Passwortmanager Dashlane schafft das Master-Passwort ab
von caschy | 17 Kommentare
Beim Passwortmanager Dashlane stehen Änderungen ins Haus. Da möchte man, dass ihr euch an kein Master-Passwort erinnern müsst. Dashlanes „Passwordless Login“ folgt auf die frühe Unterstützung des Unternehmens für die kryptographische Schlüssellösung, bekannt als Passkeys. Die neue Lösung von Dashlane zum Ersetzen von Master-Passwörtern verwendet zwar auch kryptografische Schlüssel, ist aber nicht dasselbe wie Passkeys, die von der FIDO Alliance entwickelte passwortlose Authentifizierungslösung.
Benutzer können ein Dashlane-Konto auf einem mobilen Gerät ohne Master-Passwort erstellen und trotzdem sicher auf ihr Konto mit biometrischen Daten oder einem PIN-Code zugreifen. Dashlane wird im Rahmen der Umstellung auf eine passwortlose Anmeldung einen neuen, schnelleren Geräteeinrichtungsablauf mit einem registrierten Gerät einführen. Im Falle eines totalen Geräteverlusts können Nutzer mit einem Wiederherstellungsschlüssel wieder auf ihr Konto zugreifen, so das Unternehmen. Man plane, die Option der passwortlosen Anmeldung auch auf alle bestehenden Kunden auszudehnen, damit sie auf Wunsch vom Master-Passwort wegkommen können.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Während sich biometrische Daten am physischen Ende ändern und Passes kaum offline übertragbar sind, macht man sich daran das etablierte Masterpasswort zu verbannen lol.
Bequemlichkeit vor Sinnhaftigkeit imho.
So sehe ich das bisher auch. Wobei ich mir auch nicht vorstellen kann das der Umstieg für Menschen die jetzt schon mit Passwörtern Probleme haben wirklich so einfach und klar ist.
Ich selber sehe zumindest bisher keinen Vorteil gegenüber Passwort und zweiten Faktor. Wenn ich schon höre das alle auch mit einer schwachen PIN entsperrt werden kann haben ich ein Fragezeichen über dem Kopf.
Da fragt man sich warum Fido nicht mehr unterstützt bzw. durch Fido2 ersetzt wurde? Fand die Lösung damals mit der Desktop App zum verwalten der Passwörter wesentlich angenehmer.
„Benutzer können ein Dashlane-Konto auf einem mobilen Gerät ohne Master-Passwort erstellen und trotzdem sicher auf ihr Konto mit biometrischen Daten oder einem PIN-Code zugreifen.“
So weit, so gut, funktioniert allerdings mit Bitwarden auch schon, wenn man Face ID für die App freigibt. Aber wie greift man dann auf Hardware darauf zu, die so was nicht unterstützen?
Der Gedanke ist, dass du dort dann auswählst „Am Smartphone entsperren“ o.ä.
Dann den QR Code scannen oder auf die Pushnachricht am Handy klicken.
Also in etwa wie 2FA ohne den 1. Faktor?
Klingt ungewöhnlich, aber letztendlich wohl tatsächlich nicht unsicherer als per Kennwort. Schwierig könnte es dann halt werden, wenn man sein Handy verliert, wie es ja schon weiter unten geschrieben wurde.
Schaut euch mal heylogin an.
Dort gibt es seit Anfang an kein Master-Passwort…
Sehr interessant! Kannte ich noch gar nicht…
Habe ich gemacht. Der Zwang Smartphone und PC/Mac ist nichts für mich.
Passend zum Thema: 50% Neukundenrabatt.
https://www.mydealz.de/gutscheine/dashlane-promocode-premium-50-2169784
Inzwischen habe ich weniger Angst vor geklauten/gehackten Accounts, also dass ich mich aussperre, weil mein Handy in die Elbe fällt und irgendwelche Schlüssel/Master/Biometrie/Zweit-Faktor Methoden sich zirkulär ausschliessen.
Vor Jahren ging mir mal unterwegs mein Handy kaputt, und ich wollte Samstag Nachmittag schnell ein neues kaufen. Am Handy meiner Frau… Oh Gott.
„Nein, ihr könnt mir das nicht mailen“. „Nein, ich kann auch keine SMS mehr lesen.“ „Ja, ich kann mir das schicken lassen, aber um es zu LESEN muss ich mich an einem „neuen Gerät“ einloggen, und Nein, DAS kann ich dann wieder nicht bestätigen!“ „NEIN, der Hardware-Key für ein Google-Login liegt natürlich zuhause!!!!!“ Hölle. Hölle pur.
Ich (und ich bin selbst ITler!) frage mich, was DARAN sicherer sein soll, als ein solides Passwort.
Man sollte es nicht glauben, aber nach diversen Paranoia-Eruptionen der verschiedenen Administratoren, denen ich ausgeliefert bin, habe ich wieder den guten alten Passwort-Zettel. Anders ist dem Komplexitäts- und Wechsel-Wahn nicht mehr Herr zu werden. Und wenn ich mich so umgucke, dann geben das die meisten Techies nach dem zweiten Bier auch zu, dass sie sowas wieder haben.
Mit einem Backup wäre es nicht passiert.
Äh, bitte? Was genau soll man bitteschön “backuppen“, damit man an einem fremden/neuen System wieder „vertrauenswürdig“ ist, wenn die Schlüssel/Faktoren dafür nicht mehr existieren?
Und selbst wenn das ginge — Du würdest natürlich dein “Backup“ mit in den Urlaub nehmen, damit es neben dem Original im Hotelzimmer liegt? Denn, wir erinnern uns — in die Cloud kommst Du ja nicht mehr, denn, siehe oben, Schlüssel/Faktor liegt auf dem Grund der Elbe.
Aber das gleiche kann mit deinem Zettel ja auch passieren. Auch den kannst du verlieren oder einfach nicht dabei haben, wenn du ihn mal brauchst. Das ist ja nicht der „Fehler“ des Konzepts, sondern eben ein ganz individuelles Problem in deiner Umsetzung – und zugegeben der von vielen anderen. Statt jetzt also den Zettel mit deinen weniger sicheren Passwörtern im Hotelsafe aufzubewahren, hättest du auch einen Stick mit den Wiederherstellungcodes dort aufbewahren können. Und falls es im Urlaub derart wichtig ist, auf solche Dienste weiter zugreifen zu können, auch sollte der Hardware-Token oder das Smartphone mit der 2FA-App ins Wasser fallen, ist das keine unrealistische Lösung. Backup sagt ja erstmal nur „deine Daten sind nicht verloren“ – wie und wie schnell du wieder an sie kommst, ist letztendlich eine Sache, die du für dich planen musst.
Meine Passwörter kann ich nicht verlieren, wo ich sie frei selbst bestimmen kann, haben sie eine feststehende Logik.
„Einen Zettel verlieren“ (den man auch 5x kopieren kann und in der Welt verteilen) ist sehr viel unwahrscheinlicher, als dass alle paar Jahre so ein Handy kaputtgeht. Genauer gesagt ist das ja der Standardcase, ich kaufe mir das neue Handy ja nur, weil das alte kaputt ist.
Und jetzt der Vergleich mit dem Passwort: Wenn ich mir einmal f5DDfgeer-t4684 gemerkt habe, was soll jetzt noch passieren? Erraten wird es keiner. Das Risiko, einen 2. Faktor oder Key zu verlieren ist viel, viel höher — und der Schaden, dass andere an meinen Account kommen, ist geringer, als alles zu verlieren, weil ich nicht mehr an meinen Account komme.
Du empfiehlst ernsthaft einen Passwort-Zettel?! Entweder hast du nur wenige Accounts (ITler im Ruhestand?) oder du nutzt oft das selbe Passwort für mehrere Accounts (ganz schlecht!).
Ich habe über 200 Accounts. Regelmäßig kommen neue Accounts dazu. Und so ziemlich jeder (echte) „Techie“ den ich kenne ist in der selben Situation. Denen kann ich unendlich viele Bier ausgeben. Die würden nie behaupten ein Passwort-Zettel wäre eine gute Idee… 😀
Einfach einen Passwort-Manager einrichten und den richtig backupen und that’s it.
Natürlich habe ich einen Passwort-Zettel. Seit ITler komplett freidrehen und 100stellige Passwörter mit hebräischen Sonderzeichen verlangen, die im Wochenrythmus zu wechseln sind und keine Ähnlichkeit aufweisen dürfen, haben ALLE Nutzer wieder einen Zettel. Kennst Du IRGENDWEN, der inzwischen nicht wieder Zettel hat? Ich nicht.
Und seit die ITler dann im Firmenchat alle Nachrichten blocken, die das Wort „Passwort“ enthalten, gehen die dann eben über WhatsApp.
So läuft es halt, wenn Fachidioten die Schilder aufstellen: Man fährt eine andere Straße.
Die kapieren nicht, wenn man komplett dickschädelig den Tunnelblick fährt, dass Nutzer dann andere Wege gehen.
Alle Attacken sind heutzutage automatisch. Wenn Du EIN gutes Passwort hast, und für Google ein „ggl“ anhängst, für Spotify ein „spt“, für Facebook ein “fcb“, dannb bist Du komplett megasicher.