Passwortmanager des Browsers
Sie sollten key.matiq für die Archivierung von Geheimnissen (mit allen Begleitdaten) nutzen, den Browser jedoch für den täglichen Gebrauch: das Ausfüllen von Anmeldeformularen. Die dafür nötigen Anmeldedaten (Anmeldename und Kennwort) sollten sie im Browser speichern. Damit die Kennworte verschlüsselt gespeichert werden, setzen Sie bitte für den Browser in dessen Einstellungen ein Hauptpasswort.
Die Browser Google Chrome™*, Microsoft Edge®* und Safari* bieten keine Möglichkeit an, ein Hauptpasswort zu setzen. Das gleiche gilt seit der Daylight-Version auch für Mozilla Firefox®* unter Android™* und vermutlich auch unter iOS*.
Mozilla Firefox unter Android nutzt den Android Keystore um die, gespeicherten Kennwörter auch ohne Hauptpasswort zu schützen. Inwieweit andere Browser entsprechende Sicherheitsmaßnahmen treffen, haben wir nicht überprüft.
Safari* sichert unter Mac OS* die Kennwörter im Schlüsselbund. Dieser ist nach Angaben von Apple über das Anmeldekennwort an das Mac OS geschützt.
Android Keystore vs. Hauptpasswort
Der Android Keystore liefert dem Browser eine Möglichkeit, Kennwörter zu ver- und entschlüsseln, ohne dass dabei der Verschlüsselungs-Key offen im Dateisystem liegt. Wenn Sie ein Backup der Android-Dateien auf ihren Desktop-Computer übertragen, sollte es also nicht möglich sein, daraus die gespeicherten Kennwörter zu extrahieren, jedenfalls nicht, solange Sie nicht das Entsperr-Kennwort kennen.
Eine einfache 4-stellige PIN bietet jedoch nur 10.000 Möglichkeiten und ist daher als unsicher zu bewerten. Daher empfehlen wir, stattdessen ein Kennwort (leider ist die Maximallänge auf 16 begrenzt) zu verwenden.
Im Prinzip macht es Sinn, die Verschlüsselungen und Schlüsselaufbewahrung in einem Betriebssystem auf eine Stelle zu konzentrieren, und diese dann sehr sicher zu gestalten. Insofern dürfte der Android Keystore sehr gute Sicherheit gegenüber Angriffen von gewöhnlichen Internet-Kriminellen bieten.
Da beim Firefox unter Android das Masterpasswort sehr wenig genutzt wurde, ist die Entscheidung der Mozilla-Entwickler verständlich, statt der meist unsicheren Abspeicherung von Kennwörtern in Zukunft den Android Keystore zu verwenden.
Allerdings bietet ein Hauptpasswort einen guten, nachvollziehbaren Schutz auch gegenüber geheimdienstlichen Angriffen. Denn die Kennwörter müssen sowieso im Browser eingegeben werden, eine Verschlüsselung mit dem Hauptkennwort hilft also in jedem Fall, ohne neue Angriffsflächen zu bieten.
Die Möglichkeit, dass ein Geheimdienst versucht, Keylogger zu installieren besteht in jedem Fall und bietet bei Erfolg auch bei manueller Eingabe das Risiko, dass Kennwörter abgegriffen werden. Bei Verwendung des Passwortmanagers mit Hauptkennwort ist dieses Risiko sogar etwas geringer, da nur das Hauptkennwort häufig eingegeben wird.
Beim Android Keystore ist dies nicht so einfach. Es ist durchaus möglich, dass Schwachstellen von Geheimdiensten ausgenutzt oder sogar durch direkte Beeinflussung von Software-Entwickler*innen erzeugt werden. Es ist also denkbar, dass ein Geheimdienst über den Android Keystore an Kennwörter herankommt, während die Installation eines Keyloggers ihm verwehrt wird.
Allerdings ist dies bisher eine reine Spekulation. Der Quellcode von Android ist öffentlich. Sollte es Schwachstellen geben, ist damit zu rechnen, dass diese öffentlich diskutiert und behoben werden. Doch dort, wo mit geheimdienstlichen Angriffen, insbesondere von US-amerikanischer Seite, zu rechnen ist, und auch bei Betriebssystemen, deren Code weniger öffentlich als bei Android gehandhabt wird, sollten Alternativen zum Browser-Passwortmanager in Betracht gezogen werden.
In der Diskussion gab es einen Hinweis darauf, dass der Firefox unter iOS ähnlich wie bei Android verfährt.
Alternative zum Browser-Passwortmanager ...
... kann ein lokaler Passwortmanager sein. Wir empfehlen dafür KeePass* oder auch einen in Rezensionen gut bewerteten inoffiziellen Port von KeePass. Wir empfehlen dieses Verfahren für häufig gebrauchte Kennwörter.
Selten gebrauchte Kennwörter sollten Sie in diesem Fall eher direkt aus Ihrer key.matiq-Box in den Browser kopieren. Damit ersparen Sie sich, diese nach einer Änderung auch im lokalen Passwortmanager aktualisieren zu müssen.
Wählen Sie also eine pragmatische Kombination, um den Aufwand zu minimieren!
Das konkrete Haupt- bzw. Masterpasswort ...
... für den Browser bzw. den lokalen Passswortmanager wählen Sie bitte so, wie auch für die anderen erfundenen Kennwörter beschrieben.
Sperren Sie die Anmeldung an Ihrem Gerät, wenn Sie den Arbeitsplatz verlassen!
Also nicht nur die key.matiq-Sitzung. Wenn Sie das nicht jedesmal machen wollen, würde für den Schutz der key.matiq-Daten aber auch reichen:
- Sperren Sie ggf. eine offene key.matiq-Sitzung und
- beenden Sie den Browser und
- benutzen Sie nur einen Browser, der mit einem Hauptpasswort geschützt ist, so dass bei Beendigung auch alle darin gespeicherten Kennwörter geschützt sind.
*) Hinweise zu Marken Dritter:
"Mac OS" und "Safari" sind Marken der Apple Inc., eingetragen in den USA und anderen Ländern und Regionen.
"iOS" ist eine Marke oder registrierte Marke von Cisco in den U. S. und anderen Ländern und wird von der Apple Inc. lizensiert genutzt.
"KeePass" scheint ein Warenzeichen von Dominik Reichl zu sein.
"Google Chrome" ist eine Marke der Google Inc.
"Android" ist eine Marke der Google LLC.
"Microsoft Edge" ist eine eingetragene Marke der Microsoft Corporation in den USA und/oder anderen Ländern.
"Firefox" ist eine eingetragene Marke der Mozilla Foundation.