Pidgin Passwörter ?

[Sergeij Shnurov]

Ehm mal ehrlich, wen den ihr an euren Computer lasst hat nur annähernd nen peil wie er zu der Datei kommt ?
Und Hacker ham glaub ich besseres zu tun als meine Jabber passwörter auf diesem weg herauszufinden.

[s4ndwichMakeR]

DosAmp schrieb:  

oreissig schrieb:  andererseits ist es auch nich so das riesendrama das pass jedes mal einzugeben, damit ist man definitiv am sichersten

Aber nicht, wenn das fünf verschiedene und dazu kryptische Passwörter sind. Da ist mir die Lösung mit TrueCrypt ehrlich gesagt am liebsten…

… und vor allem nicht, wenn man permanent mit sieben Accounts online ist.

[s4ndwichMakeR]

Sergeij Shnurov schrieb:  Ehm mal ehrlich, wen den ihr an euren Computer lasst hat nur annähernd nen peil wie er zu der Datei kommt ?
Und Hacker ham glaub ich besseres zu tun als meine Jabber passwörter auf diesem weg herauszufinden.

Naja, ich habe schon mal meine accounts.xml auf yafu hochladen müssen, weil ich sie woanders brauchte und atm keine andere Möglichkeit hatte. Ich hab sie natürlich geRARt und in ein harmloses JPEG eingeflechtet, damit es nicht auffällt.

[pETe!]

DosAmp schrieb:  Klar muss ein gespeichertes Passwort irgendwie zur Authentifizierung im Klartext bereitstehen, aber das heißt nicht, das man das nicht wenigstens kodieren oder mit einem einfachen Algorithmus verschlüsseln könnte, damit die Passwörter nicht so unmittelbar und offensichtlich vorliegen.

In dem Falle sperrt man also zumindest die Leute aus, die zu dumm sind, unter den Fußabtreter zu schauen.

Bei Pidgin hat man sich klar dagegen entscheiden, um dem User keine Fake-Sicherheit vorzutäuschen.

[chessboi]

Was ich hier lustig finde, dass sich ein paar User daran stören, wenn ihr Passwort auf ihrem eigenen Rechner im Klartext gespeichert ist, aber es überhaupt niemanden schert, dass sie Unverschlüsselt durch das gesamte Internet übertragen werden. Habt ihr schon mal mit Wireshark oder so den Verbindungsaufbau eines Messengers angekuckt? Wenn jemand es schafft euren Netzwerkverkehr abzufangen, was in einem geswitchten Heimnetzwerk ein Kinderspiel ist, dann kommt er nicht nur an alle eure Passwörter ran, sondern kann auch noch gleich Live mitverfolgen, was ihr so am chatten seit.

[Shark]

Sofern man keine verschlüsselte Verbindung mit seinem Chatserver hat schon, ja. Aber das ist eine andere Baustelle. Die Speicherung in Plain-Text ist übrigens nicht die einzige Möglichkeit, Passwörter zu speichern. So ziemlich jedes moderne System besitzt einen Keychain, in dem solche Daten per Passwort verschlüsselt liegen und auf den nur nach vorheriger Erlaubnis zugegriffen werden darf. Naja, man muss leider sagen, dass wohl nicht allzu viele (Linux-)Programme die KDEWallet oder den Gnome-Keychain nutzen. Unter OS X würde z.B. niemand auf solche Ideen kommen. Wie sieht's eigentlich mit Vista aus, hat Microsoft da was ähnliches implementiert?

[chessboi]

Sobald das Passwort irgendwie verschlüsselt wird, lassen sich die Profile schon nicht mehr einfach herumkopieren. Aber Grundsätzlich ist die Verschlüsselung auch total übertrieben. Das configfile mit den Passwörtern liegt im Homeverzeichniss des Benutzers, andere haben also Grundsätzlich keinen Zugriff darauf. Klar, sie können sich den Zugriff verschaffen, Beispielsweise über den Root-Account, oder über das Mounten der Harddisk von einem Livesystem aus. Doch wenn jemand physischen Zugriff auf den benutzten Computer hat oder sogar mit Rootrechten darauf werkeln kann, ist es für ihn auch kein Problem einfach den Netzwerkverkehr zu kappen und so an die Passwörter heranzukommen.

Wenn ich also meinem ummitelbaren Umfeld nicht trauen kann, sollte ich zuerst mal allgmein schauen, dass sie nicht auf meine Daten zugreiffen können, und anschliessend mal für einen sicheren Verbindungsaufbau sorgen. Allerdings können nicht besonders viele Chatprotokolle mit einer Verschlüsselung umgehen. Von den mir eingesetzten - MSN, ICQ und Jabber - bietet nur letzteres an, die Verbindung zu Verschlüsseln.

[Alex]

chessboi schrieb:  Sobald das Passwort irgendwie verschlüsselt wird, lassen sich die Profile schon nicht mehr einfach herumkopieren. Aber Grundsätzlich ist die Verschlüsselung auch total übertrieben. Das configfile mit den Passwörtern liegt im Homeverzeichniss des Benutzers, andere haben also Grundsätzlich keinen Zugriff darauf. Klar, sie können sich den Zugriff verschaffen, Beispielsweise über den Root-Account, oder über das Mounten der Harddisk von einem Livesystem aus. Doch wenn jemand physischen Zugriff auf den benutzten Computer hat oder sogar mit Rootrechten darauf werkeln kann, ist es für ihn auch kein Problem einfach den Netzwerkverkehr zu kappen und so an die Passwörter heranzukommen.

Wenn ich also meinem ummitelbaren Umfeld nicht trauen kann, sollte ich zuerst mal allgmein schauen, dass sie nicht auf meine Daten zugreiffen können, und anschliessend mal für einen sicheren Verbindungsaufbau sorgen. Allerdings können nicht besonders viele Chatprotokolle mit einer Verschlüsselung umgehen. Von den mir eingesetzten - MSN, ICQ und Jabber - bietet nur letzteres an, die Verbindung zu Verschlüsseln.

Also mein ICQ Verkehr ist dank QIP SSL/TLS Verschlüsselt öö?

[DosAmp]

chessboi schrieb:  Sobald das Passwort irgendwie verschlüsselt wird, lassen sich die Profile schon nicht mehr einfach herumkopieren.

Generell stimmt das auch nicht, wie die Profile von Mozilla-Programmen (Firefox, Thunderbird) zeigen – nur dass die Sicherheit auch nicht gesteigert wird, da der Schlüssel (key3.db) ebenfalls im Profil gespeichert wird. Dadurch werden jedoch zumindest so sensible Daten wie die sigons*.txt vor neugierigen Blicken geschützt.
Bei den benutzerdefiniert verschlüsselten Profile von Programmen kann man dagegen wahrscheinlich davon ausgehen, dass der befugte Benutzer sich auch sein Kennwort merken kann.

Ich bezweifele weiterin, dass fast alle Chatprotokolle die Passwörter unverschlüsselt übertragen. Ich bin mir jedenfalls mit Kenntnissen aus meiner früheren Miranda-IM-Zeit nahezu sicher, dass ICQ und MSN die Authentifizierung über MD5- oder kompliziertere Challenges erledigen (auch da teilweise entsprechende Fehlermeldungen aufgetaucht sind).

[chessboi]

Mag sein, dass zumindest der Verbindungsaufbau neu verschlüsselt ist, hab zumindest mit Wireshark gerade nichts finden können, muss das aber morgens noch einmal genauer anschauen. Bis vor kurzen war es jedenfalls so, dass die Passwörter noch im Klartxt durchs Netz gejagt wurden. Pidgin erlaubt mir allerdings nur bei Jabber irgendwelche manuelle Einstellungen bezüglich Verschlüsselung und Authentifikation vorzunehmen.

Verschlüsselung der Passwörter durch einen Schlüssel den man selbst wieder im Profil speichert ist auch mehr Homeöpathie als ein Schutz. Klar, man schützt zwar vor den neugierigen Blicken von anderen, doch wenn jemand an die Passwörter heran will, hat er doch relativ leichtes spiel. Doch selbst wenn die Passwörter nun so geschützt wären, dass man sie nicht einsehen kann, wenn man berechtigen Grund zur Annahme, dass einem jemand Schaden zufühgen oder ausspionieren will, dann ist es eigentlich schon zu spät, wenn er an die verschlüsselten Files ran kommt. Wenn jemand soweit Zugriff hat, kann er bereits Schaden anrichten oder an Informationen gelangen (es sind auf einem Rechner für Gewöhnlich ja nicht nur Passwörter gespeichert welche interessant sind).