Herausforderung Passwort

    Liebe Gemeinde,

    ich habe da mal eine Herausforderung:

    Ich möchte auf einem Vereinsrechner (für alle Mitglieder zugänglich) unter Linux
    eine kostenpflichtige Software auf die zugehörige Online-Version umstellen.
    Der Zugang erfolgt über Username/Passwort.

    Hier die Challenge: das Passwort soll dem Nutzer zwar zur Verfügung stehen,
    aber er soll es nicht einsehen können.

    Schick wäre es also z.B., wenn ein Master-Passwort gesetzt wäre, dieses aber nicht
    beim Aufruf der Dienstleister-Seite abgefragt würde, sondern nur bei Änderungs-
    oder Ausleseversuchen etc.

    Allzu komplex darf es für den User leider auch nicht werden...

    Habt Ihr da Ideen?

    Vielen Dank im Voraus!

    Ohne das jetzt ausprobiert zu haben:

    Setze ein Masterpasswort, das nur dir bekannt ist.
    Lösche alle bereits angelegten, relevanten Passwörter aus dem Passwortspeicher.

    Starte Fx neu, alle anfragen die die Nutzer nun zum Masterpasswort bekommen müssen sie abbrechen, sie kennen es ja nicht.

    Theoretisch sollten die Nutzer für den Login nun immer ihr Passwort eingeben müssen, abspeichern können sie es ja nicht, da ihnen das Masterpasswort nicht bekannt ist.

    (Unbekannt ist mir ob Passwörter auch bei aktiviertem, aber nicht eingegeben Masterpasswort gespeichert werden können, das glaube ich zwar nicht, aber lieber ausprobieren)

    Ich weiß natürlich nicht genau was passieren soll, aber ich denke es geht hauptsächlich darum, das nachvollzogen werden kann wer sich wann eingeloggt hat, bzw. wer welche Änderungen vorgenommen hat.

    Oder gibt es nur EINE Nutzername/Passwort Kombination für alle?

    Also ich habe das so verstanden:
    Jeder kann sich über irgend ein Benutzerkonto an diesem Rechner anmelden und dann die bewusste Webanwendung starten, DEREN PASSWORT er aber nicht kennen soll.

    Echte Herausforderung...
    PW-Manager fällt aus, denn ohne Master-PW kein Zugang, mit Master-PW kann das PW der Anwendung ausgelesen werden.
    Man kann bei verschiedenen Anwendungen den Benutzernamen und das PW mit dem Aufrufstring übergeben. der findige Nutzer kann den natürlich auch sehen.

    Mfg WK

    Hi,

    danke erstmal für die bisherigen Antworten.

    Ich habe mich vielleicht etwas unverständlich ausgedrückt, daher nochmal
    für alle Fälle:

    - der Nutzer soll das Passwort *benutzen* dürfen
    - er soll es aber nicht *kennen*

    Wozu dient das ganze? Der Verein besitzt eine Lizenz für den Bezug von Wetterdaten
    und -Analysen. Diese Lizenz ist natürlich an den Verein gebunden; jeder "Privatmann" muß
    ggf. selbst eine erwerben. Wenn Username und Passwort aus dem Browser
    auslesbar wären, ist natürlich abzusehen, was passiert. Daher ist der Verein verpflichtet, die
    Zugangsdaten geheim zu halten.
    Bisher lief das alles über eine separate Software, die aber a) unattraktiv und b) auf
    Windows beschränkt ist. Jetzt würden wir das halt gerne über die browsergestützte Online-
    Version und unter Linux machen.

    Eine echt harte Nuss... Gibt es vielleicht ein Plugin, mit der man das PW aus einer Datei
    lesen könnte? (Selbst dann bleibt es tricky - die Datei ließe sich ja auch per Browser
    auslesen...)

    Ideen! Wir brauchen guten Ideen!! ;)

    Weiter vielen Dank für Euren Input!

    LG
    carlos18

    Zitat von Palli


    (Unbekannt ist mir ob Passwörter auch bei aktiviertem, aber nicht eingegeben Masterpasswort gespeichert werden können, das glaube ich zwar nicht, aber lieber ausprobieren)


    Also ich habe hier an meinem Arbeitsprofil ein Masterpasswort. Dieses muss ich eigentlich nie eingeben. Ich habe für ein paar Seiten wie zb. http://camp-firefox.de/forum mein Passwort gespeichert und sobald ich dieses Forum aufrufe bin ich automatisch angemeldet. Ein weiteres Speichern von Passwörtern habe ich abgestellt. Beim Schließen von Firefox wird alles gelöscht, außer die Cookies von diesem Forum (und zwei weiteren Webseiten). Würde ich weitere PW speichern wollen müsste ich erst das Masterpasswort eingeben.

    Fazit: somit könnte auch ein fremder User hier am PC angemeldet von meinem Rechner aus das Forum aufrufen ohne dass er das PW kennt, denn um dies zu sehen bräuchte er das Masterpasswort, welches aber nur ich kenne.

    Vielleicht hilfreich: http://mozhelp.dynvpn.de/guide/firefox-…utz-einstellung

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

    Einmal editiert, zuletzt von Zitronella (17. März 2016 um 15:36)

    Hi Zitronella,

    cool, danke! Das sieht recht interessant aus...

    Hier die Preisfrage: kannst Du die Passwörter zu "Deinen" Webseiten auslesen?

    Und noch eine weitere: bieten diese Webseiten an, auf "diesem Rechner" eingeloggt zu bleiben
    (also eine Authentifizierung bei weiteren Besuchen per Cookie)? Das gibt unsere Seite nämlich
    nicht her, soweit ich weiß...

    Ach, da fällt mir noch eine dritte Frage ein: könnte ein findiger Nutzer evtl. den Browser so umstellen,
    daß er wieder an die Passwörter kommt? (Das kann ich dann ja mal ausprobieren...)

    Danke im Voraus!!
    carlos18

    Freut mich, dass ich es richtig verstanden habe ;) ich habe sogar gleich an (Flug-) WX gedacht.
    Das Problem ist, dass alles was <user> anwenden darf, dieser auch sehen kann. Also egal ob PW-Manager, Startscript mit Passwort, oder irgend eine Datei, aus welcher das PW ausgelesen werden kann, es/sie muss immer mit den Rechten des Users les- oder ausführbar sein. Jetzt kannst du diese "Geheimdatei" sonstwo verstecken und darauf verlinkten, aber damit verwirrst du kaum jemanden.

    Vielleicht:
    Die Anwendung (wenn sie das mitmacht) dauerhaft in einer VM oder auf einem anderen Rechner von dir gestartet durchlaufen lassen und die Nutzer greifen dann remote (x2go oder vnc usw.) auf den Screen zu.

    Mfg WK

    Zitat von carlos18

    Hier die Preisfrage: kannst Du die Passwörter zu "Deinen" Webseiten auslesen?


    nur mit dem Masterpasswort

    Zitat von carlos18

    Und noch eine weitere: bieten diese Webseiten an, auf "diesem Rechner" eingeloggt zu bleiben
    (also eine Authentifizierung bei weiteren Besuchen per Cookie)? Das gibt unsere Seite nämlich
    nicht her, soweit ich weiß...


    so weit ich weiß ja, ich meine dass es cookie gebunden ist.

    Zitat von carlos18

    könnte ein findiger Nutzer evtl. den Browser so umstellen,
    daß er wieder an die Passwörter kommt? (Das kann ich dann ja mal ausprobieren...)


    ich wüsste nicht wie, solange er nicht das Masterpasswort kennt.

    Aber andere könnten Dir vielleicht noch mehr dazu sagen.

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

    WismutKumpel: Flug-WX ist ein 100% Treffer ;)
    Auch über VNC oder VM bleibt das Problem: Im Browser-Kontext bleibt das "Geheimnis"
    immer zugreifbar, wenn auch nur für Leute mit Ahnung.

    Zitronella: habe Deine Einstellungen mal getestet; wenn ich nicht über Cookies arbeiten lasse,
    muß ich beim nächsten Firefox-Start das Master-Passwort angeben. Wenn der normale User
    dieses kennt, hat er aber auch wieder Zugriff auf das Webseiten-Passwort..


    Ich danke Euch allen herzlich! Es hat mir zumindest bestätigt, daß es kein triviales Problem ist.

    Ich bleibe weiter dran, wenn ich eine Lösung finde, poste ich sie gerne.
    Vielleicht kommen wir hier ja auf eine Lösung, die zumindest nicht schlechter ist als die zur Zeit
    existierende...

    Einen schönen Abend Euch allen!
    carlos18

    Ein bislang trauriger Thread, freundliche Mitglieder bemühen sich um eine Lösung, obwohl bislang die minimalistischen Angaben fehlen.

    Zitat von carlos18

    Ich möchte auf einem Vereinsrechner […] unter Linux eine […] Software auf die zugehörige Online-Version umstellen.


    Augenscheinlich gab es zuvor eine zufriedenstellende Lösung.
    Die Quelle der "Software" wurde nicht erwähnt, geschweige denn deren Server.

    Nun kann man orakeln ohne Ende.

    Hi,

    lieben Dank für den Tipp; leider trifft das nicht das Problem.
    In dem Menü, das dann gezeigt wird, ist das Passwort als Klartext
    abgelegt und als solches auswählbar; damit ist aber die Grundbedingung
    verletzt, daß der Nutzer das PW nicht kennen soll, sondern es nur verwenden
    dürfen soll.

    Trotzdem danke für Deine Mühe!

    LG
    carlos18