Ein Passwort, viele Ableitungen
Ev0lut10n: Freier Passwort-Manager setzt auf logische Regeln
Da wir uns gerade bei 1Password aufgehalten haben: Der Stuttgarter Entwickler Joerg Hannemann hat uns kontaktiert um auf seinen Passwort-Manager Ev0lut10n aufmerksam zu machen.
Als kostenloser Download für iPad und iPhone erhältlich, hat Ev0lut10n eine etwas andere Herangehensweise an die Verwaltung tagtäglich genutzter Passwörter. Anstatt sich zahlreiche Account-Passwörter notieren zu müssen, sollen sich Ev0lut10n-Nutzer lediglich ein Hauptpasswort merken müssen und erstellen mit Hilfe der App dann Regeln für das das Generieren weiterer Passwörter.
In Hannemanns App hinterlegen Nutzer ihre Regeln, geben ein Master Passwort ein (das jedoch nirgends direkt verwendet werden sollte) und generieren sich aus diesem beliebig viele Evolutionsstufen bzw. Ableitungen.
Hannemann erklärt:
Ich merke mir ungern viele Passwörter und man braucht überall ein Anderes und dann noch schön getrennt zwischen Privat und Geschäft. Seit Jahren löse ich das Problem indem ich je nur ein Masterpasswort für Privat/Geschäft habe und mir durch Regeln für das Generieren weiterer Passwörter beliebig viele erstellen kann.
Für Leute, die ungern das Passwort in Reinform (wenn auch verschlüsselt) ablegen (á la 1Password) ist dies eine gute Alternative, denn abgelegt wird hier lediglich die Regel (Vorlage) und auf Wunsch das Masterpasswort. Zugänge wie Ebay oder Amazon weist man dann nur der Vorlage und dem generierten Passwort #5 zu – fertig. Wenn man das Master oder Namen der Zugänge speichert, geschieht das AES-256 Bit verschlüsselt. Touch ID wird natürlich auf kompatiblen Geräten unterstützt.
Also, wer kein Geld in seine Passwort-Verwaltung investieren und sich dem Problem der sicheren Account-Verwaltung aus einer neuen Richtung nähern möchte, schaut sich den freien Universal-Download an.
Wo werden die Passwörter… oder die Regeln gespeichert? Kann man diese auf anderen Geräten nutzen?
Kann man Backups erstellen?
Selbstständigkeit outgesourced?!?
Eigentlich keine schlechte Idee, nur wenn ich die Passwort-Regeln verschlüsselt speichere, dann kann ich auch gleich die Passwörter verschlüsselt speichern. Wenn der Treaor geknackt wird, dann sind lassen sich die Passwörter mit den Regeln ja leicht generieren. Und die durch regeln erstellten Passwörter sind auch noch unsicherer als zufällig generierte. Ich sehe nicht wirklich einen Vorteil in der App.
Nein, denn wenn du das Masterpasswort dir gemerkt hast, bringen die Regeln dem Angreifer nichts. Nur master+Regeln ergeben die Passwörter! Also nur 1 PW merken und schon ist es sicher.
Ist das nicht exakt das Konzept von diesem hier:
http://masterpasswordapp.com
Der Nachteil liegt auf der Hand, wenn ich mehrere Regeln benutzten möchte, wird’s kompliziert. Benutze ich nur eine Regel wird’s unsicher. Dazu kommt das der größte Teil der Benutzer einen Passwortmanager haben will, bei dem man sich wirklich nur das Masterpasswort merken muss, ohne zu überlegen, was man vorne oder hinten noch dranhängen muss.
Wie erstelle ich „Zugänge“? Wenn ich zB „Amazon“ eingebe und dann auf fertig klicke passiert nichts.In der Anleitung online gibt es hierzu keine Hilfe.
Ist ein bug in der App; Korrektur ist schon bei Apple zur Prüfung und sollte in wenigen Tagen freigegeben sein.
Der OK Button wird nur im Querformat angezeigt. Scheint wohl noch etwas Feinschliff zu benötigen.
Generell begrüße ich ja sichere Passwörter zu verwenden und, aber auch mir erschließt sich der Sinn der App nicht wirklich…Das Masterpasswort von dem abgeleitet wird kann gespeichert werden => dann hat man doch den passwortmanager. Wenn ich es mir aus Sicherheit merke und aus einer Regel ableite brauche ich die App nicht. Benutze ich viele Regeln, kann ich auch direkt ein komplexes Passwort verwenden um eine höhere Sicherheit zu haben
Habe einen Zugang angelegt, und Ableitungen erzeugt. Aber wie verknüpft man eine Ableitung mit einem Zugang ?
Generell habt ihr alle mit euren Anmerkungen recht. Sinn macht es aus Sicherheitsgründen nur, wenn man das Masterpasswort nicht speichert und jedes mal eingibt, Vorlage auswählt und das Passwort generiert und kopiert.
Dass es die Idee bereits gibt, war mir tatsächlich nicht bekannt, danke für den Hinweis.
Zur ersten Frage: die generierten Passwörter werden gar nicht gespeichert. Das Master auf Wunsch nur lokal, keine Cloud, kein Sync. Würde ich nur per Wifi machen wollen, kommt ggf. später mal.