マスターパスワード機能を持つFTPクライアント

d:id:imatake:20100203:1265175015 の注意喚起を受けての反応。(主な)情報元は、セキュリティホール memo から。

把握してるところで、FFFTP 1.97, WinSCP 4.2.4 beta, EmFTP, Explzh 5.58, NextFTP4 v4.89 (2/18追記)。SmartFTP, FileZilla は機能なし。

FFFTP

有志による改良から(Ver1.96d+001)、AESによる暗号化も(ver.1.96d+009+aes002)、本家は 1.97 から(有志の内容を反映。ただし Windows 2000 ではエラーになる)。最新版は 1.97a。

FFFTP をVer.1.97aにバージョンアップ。

ホストに接続するパスワードが32文字以上の場合、最初の32文字までしか保存されないのを修正しました。

Windows 2000でアプリケーションエラーになるのを修正しました。

Sota's Web Page (改版履歴)

FFFTP をVer.1.97にバージョンアップ。

マスターパスワードの機能を導入しました。パスワードが抜かれないための対策として、マスターパスワードを設定してください。この機能は、げんげんさんが開発してくださったものです。ありがとうございます。

パスワードの暗号化をAESを使用して行うようにしました。パスワード保存時の暗号化の強度が高くなりました。この機能はMocaさんが開発してくださったものです。ありがとうございます。

Sota's Web Page (改版履歴)

WinSCP

4.2.4 beta 以降からマスターパスワード機能 AES 暗号化追加。最新版は 4.2.5。

4.2.4 beta

Stored session passwords can be encrypted by AES cipher using master password. 273

Recent Version History (WinSCP)

EmFTP

Windows API による暗号化。

【アカウント情報の取り扱いについて】
EmFTP のアカウント情報はレジストリ内に含まれており誰でも簡単に確認することができますが、アカウント情報の中のパスワードは、ログオンしている Windows アカウントの情報をもとに暗号化されています。この暗号化には、Windows API を使用しており、アカウント使用者本人以外は簡単に復号できない設計になっています (マスターキーは、Windows にログオンするときのパスワードから作成されます)。しかし、現在マルウェアがどの程度の復号まで可能かなど、正確な情報が不明な点、さらに今後マルウエアが変化し、アカウント窃取の対象となる情報が変化する可能性もあるため、EmFTP にはパスワードを保存せずに、ログオンのたびにパスワードを入力することを推奨します。
EmFTP 本体 : マルウェア (Gumblar など) にご注意ください (EmFTP)

使っているAPIって DPAPI (Data Protection API) なのかな。

Explzh for Windows

Ver.5.58 から、AES 暗号化してレジストリへ。

FTP アカウント情報の管理方法を改善。FTP アカウント情報は AES 暗号化してレジストリへ格納し、マスターパスワードを利用してアクセスするようにした。（初回接続時、または設定変更時に「マスターパスワード」の指定ダイアログが表示されます。「マスターパスワード」はレジストリに保存しないので、お忘れにならないようご注意ください。）※いわゆる、Gumblar 対策です。https://www.jpcert.or.jp/at/2010/at100005.txt
Explzh for Windows 修正履歴 (Explzh)

SmartFTP

機能なし

Encryption of saved passwords / favourites - SmartFTP Forums (SmartFTP)

FileZilla

機能なし、予定もない？

#2935 (Support for optional Master Password for sitemanager.xml) - FileZilla (FileZilla)

NextFTP4

Ver4.89 から、AES へ強化して暗号化して保存。起動パスワード機能。

Ver 4.89 (2010/02/17)
パスワードの保存時の暗号化が強化され、起動パスワードにも対応しました。
パスワードの保存時の暗号化がAESにより強化されました。さらに、起動パスワードを設定することで、NextFTPの最初の起動時に起動パスワードを入力する必要があるようになるほか、パスワードの暗号化キーが変更され、ホスト設定のデータファイルやレジストリを他のパソコンにコピーしても、起動パスワードが一致しないと使用できなくなります。起動パスワードは、常駐NextFTPを使用していれば最大８時間保存され、何度も入力する必要はありません。なお、ホストデータの暗号化方式の変更により、ホストデータの更新後はVer4.88以前のバージョンには戻せなくなりますのでご注意ください。

パスワードの保存時の暗号化を強化。旧バージョンには戻せません。

起動パスワードを設定できるようになった。

アップロードバッファサイズを最大16MBから最大64MBに拡大。

ダウンロードバッファサイズを拡大してダウンロード速度を向上させた。

http://www.toxsoft.com/nextftp/history.html

AES へ強化されても起動パスワードを使わないと微妙ですね(暗号化の鍵がばれたらお終い…)。「起動パスワード」＝他での「マスターパスワード」かな。

NextFTP3 も暗号化はされてはいるみたい(AESではない、起動パスワードもなし)。既にサポートもしていないので、バージョンアップもなし。