image

FileZilla ondersteunt versleuteld opslaan van wachtwoorden

zaterdag 27 mei 2017, 08:15 door Redactie, 9 reacties

Het populaire ftp-programma FileZilla heeft een nieuwe optie toegevoegd waardoor wachtwoorden voor ftp-servers voortaan versleuteld worden opgeslagen. Voorheen werden de wachtwoorden nog onversleuteld bewaard, wat een beveiligingsrisico voor gebruikers was.

Zo werden in 2015 Firefoxgebruikers nog het doelwit van een zeroday-aanval waarbij er onder andere FileZilla-wachtwoorden werden gestolen. Eind vorig jaar werd FileZilla Secure gelanceerd. Een variant van FileZilla die wachtwoorden wel versleuteld bewaarde. De ontwikkelaar van deze versie was via een browserexploit met malware besmet geraakt waardoor zijn onversleutelde FileZilla-wachtwoorden werden gestolen.

In FileZilla Client 3.26.0-rc1 is nu voor het eerst ondersteuning van het versleuteld opslaan van wachtwoorden toegevoegd. Net als met veel andere programma's moeten gebruikers eerst een "master password" invoeren voordat de opgeslagen wachtwoorden zijn te gebruiken. Gebruikers die FileZilla willen downloaden krijgen het advies dit alleen via de officiële website te doen. In het verleden zijn er besmette versies ontdekt die via onofficiële websites werden aangeboden en waren ontwikkeld om wachtwoorden van gebruikers te stelen.

Reacties (9)
27-05-2017, 11:10 door Anoniem
Hele verhaal klopt niet, dat versleuteld opslaan is al 1,5 jaar ingebakken. Dat weet ik omdat ik ooit een wachtwoord zocht en alleen een bestandje met hashes kon vinden. Alleen was er geen sprake van een masterpassword, misschien is dat nu veranderd.
27-05-2017, 16:27 door Anoniem
Door Anoniem: Hele verhaal klopt niet, dat versleuteld opslaan is al 1,5 jaar ingebakken. Dat weet ik omdat ik ooit een wachtwoord zocht en alleen een bestandje met hashes kon vinden. Alleen was er geen sprake van een masterpassword, misschien is dat nu veranderd.
Het verhaal klopt wel. FileZilla gebruikte eerst encoding voor het opslaan van wachtwoorden. GEEN encryptie.
Dit is eerder op deze site gemeld. Zie https://www.security.nl/posting/491786/FileZilla+Secure+slaat+ftp-wachtwoorden+versleuteld+op
27-05-2017, 16:39 door Anoniem
Door Anoniem: Hele verhaal klopt niet, dat versleuteld opslaan is al 1,5 jaar ingebakken. Dat weet ik omdat ik ooit een wachtwoord zocht en alleen een bestandje met hashes kon vinden. Alleen was er geen sprake van een masterpassword, misschien is dat nu veranderd.

Een cryptographic hash ? Dat lijkt mij onwaarschijnlijk want een hash is bedoeld zo dat niet de originele data kunt her stellen. Lijkt mij erg onhandig om te gebruiken voor het inloggen op een server.

Tip ik hoop dat je gern plain text FTP gebruikt. Bijvoorbeeld SFTP met Putty agent of SSH agent voor SSH key-based authentication.
27-05-2017, 18:24 door Anoniem
Door Anoniem:Tip ik hoop dat je gern plain text FTP gebruikt.

Ligt er helemaal aan waar je inlogt. Ik log b.v. in via ftp op mijn harde schijf recorder om bij de opnames te komen. Die staat nog steeds op het default wachtwoord "0000".
oops, nu is mijn ww gelekt.
27-05-2017, 21:34 door Anoniem
Werd een keer tijd dan, ik had dat maar wat eerder op de planning gezet.
27-05-2017, 22:11 door soeperees
Filezilla gebruiken is hoe dan ook een bijzonder slecht idee. Een programmeur die jaren lang verzuimt op passwords te encrypten is een slechte programmeur. Iemand die zich kennelijk verzet tegen de geldende standaard zonder een passend alternatief te bieden. Gelukkig zijn er meer dan voldoende alternatieven.
28-05-2017, 09:56 door Anoniem
Door soeperees: Filezilla gebruiken is hoe dan ook een bijzonder slecht idee. Een programmeur die jaren lang verzuimt op passwords te encrypten is een slechte programmeur.
Of een goede programmeur met een starre opvatting over wat de beste manier is om hiermee om te gaan. De populariteit van Filezilla suggereert dat de ontwikkelaars echt wel dingen goed hebben gedaan. Deze discussie geeft inzicht in de starre opvatting:
https://forum.filezilla-project.org/viewtopic.php?t=31521
Ontwikkelaar Tim Kosse schrijft in verschillende posts:
You can disable saving of passwords in the settings dialog of FileZilla.
How is the computer becoming infected in the first place?

Let's assume there's a master password. What happens if your computer is infected? The malware waits until you connect to a server, intercepts your master passwords and then also has access to the passwords "protected" using the master password. The malware needs to be a bit more patient, but the end result is the same, your bank account is empty.

You need to prevent the infection from happening in the first place. (Just say NO to Java, Flash and Acrobat to avoid the vast majority of malware)
And this is why you're being prompted whether you want to store passwords in the first place, as encrypting passwords doesn't go far enough.
The user is not the problem. Malware is. If a normal piece of software has access to the unencrypted data, then malicious software running on the machine has access as well. You need to prevent malware infection in the first place. Against the related problem of unwanted users opening your files, there's full disk encryption.

Tim Kosse is (of was) dus van mening dat versleutelde opslag van wachtwoorden door het programma zelf niet de kern van het probleem is en geen echte oplossing. Daar kwam zijn weerstand vandaan.

Hij heeft een punt, maar niet volledig gelijk. Wat hij mist(e) is dat wachtwoordversleuteling door Filezilla zelf wel degelijk de kans op ellende verkleint omdat (a) niet elke gebruiker zijn systeem optimaal beveiligt volgens de opvattingen die Tim Kosse daarover heeft en (b) dat het toch een drempel voor malwareontwikkelaars oplevert die wel gericht die drempel moeten nemen om bij de wachtwoorden kunnen. Het is niet zwart/wit, niet alles of niets.

Kijk eens naar je eigen reactie. Die is ook zwart/wit, alles of niets: Tim Kosse is een slechte programmeur omdat hij één (zonder meer belangrijk) aspect van zijn software niet goed had. Of de software in andere opzichten goed in elkaar zit doet kennelijk niet meer ter zake voor jou. Volgens mij vertoon je hetzelfde soort starheid dat TIm Kosse deze inschattingsfout deed maken, en daarmee vermoed ik dat jij zelf kwetsbaar bent voor het maken van soorgelijke fouten. Misschien iets om even serieus bij stil te staan.
28-05-2017, 20:14 door Anoniem
Software met Zilla in de naam klinkt ook echt veilig...not
29-05-2017, 14:34 door Anoniem
Door Anoniem: Hele verhaal klopt niet, dat versleuteld opslaan is al 1,5 jaar ingebakken. Dat weet ik omdat ik ooit een wachtwoord zocht en alleen een bestandje met hashes kon vinden. Alleen was er geen sprake van een masterpassword, misschien is dat nu veranderd.

eerder werd er gebruik gemaakt van base64 voor het "versleutelen" van passworden
Hiervoor heb ik een simpel script geschreven om uit te lezen:
https://github.com/maestroi/Filezillapassword

ik ben up to date en default word deze file niet geconverteerd dus zou dit nog moeten werken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.