Backup & Security / Software & Co

Proton Pass bekommt öffentliche Passwort-Links

Avatar-Fotovon | 13 Kommentare


Proton Pass wird um die neue Funktion „Secure Links“ erweitert. Diese Funktion soll es den Benutzern ermöglichen, Passwörter und andere sensible Informationen sicher und einfach mit jedermann zu teilen, auch mit Nicht-Benutzern von Proton Pass.

Secure Links erweitert damit die bisherigen Methoden der Passwortfreigabe von Proton Pass, wie z. B. Shared Safes. Mit Secure Links können Nutzer einen eindeutigen Link erstellen, der für einen bestimmten Zeitraum gültig ist und eine begrenzte Anzahl von Ansichten zulässt. Diese Links werden auf dem Gerät des Nutzers generiert, sodass Proton selbst niemals die vollständige URL sieht und den Inhalt nicht einsehen kann. Beim Öffnen des Links wird der Empfänger zu einer Webansicht des geteilten Elements weitergeleitet. Quasi wie bei 1Password.

Parallel zur Einführung gibt es ein Angebot: Neukunden erhalten den Proton-Pass Plus im ersten Jahr für 12 €. Übrigens testet der Dienst aktuell mit Visionary-Abonnenten ein extra Passwort für den Zugriff auf die Vaults. Das stellt aber keine extra Verschlüsselung dar. Insgesamt entwickelt sich Proton Pass derzeit sehr gut und wird immer mehr zu einem starken Konkurrenten für 1Passwort und Co.

Vorschau Produkt Preis
Reolink Video-Türklingel mit Chime, 5MP Ultra HD Kabelgebundene Türklingel mit Kamera, 2,4/5GHz WLAN,... Reolink Video-Türklingel mit Chime, 5MP Ultra HD Kabelgebundene Türklingel mit Kamera, 2,4/5GHz... 97,99 EURAmazon Prime Bei Amazon ansehen
Reolink 5MP PTZ Überwachungskamera Aussen,3X Optischer Zoom, 2,4/5GHz WLAN Kamera Outdoor mit... Reolink 5MP PTZ Überwachungskamera Aussen,3X Optischer Zoom, 2,4/5GHz WLAN Kamera Outdoor mit... 84,99 EURAmazon Prime Bei Amazon ansehen
Reolink Argus 4 Pro, 4K Solar Überwachungskamera Aussen Akku, ColorX-Nachtsicht, 180°-Weitwinkel, 8MP Kabellose... Reolink Argus 4 Pro, 4K Solar Überwachungskamera Aussen Akku, ColorX-Nachtsicht, 180°-Weitwinkel,... 159,99 EURAmazon Prime Bei Amazon ansehen

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Als ehrenamtlicher First-Level-Support und quasi Apple-Jünger, der gerne seine Lebenszeit in Tech-Blogs verbrennt, stehe ich auch gerne für hitzige Diskussionen zur Verfügung.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

13 Kommentare

  1. woodstock says:
    12. Juli 2024 um 12:31 Uhr

    „…Passwörter und andere sensible Informationen sicher und einfach mit jedermann zu teilen, auch mit Nicht-Benutzern von Proton Pass.“
    Auf welchem Weg erhält denn dann der „Nicht-Benutzer“ den Link?
    Hab das Prinzip nicht ganz verstanden und bin auf deren Website auch nicht schlauer geworden…

    • caschy says:
      12. Juli 2024 um 12:36 Uhr

      Temporäre Webseite. Quasi wie bei Freigaben in Dropbox, Google Drive, Fotos etc, nur ablaufend.

      • stefan says:
        12. Juli 2024 um 13:45 Uhr

        Wie wird denn sichergestellt, dass die Adresse auf dem der Server von Proton einen Inhalt zur Verfügung stellt Proton nicht bekannt sein kann? Ist ja immerhin deren Server.

        • david says:
          12. Juli 2024 um 14:18 Uhr

          Ich weiss nicht, wie es hier konkret gelöst wurde, aber in der Regel wird für solche End-zu-End-Verschlüsselung-Gedöns zunächst clientseitig (also im Browser des Nutzers) ein symmetrischer Schlüssel generiert, mit dem die Daten verschlüsselt werden.
          Der Server generiert dann eine URL, an deren Pfadende noch ein Fragment angehängt wird, nämlich eben dieser Schlüssel.
          Tja, und dann muss man sich eben drauf verlassen, dass der Server in den Serverlogs eben nicht die komplette URL (inklusive Fragment) abspeichert.
          Am Ende musst du also wieder dem Anbieter vertrauen bzw. irgendwelche Audit-Firmen, die dir ganz fest versprechen, dass der Server „nichts loggt“.

          • A says:
            12. Juli 2024 um 16:23 Uhr

            Das Fragment einer URL (der Teil hinter dem #) wird nicht an den Server gesendet und ist dementsprechend nicht in den Serverlogs zu finden. Dieser Teil ist ausschließlich für den Client [1]. Sofern die Seite also nicht explizit über JavaScript auch diesen Teil sendet (das könnte man überprüfen), muss man dem Anbieter hier nicht vertrauen.

            [1] Siehe RFC 3986, Section 3.5

            • david says:
              12. Juli 2024 um 17:31 Uhr

              >wird nicht an den Server gesendet und ist dementsprechend nicht in den Serverlogs zu finden

              Das ist natürlich richtig, da war ich ungenau, danke!

              >nicht explizit über JavaScript auch diesen Teil sendet

              Genau das hatte ich im Kopf, siehe z.B. hier:

              https://romain-clement.net/articles/sentry-url-fragments/

              • stefan says:
                13. Juli 2024 um 00:13 Uhr

                Ich versteh das in dem Zusammenhang noch nicht. Wie weiß denn etwa der Server wie oft oder wie lange die Datei unter dem Link, den der Server nicht vollständig kennt bereitgestellt werden darf? Also irgendeinen Link ans Internet muss der Server ja bereitstellen – hoffentlich gehen eine Authentifizierung. Wie geht das Hashwerte?

                • A says:
                  13. Juli 2024 um 12:03 Uhr

                  Der Eintrag ist eindeutig über die URL identifiziert und damit durch den Server trackbar. Der Inhalt dieses Eintrags ist aber verschlüsselt und ohne den Schlüssel im Fragment nicht lesbar.

  2. henry@home says:
    12. Juli 2024 um 13:32 Uhr

    Security Voodoo. Ob das Secret selbst oder der mit viel Aufwand generierte Link geteilt wird: letztlich muss ich dafür sorgen, dass ein verschlüsselter Weg benutzt wird. Den Vorteil kann ich nicht erlennen.

  3. MacGrubi says:
    12. Juli 2024 um 14:01 Uhr

    Mir ist noch nicht so ganz klar, zu welchem Zweck ich mit jemandem Passwörter teilen sollte. Meinem Verständnis nach sind Passwörter eine sehr private Sache. Wenn ich sie mit jemandem teile sind sie in diesem Augenblick kompromittiert und ich habe ein Sicherheitsrisiko. Oder übersehe ich da etwas?

    • Mike Leitner says:
      12. Juli 2024 um 15:58 Uhr

      Netflix, Crunchyroll, wifi, Router, etc

      • MacGrubi says:
        13. Juli 2024 um 00:37 Uhr

        Okay. Aber Netflix etc. Account Sharing geht ja wohl nicht mehr so einfach, also sehe ich da keinen echten Grund für Passwortlinkfreigabe. Für mein Gast-WLAN habe ich QR-Codes zum scannen und mein Routerpasswort bekommt niemand, wozu auch.

  4. Oli says:
    12. Juli 2024 um 17:13 Uhr

    Alleine, dass es diese Möglichkeit gibt, schreckt mich ab. Wo ein Wille ist (das zu missbrauchen), ist auch ein Weg.
    Bequemlichkeit oder Sicherheit – such dir eines aus.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.

Umfrage des Monats

Was zahlst du pro Monat für Streaming?

View Results

Wird geladen ... Wird geladen ...

Anzeige