FileZilla: FTP-Client erhält Schutz durch Master-Passwort
Zehn Jahre haben Nutzer FileZilla-Entwickler Tim Kosse darum gebeten, die Passwort-Funktion des FTP-Clients sicherer zu gestalten – vergebens. Nun hat sich das Blatt gewendet und die Software erhält ein Master-Passwort.
Passwörter bisher im Klartext abgespeichert
Genauer gesagt verfügt der Client bereits seit dem Release Candidate der Betaversion 3.26.0 über die Möglichkeit, Passwörter nun endlich besser abzusichern. Bisher wurden diese ungeschützt im Klartext in der Datei sitemanager.xml abgespeichert. Hatten Angreifer Zugang zum Rechner, hatten sie auch Zugang zu den Passwörtern der FTP-Zugänge – sicherheitstechnisch eine sehr heikle Situation. Jahrelang hatte sich Kosse gegen die Forderungen der Nutzer gesträubt, teils mit dem Argument, dass solch ein Schutz nicht zu den Aufgaben eines FTP-Clients gehöre.
Passwort-Klau führte zum Fork FileZilla Secure
Dies führte dazu, dass ein frustrierter Nutzer schließlich zur Selbsthilfe griff und einen Fork von FileZilla erstellte, welcher über eben solche Schutzmaßnahmen verfügte und auf den bezeichnenden Namen FileZilla Secure getauft wurde. Vorausgegangen war ein Malware-Befall, bei dem Angreifer die kompletten Passwörter des Nutzers kopieren konnten. Er selbst nutzt die modernisierte FileZilla-Variante sowie die eigentliche Version nach eigenen Angaben bereits sein einigen Jahren nicht mehr. Ob der Fork zum Umdenken des Entwicklers beigetragen hat kann nicht gänzlich ausgeschlossen werden.
Geschütze Passwörter ab Version 3.26.0
Offiziell erscheinen soll die neue Funktion in der Version 3.26.0. Der neue Schutz muss jedoch in den Einstellungen (Bearbeiten/Einstellungen .../Oberfläche/Passwords/"Save passwords protected by a master password") explizit aktiviert werden. Ist dies nicht der Fall, werden die Passwörter weiterhin unsicher abgespeichert.
Entwickler Kosse hat zudem in einem Diskussionsbeitrag klargestellt, dass ein Master-Passwort für ihn keinen Zuwachs an Sicherheit bieten würde – Malware mit Keylogging-Funktion könnten das Hauptpasswort nach wie vor auslesen, was dieses seiner Meinung nach ebenso unbrauchbar macht.