Warum key.matiq
höchste Sicherheit bietet,
wir aber keine absolute
Sicherheit versprechen
wir aber keine absolute
Sicherheit versprechen
Als Kriterium sollten Sie nicht die absolute Sicherheit (die es ohnehin nicht gibt) nehmen, sondern, ob die Sicherheit erhöht oder verringert wird.
Was die Sicherheit erhöht: Ablegen aller Geheimnisse an möglichst wenigen Orten mit strengem Zugangsschutz.
Was die Sicherheit verringert: Passwort unter die Tastatur kleben, Zettelwirtschaft, Kennworte über das Telefon oder per E-Mail mitteilen, Apps herunterladen und nie mehr updaten, ...
Ein unter Fachleuten unbestrittener Aspekt ist auch, dass Einfachheit die Freundin der Sicherheit ist. Alles, was schwer durchschaubar ist, tendiert zu Fehleranfälligkeit und kann daher auch leicht angegriffen werden.
Deshalb verwenden wir bewährte Standardverschlüsselungsmethoden und weitere Sicherheitsverfahren, die wir nicht selbst programmiert haben, sondern aus bekannten und quelloffenen Programmbibliotheken beziehen.
Wir halten es für wesentlich klüger, wirklich wichtige Geheimnisse stark zu schützen, als alle Daten unterschiedslos zu behandeln.
Deshalb unterscheidet key.matiq bei Geheimnissen zwischen Kerngeheimnissen, die mit dem Hauptkennwort verschlüsselt werden müssen (so dass selbst bei erfolgreichem Hacken der key.matiq-Datenbank die Hacker*in an deren Inhalt nicht herankäme), und Begleitdaten: Die URL, der Anmeldename, Notizen, die angegebene E-Mail-Adresse. (Was "Beiwerk" ist, und was verschlüsselt werden muss, bestimmt aber letztlich die Benutzer*in selbst.)
Diese Unterscheidung ist wichtig, sollten Sie das Hauptkennwort verloren haben. Sie können dann (nach Durchlaufen einer Sicherheitsprozedur) zumindest ein neues Hauptkennwort setzen. Alle verschlüsselten Daten sind zwar nun zunächst verloren. Die unverschlüsselten Daten können aber helfen, den Schaden zu beheben, weil Sie jetzt wissen, welche Dienstleister*innen Sie anschreiben müssen, um neue Kennwörter zu erhalten.
Diese Möglichkeit haben Sie nur mit key.matiq.
Schützen Sie Ihre key.matiq-Box durch die Zwei-Faktor-Authentisierung (2FA)!
Bei key.matiq ist diese nicht so schwer zu handhaben, wie es Ihnen von anderen Anwendungen her vielleicht bekannt ist. Für freigeschaltete Geräte läuft die 2FA völlig im Hintergrund ab. Für die Freischaltung noch nicht registrierter Geräten können Sie zwischen besonders bequemen (aber immer recht sicheren) und besonders sicheren (aber immer noch recht bequemen) Varianten wählen.
Wenn Sie die 2FA einschalten, sind alle bislang für Box-Anmeldungen genutzten Geräte freigeschaltet. Aber Sie können dann gezielt einzelne Geräte sperren.
Somit können Sie bei Verlust eines Geräts dieses über die 2FA sperren, auch wenn Sie zuvor noch die einfache Authentisierung (nur mit dem Hauptkennwort) eingestellt hatten.
Also besondere Option können Sie auch noch die Sperrung von Anmeldungen nach mehrfachen Fehlversuchen wählen. Wenn Sie sich damit zuvor etwas beschäftigen, brauchen Sie auch vor Selbst-Aussperrungen keine Angst zu haben und gewinnen eine zusätzliche starke Sicherheit, dass außer Ihnen selbst niemand in Ihre Box gelangt.
Die 2FA läuft zwar hauptsächlich im Hintergrund ab, so dass Sie möglichst wenig damit belastet werden, aber ihre Funktionsweise ist transparent erklärt, damit Sie immer genau wissen, wann und warum eine Anmeldung möglich ist und wann und warum nicht.
Im Handbuch gibt dafür ein Tutorial und einen Artikel im Referenz-Handbuch. Schließlich wird das Konzept umfassend im Blog in einem Artikel zu 2FA und einem zu Lockouts erläutert.
key.matiq eröffnet auch die Möglichkeit, das Hauptkennwort bei Freund*innen oder Bekannten (notfalls auch beim key.matiq-Support) zu hinterlegen, am besten in Stücke geteilt, so dass niemand allein an das komplette Hauptkennwort herankäme.
Die Vertrauenspersonen bekommen die hinterlegten Hauptkennwort-Teile nicht zu Gesicht. Sie entscheiden jedoch darüber, ob diese Teile an eine Antragsteller*in, die behauptet, die Box-Eigentümer*in zu sein, herausgegeben werden oder nicht. Heimlich kann aber solch eine Herausgabe nicht passieren, da die Prozedur protokolliert wird.
Damit ist es nicht mehr nötig, einen Zettel mit dem Hauptkennwort irgendwo zu verstecken. (Ist dieses Versteck auch noch sicher, wenn der Sohnemann mal alleine zu Hause ist und alle seine Freund*innen einlädt, die dann auch noch ihre anderen Freund*innen mitbringen, die dann die Bude zerlegen?) Die Schaffung der Alternative "Hinterlegung" stärkt also die Sicherheit.
Auch diese Methode finden Sie nur bei key.matiq.
Im Handbuch finden Sie dazu sowohl ein Tutorial als auch einen Artikel im Referenz-Handbuch
Die bedienungsfreundliche Ausgestaltung von Sicherheitsmaßnahmen erhöht die Sicherheit. Das Quälen von Benutzer*innen mit Sicherheitsrichtlinien verringert sie dagegen.
Zum Beispiel ist eine generelle Zwangsabmeldung nach zehn Minuten Inaktivität eine Zumutung: Man sitzt vor dem Computer, es kommt ein Telefonat herein, dauert elf Minuten und man muss sich wieder komplett neu anmelden und in der Web-App an die Stelle gehen, an der man zuvor war.
key.matiq macht es anders: Die Benutzer*in kann selbst festlegen, nach welcher Zeit ohne Eingaben eine Sitzung gesperrt wird. Lediglich die Eingabe des Hauptkennworts ist nötig, um dort weiter zu machen, wo man aufgehört hat. Unabhängig davon kann die Benutzer*in eine (in der Regel längere) Zeitspanne festlegen, nach der bei Inaktivität die Sitzung komplett geschlossen wird.
Damit nun keine Sitzungen, bei denen der Browsertab geschlossen wurde, einfach weiterlaufen, kommunizieren Browser (über ein key.matiq-JavaScript) und Server im Hintergrund miteinander und der Server sperrt die Sitzung automatisch, sollte diese Kommunikation abgebrochen sein.
Außerdem sperren wir die automatische Eingabe des Hauptkennworts durch den Passwortmanager des Browsers (falls dieses dort gespeichert wurde), wenn die Sitzung durch Inaktivität unterbrochen wurde. Wir begegnen damit dem Problem, dass man abgelenkt und unvorhersehbar vom Arbeitsplatz weg gerufen werden kann, so dass dann evtl. andere auf den PC zugreifen könnten. Sie sollten dann aber auch für den Browser ein starkes Hauptpasswort festlegen!
So erreichen wir ein hohes Maß an Sicherheit, ohne die Benutzer*in unnötig zu quälen.
Diese Verbindung von Sicherheit und Bedienungsfreundlichkeit gibt es nur bei key.matiq.
(Weitere Askpekte im Verhältnis von Sicherheit zur Bedienungsfreundlichkeit werden auch im Blog diskutiert.)
Nutzer*innen von key.matiq können eine Angriffsstatistik erhalten (hat jemand versucht, Ihr Kennwort zu erraten, und wie nahe ist sie oder er dabei dem tatsächlichen Kennwort gekommen?) und feststellen, ob jemand anderes in der eigenen Box angemeldet war (nach der Methode des "Haars in der Tür" in Spionagethrillern).
Denn frühzeitig erkannte Schäden lassen sich oft noch gut begrenzen, so dass hier mit geringem Aufwand (das Haar in die Tür klemmen) viel erreicht werden kann. An Stelle des Haars kommt hier ein Sitzungsname ins Spiel, den man kreativ jedes Mal neu vergibt. Man muss ihn sich nicht merken, aber man kann bei der nächsten Anmeldung sehr wohl erkennen, ob der angezeigte Name der letzten Sitzung von einem selbst stammen könnte oder nicht.
Sitzungsnamen werden Sie bei anderen Passwortmanagern vergeblich suchen, es gibt sie nur bei key.matiq.
Im Referenz-Handbuch finden Sie sowohl Kapitel über Statistiken als auch über Sitzungsnamen
Wir denken, dass Vertrauen für die Sicherheit nötig ist. Wir denken auch, dass Online-Dienste durchaus sicher gestaltet werden können und heruntergeladene Apps keineswegs per se sicherer sind.
Wenn Sie ein Programm von einer Hersteller*in kaufen oder dem Internet herunterladen, müssen Sie dieser Hersteller*in auch vertrauen.
In den vertiefenden Artikeln zu diesem Thema zeigen wir auf, dass wir keineswegs von Ihnen ein blindes Vertrauen erwarten, sondern Bedenken durchaus ernst nehmen und z. B. mit dem Komplementverfahren eine Lösung anbieten, die auch Skeptikern erlaubt, key.matiq zu nutzen. Denn man muss auch dem Vertrauen die Chance geben zu wachsen.
Die Unterstützung von Komplementen finden Sie übrigens nur bei key.matiq.
Nächstes Thema: