Einzelnen Beitrag anzeigen

Benutzerbild von implementation
implementation

Registriert seit: 5. Mai 2008
940 Beiträge
 
FreePascal / Lazarus
 
#5

AW: Grundsatzüberlegungen zum Thema Speichern von Passwörtern

  Alt 10. Apr 2013, 16:43
In welcher Form das in der Datei steht, ist doch eigentlich relativ wurscht, solange nur die Personen Zugang zu ihr haben, die ihn auch haben sollen. Dazu wichtig wäre ja primär die Rechteverwaltung des Datei- und Betriebssystems.
Das hilft natürlich nichts, wenn jemand sich einfach deine Festplatte schnappt, oder von CD/Memory-Stick was anderes bootet. Aber wenn deine FTP-Daten sensibel sind, dann wirst du sicherlich auch andere sensible/persönliche Daten auf der Platte haben, ergo solltest du sowieso Systemvoll- oder zumindest Heimatverschlüsselung haben.

Aber wenn es wirklich reines FTP ist, und dein Rechner geknackt wurde, dann hilft jede Verschlüsselung des Passworts doch eh nichts. Dann haut der Cracker 'nen Netzwerkrecorder drauf und schneidet mit, welche Daten der Client an den Server schickt.² Im Protokoll ist das Passwort eh Klartext. Also sollte es eigentlich auch keine großen Sorgen bereiten, sie gleich in Klartext abzuspeichern.¹



¹) Wie ich gerade sehe, macht Filezilla genau das.
²) Gleiches, wenn jemand deine (unverschlüsselte) HDD hat. Eine gewisse Datei ersetzen, dann klappt die Windows-Authentifizierung nicht mehr, man kann sich als du einloggen, Netzwerkrecorder einschalten, und mit dem FTP-Client verbinden. Dann hat er das Passwort, egal wie clever du sonst vorgehst.


Fazit: Wenn du Sicherheit willst, musst du schon irgendwo ein Master-Passwort (oder 'ne Keyfile auf'm USB-Stick, Magnetkarte, etc.) einbringen und ein anderes Protokoll wählen. Alles andere ist nur Placebo.

Edit: Oder war FTP nur ein Beispiel und es geht gar nicht darum? Dann solltest du dir unbedingt überlegen, inwiefern ähnliche Szenarien auch bei deinem Programm möglich sind!

Geändert von implementation (10. Apr 2013 um 16:47 Uhr)
  Mit Zitat antworten Zitat