Vorstellung: Secure Password Plugins

[alexprasse]

Seit je her wird bei LibPurble das Problem der Klartextspeicherung der Zugangspasswörter für die Protokolle diskutiert.

Seit gestern gibt es auf der Plugin-Seite von Pidgin ein neues Plugin mit dem Namen SECURE-PASSWORD-PLUGIN, welches genau dieses Problem beheben will.

Einfach die dll-Datei (für Windows) in euer Plugin-Verzeichnis kopieren und unter der Buddy-Liste --> "Werkzeuge" --> "Libpurble Secure Storage" könnt ihr dann die Passwörter codieren.

Einfach mal testen und berichten ...

Gruß Alex ...

[BattleMage]

Hat das schon jemand getestet? Das sieht so aus, als würde es nicht mit Pidgin Portable zusammen funktionieren. Wenn ich die Infos von der Seite richtig interpretiere, dann werden die Betriebssystem eigenen Verschlüsselungsmethoden benutzt, und die sind (zumindest sollte es bei Windows so sein) nicht Benutzeraccount übergreifend.

[danker]

Also endlich auch mal zum testen gekommen, und es funktioniert mit meiner Portablen 2.4.2 er Pidgin Version einwandfrei.

Die Passwörter erst in Pidgin gespeichert, in der "accounts.xml" nachgeschaut ob sie auch vorhanden sind, was sie auch waren.
Dann "Save & Encypt Passwords" ausgeführt, in der "accounts.xml" nachgeschaut und die PWs waren nicht mehr drinnen.
Es wird eine "Secure_Passwords.xml" angelegt welche die PWs nicht mehr in Klartext beinhaltet.
Löscht man diese "Secure_Passwords.xml" sind die PWs weg und man muß sie wieder wie gewohnt eingeben.
Fehler und Probleme gab es bei mir nicht!

EPFEHLUNG: Ganz klar KAUFEN!

[Freakazoid]

Sorry, ich will eure Euphorie nicht bremsen, aber Passwörter speichern ist *nicht* sicher.

Es hat mich 5min Suche und 1 Zeile Code gekostet, das Plugin so umzuschreiben, dass es das entschlüsselte Passwort ausgibt und erst dann an Pidgin weiter reicht.

Genau diese trügerische Sicherheit ist der Grund dafür, dass Pidgin standardmäßig unverschlüsselt speichert.

Effektiver ist es, darauf zu achten, den Angreifer gar nicht erst an die Daten kommen zu lassen.

[Stefanos]

Da mich das Thema interessiert wollte ich auch nach der langen Zeit mal 1-2 Zeilen dazu schreiben. Da hier im Forum gern alle direkt angegriffen werden, weil nur ein Detail nicht so gut ausgefeilt ist aber der grundsätzliche Gedanke durchaus richtig ist. Falls mal wieder jemand Lust hat in der Richtung aktiv zu werden.

Sorry, ich will eure Euphorie nicht bremsen, aber Passwörter speichern ist *nicht* sicher.

Das ist sicherlich richtig, selbst die normale Eingabe ist unsicher ohne nach jedem Zeichen/Aktion unzählige sinnlose Interaktionen durchzuführen.

Genau diese trügerische Sicherheit ist der Grund dafür, dass Pidgin standardmäßig unverschlüsselt speichert.

Das stimmt in der aktuellem Form schon. Wenn man dagegen es mit einem Masterpasswort schützen würde ähnlich wie z.B. KeePass dann sieht die Sache schon etwas anders aus. Wobei es dann immer noch im Speicher zumindestens kurze Zeit wäre, das aber doch mehr Kenntnisse benötigen würde als nur eine einfache simple Datei zu öffnen.

Effektiver ist es, darauf zu achten, den Angreifer gar nicht erst an die Daten kommen zu lassen.

Fakt ist aber auch das z.B. eine SQLite Datei seltener automatisch durchsucht wird als eine XML-Datei. Was die Unsicherheit doch mehr erhöht als senkt.

Edit: Für Windows 7 scheint unter http://code.google.com/p/pidgin-wincred/ bzw. http://code.google.com/p/pidgin-gnome-keyring/ ein Plugin dazu zu entstehen.