione per la compatibilità con altri programmi tipo Comodo e l'ho scelta. Stavo comunque pensando di usare comodo come Firewall + Hips ecc e Adaware come antivirus (spengendo o disistallando quindi quello di Comodo). Me lo consiglieresti?

Se il tutto funziona sì, altrimenti lascerei il solo Comodo e utilizzerei in seguito Adaware per i soli casi più sospetti.
Mi raccomando a non pulire nulla del profilo di Thunderbird   con Wise Registry Cleaner, soprattutto!

l'atenticazione a due fattori. Ne ho sentito parlare ma non credo di averla mai usata.

Io non la uso per due miei convincimenti personali:

• il giorno in cui avrò il bisogno urgente di scaricare immediatamente un mio messaggio da un altro PC potrebbe accadere di non avere il telefonino con me, oppure di avere lo stesso telefonino scarico...;
• perché devo dare il mio numero di telefono "vero" a chi mi fornisce l'account di posta?

Tu invece fai le tue valutazioni.

e per quanto riguarda i componenti aggiuntivi, nella gestione dei componenti di Thunderbird io vedo solo Lightning.

Che è un ottimo programma.   

Grazie mille comunque per i consigli.

Di nulla, ciao.

[deckard]

l'atenticazione a due fattori. Ne ho sentito parlare ma non credo di averla mai usata.

Io non la uso per due miei convincimenti personali:

• il giorno in cui avrò il bisogno urgente di scaricare immediatamente un mio messaggio da un altro PC potrebbe accadere di non avere il telefonino con me, oppure di avere lo stesso telefonino scarico...;
• perché devo dare il mio numero di telefono "vero" a chi mi fornisce l'account di posta?

Oath, che poi in realtà sarebbe Oauth, è un protocollo ed è stato pubblicato come RFC 5849 nell'aprile 2010.
OAuth 2.0 (<= Click per link a Wikipedia) è un'evoluzione di OAuth 1.0 è descritta nel documento RFC 6749 dell'ottobre 2012.
Lo scopo è quello di accedere alla casella di Gmail proteggendo le credenziali d'accesso. Cioè permette all'utente di dare ad un sito, chiamato consumer, l'accesso alle sue informazioni presenti su un altro sito, detto service provider, senza condividere la sua identità e in particolar modo la password.
La sicurezza in due passaggi tramite SMS o Token NFC o Token USB (Fido U2f o Solo) o App OTP (Google Authenticator o Authy) è un discorso diverso. Molti esperti di sicurezza ritengono che sia diventata ormai necessaria, se non indispensabile, ma andrebbe valutata con attenzione prima di abilitarla.
Lo scopo è sempre quello di proteggere il proprio account da accessi indesiderati (oltre a varie altre considerazioni a margine, considerazioni che però aprirebbero tante divagazioni che andrebbero fatte lateralmente, in una discussione diversa, e magari anche altrove)...
C'è un documento su Medium che andrebbe letto:
Before You Turn On Two-Factor Authentication…
Stuart Schechter
Aug 14, 2018
(Lettura da) 20 minuti

Perché dare il vero e proprio numero di telefono?
Non necessariamente deve essere il numero di telefono principale (e comunque il sistema tramite SMS è il meno sicuro ed è stato violato da White Hat e Black Hat Hackers). Basta avere una sim secondaria senza abbonamenti e canoni e un “dumb phone” (i telefonini “stupidi” come il vecchio Nokia 3310 o il Samsung GT-E1080/I, che forse si limitavano ad avere il GPRS e il WAP, o qualcosa del genere, e senza un sistema operativo e applicazioni come quelli in uso oggi, gli “smart phone”). E la durata della batteria era molto lunga e le dimensioni erano abbastanza piccole da poterlo tenere con sé e farlo passare inosservato.

[miki64]

Grazie per questi utili chiarimenti, Deckard. 

Mi sa tanto che prima o poi un Negramaro del Salento (visto che lo citi spesso e visto che non è lontanissimo dalle mie parti) te lo regalo io, per sdebitarmi... 

[deckard]

Prego. Uno è lieto di servire. Su ilSoftware.it c'è un articolo su “Autenticazione a due fattori: quali siti e servizi online la offrono”. Non inserisco direttamente il link per non aprire troppe divagazioni. Il vino me lo gusterò con un po' di cucina salentina. In Italia ovunque si vada c'è dell'ottima  cucina.

La spiegazione più semplice spesso è quella vera:
semplicemente ho confuso le password ed in effetti c'era sempre quella vecchia in Thunderbird 
complice il fatto che, in qualche modo mi ha scaricato comunque una mail nuova, quindi mi ha spinto a credere che fosse cambiata...

Risolto il mistero, se ne apre un altro: come ha fatto a scaricare un messaggio con la password vecchia? 

La spiegazione più semplice spesso è quella vera (forse): l'utente potrebbe aver l'accesso con OAuth 2.0 su Thunderbird o non ha cambiato la password di Gmail. Se si va a vedere in Strumenti/Modifica=>Preferenze=>Sicurezza=>Password=>Password Salvate si possono ottenere dei dettagli.

[deckard]

Ho provato a fare una breve e veloce verifica.
Quando si aggiunge un account Gmail nella prima schermata c'è la possibilità di non salvare la password e nella successiva schermata c'è la possibilità di configurare l'invio della password come OAuth 2.0 e fa fede il parametro OAuth 2.0 ai fini dello scaricamento della mail.
Successivamente si può cancellare le password Gmail/Imap e Gmail/Smtp (Serve solo quella OAuth 2.0).
Il tutto se ho capito correttamente.

[miki64]

La spiegazione più semplice spesso è quella vera (forse): l'utente potrebbe aver l'accesso con OAuth 2.0 su Thunderbird o non ha cambiato la password di Gmail. Se si va a vedere in Strumenti/Modifica=>Preferenze=>Sicurezza=>Password=>Password Salvate si possono ottenere dei dettagli.

Che poi è quello che avevo intuito io, pur non utilizzando (e apprezzando) il servizio (e non conoscendone il nome preciso). 

[deckard]

Sì. Anche con Microsoft e la sicurezza in due passaggi (2FA) di solito si ha la password specifica per le app che, se non erro, va revocata manualmente ed esplicitamente, magari in fase di rinnovo della password principale. Indipendentemente da come avviene la autenticazione multifattoriale.
Ogni servitore di servizi internet (e di posta elettronica) che abbia abilitato la 2FA ha i propri sistemi tra cui l'Oauth o la password specifica per le Applicazioni.
Microsoft si comporta diversamente da Google, ma l'idea di base è la stessa.