Passwörter werden nicht gespeichert

  • Hallo,


    sowohl beim LiveConfig Login als auch beim Login über die installierten Anwendungen (phpMyAdmin/Roundcube etc.) wird das Passwort nicht gespeichert, es müssen jedesmal die Login-Daten neu eingegeben werden.


    Ist es möglich Login-Daten im Browser zu speichern, sodass man diese nicht immer neu eingeben muss?


    Vielen Dank


    Alex

  • Hallo,
    erstmal solltest du dir im klaren darüber sein... was das für eine Sicherheitslücke sein kann :)
    Bei phpmyadmin, probiere mal folgendes:
    $cfg['auth_type'] = 'cookie';
    # Mit dem Typ config kannst du einen einzelnen Benutzer in der Config festlegen, dann entfällt der komplette Login.


    Denke daran das hierfür PHP-mcrypt installiert sein muss.


    Als nächstes solltest du die Cookie Gültigkeit erhöhen, z.B für eine Woche:
    $cfg['LoginCookieValidity'] = 60*60*24*7;
    (seconds * minutes * hours * days)


    Sollte das keinen Effekt haben, überprüfe in der php.ini den Wert session.gc_maxlifetime.


    Beispiel:
    $cfg['LoginCookieValidity'] = 60*60*24*7*52;
    ini_set('session.gc_maxlifetime', $cfg['LoginCookieValidity']);


    Für Roundcube wird es sicherlich eine ähnliche Lösung geben, nutze aktuell aber einen anderen Webmailer der die Funktion Passwort speichern und einen 1 jahr cookie im Browser setzt.


    Gruß Jack

  • Bezüglich des Kennworts im Browser speichern zitiere ich mal die Konfig Datei "main.inc.php"


    Code
    // Allow browser-autocompletion on login form.
    // 0 - disabled, 1 - username and host only, 2 - username, host, password
    $rcmail_config['login_autocomplete'] = 0;


    Ich denke es reicht das entsprechend zu konfigurieren.


    Gruß
    Björn

  • Danke, ja für phpMyAdmin und RoundCube habe ich autocomplete schon aktiviert:




    Ich suche noch eine Lösung wie man in LiveConfig autocomplete aktivieren kann.


    @Jack
    Darf man fragen welchen Webmailer Du einsetzt?


    Vielen Dank


    Alex

  • Wir haben das AutoComplete absichtlich und bewusst deaktiviert - alleine aus Sicherheitsgründen.
    Da es die Nachfrage aber häufiger gibt, bauen wir einige Einstellungsmöglichkeiten für Sicherheitseinstellungen ein - sowohl AutoComplete als auch z.B. die Mindestlänge für automatisch erzeugte Passwörter sind dann konfigurierbar.
    Siehe Ticket #82.

  • Leider ist fehlendes Autocomplete aber auch ein massiver Komfortverlust... Hat jemand einen Link parat, der das angeblich so große Sicherheitsrisiko erläutert?


    In Firefox habe ich ein Greasemonkey Script, das mir auf allen Websites autocomplete aktiviert - Bevormundung muss nicht sein...

  • Gibt es hierzu schon was neues wann die AutoComplete-Funktion in LiveConfig integriert wird?


    Gerade bei längeren Kennwörtern etc. ist ein ständiges "neu einloggen" nervig.


    Vielen Dank


    Alex

  • Leider ist fehlendes Autocomplete aber auch ein massiver Komfortverlust... Hat jemand einen Link parat, der das angeblich so große Sicherheitsrisiko erläutert?


    In Firefox habe ich ein Greasemonkey Script, das mir auf allen Websites autocomplete aktiviert - Bevormundung muss nicht sein...


    Ich empfehle an dieser Stelle die Lektüre der PCI-DSS Richtlinie, die Empfehlung des BSI und zusätzlich einfach mal testweise ein Systemtest (Hackerguard, Nessus, CPI) mit aktiviertem AutoComplete. Es hat seinen Grund, warum man z.b. bei Kreditkartenabrechnungssystemen das Zertifikat nicht erhält, wenn man so etwas aktiviert. (Ach ja, gerade bei Firefox ist es auch herrlich einfach, die Daten direkt per Scipt auszulesen (beim BSI gibt's zu dieser Unsitte einen herrlichen Artikel)

  • Ich empfehle an dieser Stelle die Lektüre der PCI-DSS Richtlinie, die Empfehlung des BSI und zusätzlich einfach mal testweise ein Systemtest (Hackerguard, Nessus, CPI) mit aktiviertem AutoComplete. Es hat seinen Grund, warum man z.b. bei Kreditkartenabrechnungssystemen das Zertifikat nicht erhält, wenn man so etwas aktiviert. (Ach ja, gerade bei Firefox ist es auch herrlich einfach, die Daten direkt per Scipt auszulesen (beim BSI gibt's zu dieser Unsitte einen herrlichen Artikel)


    Sind deine Ausführungen auch gültig, wenn man in Firefox ein Master-Passwort hat? Ich wüsste nicht, was mit Master-Passwort dagegen spricht...

  • Nur mal so als Zwischenmeldung ;) - mit v1.7.0 gibt es eine zusätzliche Verwaltungsmöglichkeit für "interne" Konfigurationseinstellungen von LiveConfig. Damit kann dann u.a. auch das AutoFill für die Anmeldung aktiviert werden (bleibt standardmäßig aber deaktiviert) oder die Länge/Komplexität von Passwörtern etc. definiert werden.


    Schöne Pfingsten!


    Nachtrag: die BSI-Empfehlung für's Sichere Surfen mit Firefox gibt's übrigens hier. AutoComplete wird auf Seite 9 erwähnt.
    Im eigentlich noch wichtigeren "IT-Grundschutz-Katalog" wird explizit empfohlen, AutoComplete=off zu setzen, siehe hier (Seite 97).

  • Erklär mir, in wie weit aus Deiner Sicht ein "Masterpasswort" das Abgreifen unterdrückt/verhindert (und nicht nur unwesentlich erschwert...).


    in der von Herrn Keppler verlinkten BSI-Empfehlung zu Firefox steht auch nur, dass man Master-Passwörter verwenden soll, nicht dass man das Speichern der Passwörter komplett unterbinden soll.
    Welchen Unterschied macht es, ob das Passwort in der Firefox-DB oder in der (z.B.) KeePass-DB liegt - außer dass der Komfort (und damit die User-Akzeptanz) deutlich sinkt?

  • Für uns (als Softwarehersteller) ist der IT-Grundschutz-Katalog relevanter als die Firefox-Empfehlung, da dieser auch Grundlage für eine eventuelle BSI-Zertifizierung ist.
    Letztendlich ist es immer eine Frage, wohin man seine Schwachstelle verlagert. Was nutzt eine strenge Passwort-Policy (>12 Zeichen, Sonderzeichen, Zahlen usw.), wenn sich dann niemand mehr das Passwort merken kann, man es im Firefox/KeePass/... speichert, so dass es ggf über ein bösartiges Script ausgelesen werden kann? Oder der User vergisst es gleich und lässt sich dann über eine simple E-Mail einen Link zum Zurücksetzen des Passworts zuschicken...


    Meiner Meinung nach bietet eine Zwei-Faktor-Authentifizierung mit einem "merkbaren" Passwort und einem persönlichen Token-Generator (Token/Smartphone/...) weitaus mehr Sicherheit als ein Passwort, dass so komplex ist, dass man auf dessen Speicherung in irgendeiner Passwort-Datenbank angewiesen ist.


    [Jippiee... 1000stes Posting :)]

  • so dass es ggf über ein bösartiges Script ausgelesen werden kann


    Wenn ich ein bösartiges Script auf dem Rechner habe, ist sowieso schon alles zu spät. Das kann das auch mein Passwort abgreifen, das ich aus dem Gedächtnis eintippe. Nicht mehr also, als bei Einsatz von KeePass oder/und FF mit Master-Passwort.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!