3. Wie sicher sind die Passwortdateien bei üblichen FTP-Clients?

Wie sicher sind die Passwortdateien bei üblichen FTP-Clients?

  • C

    Hallo,

    ich habe gerade einen eigenen FTP-Client fertiggestellt, allerdings noch ohne möglichkeit, das Passwort zu speichern.
    Mir stellt sich jetzt die frage wie ich dass lösen soll. Am sichersten erscheint es mir alle passworter mit einem Masterpasswort zu verschlüsseln und in eine Textdatei abzulegen. Dann muss halt jedesmal wenn dass programm gestartet wird wieder dieses Masterpasswort eingegeben werden. So machen es ja die Datentresor und Passwortmanager-Programme.

    Die meisten (oder alle) FTP Programme die ich kenne benötigen jedoch diese eingabe nicht, geh ich da richtig in der annahme, dass der schlüssel hier hardcoded ist, oder gar plaintext dateien mit den passwörtern erzeugt werden?
    so kann doch jeder der das programm oder den sourcecode hat und meine passwortdatei erlangt die passwörter entschlüsseln, oder?
    ist dass überhaupt sicher?

    Bitte schriebt eure Meinung dazu und falls ihr ne Idee habt auch ne Möglichkeit, was ich machen könnte. Mein Programm ist OpenSource, also sollte die verschlüsselung auch halten, wenn jemand den Quellcode kennt !!!

    Vielen Dank

    0
  • C

    Hallo,

    du kannst bei der Installation des Programms einen Key erzeugen lassen und durch diesen dann die Passwort verschlüsseln.

    doch jeder der das programm oder den sourcecode hat und meine passwortdatei erlangt die passwörter entschlüsseln, oder?
    ist dass überhaupt sicher?

    Ein guter Algorithmus zeichnet sich ja eben dadurch aus, dass man ihn, selbst wenn man den Sourcecode hat, nicht knacken kann.

    0
  • G

    CarstenJ schrieb:

    doch jeder der das programm oder den sourcecode hat und meine passwortdatei erlangt die passwörter entschlüsseln, oder?
    ist dass überhaupt sicher?

    Ein guter Algorithmus zeichnet sich ja eben dadurch aus, dass man ihn, selbst wenn man den Sourcecode hat, nicht knacken kann.

    aber der beste algo hilft nicht wenn das passwort irgend wann gespeichert wird

    0
  • C

    Ja, aber der Key muss ja auch irgendw gespeichert werden, und dadurch kann er ja auch ausgelesen werden.

    Ein guter Algorithmus zeichnet sich ja eben dadurch aus, dass man ihn, selbst wenn man den Sourcecode hat, nicht knacken kann.

    Ja sicher, dass meinte ich ja auch nicht, ich nehme da einen Standard wie DES, aber ich meinte dass der Key im Quellcode steht.

    0
  • C

    Hallo,

    der Key soll ja nicht im Quellcode stehen. Er kann ja z. B. beim ersten Start des Programms erzeugt werden.

    0
  • C

    Ja, aber wo ist er dann? Wenn ich ihn in eine Datei speichere, kann mir die geklaut werden.
    Wenn nicht, muss sie der benutzer im kopf haben und immer eingeben, oder?

    0
  • S

    Wie witzig ist es, bei ftp das Passwort so geheim zu halten?
    Bei ftp wird es doch eh plain text verschickt - deshalb gibt es ja sftp. Oder kann man mittlerweile auch per ftp das Passwort verschlüsselt übertragen??

    aber ich sehe da überhaupt kein problem: wenn der user sicherheit will, soll er das passwort nicht speichern, sondern immer neu angeben...

    0
  • C

    der client kann auch sftp, und ich finde es schon wichtig des passwort einigermasen sicher abzulegen.
    den den Datenstrom abzufangen würde ich als schwerer einstufen, als eine Datei zu lesen.
    Bei deiner lösung muss ich aber dann evtl. viele Passwörter merken, mit masterpasswort und verschlüsselung ist es einfacher

    0
  • S

    CGI-BIN schrieb:

    d
    den den Datenstrom abzufangen würde ich als schwerer einstufen, als eine Datei zu lesen.

    Um die Datei zu lesen brauche ich zugriff auf den PC... Das denke ich ist wohl das schwerste...

    0
  • C

    OK, dann werde ich die Möglichkeit des Verschlüsselns mit Masterpasswort implementieren und dem Benutzer überlassen ob er es eingibt oder nicht verwendet, oder sogar gar nichts speichert.
    Vielen Dank für alle Antworten.

    0
  • S

    Shade Of Mine schrieb:

    CGI-BIN schrieb:

    d
    den den Datenstrom abzufangen würde ich als schwerer einstufen, als eine Datei zu lesen.

    Um die Datei zu lesen brauche ich zugriff auf den PC... Das denke ich ist wohl das schwerste...

    Dachte ich zuerst auch, aber wir reden hier ja nicht von nem FTP-Server, sondern
    einem FTP-Client (jedenfalls laut Topic) und dadurch kann jeder der an dem PC
    arbeitet die Passwörter einsehen, wenn sie nicht verschlüsselt sind.

    Ich würde unter WinNT einfach für jeden Benutzer nen eignes Profil mit seinen Passwörtern/Einstellungen/usw. in seinen Dokumenten&Einstellungen speichern, so sind sie für andere Benutzer nicht sichtbar.
    Zusätzlich noch ne einfache Verschlüsselung (XOR-Verknüpfung) und man sollte einigermaßen sicher sein.

    0
Anmelden zum Antworten