Die Übetragung von Passwörtern zwischen Client und Server ist (meistens) ohne jegliche Verschlüsselung (SSL verschlüsselt z.B. die Verbindng). Wobei bei ARP Spoofing selbst SSL nichts bringt. Auch bei einem Keylogger bringt SSL nichts.
FTP Virus - imgaaa.net
-
-
bastey schrieb:
Erschreckend, wie manche Programme vorgehen. Kann man aber das Passwort von Filezilla so leicht auslesen? Hätte gedacht, dies wird verschlüsselt gespeichert?
Selbst wenn, würde das garnichts bringen. Wenn sie verschlüsselt gespeichert wären, müsste Filezilla sie ja auch wieder entschlüsseln können. Und wenn Filezilla das kann, kann das auch ein Trojaner oder sonstwas. Man muss sich einfach klar machen, dass Passwörter, wenn man sie in Programmen speichert einfach nicht sicher sind.
Das Einzige was dagegen (ein bisschen) hilft, sind Master-Passwörter, wie man sie in Firefox und Thunderbird verwenden kann. Dadurch kann man die gespeicherten Passwörter nicht so einfach entschlüsseln, hilft aber auch nichts, wenn ein Keylogger einfach das Masterpasswort mitliest. -
Und für die FTP Verbindung bzw. um die E-Mails abzurufen muss das Passwort trotzdem wieder plaintext vorhanden sein und an den Server übertragen werden.
-
Masterpasswörter sind unsicher. knack man dieses eine pw, hat man alle pws des nutzers.
Rondrer schrieb:
Das Einzige was dagegen (ein bisschen) hilft, sind Master-Passwörter, wie man sie in Firefox und Thunderbird verwenden kann. Dadurch kann man die gespeicherten Passwörter nicht so einfach entschlüsseln, hilft aber auch nichts, wenn ein Keylogger einfach das Masterpasswort mitliest. -
Ich hab nie gesagt dass sie sicher sind, aber deutlich sicherer als Passwörter einfach so zu speichern (verschlüsselt oder unverschlüsselt)
-
ein verschlüsseltes speichern von Passwörtern, finde ich sicherer als die Nutzung einer Passwortverwaltung mit master pw.
Rondrer schrieb:
Ich hab nie gesagt dass sie sicher sind, aber deutlich sicherer als Passwörter einfach so zu speichern (verschlüsselt oder unverschlüsselt)
Generell sind wir uns aber einig: man sollte so wenig passwörter wie möglich irgendwo speichern. -
kse schrieb:
ein verschlüsseltes speichern von Passwörtern, finde ich sicherer als die Nutzung einer Passwortverwaltung mit master pw.
Generell sind wir uns aber einig: man sollte so wenig passwörter wie möglich irgendwo speichern.
Das Problem was daran besteht ist halt das man öfters einfach soviele Passwörter hat das man diese sich nicht alle merken kann.
als Bsp. kann ich nur sagen das ich mit mehreren Firmen zusammenarbeite und von allen die Passwörter wissen muss für Fernwartung usw..
wenn du dir die nicht irgendwo speicherst weißt sie nach einem Tag nicht mehr... -
für sowas gibt es key authentifizierung!
zumal ich mir auch zich passwörter merken muss und das dennoch auf die kette bekomme und ich rede hier von sonderzeichen passwörter mit 16 zeichen. -
für ssh sind es eh keys...
aber es gibt auch Windows User wo es entweder TeamViewer oder VPN Verbindungen bzw. KeyGenerator für VPN gibt.
aber gut ich spreche da jetzt auch von ca. 100 Kunden -
Merkbare aber dennoch komplizierte und sichere Passwörter zu erstellen ist eigentlich gar nicht mal so schwer. Man muss nur für sich selber einen logischen Zusammenhang erkennen, aber ich glaube wir geraten ein wenig zu sehr ins Off Topic
-
kse schrieb:
ein verschlüsseltes speichern von Passwörtern, finde ich sicherer als die Nutzung einer Passwortverwaltung mit master pw.
Und mit welchem Passwort/Passphrase/Key verschlüsselst du das Passwort? Das ist doch genau das was ich mit Masterpasswort mein. Außer du meinst für jedes verschlüsselte Passwort nen eigenen Key, was das ganze irgendwie ad absurdum führt. -
Rondrer schrieb:
kse schrieb:
ein verschlüsseltes speichern von Passwörtern, finde ich sicherer als die Nutzung einer Passwortverwaltung mit master pw.
Und mit welchem Passwort/Passphrase/Key verschlüsselst du das Passwort? Das ist doch genau das was ich mit Masterpasswort mein. Außer du meinst für jedes verschlüsselte Passwort nen eigenen Key, was das ganze irgendwie ad absurdum führt.
unter Masterpasswort verstehe ich sowas wie "ich gebe mein master passwort ein und werde dann überall automatisch eingelogt"
-
Teilen