{"id":52,"date":"2020-02-01T09:00:00","date_gmt":"2020-02-01T08:00:00","guid":{"rendered":"http:\/\/www.plontke-online.de\/myloginbox\/manual\/?p=52"},"modified":"2020-02-10T10:42:32","modified_gmt":"2020-02-10T09:42:32","slug":"sichere-verwaltung-von-passwoertern","status":"publish","type":"post","link":"https:\/\/www.plontke-online.de\/myloginbox\/manual\/sichere-verwaltung-von-passwoertern\/","title":{"rendered":"Sichere Verwaltung von Passw\u00f6rtern"},"content":{"rendered":"\n<p>Passw\u00f6rter und sonstige Zugangsdaten sind h\u00f6chst sensible Daten, welche  nicht in falsche H\u00e4nde gelangen sollten. Wenn solche Daten auf einem  elektronischen Ger\u00e4t gespeichert werden, dann sollte dies mit den gr\u00f6\u00dften  m\u00f6glichen Sicherheitsvorkehrungen geschehen. Das grundlegende Konzept von MyLoginBox beruht darauf, alle erfassten Daten mit nur einem  einzigen Master-Passwort \u00fcber ein starkes symmetrisches  Verschl\u00fcsselungsverfahren (AES-256) zu verschl\u00fcsseln. Erlangt jemand unberechtigen Zugang auf die MyLoginBox-Datenbank oder geht das Ger\u00e4t verloren, so sind die Daten durch die starke Verschl\u00fcsselung f\u00fcr einen potentiellen Angreifer unbrauchbar, und ein Datenmissbrauch ist nicht m\u00f6glich. Das Master-Passwort ist der geheime Schl\u00fcssel zu den Daten. Nur der Benutzer kennt diesen Schl\u00fcssel. Ohne das Master-Passwort ist kein Zugriff auf die Daten m\u00f6glich. <\/p>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter size-medium is-resized\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.plontke-online.de\/myloginbox\/manual\/wp-content\/uploads\/2020\/01\/pixel_page01-1-151x300.jpg\" alt=\"Login MyLoginBox\" class=\"wp-image-76\" width=\"302\" height=\"600\" srcset=\"https:\/\/www.plontke-online.de\/myloginbox\/manual\/wp-content\/uploads\/2020\/01\/pixel_page01-1-151x300.jpg 151w, https:\/\/www.plontke-online.de\/myloginbox\/manual\/wp-content\/uploads\/2020\/01\/pixel_page01-1-515x1024.jpg 515w, https:\/\/www.plontke-online.de\/myloginbox\/manual\/wp-content\/uploads\/2020\/01\/pixel_page01-1-768x1526.jpg 768w, https:\/\/www.plontke-online.de\/myloginbox\/manual\/wp-content\/uploads\/2020\/01\/pixel_page01-1-773x1536.jpg 773w, https:\/\/www.plontke-online.de\/myloginbox\/manual\/wp-content\/uploads\/2020\/01\/pixel_page01-1-1031x2048.jpg 1031w, https:\/\/www.plontke-online.de\/myloginbox\/manual\/wp-content\/uploads\/2020\/01\/pixel_page01-1-scaled.jpg 1288w\" sizes=\"auto, (max-width: 302px) 100vw, 302px\" \/><figcaption>Der Loginvorgang der App ben\u00f6tigt stets das Master-Passwort des Nutzers<\/figcaption><\/figure><\/div>\n\n\n\n<p>Sofern die verwendete Hardware dies unterst\u00fctzt, wird als zus\u00e4tzliches Sicherheitsmerkmal in MyLoginBox die Abfrage des Fingerabdruckscanners des Ger\u00e4ts verwendet (sog.  Zwei-Faktor-Authentisierung). Damit wird verhindert, dass sich ein anderer Benutzer, sollte er unkontrolliert Zugriff auf das entsperrte Ger\u00e4t bekommen, unvermittelt anmelden kann, falls das Master-Passwort von einer  vorherigen Anmeldung noch im zugeh\u00f6rigen Eingabefeld steht. Generell muss  bei jedem Neustart der App, einmalig das Master-Passwort durch den  Benutzer eingegeben werden. <\/p>\n\n\n\n<p>Es ist grunds\u00e4tzlich nicht sinnvoll, das  Master-Passwort auf dem verwendeten Ger\u00e4t selbst zu speichern, da dies das Sicherheitskonzept kompromittieren w\u00fcrde. Konsequenterweise sollte man sich stets vor Augen halten, dass falls das Master-Passwort vergessen wird, die Daten in MyLoginBox auch f\u00fcr den Benutzer unter keinen Umst\u00e4nden wiederhergestellt werden k\u00f6nnen. <\/p>\n\n\n\n<p>Das zur Verschl\u00fcsselung verwendete AES-Verfahren (Advanced Encryption Standard) gilt als derzeit sicherstes Kryptoverfahren. Eine hinreichende Schl\u00fcssell\u00e4nge wird daf\u00fcr nat\u00fcrlich vorausgesetzt, d.h. es sollte kein triviales oder zu kurzes Master-Passwort verwendet werden. Ein sogenannter Brute-Force-Angriff auf einen 256-Bit-Schl\u00fcssel w\u00fcrde theoretisch 2<sup>254<\/sup>  Rechenschritte ben\u00f6tigen (eine Zahl mit 76 Nullen\u2026). Selbst die schnellsten Computer der Welt k\u00f6nnen dieses Verfahren nicht brechen. Die mathematischen Grundlagen hier auszuf\u00fchren, w\u00fcrde zu weit gehen. Interessierte finden im Netz jede Menge Lesestoff dazu. <\/p>\n\n\n\n<p>Nat\u00fcrlich kann eine Sicherheitsarchitektur immer nur maximal so sicher sein, wie die Plattform selbst. Android ist kein speziell geh\u00e4rtetes Hochsicherheitssystem. Sofern sich auf dem System, auf Grund einer leider nicht auszuschlie\u00dfenden unbekannten Sicherheitsl\u00fccke, ein sogenannter Trojaner befinden sollte, ist das Sicherheitskonzept von MyLoginBox nat\u00fcrlich ausgehebelt. B\u00f6sartige Apps aus unbekannten Quellen (zum Beispiel eine Tastatur-App, die alle Eingaben protokolliert), k\u00f6nnen ebenfalls ein Sicherheitsrisiko darstellen. Dieses Problem best\u00fcnde jedoch bei einem Passwort Manager, der auf dem heimischen PC l\u00e4uft, ebenso. Anzumerken bleibt, dass auf einen Zettel notierte Zugangsdaten gleichfalls nicht wirklich sicher sind, solange sie nicht gerade im heimischen Safe liegen. Insofern w\u00e4re der Verlust eines Android-Ger\u00e4ts mit einer sicher verschl\u00fcsselten Datenbank das wesentlich kleinere Problem, als der unbemerkte Verlust von E-Mail-Zugangsdaten auf einem St\u00fcck Papier.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Passw\u00f6rter und sonstige Zugangsdaten sind h\u00f6chst sensible Daten, welche nicht in falsche H\u00e4nde gelangen sollten. Wenn solche Daten auf einem elektronischen Ger\u00e4t gespeichert werden, dann sollte dies mit den gr\u00f6\u00dften m\u00f6glichen Sicherheitsvorkehrungen geschehen. Das grundlegende Konzept von MyLoginBox beruht darauf, alle erfassten Daten mit nur einem einzigen Master-Passwort \u00fcber ein starkes symmetrisches Verschl\u00fcsselungsverfahren (AES-256) zu [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[],"class_list":["post-52","post","type-post","status-publish","format-standard","hentry","category-manual"],"_links":{"self":[{"href":"https:\/\/www.plontke-online.de\/myloginbox\/manual\/wp-json\/wp\/v2\/posts\/52","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.plontke-online.de\/myloginbox\/manual\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.plontke-online.de\/myloginbox\/manual\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.plontke-online.de\/myloginbox\/manual\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.plontke-online.de\/myloginbox\/manual\/wp-json\/wp\/v2\/comments?post=52"}],"version-history":[{"count":24,"href":"https:\/\/www.plontke-online.de\/myloginbox\/manual\/wp-json\/wp\/v2\/posts\/52\/revisions"}],"predecessor-version":[{"id":212,"href":"https:\/\/www.plontke-online.de\/myloginbox\/manual\/wp-json\/wp\/v2\/posts\/52\/revisions\/212"}],"wp:attachment":[{"href":"https:\/\/www.plontke-online.de\/myloginbox\/manual\/wp-json\/wp\/v2\/media?parent=52"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.plontke-online.de\/myloginbox\/manual\/wp-json\/wp\/v2\/categories?post=52"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.plontke-online.de\/myloginbox\/manual\/wp-json\/wp\/v2\/tags?post=52"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}