5
Passwörter sollen nicht im Klartext erscheinen ?!
Hallo,
folgende Ausgangssituation: ich möchte jmd. damit beauftragen (Person A), dass er bestimmte Arbeiten ONLINE (bei sich zu Hause, d.h. am eigenen Rechner) übernimmt. Hierzu benötigt A Login und Passwort von verschiedenen Internetseiten, bei denen er sich für die auszuführenden Arbeiten einloggen muss.
Hier fängt das Problem an. Ich will unter allen Umständen vermeiden, dass A die benötigten Passwörter im Klartext sieht. Das Einloggen (auf den Webseiten) sollte also automatisiert erfolgen und von keinen Schnüffelprogrammen ausgelesen werden können.
Hierzu hatte ich folgende Ideen:
1.Einrichtung eines Passwortconatiners (Bsp.: Keepass). Problem: Keepass sowie mir alle bekannten Passwortconatiner ermöglichen zwar den schönsten Autofill bzw. Drag & Drop von Passwörtern aber auch die Anzeige von Passwörtern im Klartext, sofern (wie in meinem Fall) mit den Passwörtern gearbeitet werden muss. Scheidet also aus.
2.Firefox oder IE so konfigurieren, dass Passwörter gespeichert werden und Webformulare automatisch ausfüllen. Problem: da A an seinem Rechner arbeiten soll, könnte ich nur einen „USB Browser“ nehmen und die Passwörter dort abspeichern. Die allerdings hat jeder Schüler mit etwas googeln in 5 Minuten in Klartext umgewandelt. Weiters Problem: die Daten auf dem USB Stick können kopiert und weitergegeben werden, sd auch ein Dritter auf die benötigten Webseiten zugreifen kann. Scheidet also aus.
3.USB Hardware Token (bsp: etoken) nehmen, der eine Passwortverwaltung integriert hat und ein automatisches Ausfüllen von Webformularen ermöglicht, ohne dass A die Passwörter im Klartext sieht und auch keine Veränderungen auf dem Stick (wie herunterkopieren von Daten, Passwortänderungen, etc) vornehmen kann. Vorteil: Arbeiten mit den PW wäre an den USB Stick gekoppelt. Nachteil: eine entsprechende (Software)Lösung, die genau meine Wünsche in Verbindung mit einem Hardware Token erfüllt, habe ich im Netzt nicht gefunden.
4.Meine Idee zur Umsetzung: A erhält ein kleines Programm, welches sich nach dem Öffnen mit einem geschützten FTP Server verbindet und dort ein Masterpasswort abfragt, welches ich jederzeit ändern kann und im Vorfeld A (nach jeder Änderung) mitteilen muss. Vorteil: selbst wenn das kleine Programm an einen Dritten weitergeben wird, hat der Dritte nach Änderung des Masterpassworts keinen Zugriff mehr. A gibt dieses Masterpasswort nun ein und erhält eine Übersicht (Links) der von ihm benötigten Webseiten. Klickt er auf einen Link, geht der/ein Browser auf und Login nebst Passwort werden automatisch eingetragen. Jenes muss so passieren, dass die Passwörter nicht im Klartext erscheinen und von keinen Schnüffelprogrammen ausgelesen werden können. Die Implementierung der Passwörter in dem kleinen Programm muss natürlich auch sicher sein. Nachteil: ich bin noch nicht auf eine solche Lösung gestoßen und habe auch keinen Plan, ob dies technisch überhaupt möglich ist.
Das ganze soll unter Windows XP/Vista/Win7 laufen.
Soweit jmd eine passende Software kennt, die oben benannte Probleme löst oder sonst eine gute Idee hat, würde ich mich über eine Rückeldung freuen.
F.
Hier fängt das Problem an. Ich will unter allen Umständen vermeiden, dass A die benötigten Passwörter im Klartext sieht. Das Einloggen (auf den Webseiten) sollte also automatisiert erfolgen und von keinen Schnüffelprogrammen ausgelesen werden können.
Hierzu hatte ich folgende Ideen:
1.Einrichtung eines Passwortconatiners (Bsp.: Keepass). Problem: Keepass sowie mir alle bekannten Passwortconatiner ermöglichen zwar den schönsten Autofill bzw. Drag & Drop von Passwörtern aber auch die Anzeige von Passwörtern im Klartext, sofern (wie in meinem Fall) mit den Passwörtern gearbeitet werden muss. Scheidet also aus.
2.Firefox oder IE so konfigurieren, dass Passwörter gespeichert werden und Webformulare automatisch ausfüllen. Problem: da A an seinem Rechner arbeiten soll, könnte ich nur einen „USB Browser“ nehmen und die Passwörter dort abspeichern. Die allerdings hat jeder Schüler mit etwas googeln in 5 Minuten in Klartext umgewandelt. Weiters Problem: die Daten auf dem USB Stick können kopiert und weitergegeben werden, sd auch ein Dritter auf die benötigten Webseiten zugreifen kann. Scheidet also aus.
3.USB Hardware Token (bsp: etoken) nehmen, der eine Passwortverwaltung integriert hat und ein automatisches Ausfüllen von Webformularen ermöglicht, ohne dass A die Passwörter im Klartext sieht und auch keine Veränderungen auf dem Stick (wie herunterkopieren von Daten, Passwortänderungen, etc) vornehmen kann. Vorteil: Arbeiten mit den PW wäre an den USB Stick gekoppelt. Nachteil: eine entsprechende (Software)Lösung, die genau meine Wünsche in Verbindung mit einem Hardware Token erfüllt, habe ich im Netzt nicht gefunden.
4.Meine Idee zur Umsetzung: A erhält ein kleines Programm, welches sich nach dem Öffnen mit einem geschützten FTP Server verbindet und dort ein Masterpasswort abfragt, welches ich jederzeit ändern kann und im Vorfeld A (nach jeder Änderung) mitteilen muss. Vorteil: selbst wenn das kleine Programm an einen Dritten weitergeben wird, hat der Dritte nach Änderung des Masterpassworts keinen Zugriff mehr. A gibt dieses Masterpasswort nun ein und erhält eine Übersicht (Links) der von ihm benötigten Webseiten. Klickt er auf einen Link, geht der/ein Browser auf und Login nebst Passwort werden automatisch eingetragen. Jenes muss so passieren, dass die Passwörter nicht im Klartext erscheinen und von keinen Schnüffelprogrammen ausgelesen werden können. Die Implementierung der Passwörter in dem kleinen Programm muss natürlich auch sicher sein. Nachteil: ich bin noch nicht auf eine solche Lösung gestoßen und habe auch keinen Plan, ob dies technisch überhaupt möglich ist.
Das ganze soll unter Windows XP/Vista/Win7 laufen.
Soweit jmd eine passende Software kennt, die oben benannte Probleme löst oder sonst eine gute Idee hat, würde ich mich über eine Rückeldung freuen.
F.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 129473
Url: https://administrator.de/contentid/129473
Printed on: April 25, 2024 at 07:04 o'clock
5 Comments
Latest comment
Servus,
So machen wir das - aber das ist kein "job" für die Portokasse.
Gruß
- wenn du demjenigen - der für dich etwas erledigt - nicht soweit traust - solltest du das alles selber machen.
- Wenn die Webserver unter deiner Fuchtel stehen - und Sicherheit vor Kohle geht - mach das mit Security Token - die auf Knopfdruck einen wechselnden einmal gültigen Key auswerfen.
So machen wir das - aber das ist kein "job" für die Portokasse.
- Aventail & Sonicwall - wären dann die Suchbegriffe.
Gruß
Hallo Timo,
die Webserver stehen leider nicht unter meiner "Fuchtel". Aber danke für die Antwort.
Gruß
die Webserver stehen leider nicht unter meiner "Fuchtel". Aber danke für die Antwort.
Gruß
Willst du ueberhaupt, dass A bei dir arbeitet?
wie soll er das bei deinem schon krankhaft zu nennenden misstrauen.
Dein Ziel kannst du nur erreichen, wenn A in dein buero kommt, du dort die anmeldung fuer ihn machst
und waehrend seiner gesamten arbeitszeit hinter ihm stehts und auf seine finger aufpasst.
---
warum geht es nicht?
du siehst im browser an der password stelle *, gesendet werden keine verschluesselten password sondern klartext!!!!!!!!!
selbst wenn du ein verschluesseltes password senden wuerdest, waere es fuer den empfaenger(server) wieder klartext.
auch wenn du den klartext mit md5 verschluesselt sendet, ist dieser verschluesselte key wieder auslesbar und damit wieder klartext.
umstaendlich ausgedrueckt?
davon abgesehen,
die loesung deines problems ist nur auf der server-seite zu machen.
und wenn die webserver nicht unter deiner fuchtel stehen, was kann ich da bloss rein interpretieren?
du bist ein mitarbeiter, dem sein zugang vorgegeben wurde.
du darfst jetzt zu hause arbeiten, das ist dir zu aber zu dumm, du willst andere dinge machen.
jetzt suchst du einen A, der die arbeit fuer dich erledigt, dem du etwas abgibst (€) aber nicht willst das dein hiwi zugang ohne dich hat.
und dein arbeitgeber/auftraggeber darf es auch nicht wissen.
???
wenn meine unterstellung stimmen sollte, muss du dich, wenn du das machst, ganz ganz warm anziehen.
wie soll er das bei deinem schon krankhaft zu nennenden misstrauen.
Dein Ziel kannst du nur erreichen, wenn A in dein buero kommt, du dort die anmeldung fuer ihn machst
und waehrend seiner gesamten arbeitszeit hinter ihm stehts und auf seine finger aufpasst.
---
warum geht es nicht?
du siehst im browser an der password stelle *, gesendet werden keine verschluesselten password sondern klartext!!!!!!!!!
selbst wenn du ein verschluesseltes password senden wuerdest, waere es fuer den empfaenger(server) wieder klartext.
auch wenn du den klartext mit md5 verschluesselt sendet, ist dieser verschluesselte key wieder auslesbar und damit wieder klartext.
umstaendlich ausgedrueckt?
davon abgesehen,
die loesung deines problems ist nur auf der server-seite zu machen.
und wenn die webserver nicht unter deiner fuchtel stehen, was kann ich da bloss rein interpretieren?
du bist ein mitarbeiter, dem sein zugang vorgegeben wurde.
du darfst jetzt zu hause arbeiten, das ist dir zu aber zu dumm, du willst andere dinge machen.
jetzt suchst du einen A, der die arbeit fuer dich erledigt, dem du etwas abgibst (€) aber nicht willst das dein hiwi zugang ohne dich hat.
und dein arbeitgeber/auftraggeber darf es auch nicht wissen.
???
wenn meine unterstellung stimmen sollte, muss du dich, wenn du das machst, ganz ganz warm anziehen.
Hallo,
wenn du die Authentifizierung serveseitig nicht anpassen kannst, sondern das irgendein Webformular ist, dann bedingt das, dass das Passwort auf dem Client in irgendeiner Form im Klartext vorliegt. Und da wirst du keine Möglichkeit finden, wie der Nutzer da nicht drann kommt. Selbst wenn du es schaffen solltest, das irgendwie in ein Fenster zu bekommen, ohne das der Nutzer es zwischendurch abgreifen kann: Für Firefox gibt es mehrere Erweiterungen, mit denen man die an eine Website geschickten Daten ganz komfortabel einsehen kann, und auch für alle anderen Browser lässt sich das spätestens mit Einsatz eines entsprechenden Desktop-Proxys einsehen.
Gruß
Filipp
wenn du die Authentifizierung serveseitig nicht anpassen kannst, sondern das irgendein Webformular ist, dann bedingt das, dass das Passwort auf dem Client in irgendeiner Form im Klartext vorliegt. Und da wirst du keine Möglichkeit finden, wie der Nutzer da nicht drann kommt. Selbst wenn du es schaffen solltest, das irgendwie in ein Fenster zu bekommen, ohne das der Nutzer es zwischendurch abgreifen kann: Für Firefox gibt es mehrere Erweiterungen, mit denen man die an eine Website geschickten Daten ganz komfortabel einsehen kann, und auch für alle anderen Browser lässt sich das spätestens mit Einsatz eines entsprechenden Desktop-Proxys einsehen.
Gruß
Filipp
Hallo filippg,
danke für die Informationen. Es scheint wohl schwierig zu werden
Gruß
danke für die Informationen. Es scheint wohl schwierig zu werden
Gruß
