Nur wenige mobile Passwortmanager sollen sicher sein
Klar, Dienste wie Facebook, E-Mail-Provider oder Online-Banking erfordern ein Passwort – bestehend aus Buchstaben, Ziffern oder Sonderzeichen. Je mehr Fantasie wir in unsere Passwörter stecken, desto sicherer werden sie. Doch komplexe Passworte sind schwer zu merken.
Um uns diese lästige Arbeit des Erinnerns an kuriose Passwortkonstruktionen abzunehmen, wurden Passwortmanager entwickelt. Ein Masterpasswort für alle von uns gespeicherten PINs, TANs oder Passwörter – wie praktisch. Doch sollen einige konventionelle mobile Passwortmanager gravierende Sicherheitsmängel in der Verwaltung ihrer Masterpasswörter aufweisen. Dies veröffentlichte die Sicherheits-Softwareschmiede ElcomSoft vor wenigen Tagen in ihrem Whitepaper. Das im Passwortmanager abgelegte Masterpasswort wurde entweder im Klartext auf dem lokalen Datenspeicher gespeichert oder es konnte – sofern das Masterpasswort vom Passwortmanager verschlüsselt worden war – innerhalb kürzester Zeit mit Brute-Force-Attacken entschlüsselt werden. Die PINs, TANs oder Passwörter, die wie sorgsam im Passwortmanager eingegeben haben, waren schließlich allesamt für den Hacker sichtbar und unser Bankkonto womöglich im gleichen Augenblick leer geräumt.
Mit dem speziell für das Apple iPhone entwickelten Passwortmanager iMobileSitter soll ein Passwortdiebstahl sichtlich erschwert oder gar unmöglich sein. Der Hacker wird bewusst von iMobileSitter getäuscht und merkt es nicht einmal. Die Entwickler hier an dem Wissen um die Schwachstellen konventioneller Passwortmanager an. Hierzu wurde ein Algorithmus entwickelt, der es einem Hacker unmöglich machen soll, Richtig von Falsch zu unterscheiden – für den Hacker sind die ihm angezeigten PINs, TANs oder Passwörter theoretisch immer korrekt. Nur der Zugriffsversuch beim betreffenden Onlinedienst zeigt schließlich, dass er wohl gerade ganz geschickt getäuscht worden war. Referenzen auf das in iMobileSitter gewählte Masterpasswort sollen wohl definitiv nicht abgelegt sein – denn diese ließen sich ja wieder knacken. Man könnte fast davon sprechen, dass das Masterpasswort selber so etwas wie der Schlüssel ist, den man zum ver- und entschlüsseln verwendet – hier werden keine neuen Verschlüsselungsverfahren wie die Anbieter anderer Passwortmanager-Apps auch.
Hauptbildschirm mit Diensten und Unterordnern
Doch nun zurück zu den eigentlichen Funktionen, die mir am Messestand auffielen – die Anzeige bunter Symbole wie rosafarbener Wolken oder wie hier dargestellt, ein blauer Ring auf orangefarbenem Untergrund. Der Clou von iMobileSitter ist die Generierung kleiner bunter Abbildungen im Zusammenhang mit dem Masterpasswort. Und genau hieran erkenne ich als rechtmäßige iPhone-Besitzerin visuell sofort, ob mein anfangs definiertes Masterpasswort korrekt war. Man muss bei dem angezeigten Symbol lediglich erkennen, ob es das Symbol war, welches mir bei der Festlegung des Masterpasswortes angezeigt wurde. An das Masterpasswort muss ich mich aktiv erinnern. An das bei jeder Eingabe des Masterpasswortes angezeigte Symbol hingegen nur passiv.
Oft als Fehler im Programm in verschiedenen Online-Foren beschrieben, dass iMobileSitter bei der Eingabe eines falschen Masterpasswortes die Loginnamen und -nummern der einzelnen Dienste anzeigt – die korrekten PINs, TANs oder Passwörter bleiben hier weiterhin geheim. Diese Eigenschaft ist jedoch von den Entwicklern durchaus gewünscht und soll die Sicherheit insgesamt noch einmal mehr erhöhen. Zum Glück zwingt uns niemand, unsere echten Loginnamen oder Kontonummern in unserer Passwort-App anzugeben Sondern unsere Loginnamen in iMobileSitter können eben E-Mail, Kreditkarte oder Chat lauten.
Einmal unter uns gesprochen – ist es nicht paradox, wenn wir mit unserem Loginnamen bei Facebook, Twitter und Co. nicht gefunden werden können, nur weil wir unsere Avatarnamen geheim halten? Und öffentlich sind unsere Loginnamen sowieso.
Wer genau wissen möchte, welche derzeit bekannten und populären Passwortmanager Sicherheit nur vortäuschen, möge einen Blick auf die Ergebnisse von ElcomSoft werfen. Das Whitepaper findet sich unter: www.elcomsoft.de/PR/PK_120316_de.pdf. Die App, sowie weitere Innovationen des gemeinnützigen Forschungsinstituts, können unter folgenden Links abgerufen werden: www.sit.fraunhofer.de und www.imobilesitter.com.
hmm, das riecht aber sowas nach einem sponsored Post…
Guten Morgen Viktor,
wenn dies so rüber kam, dann war dies sicher nicht meine Absicht. Mir gefiel die Umsetzung des Sicherheitsgedankens hier dennoch am besten und ich habe bei den sehr zahlreichen Ausstellern auf der CeBIT zufällig nichts vergleichbares entdeckt. Dafür ist die CeBIT einfach zu groß.
Alle Forschungsunternehmen wie die Max-Planck-Gesellschaft oder hier, das Fraunhofer Institut, sind gemeinnützige Forschungseinrichtungen – Profit, Marketing oder gar Sponsoring sind nicht vorgesehen.
Viele Grüße,
Daniela
Zumindest weißt Du wie „SEO“ funktioniert ;) In jedem Absatz einmal das Keyword… und keine direkte Erwähnung der Konkurrenz. Die Frage bleibt, wer davon profitiert ;)
Was ich damit meine ist übrigens als versteckte Bitte gemeint. Werdet nicht zu noch so einem einseitig berichtenden Blog. Das will keiner lesen!
Ich bin vielleicht als SEO kennender vorbelastet, aber ich glaube auch, dass eure Leser stutzen werden, wenn sie das Keyword 20x im Text wiederfinden. Der Text bekommt dann sofort einen faden und unehrlichen Beigeschmack… Auch wenn einige SEOs das gerne machen, die CeBIT hat es doch nicht nötig ein Blog damit zu pushen.
Hallo Viktor,
vielen Dank für deine konstruktive Kritik, die wir gerne annehmen.
Viele Grüße
Anja
[…] liebe Kollegin Daniela hat letztens über mobile Passwort-Manager berichtet. Sicherlich, es gibt unzählige Lösungen, Passwörter sicher zu verwahren. Gefühlte 1000 […]