Vorsicht bei PIN-SAFE: Teuer und mit Tücken
Derzeit läuft mal wieder viel Software-Werbung im TV: Schluss mit dem Passwort-Chaos verspricht PIN-Safe, ein Offline-Speicher für Eure Passwörter und PINs. Das System funktioniert mit einer Kombination aus Smartphone + NFC-Karte. Ja, das scheint sicher - und nein, kauft das nicht!
Wie funktioniert's?
Das PIN-Safe-System ist im Grunde recht simpel: Die NFC-Karte wird mit dem Smartphone gekoppelt. Dann werden PINs und Passwörter auf der Karte verschlüsselt gespeichert. Zum Entschlüsseln benötigt Ihr dann Eure selbst vergebene PIN, Karte und Smartphone. Im Grunde ist es also sogar eine 3-Faktor-Authentifizierung: Wissen (PIN) und zweimal Besitz (Karte, Handy).
Die Verschlüsselung basiert auf AES-256 und soll gemäß BSI-Vorgaben parametrisiert sein (sehr löblich!). Das ganze Verfahren ist patentiert, es gibt einen Diplom-Informatiker als Prokuristen, Firmensitz ist in Chemnitz - mit anderen Worten: So all diese Angaben stimmen und alles korrekt umgesetzt wurde (was nur ein ausführliches Audit beantworten könnte), macht das System soweit einen guten Eindruck.
Um es ganz klar zu sagen: Lässt man Fehler bei der Implementierung mal außen vor, darf man das System als sicher bezeichnen - Cracker würden sich hier definitiv die Zähne ausbeissen!
System mit Macken
Dennoch ist das System - derzeit - aus meiner Sicht absolut nicht zu empfehlen. Jedenfalls nicht als einzigen Passwort-Safe. Und eigentlich gar nicht. Es gibt hier gleich mehrere Problemchen:
Erstens: Auf die Karte passen nur maximal 50 Einträge. Und das ist wiederum abhängig von deren Länge. PINs wie "1234" sind kein Problem, aber wie sieht es mit echten Passwörtern aus? Zum einen sind diese gerne mal sehr lang, zum anderen braucht man auch noch Nutzernamen - und für den ganzen Online-Kram auch noch die URLs. Vermutlich sind es dann schnell deutlich weniger als eh mickrige 50 Einträge. Ich mag keine normaler User sein, aber in meinem Passwort-Safe liegen 380 Einträge ... Zwei Erfahrungsberichte bei Amazon sprechen von 13 beziehungsweise 16 Einträgen - dann war Schluss! 50 bezieht sich eben nur auf echte PINs. Eine seriöse Angabe der Speichergröße lässt sich auf den PIN-Safe-Seiten nicht finden - und ich behaupte mal: Aus gutem Grund.
Zweitens: 20 Euro sind verdammt happig - das ist aber nur eine persönliche Meinung.
Drittens: Jetzt kommt das eigentliche Problem: Backups und Verlust. Standardmäßig bekommt Ihr eine Backup-Karte. Verliert Ihr die Karte, kein Problem, Ihr habt noch eine - sofern Ihr diese auch tatsächlich eingerichtet habt. Wenn aber das Handy weg ist, ist der Safe dicht. Handy defekt? Safe dicht. Soll heißen: Ihr braucht dringend ein Backup der Logins - also noch einen Passwort-Safe.
Gut, Ihr wollt nicht mit diesem Worst Case rechnen? Wie wäre es mit einem neuen Handy? iPhone-Nutzer können die Daten übertragen - Android-Nutzer müssten alle PINs neu anlegen! Zitat des Herstellers:
Der Wechsel des Smartphones auf ein neuer Gerät mit dem Übertragen der Faktoren für die Entschlüsselung der PIN-SAFE Karte ist derzeit unter Android noch nicht möglich.
Die Funktion sei in Entwicklung. Das Nicht-Übertragen-Können unter Android ist ein No-Go-Kriterium - und vertraut bloß nicht darauf, dass diese Funktion wirklich kommt. Wenn Ihr zuschlagen wollt, wartet zumindest darauf.
Übrigens: Natürlich sind Eure Passwörter auf der Karte auch dann - für immer! - verloren, wenn Ihr die App deinstalliert. Dadurch wird die Kopplung aufgehoben, die Karte muss zurückgesetzt werden. Der Hersteller geht im FAQ übrigens selbst darauf ein, verkauft solche Dinge aber als "ein Höchstmaß an Sicherheit." Andererseits wird durchaus darauf hingewiesen, dass die hinterlegten Daten extern gesichert werden sollten. PIN-Safe mag viel Werbesprech verwenden, aber es wird nichts Haltloses versprochen.
Viertens: Ein eher akademisches und auch nur potenzielles Problemchen für Zwischendurch: Patentiertes Verfahren klingt bestimmt supi, aber bei Verschlüsselungen gibt es etablierte Standardverfahren, die in der Security-Community wesentlich lieber gesehen werden. Eigene Verfahren können super sicher sein, aber man weiß es halt nicht genau.
Fünftens: Es gibt Alternativen, die genauso sicher sind. Zugegeben, der Faktor des doppelten Besitzes (Handy + Karte) ist hübsch. Aber: Wichtig ist eigentlich nur das 2-Faktor-System mit Wissen + Besitz. Ich für meinen Teil habe einen Passwort-Safe schlicht als App auf dem Smartphone. Neben einem Passwort kann man hier noch ein so genanntes Token festlegen, eine Datei, die neben dem Passwort angegeben werden muss. Das könnte zum Beispiel eines der 2.000 Bilder auf Eurem Smartphone sein.
Ein Angreifer müsste also: Mein Smartphone besitzen, es entsperren können, die Token-Datei kennen und auch noch das Passwort wissen. Die Verschlüsselung basiert ebenfalls auf AES, darf also ebenfalls als sicher angenommen werden. Der größte Vorteil: Der Safe selbst ist nur eine einzelne Datei im Format des etablierten Open-Source-Passwort-Safes KeePass. Und diese Datei könnt Ihr einfach backuppen, auf anderen Smartphones nutzen oder auch auf Laptops und Desktop-Rechnern - unter Windows, Linux, OS X und etlichen weiteren Systemen.
Habe ich erwähnt, dass KeePass für alle Plattformen kostenlos ist? Open Source steht für mehr Sicherheit, offene Standards, breite Verwendungsmöglichkeiten und natürlich das Fehlen jeglicher Lizenzgebühren. Und im Falle von KeePass gibt es zudem noch massig weiterer Funktionen, vom automatischen Füllen von Formularen, über Passwortgenerierung, bis hin zu detaillierten Sicherheitseinstellungen und Dutzenden Erweiterungen von Dritten.
Ja, aber ...
Also nochmal in Kürze: Geht man von einer korrekten Implementierung aus, darf man PIN-Safe definitiv als sicher vor Dritten bezeichnen. Aber es hapert an Funktionalität, an Nutzerfreundlichkeit, an Redundanz, an Plattformunabhängigkeit (!), Quelloffenheit und Wiederherstellbarkeit - und dafür kostet es dann noch 20 Euro.
Aber: Wenn Ihr Eure Passwörter tatsächlich nicht Eurem Smartphone anvertrauen wollt und auch nicht der Cloud, dann könnte so eine Karte als eine Art Top-Passwörter-offline-für-unterwegs durchgehen. Nun, genauso gut könntet Ihr natürlich einen USB-Stick, eine SD-Karte oder sonst einen Speicher nutzen, um Euren KeePass-Safe darauf zu speichern und per Smartphone darauf zugreifen - ist billiger, vielseitiger und tendenziell genauso sicher.
Mal als Beispiel-Setup: Ihr habt KeePass auf dem Desktop und zum Beispiel KeePassX auf dem Android-Smartphone. Die Safe-Datei liegt auf einem USB-Schlüsselanhänger, das Token irgendwo auf dem Smartphone und das Passwort in Eurem Kopf. Ihr braucht also wie bei PIN-Safe zweimal Besitz (USB-Schlüsselanhänger und Smartphone) und einmal Wissen (Passwort) - und zusätzlich noch die Token-Datei (was nochmal Besitz UND Wissen bedeutet). Smartphone weg? Und Schlüsselanhänger auch? Kein Problem, dasselbe Token und dieselbe Safe-Datei könnt Ihr daheim, auf einem weiteren USB-Datenträger, in der Cloud oder sonstwo ablegen.
Schlusswort
So ein PIN-Safe-Offline-Speicher ist besser als merkbare Passwörter in der Form "passwort" und "123456" - und wenn Ihr die Daten (also die Logins) irgendwo sonst backuppt und im Zweifel bereit seid, alle Daten bei Handyverlust neu einzugeben, 20 Euro auszugeben und dem Hersteller zu vertrauen ... Viele Wenns, aber dann: Warum nicht? Ich gebe Euch aber Brief und Siegel, das sich niemand mit Ahnung von IT und IT-Security darauf einlassen wird.
Und wenn Ihr unbedingt PIN-Safe nutzen wollt: Legt um Himmels Willen Backups an und nutzt die Karte auf keinen, gar keinen, überhaupt gar keinen - man kann es echt nicht oft genug sagen -, Fall als einzigen Passwort-Safe. Das. Geht. In. Die. Hose.
Zum Anbieter: Die PIN-Safe GmbH gibt es übrigens erst seit Mai 2019 - und teilt sich Adresse und Personal mit der NFC21 GmbH, die es bereits seit 2012 gibt. Die PIN-Safe muss aufgrund des jungen Alters noch nicht im Bundesanzeiger auftauchen. Die NFC21 ist dort auch nicht zu finden, was nur bei Kleinst-GmbHs sein darf. Auch solche Infos können hilfreich sein, wenn es darum geht, jemandem die Sicherheit von und den Zugriff auf die wichtigsten persönlichen Daten anzuvertrauen.
Mehr zum Thema Security.
Hallo Mirco, kennst du „Secret!“ bzw. „Secret!-Desktop“von Linke SOFT GmbH? Ist das empfehlenswert?
Ich habe es mir gerade mal angeguckt und auch hier ein ganz klares: Nein!
Erstens: Nicht Open Source, daher auch nicht möglich zu sagen, ob es sicher ist. Zweitens: Es kann im Grunde genommen so gut wie gar nichts. Drittens: Es gibt Keepass.
Ob eine Software sicher ist, kann nur ein Security Audit wirklich vernünftig beantworten. Bei quelloffener Software kann das über die Community laufen, aber auch über Security-Firmen, Universitäten oder einzelne Forscher. Und bei relevanten, verbreiteten Produkten geschieht das auch mehr oder weniger explizit. Ohne den Quellcode müsste der Hersteller solch ein Audit in Auftrag geben und den Auditoren den Quellcode zur Verfügung stellen. Das ist teuer, aufwändig und führt unter Umständen nicht zum gewünschten Ergebnis – von daher gibt es so etwas für so kleine Tools wie Secret tendenziell nie.
Der Hersteller macht auf den ersten kurzen Blick einen seriösen Eindruck, GmbH aus Deutschland, langjähriger c’t-Autor. Bei einer Bilanzsumme von gut 31.000 Euro im Jahr 2017 ist aber auch klar: Es handelt sich um eine sehr kleine Firma. Und damit steigt auch das Risiko, dass der Anbieter irgendwann samt seinen Produkten verschwindet.
Der Funktionsumfang ist winzig: Hinter einem Master-Passwort werden hier im Grunde einfach nur simple Texte verschlüsselt gespeichert – keine Felder für URL, Mail, Nutzername, Passwort und so weiter. Oder mal ein konkretes Beispiel: Wenn ich die Sync-Funktion aufrufe, bekomme ich ein halbes Dutzend interner WLAN-Adressen – und den Hinweis, alle ausprobieren zu müssen. Muss ich aber gar nicht: Ohne weitere Arbeiten am Router würde es eh nicht funktionieren …
Und wie gesagt: Es gibt Keepass. Es ist Open Source, gilt als sicher, existiert schon sehr sehr lange, lässt sich in Browser integrieren, bietet extrem viele Funktionen und lässt sich in Form von Ports (abgewandelte Programmversionen) auf so ziemlich jeder Plattform nutzen.
Secret kostet zudem 19 Euro für den Desktop, 9,95 Euro für das Android-Smartphone – und 9 Euro für jeden weiteren Desktop-Nutzer! Mir fällt nicht ein einziger Grund ein, dieses Geld zu investieren.
Danke für die Ausgezeichnete Berichterstattung Mirco, dem ich zu 100% beipflichten kann (bin in der Informationssicherheit tätig). Man liest selten so gute Beiträge! Ich würde mir wünschen das noch viel mehr Leute über dem Telerand sehen und mehr Risiko bewusster werden. Eine Frage sollte man sich noch stellen, wie hoch ist der persönliche Wert, dem wir beimessen von dem was wir sichern wollen. Und letztlich ist alles was irgendwie mit einem Netzwerk wie das Internet verbunden werden kann, „Online“! Um 4 Stellige Ziffernfolge zu merken benötigen wir jetzt die Informationstechnologie, während unsere Eltern noch ganze Telefonnummern merken konnten!? Und wo werden jetzt nochmal die Daten entschlüsselt und in Klartext angezeigt?
Ich halte eine ausschließlich OFFLINE gespeicherte Info,und das ist die PIN-Safe Karte,für einzig sicher. Alle ONLINE „Lösungen“ sind systemischer unsicher und viele verlangen noch ein Abbo.Das wird auf die Dauer teurer. Es wird doch deutlich „bis zu 50 Eintragungen“ gesagt. Wer mehr will kauft mehrere Karten zu einer App. Ich finde Pin-Safe klasse! Sicher und einfach! Deshalb habe ich es erfunden!
Also erstmal vielen Dank, dass Du (soweit ich dass aus einer Mailadresse schließen darf) nicht einfach als Unbekannter dazu kommentierst – das hatten wir nämlich des öfteren. Und dann haben die Hersteller sich auch noch schlecht versteckt …
Was das offline angeht: Sehe ich genauso, absolut, Passwörter gehören offline gespeichert. Oder sagen wir offline und manuell verschlüsselt: Eine offline mit Token, gutem Passwort und AES256-Verschlüsselung gesicherte Passwortdatei darf man meines Wissens getrost als sicher betrachten und kann sie (zusätzlich) online speichern. Offline ist systembedingt sicherer. Und Open Source ist systembedingt sicherer als proprietäre COTS.
Bis zu 50 Eintragungen wird in der Tat konkret gesagt – und im FAQ sogar darauf hingewiesen, dass längere Passwörter mehr Speicher fressen. Aber es gibt doch eine durchaus übliche Variante, um Speicherplatz anzugeben: Byte. Warum nicht eine Angabe in Byte? ;)
Aber wenn ich einfach mal davon ausgehe, dass die meisten Pin-Safe-Nutzer eher keine als eine bessere und quelloffene Lösung einsetzen würden, wünsche ich trotz aller Kritik viel Erfolg!
Oder Safeincloud auf allen Plattformen
Danke für den Vorschlag!
Jedoch: Proprietär, Website ohne Impressum, null Informationen über die Funktionsweise – kann ich ebenfalls nur dringend von abraten.
Und bei PIN-Safe geht es ja gerade darum die Cloud auszuschließen. Bei SafeInCloud scheint zwar, den spärlichen Informationen bei Google Play nach zu urteilen, nur die offline verschlüsselte Datenbank synchronisiert zu werden, aber auch das muss ich raten …
Eine Keepass-Datenbank kann man auch über das Netz synchronisieren, einfach die URL zur kdbx-Datei hinterlegen.
Zitat „Habe ich erwähnt, dass KeePass für alle Plattformen kostenlos ist?“
Was nutzt du denn auf dem iPhone für eine KeePass App? Ich finde nur Apps die Geld kosten?
Wäre schon wenn du mal ein paar Links für iOS, MacOS posten könntest.
VG
Clients findest Du hier auf der Herstellerseite: https://keepass.info/download.html
Was davon wie gut funktioniert weiß ich leider nicht – die Apple-Welt kenne ich nur von außen ;)
Den Screenshots nach sieht das hier zum Beispiel brauchbar aus und scheint recht aktuell: https://apps.apple.com/us/app/id1435127111
Danke! Ja die sind aber fast alle mit In-App Käufe oder Abo. Trotzdem danke!
Jep, da hat Mirco einen guten Treffer gelandet – steckt doch ein kleiner iPhone-Nutzer in ihm ;-)
KeePassium ist auch in der Basis-Version werbe- und trackingfrei und zudem Open Source.
Wichtigstes Extra der Premium-Version die Möglichkeit, mehrere Datenbanken zu öffnen. Ansonsten gibt es funktional ein paar Details, aber nichts wichtiges (meiner Meinung nach). Kurzum: Würde ich KeePass unter iOS nutzen, wäre es meine erste Anlaufstelle.
@Boris . Danke!