Tutonaut.de

Vorsicht bei PIN-SAFE: Teuer und mit Tücken

PIN-SAFE verspricht viel, aktuell ständig per TV-Werbung: Passwörter sicher und offline! Schluss mit dem Chaos! Nicht ganz falsch, dennoch: Nicht kaufen.

Derzeit läuft mal wieder viel Software-Werbung im TV: Schluss mit dem Passwort-Chaos verspricht PIN-Safe, ein Offline-Speicher für Eure Passwörter und PINs. Das System funktioniert mit einer Kombination aus Smartphone + NFC-Karte. Ja, das scheint sicher – und nein, kauft das nicht!

Wie funktioniert’s?

Das PIN-Safe-System ist im Grunde recht simpel: Die NFC-Karte wird mit dem Smartphone gekoppelt. Dann werden PINs und Passwörter auf der Karte verschlüsselt gespeichert. Zum Entschlüsseln benötigt Ihr dann Eure selbst vergebene PIN, Karte und Smartphone. Im Grunde ist es also sogar eine 3-Faktor-Authentifizierung: Wissen (PIN) und zweimal Besitz (Karte, Handy).

Die Verschlüsselung basiert auf AES-256 und soll gemäß BSI-Vorgaben parametrisiert sein (sehr löblich!). Das ganze Verfahren ist patentiert, es gibt einen Diplom-Informatiker als Prokuristen, Firmensitz ist in Chemnitz – mit anderen Worten: So all diese Angaben stimmen und alles korrekt umgesetzt wurde (was nur ein ausführliches Audit beantworten könnte), macht das System soweit einen guten Eindruck.

Um es ganz klar zu sagen: Lässt man Fehler bei der Implementierung mal außen vor, darf man das System als sicher bezeichnen – Cracker würden sich hier definitiv die Zähne ausbeissen!

System mit Macken

Dennoch ist das System – derzeit – aus meiner Sicht absolut nicht zu empfehlen. Jedenfalls nicht als einzigen Passwort-Safe. Und eigentlich gar nicht. Es gibt hier gleich mehrere Problemchen:

Erstens: Auf die Karte passen nur maximal 50 Einträge. Und das ist wiederum abhängig von deren Länge. PINs wie „1234“ sind kein Problem, aber wie sieht es mit echten Passwörtern aus? Zum einen sind diese gerne mal sehr lang, zum anderen braucht man auch noch Nutzernamen – und für den ganzen Online-Kram auch noch die URLs. Vermutlich sind es dann schnell deutlich weniger als eh mickrige 50 Einträge. Ich mag keine normaler User sein, aber in meinem Passwort-Safe liegen 380 Einträge …
Zwei Erfahrungsberichte bei Amazon sprechen von 13 beziehungsweise 16 Einträgen – dann war Schluss! 50 bezieht sich eben nur auf echte PINs. Eine seriöse Angabe der Speichergröße lässt sich auf den PIN-Safe-Seiten nicht finden – und ich behaupte mal: Aus gutem Grund.

Zweitens: 20 Euro sind verdammt happig – das ist aber nur eine persönliche Meinung.

Drittens: Jetzt kommt das eigentliche Problem: Backups und Verlust. Standardmäßig bekommt Ihr eine Backup-Karte. Verliert Ihr die Karte, kein Problem, Ihr habt noch eine – sofern Ihr diese auch tatsächlich eingerichtet habt. Wenn aber das Handy weg ist, ist der Safe dicht. Handy defekt? Safe dicht. Soll heißen: Ihr braucht dringend ein Backup der Logins – also noch einen Passwort-Safe.

Gut, Ihr wollt nicht mit diesem Worst Case rechnen? Wie wäre es mit einem neuen Handy? iPhone-Nutzer können die Daten übertragen – Android-Nutzer müssten alle PINs neu anlegen! Zitat des Herstellers:

Der Wechsel des Smartphones auf ein neuer Gerät mit dem Übertragen der Faktoren für die Entschlüsselung der PIN-SAFE Karte ist derzeit unter Android noch nicht möglich.

Die Funktion sei in Entwicklung. Das Nicht-Übertragen-Können unter Android ist ein No-Go-Kriterium – und vertraut bloß nicht darauf, dass diese Funktion wirklich kommt. Wenn Ihr zuschlagen wollt, wartet zumindest darauf.

Übrigens: Natürlich sind Eure Passwörter auf der Karte auch dann – für immer! – verloren, wenn Ihr die App deinstalliert. Dadurch wird die Kopplung aufgehoben, die Karte muss zurückgesetzt werden. Der Hersteller geht im FAQ übrigens selbst darauf ein, verkauft solche Dinge aber als „ein Höchstmaß an Sicherheit.“ Andererseits wird durchaus darauf hingewiesen, dass die hinterlegten Daten extern gesichert werden sollten. PIN-Safe mag viel Werbesprech verwenden, aber es wird nichts Haltloses versprochen.

Viertens: Ein eher akademisches und auch nur potenzielles Problemchen für Zwischendurch: Patentiertes Verfahren klingt bestimmt supi, aber bei Verschlüsselungen gibt es etablierte Standardverfahren, die in der Security-Community wesentlich lieber gesehen werden. Eigene Verfahren können super sicher sein, aber man weiß es halt nicht genau.

Fünftens: Es gibt Alternativen, die genauso sicher sind. Zugegeben, der Faktor des doppelten Besitzes (Handy + Karte) ist hübsch. Aber: Wichtig ist eigentlich nur das 2-Faktor-System mit Wissen + Besitz. Ich für meinen Teil habe einen Passwort-Safe schlicht als App auf dem Smartphone. Neben einem Passwort kann man hier noch ein so genanntes Token festlegen, eine Datei, die neben dem Passwort angegeben werden muss. Das könnte zum Beispiel eines der 2.000 Bilder auf Eurem Smartphone sein.

keepass
KeePass: Quelloffen, etabliert, sicher, kostenlos, plattformunabhängig, herstellerunabhängig, vielseitig … Mehr braucht kein Mensch.

Ein Angreifer müsste also: Mein Smartphone besitzen, es entsperren können, die Token-Datei kennen und auch noch das Passwort wissen. Die Verschlüsselung basiert ebenfalls auf AES, darf also ebenfalls als sicher angenommen werden. Der größte Vorteil: Der Safe selbst ist nur eine einzelne Datei im Format des etablierten Open-Source-Passwort-Safes KeePass. Und diese Datei könnt Ihr einfach backuppen, auf anderen Smartphones nutzen oder auch auf Laptops und Desktop-Rechnern – unter Windows, Linux, OS X und etlichen weiteren Systemen.

Habe ich erwähnt, dass KeePass für alle Plattformen kostenlos ist? Open Source steht für mehr Sicherheit, offene Standards, breite Verwendungsmöglichkeiten und natürlich das Fehlen jeglicher Lizenzgebühren. Und im Falle von KeePass gibt es zudem noch massig weiterer Funktionen, vom automatischen Füllen von Formularen, über Passwortgenerierung, bis hin zu detaillierten Sicherheitseinstellungen und Dutzenden Erweiterungen von Dritten.

Ja, aber …

Also nochmal in Kürze: Geht man von einer korrekten Implementierung aus, darf man PIN-Safe definitiv als sicher vor Dritten bezeichnen. Aber es hapert an Funktionalität, an Nutzerfreundlichkeit, an Redundanz, an Plattformunabhängigkeit (!), Quelloffenheit und Wiederherstellbarkeit – und dafür kostet es dann noch 20 Euro.

Aber: Wenn Ihr Eure Passwörter tatsächlich nicht Eurem Smartphone anvertrauen wollt und auch nicht der Cloud, dann könnte so eine Karte als eine Art Top-Passwörter-offline-für-unterwegs durchgehen. Nun, genauso gut könntet Ihr natürlich einen USB-Stick, eine SD-Karte oder sonst einen Speicher nutzen, um Euren KeePass-Safe darauf zu speichern und per Smartphone darauf zugreifen – ist billiger, vielseitiger und tendenziell genauso sicher.

Mal als Beispiel-Setup: Ihr habt KeePass auf dem Desktop und zum Beispiel KeePassX auf dem Android-Smartphone. Die Safe-Datei liegt auf einem USB-Schlüsselanhänger, das Token irgendwo auf dem Smartphone und das Passwort in Eurem Kopf. Ihr braucht also wie bei PIN-Safe zweimal Besitz (USB-Schlüsselanhänger und Smartphone) und einmal Wissen (Passwort) – und zusätzlich noch die Token-Datei (was nochmal Besitz UND Wissen bedeutet). Smartphone weg? Und Schlüsselanhänger auch? Kein Problem, dasselbe Token und dieselbe Safe-Datei könnt Ihr daheim, auf einem weiteren USB-Datenträger, in der Cloud oder sonstwo ablegen.

Schlusswort

So ein PIN-Safe-Offline-Speicher ist besser als merkbare Passwörter in der Form „passwort“ und „123456“ – und wenn Ihr die Daten (also die Logins) irgendwo sonst backuppt und im Zweifel bereit seid, alle Daten bei Handyverlust neu einzugeben, 20 Euro auszugeben und dem Hersteller zu vertrauen … Viele Wenns, aber dann: Warum nicht? Ich gebe Euch aber Brief und Siegel, das sich niemand mit Ahnung von IT und IT-Security darauf einlassen wird.

Und wenn Ihr unbedingt PIN-Safe nutzen wollt: Legt um Himmels Willen Backups an und nutzt die Karte auf keinen, gar keinen, überhaupt gar keinen – man kann es echt nicht oft genug sagen -, Fall als einzigen Passwort-Safe. Das. Geht. In. Die. Hose.

Zum Anbieter: Die PIN-Safe GmbH gibt es übrigens erst seit Mai 2019 – und teilt sich Adresse und Personal mit der NFC21 GmbH, die es bereits seit 2012 gibt. Die PIN-Safe muss aufgrund des jungen Alters noch nicht im Bundesanzeiger auftauchen. Die NFC21 ist dort auch nicht zu finden, was nur bei Kleinst-GmbHs sein darf. Auch solche Infos können hilfreich sein, wenn es darum geht, jemandem die Sicherheit von und den Zugriff auf die wichtigsten persönlichen Daten anzuvertrauen.

Mehr zum Thema Security.

Einstiegsbild

Mirco Lang

Mirco Lang

Freier Journalist, Exil-Sauerländer, (ziemlich alter) Skateboarder, Dipl.-Inf.-Wirt, Einzelhandelskaufmann, Open-Source-Nerd, Checkmk-Handbuchschreiber. Ex-Saturn'ler, Ex-Data-Becker'ler, Ex-BSI'ler.

Computer-Erstkontakt: ca. 1982 - der C64 des großen Bruders eines Freunds.

Wenn Du hier mehr über Open Source, Linux, Bastelkram oder auch Windows-Basics lesen und Tutonaut unterstützen möchtest:
Spendier mir einen Kaffee via Paypal. Schon mal im Voraus: Danke!

Nicht verpassen: cli.help

7 Kommentare

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

  • Zitat „Habe ich erwähnt, dass KeePass für alle Plattformen kostenlos ist?“

    Was nutzt du denn auf dem iPhone für eine KeePass App? Ich finde nur Apps die Geld kosten?

    Wäre schon wenn du mal ein paar Links für iOS, MacOS posten könntest.

    VG

    • Danke für den Vorschlag!

      Jedoch: Proprietär, Website ohne Impressum, null Informationen über die Funktionsweise – kann ich ebenfalls nur dringend von abraten.

      Und bei PIN-Safe geht es ja gerade darum die Cloud auszuschließen. Bei SafeInCloud scheint zwar, den spärlichen Informationen bei Google Play nach zu urteilen, nur die offline verschlüsselte Datenbank synchronisiert zu werden, aber auch das muss ich raten …

      Eine Keepass-Datenbank kann man auch über das Netz synchronisieren, einfach die URL zur kdbx-Datei hinterlegen.

Do NOT follow this link or you will be banned from the site!