F-Secure Key: Passwort-Manager des Antivirus-Herstellers
von caschy | 7 Kommentare
Mit einem neuen Produkt will der aus der Antivirus-Ecke kommende Hersteller F-Secure die Kunden für sich gewinnen. Die geschickte Idee: man bietet ein Produkt an, welches in der heutigen Zeit für gewöhnlich über mehrere Plattformen synchronisiert wird: einen Passwort-Manager.
Das Produkt als solches ist kostenfrei und für Windows, Mac, Android und iOS verfügbar. Solltet ihr jetzt Lust haben, KeePass, LastPass oder1Password den Rücken zu kehren: lasst es, eure jetzige Lösung ist besser. F-Secure Key ist rudimentär aufgebaut, Passwort-Verwaltung mit Assistent für das Erstellen von Passwörtern, mehr aber auch nicht. Und sofern man die Synchronisation anwerfen will: hierfür will man bei F-Secure 14,50 Euro im Jahr – findet man natürlich nicht auf der Homepage, sondern wird erst bei Wunsch der Synchronisation ersichtlich.
Wird geladen ...
sollte ich mir in NSA-Zeiten eigentlich Sorgen machen wenn mein Keepass-File in der Dropbox liegt? Falls ja: wohin damit?
@Juergen: Wenn du etwas zu verbergen hast, ja. Dann hilft nur noch merken.
Das ist übrigens gar nicht schwer, sich komplexe Passwörter zu merken, wenn man dafür ein System entwickelt. Basierend auf dem Namen des Dienstes lassen sich beliebige Passwörter mit Hilfe des eigenen Systems anlegen. Ein Beispiel:
Dienst Google bekommt ein Passwort aus Anzahl der Buchstaben gefolgt von drittem Buchstaben gefolgt von Minus gefolgt von erster Silbe mit letztem Buchstaben groß geschrieben: 6o-goO
Oder Dienst Evernote mit demselben System: 8e-eveR
Das System lässt sich beliebig verkomplizieren, deiner Fantasie sind keine Grenzen gesetzt. Und hast du das System verinnerlicht, vergisst du zu keinem Dienst mehr das Passwort.
Ich habe Keepass Portable in einem TC-Container liegen, aber nicht weil ich etwas zu verbergen habe sondern aus Jux und Dollerei.
Ansonsten habe ich bis dato eine Datei namens „Safey“ genutz um Daten zu speichern, wollte aber dann mal endlich auf Keepass umsteigen. 🙂
Hat jemand schon mal mit zerstörten Daten bei Keepass Probleme gehabt?
Evtl. durch mehrfach Zugriff über Dropbox oder ähnlichem?
Wie dumm muss man eigentlich sein, um für so eine Funktionalität Geld zu verlangen, die es schon längst kostenlos gibt?
Zur Dropbox-Problematik: entweder in eine TrueCrypt-Datei/Container einbinden mit zusätzlicher Verschlüsselung oder ein zusätzliches Keyfile, was nicht mitsynchronisiert wird (selbst das Passwort ist unnütz ohne Keyfile). Außerdem natürlich ausreichend Runden des Verschlüsselungsalgorithmus (Datenbankdialog) einstellen.
Zu den gestörten Daten (@hoods): hatte schon einmal mehrere Datenbanken an mehreren Orten offen und hatte aus Versehen ein paar Passwörter überschrieben. Dropbox hat mir dann die Möglichkeit gegeben, die in Konflikt stehenden Dateien alle wiederherzustellen.
Man könnte übrigens auch per git, hg, svn oder einem anderen Dateiverwaltungssystem synchronisieren. Dann ist allerdings für jeden Sync ein pull/push notwendig (automatisieren ist möglich, aber umständlicher als mit Dropbox. Wer einen eigenen Server mit git etc. administriert, wird das aber auch gerade noch so hin bekommen).
das hat mit „nichts zu verbergen“ nix zu tun. Nein, ich habe nichts zu verbergen und trotzdem werde ich mein keepass-file nicht passwortlos auf einen public-ftp-server legen.
Das mit dem Algorithmus habe ich jahrelang praktiziert, erscheint mir nach einigen Pannen aber nicht mehr erstrebenswert. Go-(h)o-gle.
Kaputte Dropbox-Files hatte ich nie, wohl aber Inkonsistenzen. Da werden dann aber mehrere Files angelegt, das lässt sich mit etwas Handarbeit lösen.
TC muss ich mir wohl mal genauer anschauen, danke für die Tipps.
Gute Passwort-Manager wie 1Password oder Keepass verwenden grundsätzlich eine synchrone Verschlüsselung mit nach dem AES (Rijndael-Algorithmus) mit mindestens 128bit. Sofern man das Passwort nicht auch zusätzlich in der Dropbox ablegt, ist das sicher genug.
Dabei gilt, dass Open Source Software wie Keepass generell etwas mehr Vertrauen entgegen gebracht werden kann. Hier wird es schwer Hintertüren im Code zu verstecken, da der Quellcode von jedermann geprüft werden kann.
Zwar ist es möglich eine AES 128bit verschlüsselte Datei auch ohne Passwort zu knacken, aber das wird mit heutigen Computern doch etwas länger dauern (theoretisch mehrere Millionen Jahre), vorausgesetzt man wählt nicht sein Geburtsdatum oder den Namen des Kindes als Passwort.
@Michael:
Solch ein System ist zwar möglich, aber auch relativ leicht zu durchschauen. Kommt ein ausgefuchster Hacker, dem das Passwort im Klartext vorliegt, auf dein System, so ist dein System und damit alle Logins gleichzeitig kompromittiert.
Jemand, der sich die Mühe macht eine 128bit AES verschlüsselte Datei zu knacken, der hat ein solches System im Handumdrehen herausgefunden. Das System wird damit um einiges unsicherer sein als ein Passwort-Manager mit ordentlichem Master-Passwort.
Wer auf Fahndungslisten weit oben aufgeführt ist, der sollte aber vielleicht doch davon absehen seine Passwort-Datenbank in der Cloud zu lagern und sich vielleicht Breaking Bad ansehen (Wichtig: Man braucht viele Mobiltelefone). 😉
Keepass und Keepass2Android sind kostenlos und Open Source. Ich wüsste nicht, warum ich einem schlechteren Dienst, der seinen Source nicht veröffentlicht, mehr vertrauen und dann auch noch eine fette Jahresgebühr abdrücken sollte. Da mache ich lieber mal wieder eine Spende für Open-Source-Entwickler.