Das Motto von MyLoginBox lautet \u201eeinfach und sicher\u201c, deshalb werden sich die Benutzer eventuell wundern, weshalb die App an verschiedenen Stellen ein scheinbar sperriges Bedienkonzept verfolgt. Dieses ist in den im Folgenden ausgef\u00fchrten F\u00e4llen jedoch mit Absicht so umgesetzt worden, und es ben\u00f6tigt einiger Erkl\u00e4rung das Sicherheitskonzept als Ganzes zu erl\u00e4utern.<\/p>\n\n\n\n
Falls der Benutzer das Master-Passwort vergisst, kann er sich nicht mehr anmelden und er kann das Master-Passwort auch nicht mehr \u00e4ndern. Dieses Passwort ist der geheime Schl\u00fcssel zu den Daten. Das Vergessen des Geheimnisses verhindert den Zugang zur Datenbank und es bleibt nur noch die M\u00f6glichkeit alle Daten zu l\u00f6schen. Es gibt mit Absicht weder eine Kopie der Daten noch eine Kopie des Master-Passworts auf einem Server im Internet, da MyLoginBox per Definition keine externe Datenverbindung aufbaut. <\/p>\n\n\n\n
Das Master-Passwort ist das einzige Geheimnis zum Schutz der Daten. Selbst auf Ger\u00e4ten mit biometrischer Authentifizierung k\u00f6nnte ein potenzieller Angreifer, sofern er direkten physischen Zugang zum Ger\u00e4t erlangt, auch Zugang zur Datenbank erhalten. Aus diesem Grund ist das Master-Passwort nirgends, weder auf dem Ger\u00e4t, noch in der Datenbank gespeichert. Es muss stets durch den Benutzer eingegeben werden.<\/p>\n\n\n\n
Auch in verschl\u00fcsselter Form kann das Master-Passwort nicht sicher auf dem Ger\u00e4t gespeichert werden, da der Schl\u00fcssel daf\u00fcr dann in irgendeiner Weise in der App selbst versteckt sein m\u00fcsste. Ein solches Design (sog. \u201eSecurity through obscurity\u201c) wird in der Softwarearchitektur generell als unsicher erachtet.<\/p>\n\n\n\n
Als unabh\u00e4ngiger und der Allgemeinheit unbekannter Entwickler der App gehe ich grunds\u00e4tzlich davon aus, dass mir niemand einen hinreichenden Vertrauensvorschuss entgegenbringen w\u00fcrde, seine sensiblen Daten ausreichend gesichert auf einem Server im Internet zu verwalten und diese sicher dorthin zu \u00fcbertragen. Des Weiteren w\u00fcrden f\u00fcr den Betrieb der externen Server-Infrastruktur monatliche Kosten anfallen, so dass die App nicht mehr kostenlos und werbefrei angeboten werden k\u00f6nnte.<\/p>\n\n\n\n
Der geneigte Nutzer kann die verschl\u00fcsselte Datenbank \u00fcber die zur Verf\u00fcgung gestellte Export-Funktion dennoch jederzeit entladen und auf Wunsch in seine pers\u00f6nliche Cloud \u00fcbertragen. Das geht mit Google Drive sogar sehr komfortabel, liegt aber nicht im Verantwortungsbereich von MyLoginBox. Ohne das Master-Passwort kann die verschl\u00fcsselte Datei nicht dechiffriert werden und ist als sehr sicher zu betrachten.<\/p>\n\n\n\n
Kommerzielle Passwortverwaltungen bieten in der Regel eine sogenannte Autofill-Funktion, die automatisch erkennt, sobald der Benutzer den Eingabefokus auf ein Passwortfeld legt und in diesem Fall automatisch die Passwortverwaltung einblendet. MyLoginBox bietet diesen Service nicht und muss in der Bedienung vielmehr wie ein verschl\u00fcsseltes Notizbuch verstanden werden, das separat ge\u00f6ffnet werden muss. Der Grund ist auch hier dem bereits weiter oben beschriebenen Vertrauensdilemma zu sehen. Wer w\u00fcrde guten Gewissens die App eines unbekannten Entwicklers installieren, wenn diese einen Hintergrund-Service registriert, der jederzeit alle Tastatureingaben auf Passwortfelder pr\u00fcft? Aus diesem Grund wurde absichtlich auf eine solche Funktion verzichtet.<\/p>\n","protected":false},"excerpt":{"rendered":"
Das Motto von MyLoginBox lautet \u201eeinfach und sicher\u201c, deshalb werden sich die Benutzer eventuell wundern, weshalb die App an verschiedenen Stellen ein scheinbar sperriges Bedienkonzept verfolgt. Dieses ist in den im Folgenden ausgef\u00fchrten F\u00e4llen jedoch mit Absicht so umgesetzt worden, und es ben\u00f6tigt einiger Erkl\u00e4rung das Sicherheitskonzept als Ganzes zu erl\u00e4utern. Weshalb gibt es in […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[],"class_list":["post-198","post","type-post","status-publish","format-standard","hentry","category-manual"],"_links":{"self":[{"href":"https:\/\/www.plontke-online.de\/myloginbox\/manual\/wp-json\/wp\/v2\/posts\/198","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.plontke-online.de\/myloginbox\/manual\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.plontke-online.de\/myloginbox\/manual\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.plontke-online.de\/myloginbox\/manual\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.plontke-online.de\/myloginbox\/manual\/wp-json\/wp\/v2\/comments?post=198"}],"version-history":[{"count":11,"href":"https:\/\/www.plontke-online.de\/myloginbox\/manual\/wp-json\/wp\/v2\/posts\/198\/revisions"}],"predecessor-version":[{"id":223,"href":"https:\/\/www.plontke-online.de\/myloginbox\/manual\/wp-json\/wp\/v2\/posts\/198\/revisions\/223"}],"wp:attachment":[{"href":"https:\/\/www.plontke-online.de\/myloginbox\/manual\/wp-json\/wp\/v2\/media?parent=198"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.plontke-online.de\/myloginbox\/manual\/wp-json\/wp\/v2\/categories?post=198"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.plontke-online.de\/myloginbox\/manual\/wp-json\/wp\/v2\/tags?post=198"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}