"Passwortsicherheit" von Komponenten
 

Hallo zusammen,

mir fällt leider kein geeigneter Titel ein, deshalb beschreibe ich einfach mal mein Problem:

Wenn man z.B. die Komponente TIdFTP nutzt, Host, Username
und Passwort im Objektinspektor hinterlegt, wie einfach/schwer ist es, aus der .exe (wie auch immer) diese Infos wieder rauszuholen und damit den FTP-Zugang zu knacken?

Hab in diesem Bereich keine Ahnung und wäre für ein paar
Infos/Hinweise auch weiterführende Links dankbar.

AW: "Passwortsicherheit" von Komponenten
 

Sehr einfach... wird dann in der Regel im Klartext in deiner exe gespeichert!

AW: "Passwortsicherheit" von Komponenten
 

Ganz ehrlich: Vergiss es.

Wireshark anschmeissen und den Netzwerktraffic beim FTP-Connect auslesen.
Da kannst Du innerhalb der .exe so viel Aufwand treiben wie Du willst um das Passwort zu schützen - aber bei FTP geht das letzendlich immer unverschlüsselt über die Leitung und da ist es am einfachsten Abzufangen.

AW: "Passwortsicherheit" von Komponenten
 

Solang kein DAU am werk ist, hat man diese Infos in weniger als 1 Minute. Diese Infos liegen im Klartext vor.

AW: "Passwortsicherheit" von Komponenten
 

Und wie ist es wenn man bei TIdFTP TLS verwendet?

Was gibt es für Alternativen?

AW: "Passwortsicherheit" von Komponenten
 

Lösung: Wenn schon FTP (oder sonstwas), dann nur über einen eingeschränkten FTP-Benutzer, damit nix Schlimmes passieren kann.

AW: "Passwortsicherheit" von Komponenten
 

Warum muss es denn FTP statt einer normalen Lösung via HTTP sein?

AW: "Passwortsicherheit" von Komponenten
 

Habe mal Wireshake runtergeladen und installiert:
Im unverschlüsselten Modus von TIdFTP war es wirklich deprimierend einfach Host User und Pass zu erhalten.
Bei TIdFTP mit TSL geht das Passwort nicht zumindest nicht unverschlüsselt über die Bühne. Kann man es trotzdem noch knacken?

@jaenicke es muss nicht FTP sein.
Habe mal den Ansatz gewählt weil es einfach erschien.

Meine Absicht:
Ich stelle Nutzern die Daten sammeln müssen ein Programm zur Verfügung,
das die Daten auf einem WebServer ablegt (Idee/Ansatz->FTP),

Ist das mit HTTP so auch möglich? Da ist doch ein Problem mit dem Webspace Provider und dem zurückschreiben oder?

AW: "Passwortsicherheit" von Komponenten
 

Im Prinzip ja, denn Client-Software und Server müssen sich ja über den Schlüssel einig werden. Hier kannst Du weiter lesen, das ist aber tatsächlich schon um einiges aufwändiger als mit reinem FTP.

AW: "Passwortsicherheit" von Komponenten
 

Wie sieht es mit asymetrischer Verschlüsselung aus.

Die Daten mit dem öffentlichen Schlüssel encrypten und an den Server senden. Dort erst mit dem privaten Schlüssel decrypten.

AW: "Passwortsicherheit" von Komponenten
 

Sollten SSL und TLS das nicht schon sein? - Das hindert Wireshark trotzdem nicht daran, das Passwort anzuzeigen. Spätestens, wenn man mit einem Man-in-the-Middle-Angriff an die ganze Sache ran geht und das Programm gerade zufällig nicht das Zertifikat überprüft, ist die ganze Sache eh hinfällig, weil dann die komplette Kommunikation im Klartext vorliegt.


Ein HTML-Formular, in das die Daten im Browser eingegeben werden und dann serverseitig in eine DB geschoben werden sollte doch vollkommen ausreichen. Dann braucht man noch nicht einmal ein Client-Programm. Und wenn das gesichert ablaufen soll, dann lädt man das eben per HTTPS.

Bernhard

AW: "Passwortsicherheit" von Komponenten
 

Abgesehen davon muss das Passwort an die FTP-Komponente so oder so unverschlüsselt übergeben werden. Das heißt selbst wenn man das Passwort in der Exe verschlüsselt ablegt muss es zur Laufzeit dennoch unverschlüsselt im Speicher stehen. Das ist dann zwar nicht mehr ganz so einfach, aber dennoch relativ einfach zu finden.

AW: "Passwortsicherheit" von Komponenten
 

Ja, aber da lässt sich ja scheinbar dazwischenfunken.

Bei einem eigenen System im Programm wir das schwerer und der öffentliche Schlüssel kann ja gefahrlos im Klartext vorliegen.