Worum geht es beim Aufdecken von Passwörtern?

Das Aufdecken von Passwörtern beschreibt den Mechanismus, bei dem ein Passwort im Client dem Benutzer sichtbar gemacht wird. Aus Performanzgründen wird lediglich das Passwort selbst (=secret) mit Hilfe der genutzten Verschlüsselungsalgorithmen im Client verschlüsselt und schlussendlich in der MSSQL-Datenbank abgelegt. Da der Zugang zum MSSQL-Server selbst auch anderweitig über Zugriffsberechtigungen abgesichert ist, ermöglicht dieses Vorgehen maximales Arbeitstempo. Nachfolgend wird die Funktionsweise detailliert beschrieben.

Fallbeispiel

Der Datensatz “Blogger” ist in der Datenbank gespeichert und vom angemeldeten Benutzer einsehbar. Der Benutzer ist somit zumindest lesend auf den Datensatz berechtigt. Gemäß Berechtigungskonzept hat der Benutzer somit auch Leserecht auf das Passwort selbst. Dies bedeutet, er kann über die Funktion “Aufdecken” das Passwort im Klartext sehen.

Aufdecken von Passwörtern – Schaubild

Wichtig ist in diesem Zusammenhang, dass das Wort “Aufdecken” dem Prozess nicht wirklich gerecht wird. Dies assoziiert fälschlicherweise, dass das Passwort dem Client bereits vorliegt und es nur noch angezeigt werden muss. Der im Hintergrund ablaufende Prozess bis zum Anzeigen des Passwortes ist jedoch bei weitem komplexer.

1. Aufbewahrung des Passwortes am Server

Auch wenn Sie es vermuten…ein verdecktes Passwort (******) liegt in der Ausgangssituation weder dem Client noch dem Server im Klartext vor! Durch den Einsatz der beiden Verfahren AES 256 sowie RSA 4096 wird das Passwort hybridverschlüsselt in der MSSQL-Datenbank aufbewahrt. Markiert man also einen Datensatz, ist das Passwort vor dem Aufdecken am Client noch gar nicht vorhanden, serverseitig ist es verschlüsselt gespeichert.

2. Verschlüsseltes Passwort wird angefragt

Der Auslöser für die Anfrage des Passwortes ist das Betätigen des “Aufdecken”-Buttons. Es wird eine Anfrage an den Server gesendet, indem die Freigabe des verschlüsselten Passwortes beantragt wird. Der Server selbst besitzt den nötigen Schlüssel (private Key) zum Entschlüsseln nicht. Er kann demnach nur den verschlüsselten Wert liefern.

3. Prüfung der Berechtigungen

Ob eine wie unter 2. gestellte Anfrage eine Freigabe erhält, wird im Berechtigungskonzept definiert. Nach dem Eingang der Anfrage prüft der Server, ob der Benutzer die nötigen Rechte besitzt. Auch das Vorhandensein eventuell angebrachter Sicherheitsmechanismen, wie zum Beispiel eines Siegels oder dem Sichtschutz, werden geprüft. Erfüllt der Benutzer die für eine Freigabe nötigen Anforderungen, versendet der Server nun das verschlüsselte Passwort. Im gleichen Arbeitsschritt erfolgt ein Logfile-Eintrag, der den Zugriff des Benutzers auf das Passwort dokumentiert.

4. Entschlüsseln des Passwortes am Client

Der Benutzer besitzt nun das verschlüsselte Passwort, welches vom Server geliefert wurde. Der Benutzer selbst ist im Besitz des zur Entschlüsselung notwendigen privaten Schlüssels und kann nun den tatsächlichen Wert des Passwortes einsehen.

Abtipphilfe

Um ein Passwortfeld besser einsehen bzw. abtippen zu können, müssen Sie den Pfeil hinten am Passwortfeld aufklappen. Daraufhin können Sie die Abtipphilfe öffnen:

Dadurch werden Passwörter groß und gut lesbar dargestellt:

War das hilfreich?

Ja Nein
You indicated this topic was not helpful to you ...
Could you please leave a comment telling us why? Thank you!
Thanks for your feedback.