MelDer Developer von Master Password, Maarten Billemont, hat sich ein ganz besonderes Prinzip für seine just erschienene Passwort-Applikation ausgedacht.
Während viele Nutzer unseres Blogs sicher auf altbekannte Passwort-Lösungen wie den Schlüsselbund von Apple oder auch die Flaggschiff-App der Branche, 1Password, setzen, verspricht der Developer von Master Password eine vollkommen andere Herangehensweise an das sensible Thema. Master Password steht seit dem 2. September kostenlos für den Mac (Mac App Store-Link) bereit, die iOS-Version der App (App Store-Link) für iPhone und iPod Touch lässt sich bereits seit Juli 2012 aus dem App Store herunterladen. Zwischenzeitlich kostete Master Password dort sogar bis zu 8,99 Euro, auch sie ist seit einigen Monaten auf ein kostenloses Level gesunken.
Die Annäherung an sensible Passwort-Daten nähert sich Master Password auf einem ganz bestimmten Weg: Während vergleichende Apps wie 1Password die nutzergenerierten Passwörter, Logins und Bankkarten in einer Anwendung sammeln und diese oft über einen iCloud-Sync sehr undurchschaubar auf externen Servern speichern, um sie auf allen Apple-Geräten zugänglich zu machen, oder aber regelmäßige Backups und Sync-Vorgänge erfordern, handelt Master Password über zufällig generierte Passwörter.
Master Password erstellt zufällige Passwörter
Über einen kryptografischen Algorithmus generiert die Anwendung offline, On-Demand und ohne Verbindung zu externen Servern ein für eine Website passendes Passwort, das vom Nutzer weiter konfiguriert und auf die Gegebenheiten der jeweiligen Website angepasst werden kann. Denn: Einige Portale erlauben nur besonders komplizierte Passwörter oder solche, die aus einer bestimmten Anzahl von Sonderzeichen, Buchstaben etc. bestehen. Auch das Sicherheitslevel der von Master Password generierten Passwörter lässt sich in der App konfigurieren, ebenso wie zusätzliche Informationen wie etwa der Login-Name, in den Eintrag integrieren. Auf Nutzerwunsch lässt sich mit wenigen Fingertipps auch ein komplett neues Passwort kreieren.
Zu diesem Zweck arbeitet Master Password mit der Erstellung eines Nutzerkontos – dort werden die Passwörter gesichert. Dazu muss der volle Name mitgeteilt werden, um auf diesem basierend entsprechende Passwörter zu generieren, und für den Zugriff auf diese ein Master-Passwort vergeben werden. Über die Eingabe der entsprechenden Website in einer entsprechenden Maske, kreiert die App dann ein zufällig gewähltes Passwort, dass sich danach durch einfaches Antippen kopieren und direkt vor Ort einpflegen lässt.
Und das alles kostenlos?
Im Gegensatz zu anderen Passwort-Apps ist Master Password aufgrund seiner manuellen Vorgehensweise sicher um einiges komplizierter zu handhaben – und bietet zudem nicht die Möglichkeit, andere sicherheitsrelevante Daten wie etwa Software-Registrierungen, Kundenkarten-Daten oder Router-Infos in der App zu speichern.
Auf der anderen Seite wird weder nach persönlichen Daten gefragt, es muss kein User-Account mit E-Mail-Adresse und weiteren Informationen erstellt werden, und die Passwörter selbst wandern nicht auf externe Server – so will es uns der Entwickler zumindest weismachen. Insbesondere aufgrund des völlig kostenlosen Angebots jedoch bleiben Zweifel zurück, wie sicher das angepriesene System ist. Auf der Website des Developers wird jedoch betont, dass die Software als GPLv3 kostenlos ist und zudem der Algorithmus der App umfassend dokumentiert wurde.
Warum zählt Ihr den iMobileSitter vom Fraunhofer Institut nicht mehr auf? Ich liebe diese Passwort-App 😉
Braucht man das? Kompliziert? Der Entwickler will uns etwas weismachen?
Für einen etwas fundierteren Artikel zum Thema kann man hier klicken:
http://www.heise.de/ct/heft/2014-18-Ein-neues-Konzept-fuer-den-Umgang-mit-Passwoertern-2284364.html
Korrekt. Im Artikel fehlt auch der Hinweis auf die System-übergreifende Nutzung duch Apps und Software anderer Entwickler. Dass die Version für Windows allerdings Java voraussetzt hat dazu geführt dass ich das Ganze nach der Lektüre des c’t-Artikels gar nicht erst ausprobiert habe. Sicherheit und Java schliessen sich IMHO exponentiell aus…
Java ist nur im Browser eine Gefahr. Man kann das Browser-Plugin abschalten, dann ist Java genauso gefährlich oder ungefährlich wie z.B. dot.Net
Und auch MS muss oft genug Security-Patches für seine ActiveX-Browser-Plugins liefern…
Wozu ein User Account, wenn nichts gespeichert wird?
Einerseits beschwert ihr euch, wenn Daten auf fremde Server hochgeladen werden, andererseits findet ihr es fragwürdig, wenn eine App das mal nicht tut.
Außerdem ist die Funktionsweise der App auch nicht sonderlich toll beschrieben.
So langsam weiß ich nicht mehr, ob ich Euch noch ernst nehmen kann …
Einerseits verstehe ich deine Frage aber hier geht es mehr darum wie sicher eine Passwortapp sein kann wenn sie kostenlos und ohne Werbung ist.
So sicher wie ein kostenloses Linux?
Vermutlich so sicher wie ein kostenloses Linux. Wenn die Entwickler keine Hintertüren eingebaut haben, sind es höchstens Programmierfehler, die hier Gefahr bedeuten. Und die hat man bei Kaufsoftware genauso…
Frag mich auch, warum ihr die App hier im Fazit eures Artikels so verreißt – zumindest lässt es sich mit den bereits zitierten Textstellen so interpretieren. Hab mal die Homepage des Entwicklers gecheckt; diese gibt wesentlich mehr an Infos her als die anderer App-Entwickler. Ich kann mich Wenrod und AppleBastian nur anschließen und gebe der App mal einen Testlauf.
„Braucht die Welt noch eine weitere, und zudem kostenlose Password-App?“
Wenn ich diesen Satz lese, denke ich erstens direkt negativ über die vorgestellte App und zweitens kommt es hier dann so rüber, als wäre jede kostenlose App schlecht.
Klingt irgendwie ziemlich unsicher, wenn auf Basis von frei verfügbaren Informationen ein Kennwort durch einen offenen Algorithmus generiert wird…
Oder hab ich da jetzt was falsch verstanden?^^
Nein. Die Informationen sind nicht frei, sondern deine persönlichen. Es steht dir frei, diese zu verändern. Natürlich: Wenn jemand diese Informationen kennt, kommt er an alle Passwörter ran. Aber wenn einer dein 1Password-Masterpasswort kennt oder weiß, wo du deine ausgedruckte Passwortliste zu hängen hast, kommt er auch an alles ran.
Naja Dinge wie Name & Netzseite Sind wohl öfter Öffentlich als dein Master Kennwort^^
Zudem brauchst du bei der Variante nicht mal Zugriff auf die Datenbank, um an die Kennwörter zu kommen!
Ob du nun Peter Müller, Peter Mueller, Peter, Peter M., Müller oder SuperCrack123 als Namen nimmst, weiß keiner. Ob du http://www.apple.com, apple.com, Apple.com oder apple.com/de nimmst, weiß auch keiner. Du hast so viele Variablen, dass keiner dein Passwort erraten kann. Und erst recht weiß keiner, dass du diese App dafür verwendest.
Wenn du natürlich jemandem sagst, wie du deine Passwörter generierst, kann er sie nachbauen. Aber das passiert auch mit deinem super geheimen eigenen Algorithmus oder sonstigen Methoden zur Schlüsselgenerierung und deren Speicherung. Hier gibt es einfach den Vorteil, dass deine Daten nirgends gespeichert werden.
Jetzt musste ich echt die Herstellerseite benutzen, um zu verstehen, wie die App eigentlich funktioniert. Und das ist gar nicht mal so doof.
Um etwas zu verschlüsseln braucht man möglichst viele zufällige Zeichen. An rein zufällige Zeichen kann sich natürlich kein User erinnern. Deshalb nimmt Master Password den kompletten Namen, ein frei gewähltes Masterpasswort, die URL, für die man sich anmelden will und die Passwort-Art. Das läuft alles lokal durch einen Algorithmus und am Ende kommt ein spezifisches Passwort raus. Und es kommt immer das gleiche Passwort raus. Deshalb braucht man nichts zu synchronisieren, alles läuft lokal. Will man ein neues Passwort für eine Seite generieren, dann gibt es zusätzlich noch einen Counter, der als Modifikator hinzukommt.
Insgesamt eine feine Idee, billiger und potentiell sicherer als 1Password & Co, weil nichts irgendwo anders gespeichert wird.
Ich persönlich nutze eine txt-Datei in einem 7zip-Container AES-256-verschlüsselt, die per Dropbox gesynct wird. Die Passwörter lasse ich mir komplett zufällig auf zuverlässigen Webseiten generieren. Und in den Container kann ich noch reinschmeißen, was ich will (Zertifikate, Screenshots, Sicherheitsfragen usw.).
Hier mal eine gute Seite für einen Passwort-Generator:
http://www.gaijin.at/olspwgen.php (bitte mindestens die schweren Server-Passwörter verwenden)
Und hier mal ein Passwort-Check vom Schweizer Datenschutzbeauftragten:
http://review.datenschutz.ch/passwortcheck/check.php
Und hier mal ein Artikel „Passwort-Schutz für jeden“ von Heise:
http://www.heise.de/security/artikel/Passwort-Schutz-fuer-jeden-1792413.html
Das ist echt mal Qualitätsjournalismus: Daß etwas kostenlos ist, soll ein Indiz sein, daß etwas damit nicht stimmt. Ahhhhh … ja.
Im Übrigen ist im Gegensatz zu fast allen Alternativen der Quellcode hier für jedermann einsehbar. Aufgrund der Kürze kann man ihn recht leicht nach Hintertürchen absuchen. Paranoiker können den sogar selbst kompilieren. Wenn bei euch Zweifel zurückbleiben, offenbar weil ihr keinen Kryptocode analysieren könnt, nun, fragt vielleicht jemanden, der sich damit auskennt?