Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Passwörter sollen nicht im Klartext erscheinen ?!

Frage Sicherheit Sicherheits-Tools

Mitglied: Funtomas

Funtomas (Level 1) - Jetzt verbinden

16.11.2009 um 14:58 Uhr, 4353 Aufrufe, 5 Kommentare

Hallo,

folgende Ausgangssituation: ich möchte jmd. damit beauftragen (Person A), dass er bestimmte Arbeiten ONLINE (bei sich zu Hause, d.h. am eigenen Rechner) übernimmt. Hierzu benötigt A Login und Passwort von verschiedenen Internetseiten, bei denen er sich für die auszuführenden Arbeiten einloggen muss.

Hier fängt das Problem an. Ich will unter allen Umständen vermeiden, dass A die benötigten Passwörter im Klartext sieht. Das Einloggen (auf den Webseiten) sollte also automatisiert erfolgen und von keinen Schnüffelprogrammen ausgelesen werden können.

Hierzu hatte ich folgende Ideen:

1.Einrichtung eines Passwortconatiners (Bsp.: Keepass). Problem: Keepass sowie mir alle bekannten Passwortconatiner ermöglichen zwar den schönsten Autofill bzw. Drag & Drop von Passwörtern aber auch die Anzeige von Passwörtern im Klartext, sofern (wie in meinem Fall) mit den Passwörtern gearbeitet werden muss. Scheidet also aus.

2.Firefox oder IE so konfigurieren, dass Passwörter gespeichert werden und Webformulare automatisch ausfüllen. Problem: da A an seinem Rechner arbeiten soll, könnte ich nur einen „USB Browser“ nehmen und die Passwörter dort abspeichern. Die allerdings hat jeder Schüler mit etwas googeln in 5 Minuten in Klartext umgewandelt. Weiters Problem: die Daten auf dem USB Stick können kopiert und weitergegeben werden, sd auch ein Dritter auf die benötigten Webseiten zugreifen kann. Scheidet also aus.

3.USB Hardware Token (bsp: etoken) nehmen, der eine Passwortverwaltung integriert hat und ein automatisches Ausfüllen von Webformularen ermöglicht, ohne dass A die Passwörter im Klartext sieht und auch keine Veränderungen auf dem Stick (wie herunterkopieren von Daten, Passwortänderungen, etc) vornehmen kann. Vorteil: Arbeiten mit den PW wäre an den USB Stick gekoppelt. Nachteil: eine entsprechende (Software)Lösung, die genau meine Wünsche in Verbindung mit einem Hardware Token erfüllt, habe ich im Netzt nicht gefunden.

4.Meine Idee zur Umsetzung: A erhält ein kleines Programm, welches sich nach dem Öffnen mit einem geschützten FTP Server verbindet und dort ein Masterpasswort abfragt, welches ich jederzeit ändern kann und im Vorfeld A (nach jeder Änderung) mitteilen muss. Vorteil: selbst wenn das kleine Programm an einen Dritten weitergeben wird, hat der Dritte nach Änderung des Masterpassworts keinen Zugriff mehr. A gibt dieses Masterpasswort nun ein und erhält eine Übersicht (Links) der von ihm benötigten Webseiten. Klickt er auf einen Link, geht der/ein Browser auf und Login nebst Passwort werden automatisch eingetragen. Jenes muss so passieren, dass die Passwörter nicht im Klartext erscheinen und von keinen Schnüffelprogrammen ausgelesen werden können. Die Implementierung der Passwörter in dem kleinen Programm muss natürlich auch sicher sein. Nachteil: ich bin noch nicht auf eine solche Lösung gestoßen und habe auch keinen Plan, ob dies technisch überhaupt möglich ist.

Das ganze soll unter Windows XP/Vista/Win7 laufen.

Soweit jmd eine passende Software kennt, die oben benannte Probleme löst oder sonst eine gute Idee hat, würde ich mich über eine Rückeldung freuen.

F.
Mitglied: 60730
16.11.2009 um 15:20 Uhr
Servus,

  • wenn du demjenigen - der für dich etwas erledigt - nicht soweit traust - solltest du das alles selber machen.
  • Wenn die Webserver unter deiner Fuchtel stehen - und Sicherheit vor Kohle geht - mach das mit Security Token - die auf Knopfdruck einen wechselnden einmal gültigen Key auswerfen.

So machen wir das - aber das ist kein "job" für die Portokasse.
  • Aventail & Sonicwall - wären dann die Suchbegriffe.

Gruß
Bitte warten ..
Mitglied: Funtomas
16.11.2009 um 15:28 Uhr
Hallo Timo,

die Webserver stehen leider nicht unter meiner "Fuchtel". Aber danke für die Antwort.

Gruß
Bitte warten ..
Mitglied: www0815
16.11.2009 um 16:00 Uhr
Willst du ueberhaupt, dass A bei dir arbeitet?
wie soll er das bei deinem schon krankhaft zu nennenden misstrauen.
Dein Ziel kannst du nur erreichen, wenn A in dein buero kommt, du dort die anmeldung fuer ihn machst
und waehrend seiner gesamten arbeitszeit hinter ihm stehts und auf seine finger aufpasst.
---
warum geht es nicht?
du siehst im browser an der password stelle *, gesendet werden keine verschluesselten password sondern klartext!!!!!!!!!
selbst wenn du ein verschluesseltes password senden wuerdest, waere es fuer den empfaenger(server) wieder klartext.
auch wenn du den klartext mit md5 verschluesselt sendet, ist dieser verschluesselte key wieder auslesbar und damit wieder klartext.
umstaendlich ausgedrueckt?
davon abgesehen,
die loesung deines problems ist nur auf der server-seite zu machen.

und wenn die webserver nicht unter deiner fuchtel stehen, was kann ich da bloss rein interpretieren?

du bist ein mitarbeiter, dem sein zugang vorgegeben wurde.
du darfst jetzt zu hause arbeiten, das ist dir zu aber zu dumm, du willst andere dinge machen.
jetzt suchst du einen A, der die arbeit fuer dich erledigt, dem du etwas abgibst (€) aber nicht willst das dein hiwi zugang ohne dich hat.
und dein arbeitgeber/auftraggeber darf es auch nicht wissen.

???
wenn meine unterstellung stimmen sollte, muss du dich, wenn du das machst, ganz ganz warm anziehen.
Bitte warten ..
Mitglied: filippg
16.11.2009 um 19:49 Uhr
Hallo,

wenn du die Authentifizierung serveseitig nicht anpassen kannst, sondern das irgendein Webformular ist, dann bedingt das, dass das Passwort auf dem Client in irgendeiner Form im Klartext vorliegt. Und da wirst du keine Möglichkeit finden, wie der Nutzer da nicht drann kommt. Selbst wenn du es schaffen solltest, das irgendwie in ein Fenster zu bekommen, ohne das der Nutzer es zwischendurch abgreifen kann: Für Firefox gibt es mehrere Erweiterungen, mit denen man die an eine Website geschickten Daten ganz komfortabel einsehen kann, und auch für alle anderen Browser lässt sich das spätestens mit Einsatz eines entsprechenden Desktop-Proxys einsehen.

Gruß

Filipp
Bitte warten ..
Mitglied: Funtomas
17.11.2009 um 10:17 Uhr
Hallo filippg,

danke für die Informationen. Es scheint wohl schwierig zu werden

Gruß
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows 10
Windows 10 Updates sollen kleiner werden (4)

Link von Looser27 zum Thema Windows 10 ...

Outlook & Mail
Outlook 2010 Suche - Anhänge sollen nicht mitgesucht werden (2)

Frage von staybb zum Thema Outlook & Mail ...

Heiß diskutierte Inhalte
Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...