News FileZilla: FTP-Client erhält Schutz durch Master-Passwort

mischaef

Kassettenkind
Teammitglied
Registriert
Aug. 2012
Beiträge
6.150
Zehn Jahre haben Nutzer FileZilla-Entwickler Tim Kosse darum gebeten, die Passwort-Funktion des FTP-Clients sicherer zu gestalten – vergebens. Nun hat sich das Blatt gewendet und die Software erhält ein Master-Passwort.

Zur News: FileZilla: FTP-Client erhält Schutz durch Master-Passwort
 
Für mich absolut unverständlich, wie er argumentieren kann, dass das sichere Speichern von Passwörtern nicht die Aufgabe seines Programms sei.
 
Wer speichert überhaupt Passwörter für wichtige Zugänge auf den PC?
 
Passwordmanager?
 
Hallo32 schrieb:
Wer speichert überhaupt Passwörter für wichtige Zugänge auf den PC?

Das ist durchaus nachvollziehbar. Wenn man mehrere Server verwaltet die alle über eigene FTP-Zugänge verfügen (z.b. als Webmaster) hat man es deutlich komfortabler wenn man diese Passwörter nicht jedes mal "nachschlagen" muss um den Zugang nutzen zu können.

Da ist ein Speichern der Passwörter naheliegend. Wenn das verschlüsselt passiert spricht da ja auch nichts dagegen.
 
Wer speichert überhaupt Passwörter für wichtige Zugänge auf den PC?
Wer hat für jede Tür und jeden Schrank im Haus immer ein riesen Schlüsselbund dabei weil alles fein säuberlich abgeschlossen ist? Oder anders: wer kann sich für genug FTP-Anschlüsse ausreichend sichere Passwörter merken?

Ich nicht.

Denn ich gehe vom primitiven Prinzip aus, dass wenn ich durch die Haustür bin, ich auch Zugriff auf alles im Haus habe. (Ein Safe? „Können Sie auf 9mm herausgeben?“)

CN8
 
Leider hat auch Computerbase (wie andere deutsche Nachrichtenportal) offenbar zu wenig Zeit in den Artikel gesteckt, sonst wäre sicher auch dieser abschliessender Kommentar vom Entwickler(?) mit einer Erklärung wieso dies nicht mehr Sicherheit bringt im Artikel drinnen: [1]
codesquid schrieb:
Note that a master password does not offer any additional security. It is no more secure than not saving passwords at all, functionality that has already been in FileZilla for many years.

Technically using a master password isn't even as secure. If not saving passwords, keylogging malware can only intercept those passwords that are entered while the malware is running. With master passwords, it immediately gets access to all encrypted passwords as soon a the master password is entered.
[1] https://trac.filezilla-project.org/ticket/2935#comment:66
 
Zuletzt bearbeitet: (typo)
Hallo32 schrieb:
Wer speichert überhaupt Passwörter für wichtige Zugänge auf den PC?

Wo speicherst Du denn Deine wichtigen Passwörter? Ausdrucken und in die Schublade? Ist das sicherer?
Da ich keine Paranoia habe denke ich mir das meine Passwörter auf meinem PC sicher sind. Es müsste doch schon ein gezielter Angriff ausgeübt werden oder nicht?
 
Auf dem PC in einem Passwort-Manager, der die Passwörter auch dort belässt und nicht zum Sync auf Servern des Entwicklers speichert, ist eine relativ sichere Methode.
 
Kann die Argumente des Entwicklers nachvollziehen, es hätte eher eine deutliche Warnung platziert werden sollen, dass es unsicher ist, Passwörter von FileZilla speichern zu lassen und man lieber eine Passwort-Datenbank benutzen solle.
Mache das schon immer so, habe in FileZilla zwar für alle Zugänge Profile angelegt aber das Passwort wird immer nachgefragt. Das ist nicht umständlicher als ein extra Master-Passwort für FileZilla eingeben zu müssen.
 
Naja das PW in einem xml Dokument abgespeichert wird ungesichert sollte schon Pflicht des Entwicklers des Programms sein, aber auch z.b im FF Browser sollte man keine seiner PW abspeichern ...
 
Das Argument von codesquid ist entrückend und entspricht Antipattern von sicherer Softwarekonzepten -.-.
 
fethomm schrieb:
Auf dem PC in einem Passwort-Manager, der die Passwörter auch dort belässt und nicht zum Sync auf Servern des Entwicklers speichert, ist eine relativ sichere Methode.

Das denke ich auch. Wer das Master-Passwort in einem Passwort-Manager speichert und damit seine anderen Passwörter verschlüsselt, der hat das maximal mögliche Maß an Sicherheit. Ein Keylogger ist "leichter" zu erkennen, als eine Software, die nebenbei eine simple Textdatei auf einen Server hochlädt. Demnach macht mir seine Argumentation immer noch nicht Sinn genug, um diesen Widerstand zu verstehen.

Aber gut, das Feature kommt ja endlich.
 
@The Ripper

Es fängt beim "Wenn das System kompromittiert ist, dann ist das alles sowieso sinnlos" Argumentation an. Keine Sicherheitsmaßnahmen einzuführen, da sie unterlaufen werden können ist einfach deppert. Es ist jedem in diesem Bereich bewusst, dass es keine perfekte Sicherheit gibt und das jeder Schritt zur Absicherung es Dritten erschweren soll an Daten heranzukommen.
Wobei gerade via Masterpasswort verschlüsselte Passwörter ja bedeuten, dass wenn das System kompromittiert wird, dass die FTP Zugänge sicher sind, solang das Masterpasswort nicht eingegeben wurde.


Ansonsten sollte es immer das Ziel sein, dass komfortable Lösungen sicher sind und sichere Lösungen komfortabel. Der normale Nutzer speichert das Passwort nunmal mit FileZilla ab ohne sich Gedanken zu machen ob das denn nun im Klartext irgendwo stehen könnte. Die Passwörter hingegen verschlüsselt zu speichern und mit einem Masterpasswort abzusichern ist komfortabel und sicher. Sicher keine perfekte Lösung aber VIEL besser als der alte Istzustand.
 
PsychoPC schrieb:
....aber auch z.b im FF Browser sollte man keine seiner PW abspeichern ...

Hi

Gerade dein Komentr gesehen, warum ist das nicht gut?

LG
 
@Knabinho: Wenn kein Masterpasswort verwendet, ist Deine Aussage richtig. Aber wenn Master-Passwort vergeben wurde, dann ist DB verschlüsselt, die Frage ist natürlich, wie gut die Verschlüsselung ist.
 
Da sieht man wieder, dass OpenSource auch nur dann was bringt, wenn Fehler auch wirklich gefixt werden. Der Fork ist da auch nur eher Selbstbehelfnis, der dann auch erstmal von jemandem weiter gepflegt werden muss und in dem Fall wurde der ja scheinbar auch nicht gemacht, um ein neues Projekt zu starten, sondern um den einen Fehler zu korrigieren.
 
Zurück
Oben