Passwörter und sonstige Zugangsdaten sind höchst sensible Daten, welche nicht in falsche Hände gelangen sollten. Wenn solche Daten auf einem elektronischen Gerät gespeichert werden, dann sollte dies mit den größten möglichen Sicherheitsvorkehrungen geschehen. Das grundlegende Konzept von MyLoginBox beruht darauf, alle erfassten Daten mit nur einem einzigen Master-Passwort über ein starkes symmetrisches Verschlüsselungsverfahren (AES-256) zu verschlüsseln. Erlangt jemand unberechtigen Zugang auf die MyLoginBox-Datenbank oder geht das Gerät verloren, so sind die Daten durch die starke Verschlüsselung für einen potentiellen Angreifer unbrauchbar, und ein Datenmissbrauch ist nicht möglich. Das Master-Passwort ist der geheime Schlüssel zu den Daten. Nur der Benutzer kennt diesen Schlüssel. Ohne das Master-Passwort ist kein Zugriff auf die Daten möglich.
Sofern die verwendete Hardware dies unterstützt, wird als zusätzliches Sicherheitsmerkmal in MyLoginBox die Abfrage des Fingerabdruckscanners des Geräts verwendet (sog. Zwei-Faktor-Authentisierung). Damit wird verhindert, dass sich ein anderer Benutzer, sollte er unkontrolliert Zugriff auf das entsperrte Gerät bekommen, unvermittelt anmelden kann, falls das Master-Passwort von einer vorherigen Anmeldung noch im zugehörigen Eingabefeld steht. Generell muss bei jedem Neustart der App, einmalig das Master-Passwort durch den Benutzer eingegeben werden.
Es ist grundsätzlich nicht sinnvoll, das Master-Passwort auf dem verwendeten Gerät selbst zu speichern, da dies das Sicherheitskonzept kompromittieren würde. Konsequenterweise sollte man sich stets vor Augen halten, dass falls das Master-Passwort vergessen wird, die Daten in MyLoginBox auch für den Benutzer unter keinen Umständen wiederhergestellt werden können.
Das zur Verschlüsselung verwendete AES-Verfahren (Advanced Encryption Standard) gilt als derzeit sicherstes Kryptoverfahren. Eine hinreichende Schlüssellänge wird dafür natürlich vorausgesetzt, d.h. es sollte kein triviales oder zu kurzes Master-Passwort verwendet werden. Ein sogenannter Brute-Force-Angriff auf einen 256-Bit-Schlüssel würde theoretisch 2254 Rechenschritte benötigen (eine Zahl mit 76 Nullen…). Selbst die schnellsten Computer der Welt können dieses Verfahren nicht brechen. Die mathematischen Grundlagen hier auszuführen, würde zu weit gehen. Interessierte finden im Netz jede Menge Lesestoff dazu.
Natürlich kann eine Sicherheitsarchitektur immer nur maximal so sicher sein, wie die Plattform selbst. Android ist kein speziell gehärtetes Hochsicherheitssystem. Sofern sich auf dem System, auf Grund einer leider nicht auszuschließenden unbekannten Sicherheitslücke, ein sogenannter Trojaner befinden sollte, ist das Sicherheitskonzept von MyLoginBox natürlich ausgehebelt. Bösartige Apps aus unbekannten Quellen (zum Beispiel eine Tastatur-App, die alle Eingaben protokolliert), können ebenfalls ein Sicherheitsrisiko darstellen. Dieses Problem bestünde jedoch bei einem Passwort Manager, der auf dem heimischen PC läuft, ebenso. Anzumerken bleibt, dass auf einen Zettel notierte Zugangsdaten gleichfalls nicht wirklich sicher sind, solange sie nicht gerade im heimischen Safe liegen. Insofern wäre der Verlust eines Android-Geräts mit einer sicher verschlüsselten Datenbank das wesentlich kleinere Problem, als der unbemerkte Verlust von E-Mail-Zugangsdaten auf einem Stück Papier.