Master Password App

[Tandeki]

Hallo zusammen,

vor zwei Ausgaben gab es einen Artikel in der c't, in der es um Passwortsicherheit ging. Dabei wurde die App "Master Password" für iOS als sichere Lösung vorgestellt.

Der Clou der App soll sein, dass Passwörter anhand eines Masterpassworts generiert werden, zusammen mit dem Namen des Dienstes, also z.B. für ebay.de. Schließt man das Programm, werden die Passwörter wieder gelöscht. Öffnet man das Programm mit dem Masterpasswort, werden die Site-Passwörter wieder neu generiert. Will man ein Passwort ändern, setzt man einen Zähler hoch.

Zwei Dinge sind mir hierbei aber nicht klar:

1. Was soll an dieser Lösung sicherer sein, als bei einem herkömmlichen Passwortsafe? In beiden Fällen hat man Zugriff auf alle Passwörter nur dann, wenn man das Masterpasswort kennt. Im Gegenteil, wenn man bei dieser vermeintlich sicheren App das Masterpasswort hat, kann man sämtliche zukünftigen Passwörter schön selbst generieren.

2. Ein weiterer Vorteil ist laut Hersteller, dass man die Passwörter nicht zwischen iOS-Device und PC synchronisieren muss. Denn durch das selbe Masterpasswort werden auf jedem Gerät für die selben Sites auch die selben Passwörter generiert. Wie gesagt kann man aber den Zähler hochsetzen, um einzelne Passwörter zu ändern. Woher weiß aber die Anwendung auf dem PC, dass ich den Zähler des Passworts für eBay zweimal hochgesetzt habe?

Vielleicht hat sich jemand mit dem Artikel bzw. dem Thema auseinander gesetzt und kann mir weiterhelfen?

Grüße

Deliberation!

 

[KGM11]

Ein kurzer Blick auf die Internetseite verrät:

1. Es speichert nichts (solange man nur das Hauptfeature benutzt, klassisches Passwortspeichern macht es wohl zusätzlich auch noch?) und braucht daher keine Backups/Synchronisation. Also "sicherer" gegen Datenverlust bei all jenen, die zu faul/doof sind, ihre Daten zu sichern?

2. Das weiß sie nicht. Man soll bei 1 anfangend den Zähler hochsetzen und jedes einzelne Passwort ausprobieren, bis es klappt. Kein Scherz, steht da auf der "Security"-Seite.

Würde bei mir schon daran scheitern, dass ich nicht überall den gleichen/eine kleine Anzahl von Benutzernamen verwende, und sehr oft noch zusätzliche Informationen (URLs, Registrierungsdaten, verwendete E-Mail-Adresse, uswusf.) mitspeichere. Aber für Otto Normalnutzer, der überall gleich heißt und bis jetzt einfach nur 1-3 schlechte Passwörter im Kopf aufbewahrt, vielleicht wirklich eine gute Alternative.

 

[Tandeki]

Die Aussagen der Website kenne ich. Nur leuchtet mir nicht ein, was daran gegenüber klassischen Passwortcontainern wie Keepass so super sicherer sein soll. Jedenfalls hat die c't das im Heft so verkauft, aber für meine Begriffe nicht hinreichend begründet.

1. Ja, gegen Faulheit bei der Datensicherung hilft es. Aber sicherer gegen Kompromittierung ist es auch nicht. Wenn das Masterpasswort ausgespäht wird, ist es in beiden Fällen ein GAU. Containersysteme wie Keepass sind nur dann zusätzlich gefährdet, wenn der Container auch ohne Masterpasswort geöffnet werden könnte. Das sollte bei einer openSource-Software aber ziemlich schnell publik werden.

2. Genau. Und das finde ich völlig dämlich. Angenommen, man geht nur von fünf Zählern pro Site und Passwortstärke aus. Dann hat man schon pro Site 6^5 Passwörter, die man durchprobieren muss. Jedes vernünftige Authentifizierungssystem sollte da schon lange vor dem 7000. Passwortversuch dicht machen. Bei 20 Sites müsste ich außerdem über 70.000 Passwörter ausprobieren... wer denkt sich denn sowas aus!?

Ja, wenn man vom worst case ausgeht und den User mit Passwort "Urlaub" für jeden Login als Maßstab nimmt, ist alles sicherer als das. In der c't las sich das System der Master Password App nur so, als sei es ein völlig revolutionärer, total sicherer Ansatz.