Hallo Klaus,

danke für die Links, das habe ich bei meiner Recherche damals wohl übersehen oder es gab dieses Seiten tatsächlich noch nicht.

Mit den Schlüsseln hat es folgende Bewandnis: Wenn du dich mittels eines SFTP-Clients (z. B. FileZilla) mit einem SFTP-Server verbindest, zeigt dir der Client den Schlüssel des Servers (bzw. dessen sogenannten Fingerabdruck) an, den du dann mit den auf anderem Wege übermittelten Angaben des Serverbetreibers vergleichen kannst – das ist so, als wenn er dir deinen Ausweis zeigen würde und du die Daten mit denen auf einer Liste vergleichst, um sicherzustellen, dass derjenige der ist, für den du ihn hältst. Da sich ein Schlüssel nicht passend zu einem Fingerabdruck herstellen lässt (klingt komisch, ist aber dank Hashfunktionen möglich), ist dieses System sicher. Vermutlich veröffentlicht Strato die korrekten Fingerabdrücke der Schlüssel nicht, daher ist ein Abgleich nur beschränkt möglich (wer garantiert dir, dass der jetzige Schlüssel nicht (unwahrscheinlicherweise) ein Fake ist?).

Dass Strato nur das Masterpasswort zum SFTP-Login erlaubt, könnte technische Gründe haben – es ist sowieso keine gute Idee, FTP-Zugangsdaten weiterzugeben. Für die Fälle, wo das aber nötig wäre, ist es eine schlechte Idee von Strato, Masterpasswort und SFTP-Zugangsdaten nicht zu trennen. Ich gehe stark davon aus, dass Strato an dieser Stelle auf das unsichere FTP statt SFTP setzt, weil SFTP dem Nutzer nicht wirklich prominent angeboten wird. Andere Hoster bieten aus Sicherheitsgründen nur noch SFTP an.