phpPassSafe

Die Kombination aus Username und Passwort ist die mit Abstand am weitesten verbreitete Methode zur Authentifizierung gegenüber Web Portalen, Web Shops, Domänenanmeldung und so weiter. Damit diese Art der Authentifizierung sicher ist, sollten die Passwörter keine "wirklichen" Wörter sein, sich also in keinen Wörterbüchern finden. Sie sollten außerdem ausreichend komplex sein, damit sie nicht erraten werden. Und Sie sollten nicht überall die selben Passwörter verwenden. Denn wenn solch ein "universal" Passwort verloren geht, zum Beispiel durch eine Phishing Attacke, oder weil eine Website gehackt wird, haben Sie ein ernsthaftes Problem.

phpPassSafe ist ein in PHP und Javascript geschriebenes Tool zur sicheren, rollenbasierten Passwortverwaltung. Solche Tools werden auch online Password Safe oder online Password Manager genannt.

Die User müssen sich nur noch ein Passwort merken, jenes zu phpPassSafe, um Zugriff auf all ihre Passwörter zu haben. Aufgrund des rollenbasierten Rechtemanagements ist phpPassSafe auch für den Einsatz in mittleren bis großen Organisationen geeignet.

Mit dem integrierten Zufallspasswortgenerator unterstützt phpPassSafe die User bei der Wahl sicherer Passwörter.

Als Backend Datenbank wurden bisher der Microsoft SQL Server sowie dessen Express Version und MySQL getestet.

Die Passwörter werden ausschließlich verschlüsselt in der Datenbank abgelegt. Als Verschlüsselungsalgorithmus kommt AES mit einer Schlüssellänge von 256 Bit zum Einsatz.

Durch den Einsatz von AJAX lässt sich die Weboberfläche flüssig bedienen und vermittelt fast das Gefühl einer Desktopapplikation.

Für das iPhone steht eine, speziell auf den kleinen Bildschirm angepasste Oberfläche mit dem Look and Feel einer iPhone Applikation zur Verfügung.

phpPassSafe ist frei und steht unter der BSD-Lizenz. Bei Bedarf bietet Christian Wally Risk Management Installationssupport und Workshops an.

Warum ist phpPassSafe sicher?

phpPassSafe legt die Passwörter nur verschlüsselt in der Datenbank ab. Zur Verschlüsselung wird der Algorithmus AES-256 verwendet. Der Schlüssel, der zur Passwortverschlüsselung verwendet wird, wird seinerseits mit einem Passwortgruppenschlüssel verschlüsselt und dieser mit einem Usergruppenschlüssel. Der Usergruppenschlüssel wiederum wird mit den Userschlüsseln der Mitglieder verschlüsselt. Die Userschlüssel werden letztlich mit einem Masterpasswort verschlüsselt, mit dem sich die User bei phpPassSafe anmelden müssen, um die Schlüsselkette der Reihe nach entschlüsseln zu können.

phpPassSafe ist Open Source, das bedeutet Sie können sich den Code ansehen und überprüfen ob die Verschlüsselungsmechanismen korrekt implementiert wurden.

Warum ist phpPassSafe nicht sicher?

phpPassSafe ist eine Webapplikation, die grundsätzlich auch über das Internet zugänglich gemacht werden kann. Als Webapplikation ist phpPassSafe den üblichen Angriffen wie SQL Injection, Cross Site Scripting etc. ausgesetzt. Bei aller Sorgfalt kann ein Programmierfehler nicht ausgeschlossen werden. Außerdem könnte der Webserver oder eine andere Applikation, die ebenfalls auf dem Webserver läuft, eine Schwachstelle aufweisen. Und schließlich ist zu bedenken, dass beim Zugriff auf ein gespeichertes Kennwort dieses letztlich unverschlüsselt zum Browser übertragen wird. Im Falle eines Zugriffs aus dem Internet sollte als Applikationsprotokoll also unbedingt https verwendet werden.

Ablauf und Relationen

Download der aktuellen Version als ZIP oder TAR Archiv .

Download als Virtual Appliance .

Impressum | AGB