Heylogin: Mozilla investiert in Passwort-Manager ohne Master-Passwort

[o1] ephemunch am 03.10. 16:11
+3 -1
Wieder mal hervorragende Prioritätensetzung. Besser wäre mal eine nach Menschen klingende Opensource-Text-to-Voice Alternative für Firefox/Linux zu entwickeln bzw. zu unterstützen.
Aber dieses Vorhaben wurde ja vor paar Jahren weg rationalisiert.
[re:1] Rulf am 03.10. 16:50
+2 -
@ephemunch: da hat mozilla auch schon vor jahren investiert...is aber wohl noch nicht weiter als die ganz großen...
[re:2] Qnkel am 04.10. 06:35
+1 -2
@ephemunch: was hält dich davon ab, so ein Open Source Projekt zu starten?
[o2] Lotsenbruder am 03.10. 16:32
+2 -2
De interne PW-Manager ist ja wohl nicht der Hit.
Da sollte man sich doch freuen das es Leute gibt die sich des Problems annehmen und eine entsprechende Lösung anbieten.
Aber nee.... erstmal motzen.
[re:1] ephemunch am 03.10. 21:27
+ -1
@Lotsenbruder: Dafür gibt's Keepass. Ganz einfach. Dann hat man einen Hit. Wer etwas simples will, der soll den simplen internen PW-Manager von FF nutzen. Mozilla und FF-Nutzer brüsten sich doch damit, dass FF nicht so aufgebläht ist und für weitere Funktionen auf Erweiterungen von Drittanbieter gesetzt wird. Selbst bei Optionen, die bei der Konkurrenz von Haus aus verfügbar sind.
[re:1] Hanni&Nanni am 04.10. 06:55
+ -1
@ephemunch: Na... Hast ja schön dein Gemotze in den Kommentarbereich gekübelt. Gehts Dir jetzt besser, oder gehst gleich noch zum Neurologen?
[re:2] dschuermann am 04.10. 14:57
+1 -
@ephemunch: Hi, Dominik von heylogin hier. Keepass ist auf jeden Fall eine super Lösung für IT-affine Menschen, die Lust haben ihre Logins manuell zu verwalten und bereit sind sich ein Master-Passwort zu merken. Hab ich selbst jahrelang benutzt. Auch der interne Passwort-Manager im FF ist völlig ausreichend für viele Menschen.
heylogin setzt da an, wo Logindaten zwischen mehreren Browsern und Geräten synchron gehalten werden müssen und Passwörter im Team verwaltet und genutzt werden sollen. Von der UX bieten wir hier etwas mit dem in der täglichen Anwendung auch weniger IT-affine Menschen klarkommen (sollen).
[o4] Bautz am 03.10. 16:49
+3 -
Ist es denn 2FA wenn der einzige Login-Schlüssel ein ID-Generator ist?
[re:1] bAssI am 04.10. 08:26
+ -
@Bautz: Naja bei Banken ist es auch 2FA, wenn die Banking App auf dem Smartphone den Login bestätigt :D
Fachleute schütteln darüber nur den Kopf aber so ist es für Banken bei Betrug leichter, einen möglichen Schaden abzulehnen.
[re:1] Bautz am 04.10. 08:49
+ -
@bAssI: Da habe ich aber zumindest zwei Schlüssel: Die Banking-App (gesichert über FaceID oder PIN) und am PC ein Passwort oder Biometrie via Windows Hello.

Das erste was man von der Bank deaktivieren lässt (geht zumindest bei Sparkasse und DKB), ist das Banking via Handy.
[re:1] bAssI am 04.10. 08:55
+ -
@Bautz: Interessant. Bei ING ist alles in einem und man kann es glaube nicht deaktivieren. Möchte ich eigentlich auch nicht., da ich fast alles am Telefon erledige. Ja, einen WebLogin + Aktionen, muss ich mit App bestätigen, was soweit in Ordnung ist. Aber hat man Kontrolle über mein Telefon + Passwort ...

Für Banking am Telefon müsste es noch mal eine Art YubiKey geben, die via NFC die Aktion bestätigt.
[re:1] Bautz am 04.10. 09:07
+ -
@bAssI: Deswegen ist man nicht bei ING, N26, sondern z.b. bei einer der von mir genannten Banken. Kontoführung kann man - ein regelmäßiges Gehalt vorausgesetzt - mit nem Anruf streichen lassen.
Die Sparkassen-app und Website sind dazu noch um Längen übersichtlicher als das, was N26 da so an murks anbietet.
[re:2] Islander am 04.10. 09:43
+ -
@bAssI: Ich bin auch bei ING, und verstehe die Schlussfolgerung nicht ganz. Um Zugriff auf mein Bankkonto (auf dem Handy) zu erlangen, braucht es mein Handy, das Passwort des Handys (oder mein Gesicht) und dann nochmals mein Gesicht (oder den Passcode des ING-Kontos). Erst dann kann man (begrenzt) auf die App zugreifen. Aber Transaktionen sind dann noch lange nicht erlaubt, die gehen erst mit einem weiteren (komplett unterschiedlichem und auch viel längerem) Passwort, welches man auch wieder nur über mein Gesicht (oder das [nochmals andere] Passwort meines Passwortmanagers) erreicht. Wo ist das jetzt unsicher?
[re:3] dschuermann am 04.10. 15:12
+ -
@Islander: Dominik von heylogin hier. Kurz zur Erklärung dazu: heylogin nutzt den Sicherheitschip des Smartphones (1. Faktor: Besitz). Dieser Chip ist durch den Mechanismus des Sperrbildschirms hardwareseitig geschützt (2. Faktor: Biometrie oder PIN). Als zusätzliche Maßnahme bei Verlust können Unternehmens-Admins Smartphones sperren.

Herkömmliche Passwort-Manager, wie LastPass oder KeePass, setzen auf ein langes und komplexes Master-Passwort, was regelmäßig eingegeben werden muss. Master-Passwörter als Single Faktor haben leider sehr schlechte Sicherheitseigenschaften: Sie sind nicht hardwareseitig gegen Brute-Force-Angriffe geschützt (Wenn ein Angreifer in den Besitz meines KeePass Vaults kommt, kann er viele Kombinationen automatisch durchprobieren). Gleichzeitig führen Sie zu einer schlechten User Experience.
[re:4] bAssI am 04.10. 15:32
+ -
@Islander: Ist das Telefon kompromittiert, kann man recht fix Probleme bekommen. Unter 2FA verstehe ich 2 komplett voneinander unabhängige Methoden auf 2 komplett voneinander unabhängigen Geräten.
2 verschiedene Passwörter oder mein Gesicht, zählen nicht dazu. Besonders biometrische Schlüssel sind problematisch, da es nicht so einfach ist, mein Gesicht oder Fingerabdruck zu ändern. Wird alles durch 1 Gerät erledigt, ist es problematisch. Gab ja nicht grundlos TAN Listen, auch wenn mir bewusst ist, dass das noch unter anderen Voraussetzungen war.

Lösungen wie YubiKeys (oder vergleichbare Hardwarelösungen) sollten bei Bankgeschäften ein MUSS sein.
[re:5] Islander am 04.10. 20:26
+ -
@dschuermann: Die User Experience ist aber auch nicht besser, wenn ich gar keinen Zugriff auf meine Passwörter haben, weil der entsprechende Service gerade eine Downtime hat, aus welchen Gründen auch immer. Gibt es da einen Plan B?

Und Brute Force bei Passwort und Secret Key? Na da bin ich eh verrottet, bis da jemand Zugriff hat.
[re:6] dschuermann am 05.10. 13:00
+ -
@Islander: Puh, ja, relativ provokant formuliert von dir :) Wir arbeiten tatsächlich an einer Fallback-Lösung, die auch dann funktioniert wenn die heylogin-Infrastruktur nicht verfügbar ist, das ist für nächstes Jahr geplant. Unsere höchste Priorität aktuell ist aber genau diese Infrastruktur so zu betreiben, dass eine hohe Verfügbarkeit garantiert werden kann. Dafür betreiben wir Standby-Server zu denen wir innerhalb von wenigen Minuten (max 30) switchen können. Innerhalb von unter 1 Stunde können wir mit einem Backup zu einem komplett anderen Anbieter umziehen. Mehr dazu in unserem Compliance Whitepaper.

Den zweiten Absatz von dir verstehe ich nicht ganz. Mit welcher Lösung vergleichst du hier heylogin? Nach meiner groben Einschätzung haben von den Menschen die einen herkömmlichen Passwort-Manager einsetzen die wenigsten einen Security Key als 2. Faktor eingestellt.
[re:7] Islander am 05.10. 14:14
+ -
@dschuermann: Provokation war keine Absicht, ich hab mir halt vorgestellt, in der App zu sein zum Authentizieren, und sie geht gerade nicht, und ich kann wo auch immer nicht einloggen. Wenn meine Passwörter (und eventuelle 2FA-Codes) im Gerät sind, dass ich in der Hand halte, existiert dieser Ausfall nicht. Und selbst wenn mein Handy plötzlich explodiert, ich habe ein Zweitgerät, auf dem die Daten auch gespeichert sind.

Um die Frage zu beantworten: In meinem Fall ist die Rede von 1Password.
[o5] bAssI am 03.10. 22:33
+1 -
hmmm ... bei all diesen "kein Passwort mehr" Ansätzen frage ich mich immer: "mein smartphone ist weg/kaputt. wie kann ich mich nun einloggen?"

das ist alles echt gut und wichtig um schlechte Passwörter zu vermeiden. aber mir fehlt die erklärung des worst case...
wenn es kein passwort gibt, kann es mir auch nirgends ausschreiben, für den Fall...

ich werde noch ne weile bei meinem selbst gehosteten Bitwarden Server bleiben. fühlt sich irgendwie richtiger an.
[re:1] bAssI am 03.10. 22:51
+ -
@bAssI: ok, wie üblich kann man einen Sicherheitscode generieren.
Trägt man noch einen Zettel mit rum, für den Fall man hat das Smartphone vergessen.
Oder man verlässt sich auf das Passwort bei Google/Apple. Viiiiel besser als sich ein gutes Passwort für einen Container zu merken.
Und man brauch irgendein anderes Telefon, welches man mal eben Zugriff auf alle Passwörter geben soll?

Und zuletzt kann der Admin die Logins etc wiederherstellen? "sicher by design" wäre, wenn genau DAS nicht möglich wäre! denn so gibts ja offensichtlich eine Hintertür/Masterkey?
[re:1] dschuermann am 04.10. 15:21
+ -
@bAssI: Dominik von heylogin hier.

Einen Zettel würde ich nicht mit mir rumtragen, das würde den Sinn des Ganzen aushebeln. Wenn du dir den Backup-Code aufschreibst würde ich den an einem sicheren Ort aufbewahren.

Wenn du jemand bist, der sein Smartphone öfter Mal nicht dabei hat, ist heylogin aktuell wahrscheinlich noch keine gute Lösung für dich. Wir arbeiten aber an einer Unterstützung von Yubikeys als Alternative.

Admins können heylogin-Zugänge wiederherstellen, weil alle Logins innerhalb eine Organisation immer auch mit an sie verschlüsselt sind. Das heißt aber nicht, dass wir als Betreiber die Logins sehen könnten. Alle Logins sind immer Ende-zu-Ende an die dazugehörigen Nutzer verschlüsselt.
[re:1] bAssI am 04.10. 15:46
+ -
@dschuermann: Nur um das kurz klarzustellen: Ich habe nichts dagegen, wenn man für Webseiten kein Passwort mehr benötigt ;) Alles was der Sicherheit zuträglich ist, ist immer herzlich willkommen! Wirklich neu ist das Thema ja nicht. Apple und Microsoft basteln auch daran.

Unbehagen bereitet mir der Umstand, dass ich so arg von 1 Gerät abhängig werden würde + (und sei es nur theoretisch) ein Admin meine Logins wiederherstellen kann. Gibt es die Möglichkeit berufliches und privates strikt zu trennen?

Naja und die Tatsache, dass als Fallback Dienste möglich sind, für die man (noch) ein Passwort benutzt, ist halt ein klein wenig ironisch :D

Es wird immer eine Gradwanderung zwischen Benutzerfreundlichkeit und Sicherheit sein. Aber im Moment fühlt es sich für mich noch nicht richtig an. Auch der Umstand, dass hier immer ein zentraler Dienst als Relay eingesetzt werden muss.

Eine Nutzung könnte ich mir erst vorstellen, wenn ich den Dienst selbst hosten kann.
[re:1] dschuermann am 04.10. 16:11
+ -
@bAssI: Ich sehe den Backup-Code selber nur als Zwischenlösung :P Ich möchte aber kurz feststellen, dass es kein nutzergewähltes Passwort sondern ein komplett zufallsgenerierter Code ist :)

Wenn du heylogin.app öffnest, kannst du in der Navigation links einen privaten Account und Organisationen anlegen. Diese sind komplett kryptografisch voneinander getrennt. Ein Admin einer Organisation kann nur Logins dieser Organisation wiederherstellen. Also ja, das ist strikt voneinander getrennt.

Wir konzentrieren uns aktuell darauf, den Dienst so zuverlässig wie möglich umzusetzen, deswegen wird es erst Mal keine self-hosted Variante geben.
[re:2] bAssI am 04.10. 16:26
+ -
@dschuermann: richtig spannend wirds, wenn man bei Webseiten auch gar kein Passwort mehr angeben/auswählen muss. Aber das wird noch dauern, bis die Betreiber das flächendeckend implementieren. Ist bei YubiKeys zb. ziemlich problematisch. Ob das vielleicht auch an Yubico liegt, kann ich aber nicht beurteilen.

Das mit dem Backup-Code ist grundlegend nicht verkehrt. Irgendwas in der Hinterhand zu haben und wenn es eine Passphrase aus 50 zufälligen Worten ist.

Mit einer self-hosted Variante rechne ich erst in ein paar Jahren. Ihr müsst euch ja auch erstmal finanzieren.
[re:2] c[A]rm[A] am 04.10. 12:50
+ -
@bAssI: Das regt mich schon dauernd bei 2Fac/Authenticator auf. Nicht das ich dauernd mein Phone wechsle oder formatiere aber trotzdem ist es mir jetzt schon ein paar mal passiert, dass gerade das nicht mit übertragen wird. Wobei das das letzte mal sowieso ewig dauerte für fast nix wenn dann nur die Apps da sitzen frisch installiert und ungestartet.
[re:1] bAssI am 04.10. 15:50
+ -
@c[A]rm[A]: Ich verstehe gut, was du meinst :)

Dann schau dir Bitwarden an.
Da kannst die 2FA Codes mit hinterlegen. Dh Telefonwechsel ist kein Thema mehr.
Ja, ist nicht optimal, Login und 2FA im selben Programm zu speichern. Kann man mit YubiKey aber kompensieren.

Oder aber du machst Screenshots der QR Codes und speicherst diese verschlüsselt separat ab, um sie später in der App wieder neu anlegen zu können.
[o6] 000001a am 04.10. 15:50
+ -
warum nutzen die nicht einfach eine erneute abfrage des benutzerkonto-passwortes? der edge macht dies, wenn man sich die passwörter anzeigen lassen will.

es ist zwar sicherer, aber ich will nicht mit einem zweiten gerät rumfuchteln.
und wenn dieser mal den akku leer hat oder gestohlen wurde, dacht das ganze doppelt so viel spaß.

ich hab zwar keine lösung für das problem,
vielleicht biometrie oder sowas,
aber 2FA ist mir zu fehleranfällig,
trotz der versprochenen höheren sicherheit..
[re:1] bAssI am 04.10. 15:53
+ -
@000001a: MS hat das ganz gut gelöst. Auch Google, wo mein einen Login kurz in der App bestätigt. Also es Anwenderfreundlich zu gestallten, bekommt man durchaus hin. Und dann sind eh Cookies, die deinen Login am Leben erhalten (= auch möglicher Angriffsvector)

Aber in Summe sind 2FA echt wichtig und man sollte darauf heute nicht verzichten.
[re:1] 000001a am 05.10. 12:02
+ -
@bAssI: richtig, wichtig ist es,
nur dass ich von einer weiteren fehlerquelle abhänig bin,
hält mich gewissermaßen unruig...
[re:1] bAssI am 05.10. 12:53
+ -
@000001a: Welche Fehler meinst du? Verlust der Schlüssel?
Ich hab meine 2FA Schlüssel in der App von MS und in Bitwarden hinterlegt. Ist ziemlich unwahrscheinlich, dass Beide zeitgleich hopps gehen. Und wenn doch, gibts sowies noch die täglichen automatischen Backups der Bitwarden Daten.
Klingt nach recht viel Aufwand aber bei der Menge an Login Daten, die ich für mich damit verwalte, ist das kein Problem. Aber muss jeder selbst wissen, wo seine Prioritäten liegen.

Edit: auf Biometrische Sachen würde ich mich nicht verlassen. Das größte Problem ist, dass es sie nur 1 mal gibt. Kann man deinen Fingerabdruck / Gesicht erfolgreich nachbilden, wars das.
[re:1] 000001a am 05.10. 14:26
+ -
@bAssI: mein Smartphone?
kann kaputt gehen, geklaut werden, akku leer.
jedenfall gibs ne ziehmliche rennerei eine neue SIM zu organisieren + wartezeit...
[re:2] bAssI am 05.10. 14:32
+ -
@000001a: Aber hat doch mit 2FA OTP nichts zutun. Verwechsel das nicht mit OTP über SMS.
Wenn mein Smartphone nicht da ist, logge ich mich über den Browser in meinen Bitwarden Account und kopiere mir von da das OTP ;)
oder

Zugangsdaten vergessen?

Jetzt kostenlos Registrieren!
< Zurück Startseite
 
Desktop-Version anzeigen
Hoch © 2023 WinFuture Impressum Datenschutz Cookies