API-Tokens

Von einem Teil die­ser Kon­ten sol­len unter ande­rem User­na­men und gehash­te Pass­wör­ter offen­ge­legt gewe­sen sein, außer­dem Git­Hub- und Bit­bu­cket-Tokens für Docker Autobuilds

Das ist wohl ein Pro­blem, das kaum jemand auf dem Schirm hat: Wir haben beim Spei­chern von Paß­wör­tern mitt­ler­wei­le ein ordent­li­ches Level an Sicher­heit erreicht: Shadow-sys­te­me, AES statt DES, Hash­es statt Klar­text, Salz, 2FA

Und dann kam DevOps und gab uns REST-APIs, auf die man mit Tokens zugrei­fen kann. Ein Token ist dabei eine lan­ge, genü­gend zufäl­li­ge Zei­chen­ket­te. Solan­ge man Trans­port­ver­schlüs­se­lung ver­wen­det, ist zumin­dest die­ser Weg sicher, doch wer in der Pra­xis kann wirk­lich sagen, wo über­all ein Token für wen les­bar gespei­chert ist? Wel­che Rech­te die­ses Token hat? Ob es abläuft und wenn ja, wann?

Platt: Wenn in mei­ner DB mein Git­Hub-Paß­wort gesal­zen und gehasht abge­spei­chert ist: Gut. Aber wenn dane­ben ein Token für den Git­hub-Zugriff liegt, dann ist ja nichts gewonnen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert