1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Login-Daten: Filezilla-Fork…

Was ist denn der Mehrwert?

  1. Thema

Neues Thema Ansicht wechseln


  1. Was ist denn der Mehrwert?

    Autor: Stummi 07.11.16 - 14:02

    Wenn mein Betriebssystem komprimitiert ist, kann ich keiner Anwendung mehr trauen, die darauf läuft, deswegen verstehe ich auch den Mehrwert von Verschlüsselten Passwörtern nicht. Die entsprechende Malware wird vermutlich relativ schnell nachziehen, und einfach darauf warten, dass der Nutzer das Master-Passwort irgendwann eingibt.

    So falsch ist die Annahme, dass das Betriebssystem für die Sicherheit zuständig ist nicht. Wenn man ein sauberes OS hat brauch man es nicht verschlüsseln. Wenn das OS schon kompromitiert ist, bringt die verschlüsselung auch keinen Mehrwert mehr.



    2 mal bearbeitet, zuletzt am 07.11.16 14:04 durch Stummi.

  2. Re: Was ist denn der Mehrwert?

    Autor: Neuro-Chef 07.11.16 - 14:03

    Schon, aber eine Hürde mehr kann im Zweifelsfall noch einiges retten.

    -> Heul' doch! ¯\_(ツ)_/¯

    » Niemand ist vollkommen, aber irre sind ganz sicher viele. « – Vollkommen Irrer ಠ_ಠ

    Verifizierter Top 500 Poster!

  3. Re: Was ist denn der Mehrwert?

    Autor: Nudelarm 07.11.16 - 15:26

    Stummi schrieb:
    --------------------------------------------------------------------------------
    > Wenn mein Betriebssystem komprimitiert ist, kann ich keiner Anwendung mehr
    > trauen, die darauf läuft, deswegen verstehe ich auch den Mehrwert von
    > Verschlüsselten Passwörtern nicht. Die entsprechende Malware wird
    > vermutlich relativ schnell nachziehen, und einfach darauf warten, dass der
    > Nutzer das Master-Passwort irgendwann eingibt.
    >

    Richtig, die Maleware muss darauf warten. Also besteht die Chance, dass der Nutzer bis dahin bemerkt, dass er sich Maleware geladen hat und kann bis zum nächsten Start von Filezilla entsprechende Maßnahmen ergreifen.

  4. Re: Was ist denn der Mehrwert?

    Autor: alerwo 07.11.16 - 18:08

    Eine Verschlüsselung ist absolut sinnvoll.

    Nahezu jeder Anwender von FileZilla wird die Zugangsdaten gespeichert haben, 90% der Anwender werden FileZilla aber über Monate hinweg nicht mehr genutzt haben da es nur dazu gedient hat ein CMS System wie Wordpress oder Joomla hochzuladen. Bei diesen Anwendern würde also auch ein Keylogger keine Chance haben.

    Weiterhin ist es so dass viele Schadsoftware nur kurz auf einem Rechner ist. Der Anwender öffnet sie - zu diesem Zeitpunkt kennt der Virenscanner diese aber noch nicht. Sobald dieser aber seine Updates bezogen hat wird er die Schadsoftware wieder entfernen. Bei einer ungesicherten Konfig-Datei ist es dann aber bereits zu spät. Wäre sie gesichert gewesen wäre nichts passiert.

  5. Re: Was ist denn der Mehrwert?

    Autor: ratti 07.11.16 - 20:23

    Wenn ich den Artikel richtig verstehe (Ich nutze ein anderes Programm), dann muss man dann jedes mal ein Masterpasswort eingeben?

    Dann verstehe ich den Hauptentwickler. Das ist komplett inakzeptabel. Ein Passwort gebe ich beim Login in mein OS ein, danach muss alles gespeichert sein.

    Eure ssh-Keys sichert ihr ja auch nicht mit einem Passwort, und die liegen auch offen rum.

    (Ich argwöhne, jetzt kommt garantiert gleich wieder einer, der hat auch seine Keys mit einem Passwort versehen. Aber der bootet wahrscheinlich sowieso von einer Granitplatte, damit die NSA nicht an seine Einkaufszettel kommt)

  6. Re: Was ist denn der Mehrwert?

    Autor: Smincke 07.11.16 - 22:32

    Ein Masterpasswort einzugeben dauert keine Sekunde, also der Mehrwert an Sicherheit sollte das schon wert sein. Wenn du dem OS deine komplette Sicherheit anvertraust, dann solltest du kein Windows benutzten.

  7. Re: Was ist denn der Mehrwert?

    Autor: Moe479 07.11.16 - 22:59

    man kann auch nach jeder filezilla sitzung neue passwörter für die (s)ftp zugänge setzen ... das wäre noch besser ... ;-)

  8. Re: Was ist denn der Mehrwert?

    Autor: ratti 08.11.16 - 11:06

    Smincke schrieb:
    --------------------------------------------------------------------------------
    > Ein Masterpasswort einzugeben dauert keine Sekunde, also der Mehrwert an
    > Sicherheit sollte das schon wert sein. Wenn du dem OS deine komplette
    > Sicherheit anvertraust, dann solltest du kein Windows benutzten.

    1.
    Das ist doch lächerlich. Niemand, der professionelle Webentwicklung macht, hat noch irgendwelche sftp-Passwörter — teilweise funktionieren Deployment-Workflows auch gar nicht interaktiv. Das ganze Procedere basiert komplett auf Keys, und diese liegen komplett ungeschützt in ~/.ssh , JEDE App kann die dort unter dem eigenen Account abgreifen.

    2.
    Ich nutze kein Windows.

    3.
    Ein Schutz von Daten vor dem eigenen Account ist technisch unsinnig. Ein kompromittiertes System ist kompromittiert. Was wollen wir denn alles schützen? Die Mail-Accounts? Die Google-Accounts? Den iCloud-Account? Den Adobe-Cloud-Account? Das Office365-Konto?
    Soll jetzt jede App, die Kontodaten enthält, sich eine Verschlüsselung in die Config-Files reinfrickeln?
    Dafür haben wir Mechanismen im OS. Bei Apple ist das z.B. der Schlüsselbund.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT-Architektin (m/w/d)
    Techniker Krankenkasse, Hamburg
  2. Entwickler Elektronik und Kommunikationstechnik (IoT) (m/w/d)
    Gratz Engineering GmbH, Stuttgart
  3. Senior Developer R&D Applications (f/md)
    Beiersdorf AG, Hamburg
  4. Systemadministration (m/w/d) Netzwerke und IT-Sicherheit
    Fachhochschule Südwestfalen, Hagen, Meschede

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (u. a. Battlefield V für 9,99€, Star Wars Jedi: Fallen Order für 19,99€, Battlefield 1 für 5...
  2. 7,49€
  3. 54,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Probleme mit Agilität in Konzernen: Agil sein muss man auch wollen
Probleme mit Agilität in Konzernen
Agil sein muss man auch wollen

Ansätze wie das Spotify-Modell sollen großen Firmen helfen, agil zu werden. Wer aber erwartet, dass man es überstülpen kann und dann ist alles gut, der irrt sich.
Ein Erfahrungsbericht von Marvin Engel


    Army of the Dead: Tote Pixel schocken Zuschauer mehr als blutrünstige Zombies
    Army of the Dead
    Tote Pixel schocken Zuschauer mehr als blutrünstige Zombies

    Army of the Dead bei Netflix zeigt Zombies und Gewalt. Viele Zuschauer erschrecken jedoch viel mehr wegen toter Pixel auf ihrem Fernseher.
    Ein Bericht von Daniel Pook

    1. Merchandise Netflix eröffnet Fanklamotten-Onlineshop
    2. eBPF Netflix verfolgt TCP-Fluss fast in Echtzeit
    3. Urteil rechtskräftig Netflix darf Preise nicht beliebig erhöhen

    Förderung von E-Autos und Hybriden: Wie viel Geld bekomme ich für den Kauf eines Elektroautos?
    Förderung von E-Autos und Hybriden
    Wie viel Geld bekomme ich für den Kauf eines Elektroautos?

    Ein E-Auto ist in der Anschaffung teurer als ein konventionelles. Käufer können aber Zuschüsse bekommen. Wir beantworten zehn wichtige Fragen dazu.
    Von Werner Pluta

    1. Elektromobilität Rennserie E1 zeigt elektrisches Schnellboot
    2. Elektromobilität Green-Vision gibt Akkus aus Elektroautos neuen Zweck
    3. Elektromobilität Italien testet induktive Ladetechnik unterm Straßenbelag