Encryptr: Open Source Passwort-Manager aus den SpiderOak-Labs
von caschy | 11 Kommentare
Aus den Labs des Cloudspeicher-Anbieters SpiderOak kommt Encryptr, ein Passwort-Manager auf Open Source-Basis. Die Software ist rudimentär gehalten und dürfte sicherlich die Entwickler einladen, einmal in den Code zu schauen. Für Nutzer ist Encryptr meines Erachtens nur unter Umständen etwas, denn man benötigt zwar kein Konto, welches mittels E-Mail-Adresse angelegt werden muss, man benötigt aber generell eines.
Dieses muss aus Benutzernamen und Passwort erstellt werden, jegliche eingegebene Daten werden mit der Cloud synchronisiert. Hierbei ist nicht wählbar, wo die Daten gespeichert werden, man ist auf das festgelegt, was in der App vorgegeben ist. Zwar gibt der Entwickler an, dass alles ausschließlich lokal ver- und entschlüsselt ist, doch wer nutzt gerne eine App, deren Datenspeicherort er nicht kennt?
Nett gedacht, doch alles in allem so, dass die Software erst einmal nicht empfehlenswert für Endanwender erscheint, auch wenn es sie für alle Plattformen (iOS folgt bald) gibt. Es scheint, als bleibe KeePass weiterhin das Maß aller Dinge im Bereich Open Source Passwort-Manager.
Wird geladen ...
Was soll denn ein Bruteforce-Schutz sein? Meinst du damit, dass man nach der Eingabe von z.B. drei falschen Passwörtern warten muss bis man einen neuen Versuch hat?
Das hat bei lokal verschlüsselten Daten keinen Sicherheitsvorteil und führt nur dazu dass sich der Bneutzer sicher fühlt.
Wenn man die Passwort Datenbank per bruteforce knacken möchte, macht man das bestimmt nicht über die Benutzeroberfläche der Anwendung. Da die Verschlüsselungsalgorithmen bekannt sind (bzw. sogar der ganze Quellcode) würde man probieren die Datenbank direkt zu knacken…
@Peter: sorry, du hast noch die alte, gecachte Version des Artikels ausgeliefert bekommen.
@caschy, okay dann ziehe ich meinen Kommentar zurück 😉
Ich bin mit KeePass sowie KeeFox für Firefox und KeePass2Android fürs Smartphone) auf jeden Fall auch zufrieden 🙂
Vom Namen her hätte ich jetzt eigentlich eher erwartet, dass es ein Programm zum generellen Verschlüsseln von Daten ist (wie TrueCrypt, FileVault & co.).
@Peter ich weiß natürlich nicht ob diese Software das feature hat, aber im allgemeinen lässt sich das umsetzen (keypass hat das z.B.)
Dabei wird das Passwort mehrmals gehasht und dieser hashwert wird gespeichert. Dieses hashen braucht Zeit. Jedes mal, wenn das Passwort eingegeben wird, muss es wieder x hash durchgänge durchlaufen. Das können beispielsweise so viele sein, wie eine durchschnittliche Maschine in einer Sekunde machen kann. Ein Versuch dauert damit auf einer Durchschnittlichen Maschine 1 Sekunde, womit brute-force praktisch unmöglich wird.
Ich hoffe die Erklärung ist halbwegs verständlich (sie setzt vorraus, das du weißt was ein hash ist.)
@Eisfreak7: okay danke, das macht dann auch für lokal verschlüsselte Daten Sinn.
Interessant wie der Artikel doch recht vorsichtig formuliert ist, was das Vertrauen zu dieser App angeht.
Bei 1Password einer teuren, closed-Source Alternative, die ihre Daten ausschließlich auf den zur Zeit am stärksten kritisierten Cloudanbietern (Dropbox und iCloud) speichert, ist mir so ein Tonfall noch nie aufgefallen 😉
Zum Thema Open-Source-Passwort-Manager ist auch „Mitro“ einen Blick wert. Wird inzwischen unter der Fuchtel des EFF weiterentwickelt, nachdem das Team von Twitter aufgekauft wurde. Auch hier wird die Datenbank allerdings in der Cloud gespeichert. (Je nach Sicherheit des eigenen Systems muss das aber auch nicht in jedem Fall schlechter sein.) Ich selbst nutze es inzwischen parallel zu Keepass für nicht ganz so sensible Passwörter.
@Pietz: Ich würde wissen wo es ist – und muss es noch nicht einmal in der Cloud lagern
Wo es liegt? Na ich denk mal bei SpiderOak selbst.
Siehe auch: https://spideroak.com/engineering_matters einfach ganz runter scrollen.
Ich selbst bin dann aber doch treuer Fan von KeePass2 mit einem Keyfile was nur lokal liegt + Password. Da kann dann auch die DB im gDrive liegen.
Der Keyfile muss bei encryptr auch nicht unbedingt in der Cloud liegen (hab es jetzt noch nicht recherchiert). Kann zB auch einfach bei Bedarf aus dem Passwort – lokal – erzeugt werden. Datenbank bei gDrive oder Dropbox ist mMn eine schlechte Lösung.