Login


 
Newsletter
Werbung

Thema: Teampass 2.1.9 - Passwort-Verwaltungswerkzeug

5 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
0
Von 1ras am Mo, 3. Dezember 2012 um 18:27 #

Da eine Passwortverwaltung die Passwörter im Klartext anzeigen soll, kann sie keine Einwegverschlüsselung verwenden, wie diese beispielsweise in der /etc/shadow zum Einsatz kommt.

Es kann also nur eine Zweiwegverschlüsselung zum Einsatz kommen, welche mit dem richtigen Schlüssel entschlüsselt werden kann.

Erschwerend kommt hinzu, dass der Schlüssel der Passwortverwaltung bekannt sein muss, da sie ansonsten keine Entschlüsselung vornehmen könnte. Der Schlüssel muss also auf dem System gespeichert sein.

Damit ist klar, dass jede Passwortverwaltung inherent unsicher ist.

Ein Ausweg wäre, den Schlüssel zur Entschlüsselung mit einer Passphrase zu schützen, wie dies beispielsweise KWallet oder optional auch die in Firefox integrierte Passwortverwaltung macht. Jedoch ist dieses System nur so sicher wie die gewählte Passphrase und deren Geheimhaltung.

  • 0
    Von ... am Mo, 3. Dezember 2012 um 19:46 #

    Es kommen noch einige Punkte hinzu:
    - Man trennt Datenbank und Webserver.
    - Der Webserver steht _immer_ nur im sicheren LAN und darauf wird nur per VPN zugegriffen (wer sowas wie Teampass im Web laufen lässt, ist einfach nur doof)

    Theoretisch ist auch eine Entschlüsselung im Browser denkbar. Will man aber mehrere Benutzer haben, dann muss man aber ein cryptsetup-ähnliches System bauen, was aber sehr schwierig sein dürfte.

    Natürlich ist das keine optimale Lösung, aber besser als Zettelwirtschaft, unter der Annahme, dass es sicher eingerichtet wurde.

    • 0
      Von LH_ am Mo, 3. Dezember 2012 um 21:47 #

      Bei uns im Haus nutzen wir KeePassX mit zentraler Passwortdatei im Netzwerk. Das gibt zwar gerne Fehlermeldungen wegen Datei-Locking, aber das ist zu verschmerzen. Dafür ist es eine eher einfache aber doch sichere Lösung.
      Natürlich muss das Password für die Datei sicher gewählt sein, das ist aber leicht zu bewerkstelligen. Zugriff auf die Datei haben natürlich auch nicht alle.

0
Von Bolitho am Di, 4. Dezember 2012 um 12:08 #

Also wenn man sich den Sourcecode mal anguckt, so erscheint er zwar auf den ersten Blick aufgeräumter als bei so manch anderem PHP-Projekt, jedoch macht mich das hier nachdenklich:
class.database.php

Wieso bauen die sich ihren eigenen ORM / DB-Framework?

Wieso setzt man nicht direkt auf ein Webframework wie Harmony oder CakePHP? (Auch wenn ich von PHP an sich nicht viel halte, so können Projekte auf Basis solcher Rahmenwerke dennoch akzeptabel sein!)

Wer heute noch ein PHP-Projekt (selbiges gilt letztlich für alle Sprachen!) ohne Framework Unterstützung anfängt, der begeht imho einen schweren konzeptionellen Fehler...

Pro-Linux
Pro-Linux @Twitter
Neue Nachrichten
Werbung