Die größte Sicherheitslücke ist immer der menschliche Faktor. Vermutlich kommt man doch inzwischen an die Grenzen des menschlich Machbaren. Man soll überall ein anderes, möglichst kompliziertes Passwort verwenden und dieses dann nirgendwo speichern oder aufschreiben. Bedenkt man die schiere Masse der Logins, mit denen man im IT-Alltag zu tun hat, dann ist das eigentlich gar nicht machbar. Wenn dann noch jemand auf die Idee kommt, Komplexitätsregeln und Wechselzyklen zu verlangen (z.B. die Standardeinstellung beim Windows Server 2008) dann ist man endgültig außerhalb des Beherrschbaren. Also braucht man technische Hilfsmittel, um Zugangsdaten zu verwalten.
Ich bin zwar grundsätzlich über den Anwendungsfall
FTP auf das Problem aufmerksam geworden aber im Grunde betrifft es ja jede Art von Programm, dass seinerseits mehrere Logins anderer Dienste verwaltet.
FTP ist sicherlich ein ungünstiges Beispiel, da wie schon richtig bemerkt das Passwort im Klartext an den
FTP-Server weitergereicht wird. Es ist eben ein Dinosaurier der Netzwerkprotokolle. SFTP soll die Probleme ja beheben.
Man könnte auch Instant Messenger wie Trillian oder diverse News-Push-Anwendungen als Beispiele anführen. Viele speichern die Passwörter der einzelnen Accounts *irgendwo* mit *irgendeiner* Verschlüsselung ohne Masterpasswort.
Das ist wohl in erster Linie dem Bestreben nach Usability geschuldet. Faktisch kollidiert diese aber mit der Sicherheit der Passwörter.
Richtig ist meiner Ansicht nach, dass JEDE reversible Verschlüsselung von Passwörtern ein Sicherheitsrisiko darstellt. Aber prinzipbedingt müssen derartige Programme genau das tun, denn nur das entschlüsselte Passwort lässt sich richtigerweise zum Login an die entsprechenden Dienste weiterreichen.
Ich persönlich finde es komfortabel, wenn man das Masterpasswort als eine Art Zufalls-Token generiert und auf einem USB-Stick hinterlegt. Man kann ja relativ viele Hardwaredaten aus dem Stick auslesen, sodass man das Token genau an diesen einen Stick koppeln kann. So ähnlich macht das glaub ich KeePass. Dann darf nur nicht der Stick kaputt oder verloren gehen sonst hat man datentechnischen Brettschiss
Ich bin einfach an euren Meinungen interessiert, welche grundsätzliche Herangehensweise man anwenden sollte.