In der Konfiguration von FirstSpirit wird eine Reihe von Passwörtern von technischen Usern abgelegt, mit denen in der Regel auf Dritt-Systeme zugegriffen wird. Beispiele für solche Konfigurationen sind:

• Datenbanklayer für den Zugriff auf relationale Datenbanken
• LDAP-Anbindung für die Authentifizierung von Redakteuren über einen LDAP-Server
• Externer Webserver vom Typ tomcat zum automatisierten Deployment der FirstSpirit Webapplikationen
• Modulkonfigurationen, dort werden auch eine viele Passwörter für externe Applikationen abgelegt.

Die Ablage der Passwörter erfolgt im Klartext in den Konfigurationsdateien und diese Dateien sind fast alle über den Webmonitor auslesbar (Ausnahme ist die Konfiguration der externen Webserver), d.h. ein Zugang zum Server auf der Filesystemebene ist nicht notwendig.

In vielen Unternehmen gibt es Sicherheitsrichtlinien, die eine ungesicherte Ablage von Passwörtern nicht zulässt und zu Diskussionen mit den Sicherheitsbeauftragen um Ausnahmen zwingt.

FirstSpirit sollte hier eine zentrale und verschlüsselte Ablage von Passwörtern anbieten, bei dem die Passwörter in den Konfigurationen verschlüsselt abgelegt werden, an der Oberfläche nicht mehr angezeigt werden und an keiner Stelle exportiert werden (passiert aktuell im Projektexport). Damit wird zwar keine sichere Ablage der Passwörter erreicht (der Schlüssel als Basis der Sicherung muss ja irgendwo in der Software enthalten sein), gegenüber der Klartextablage wird aber ein in der Regel ausreichendes Sicherheitsniveau erreicht und die Diskussionen um die Passwortverwaltung werden vermieden.