Nö da denkst du völlig richtig. Ich nutze FlashFXP das fragt auch nie nach einem PW. Die Accountdaten liegen zwar verschlüsselt in der Sites.dat wobei das nicht wirklich ein Hindernis darstellt. Diverse units zum endschlüsseln findest du dazu im Inet für Delphi. Sicherheit sieht wohl anders aus

Die größte Sicherheitslücke ist immer der menschliche Faktor. Vermutlich kommt man doch inzwischen an die Grenzen des menschlich Machbaren. Man soll überall ein anderes, möglichst kompliziertes Passwort verwenden und dieses dann nirgendwo speichern oder aufschreiben. Bedenkt man die schiere Masse der Logins, mit denen man im IT-Alltag zu tun hat, dann ist das eigentlich gar nicht machbar. Wenn dann noch jemand auf die Idee kommt, Komplexitätsregeln und Wechselzyklen zu verlangen (z.B. die Standardeinstellung beim Windows Server 2008) dann ist man endgültig außerhalb des Beherrschbaren. Also braucht man technische Hilfsmittel, um Zugangsdaten zu verwalten.

Ich bin zwar grundsätzlich über den Anwendungsfall FTP auf das Problem aufmerksam geworden aber im Grunde betrifft es ja jede Art von Programm, dass seinerseits mehrere Logins anderer Dienste verwaltet.

FTP ist sicherlich ein ungünstiges Beispiel, da wie schon richtig bemerkt das Passwort im Klartext an den FTP-Server weitergereicht wird. Es ist eben ein Dinosaurier der Netzwerkprotokolle. SFTP soll die Probleme ja beheben.

Man könnte auch Instant Messenger wie Trillian oder diverse News-Push-Anwendungen als Beispiele anführen. Viele speichern die Passwörter der einzelnen Accounts *irgendwo* mit *irgendeiner* Verschlüsselung ohne Masterpasswort.

Das ist wohl in erster Linie dem Bestreben nach Usability geschuldet. Faktisch kollidiert diese aber mit der Sicherheit der Passwörter.

Richtig ist meiner Ansicht nach, dass JEDE reversible Verschlüsselung von Passwörtern ein Sicherheitsrisiko darstellt. Aber prinzipbedingt müssen derartige Programme genau das tun, denn nur das entschlüsselte Passwort lässt sich richtigerweise zum Login an die entsprechenden Dienste weiterreichen.

Ich persönlich finde es komfortabel, wenn man das Masterpasswort als eine Art Zufalls-Token generiert und auf einem USB-Stick hinterlegt. Man kann ja relativ viele Hardwaredaten aus dem Stick auslesen, sodass man das Token genau an diesen einen Stick koppeln kann. So ähnlich macht das glaub ich KeePass. Dann darf nur nicht der Stick kaputt oder verloren gehen sonst hat man datentechnischen Brettschiss

Ich bin einfach an euren Meinungen interessiert, welche grundsätzliche Herangehensweise man anwenden sollte.

Hi

bis jetzt hast Du uns ja noch nichtmal verraten, auf welcher Plattform sich das abspielt.
als Client Im Windows sollte das idR so laufen: wenn Du Dich das erste Mal mit einem Server verbindest, werden die eingegebenen Anmeldedaten im KeyTresor des users gespeichert, der zZt. angemeldet ist
gugg ma unter Systemsteuerung/Benutzerkonten/Anmeldeinformationsverwaltung und dort generische Anmeldeinformationen
dort landen imho auch die Kryptokeys/Zertifikate für verschlüsselte Verzeichnisse

wenn Du hingegen einen Server hast, speichert der nicht die Klartext-Anmeldeinformationen, sondern die, durch eine Einwegfunktion mit Salz erzeugten Hashes ; will ein Client nun Zugriff, wird seine Anweldung auch gehasht und dann mit der "shadow" verglichen

mfg mentaltec

Worauf willst Du hinaus?
Eine eigene Anwendung mit eigenem Passwort?
Dann mach es doch so wie "alle" das was ein Passwort sein soll, durch eine Hash-Funktion und dann mit den vorhandenen (gehashten)Passwörtern vergleichen.

Willst Du Deine Passwörter irgendwo ablegen/speichern/dokumentieren?
auf einem Zettel mit einem 8bittigen prefix und postfix in Base16 notieren und den Zettel immer im linken Socken verwaren.

Gruß
K-H