Verschlüsselung und Sicherheit beim FTP Hauptpassword

[GerdH]

Hallo zusammen,
kann mir jemand sagen wie es mit der Verschlüsselung und Sicherheit beim Hauptpassword für die (s)FTP(S)-Verbindungen aussieht?
In einem Forum Beitrag hab ich gelesen dass das Passwort mit 256-AES verschlüsselt sein soll.
Ist diese Info Korrekt? Wenn ja mit welchem 256-AES-Schlüssel wurde das Password verschlüsselt?

Gibt es Erfahrungen mit irgendwelchen Penetrations-Tests im Zusammenhang mit dem Total Commander?

Gruss
GerdH

[Horst.Epp]

Ich glaube kaum, dass jemand Penetrations-Tests mit einem File Manager gemacht hat.
Persönlich benutze ich das Hauptpassword des TC nicht,
sondern überlasse das KeePass.

[GerdH]

Hallo Horst.Epp,
ja das sehe ich auch so. Ich persönlich würde nie ein FTP-Passwort wo anders als in einem Password-Safe speichern.
Das Problem ist nur: Total Commander bietet das speichern von FTP-Passwörtern an.
Dann fragen die Sicherheitsleute zurecht wie sicher sind die gespeicherten Passwörter.
Schön wäre es, wenn man das Speichern der FTP-Passwörter und eines Hauptpasswords unterbinden könnte.
z.B. in der wincmd.ini
Dann kommen die Leute nicht auf dumme Gedanken.

[white]

TC uses AES 256bit to protect the passwords, with SHA256 (HMAC with 1000 iterations) for the password to encryption key conversion function. This makes even brute force password recovery very slow.

I recommend that you write down the master password on paper and put it in a safe place separated from your PC, e.g. a furniture safe, or your wallet. Of course you need to change your master password (via Ctrl+F) if the master password gets stolen.

18.02.09 Added: Password encryption: Use 3000 iterations instead of 1000 for encryption key, use HMAC-SHA256 (takes about 2 seconds on Pentium 100, the slowest recommended platform)
18.02.09 Added: Password encryption: Replace AES CBC mode (crypto api) by AES CTR mode (as in ZIP) because of some known attacks to CBC mode

Ich gehe davon aus, dass dies immer noch gilt.

[Horst.Epp]

Man ist nicht gezwungen, ein Hauptpasswort oder FTP-Password zu setzen.
Ich habe keins und der TC fragt auch nicht nach einem solchen.
Einige Informationen zum Thema
viewtopic.php?t=78137

[ghisler(Author)]

kann mir jemand sagen wie es mit der Verschlüsselung und Sicherheit beim Hauptpassword für die (s)FTP(S)-Verbindungen aussieht?
In einem Forum Beitrag hab ich gelesen dass das Passwort mit 256-AES verschlüsselt sein soll.
Ist diese Info Korrekt? Wenn ja mit welchem 256-AES-Schlüssel wurde das Password verschlüsselt?

Das verstehen Sie falsch, das Hauptpasswort wird überhaupt nicht auf dem PC gespeichert, und muss deshalb auch nicht verschlüsselt werden! Sie werden ja zur Eingabe des Hauptpassworts aufgefordert. Total Commander berechnet dann aus diesem einen AES256-Schlüssel, mit dem (zusammen mit für jedes Passwort unterschiedlichen Zufallsdaten) die einzelnen Passwörter verschlüsselt werden.

Wenn Sie die Option "Windows Hello" verwenden wählen, dann funktioniert das nur bis zum Beenden von Total Commander. Das Hauptpasswort wird dazu temporär mit Zufallszahlen verschlüsselt, und er Schlüssel temporär in Windows Hello gespeichert. Beim Beenden von Total Commander gehen diese Daten verloren. Sie werden deshalb nach dem nächsten Start von Total Commander wieder nach dem Hauptpasswort gefragt.