Widget zur Passwortverwaltung - 10secure

[iLX]

Hallo zusammen!

Nach einigen Monaten als Leser in diesem Forum, schreibe ich nun endlich auch meinen ersten Beitrag

Ich möchte Euch ein kleines Widget zur einfachen Passwortverwaltung vorstellen, welches ich in den letzten Wochen kreiert habe.

10sec.ure. Oder auch direkt online im www.

Mit diesem Widget lässt sich unkompliziert die Hash-Summe eines Kennwortes berechnen. In Kombination mit einem Kennwortzusatz erzeugt man so relativ simpel ein sicheres Passwort.

Schaut es Euch einfach an und probiert es aus. Gespeichert wird übrigens nur da, wo es wirklich sicher ist - in Eurem Kopf!

Auf Eure Meinungen und Verbesserungsvorschläge bin ich gern gespannt!

Schönen Gruß,
iLX

 

[Tekl]

Verstehe nicht ganz wozu das gut ist. Was mache ich mit dem Hash?

 

[iLX]

Der Hash selbst ist Dein (neues) Passwort!
Sobald Du "+c" gedrückt hast, befindet sich der Hash in der Zwischenablage und kann an gewünschter Stelle eingefügt werden.

10sec.ure berechnet aus Deinem einfach zu merkenden Kennwort in Kombination mit der Domain der Webseite, auf welcher Du Dich einloggen möchtest, für jede Webseite ein sicheres, eindeutiges Passwort.

Vorteile dieses Verfahrens:
- Es ist kein spezielles Programm zum Einloggen notwendig (wie z.B. 1Password). Gerade wenn man nicht am eigenen Rechner arbeitet, oder unterwegs über ein Internet-Café im Internet surft ist der Zugriff so wesentlich flexibler.

- Die Verfahren sind offene Hash-Algorithmen, welche lokal an jedem UNIX-Rechner über das Terminal ausführbar sind. Auch im Internet lassen sich auf verschiedenen Webseiten diese Hash-Summen bestimmen (Suche einfach nach "Hash generator").

- Für jedes Login ergibt sich ein eigenes, sicheres Passwort.

- Mit 10secure wird zudem das Passwort nur für kurze Zeit angezeigt. Die eingegeben Passphrase bleibt versteckt. Es wird nichts gespeichert.

 

[Tekl]

Ah, ich verstehe. Merken kann man sich das dann aber auch nicht mehr, man ist also auf seinen Mac oder das Internet angewiesen. Ein iPhone-App wäre da nicht schlecht.

 

[iLX]

Das iPhone-App ist bereits in Arbeit :-D

Ich wollte aber zunächst einmal sehen, wie die Idee ankommt und ob auch Bedarf danach besteht.

Ein großes Hindernis beim iPhone ist momentan das noch fehlende Copy&Paste. Sollte sich das irgendwann einmal ändern, steigt das Potenzial natürlich. Ich denke, niemand hat Lust sich 40 Zeichen zunächst zu notieren und anschließend wieder abzutippen.

Die 10sec.ure Webseite kann man aber auch ohne Probleme mit dem iPhone/iPod Touch aufrufen.

 

[BlockBuster]

ist ganz cool gefällt mir

 

[iLX]

Nach knapp einem Monat Verfügbarkeit und einigen Downloads möchte ich Euch um eine kleine Feedback-Runde bitten!

Benutzt Ihr das Widget? Falls dem so ist, was gefällt Euch und was könnte besser sein? Und falls nicht, warum nicht?

Lasst doch mal etwas gesunde, konstruktive Kritik walten!

Noch was Anderes: Copy&Paste für das iPhone ist auf dem Weg. Der 10secure-App steht nun (zumindest ab Sommer!) nichts mehr im Wege. Besteht Bedarf dafür?

Schönen Gruß.
iLX

 

[iLX]

Hallo!

In den letzten Tagen haben mich einige Anfragen zur Kompatibilität zu SnowLeopard erreicht. Die bisherige 10sec.ure-Version 1.1 funktioniert hier leider nicht mehr korrekt!

Hier könnt Ihr nun die aktuelle Version 1.5 herunterladen, die außer der SL-Kompatibilität auch ein paar weitere neue Features zur Verfügung stellt.

Schaut es Euch einfach mal an!

Schöne Grüße,
iLX

 

["Frank"]

Hört sich cool an, werde es auf jeden Fall ausprobieren. Bin zwar 1Password User und soweit auch zufrieden, deine Herangehensweise hat aber auch etwas für sich. Würde ich 1Password nicht nutzen, würde ich 10secure verwenden! Viel Erfolg wünsche ich dir weiterhin!

 

[Tekl]

1Password bietet ja auch solche Hash-Passwörter

 

[iLX]

@Tekl: Ich habe leider keine Informationen darüber gefunden, welche Algorithmen 1Password zum Generieren der Passwörter verwendet. Bist Du sicher, dass hier Standard-Hash-Verfahren (SHA-1, MD5, RIPEMD o.ä.) zum Einsatz kommen?

1Password bietet in der Tat jede Menge Funktionen, eine schicke GUI, tolle Systemintegration und ist mit diesem Umfang sicherlich auch sein Geld wert. Dennoch sollte man sich auch einmal fragen, ob es wirklich sinnvoll ist, sensible Daten (Passwörter, persönliche Daten, Kreditkartennummern, usw.) gesammelt in einem Programm zu verwalten.
Den Aspekt der tatsächlichen Datensicherheit möchte ich an dieser Stelle einmal komplett vernachlässigen, aber wie komme ich denn OHNE 1Password.app an meine Kennwörter? Ich besitze selbst eine 1Password-Lizenz und war damit lange Zeit auch zufrieden. Nur häuften sich eben auch die Momente, in denen ich an einem fremden Rechner saß und einfach keinen Zugriff auf verschiedene Webseiten erlangen konnte, weil einfach das Passwort nicht zugänglich war.

Mit 10sec.ure verfolge ich einen anderen Ansatz. Gespeichert wird nichts - keine Passwörter, keine Daten. Aber die Möglichkeit besteht, meine Kennwörter unabhängig zu generieren. Per Dashboard-Widget, im Web oder in jedem Terminal per openssl-Befehl.

 

[Tekl]

Wie kann man beim Web-Dienst eigentlich die Passwort-Länge einstellen? 40 Zeichen sind meist oft lang.

1Password hat den Algorithmus von SuperPassGen verwendet. Da diese ihren Algorithmus verändern, sind die Jungs von 1Password sehr unglücklich damit und wollen Digest ganz rausnehmen. Ich habe sie nun gebeten, doch sha-1 oder einen anderen Standard zu verwenden, statt das einfach zu streichen.

Vielleicht sollten noch mehr Leute den Support darauf impfen, dass Digest nicht verschwindet: support @t agilewebsolutions.com

 

[Tekl]

Achja, bezüglich iPhone wäre doch ein Bookmarklet praktischer, falls das im iPhone-Safari funktioniert. Das App-Wechseln ist ja nicht sonderlich flott.

 

[flostere]

Sehr interessant das Ganze. Ich werde es testen und auf jeden Fall auch nutzen. Programmen wie 1Password sind zwar schön aber alles andere als Sicher in meinen Augen. Bin gespannt wie es hier weitergeht!

 

[iLX]

@Tekl: Die Änderung der Passwortlänge ist tatsächlich etwas versteckt
Ein Drehen am Mausrad mit Hover auf der roten Titelzeile oder auf dem generierten Hash variiert die Länge. Ein Klick auf die rote Zeile ändert hier den Hash-Algorithmus. Das steht auch in den Hinweisen zur Nutzung - vielleicht ein Stück zu tief.

Ähnlich funktioniert das übrigens auch im Widget: In der roten Titelzeile einfach auf den Hash-Algorithmus klicken, variiert das Verfahren. Das Mausrad ist für die Länge des Hashs zuständig. Für Touchpad-Nutzer wird es vielleicht ein wenig frickelig. Ich bin aber für Verbesserungsvorschläge offen! Ansonsten veranlasst im aktuellen Widget ein zweites "+c" das Leeren der Zwischenablage.

Die 10sec.ure-Webseite funktioniert mit dem iPhone soweit ganz gut. Ein Bookmarklet zu verwenden ist ein guter Tipp - ich schau mir die Möglichkeiten einmal an. Wenn ich Zeit finde, erstelle ich bei Gelegenheit eine angepasste, schmale mobile-Safari-Version.

Falls Euch die Idee gefällt und der Dienst auf Resonanz stößt, spendiere ich 10sec.ure dazu auch gern eine ordentliche (merkbare) Domain

 

[DubiDuh]

Du willst also, dass ich mein Domain, am besten noch eMail zusammen mit meinem PW bei dir eintippe, damit du das speichern kanns (wer sagt mir, dass du das nicht tust) und spuckst dann ein "Passwort" aus, das durch ein billiges PHP Script generiert wird?

$text = $_POST['passwort'];

saveToDB($text);

$newPW = md5($text);

$laenge = $_POST['pwLaenge'];
$newPW = substr($newPW, 0,$laenge);

echo $newPW;

Sorry, aber irgendwie ist das ein wenig schwammig...

Deine Idee mag zwar gut sein, aber ich fühle mich dabei nicht sicher, mir wäre es lieber, wenn es eine App wäre, die keine Verbindung ins Netz hat.

 

[iLX]

@DubiDuh: Skepsis ist ohne Frage überall dort angebracht, wo es um persönliche Daten und Passwörter geht. Ein bisschen Paranoia schadet uns da allen nicht Aber ...

10sec.ure basiert auf Javascript - sowohl das Widget als auch die Webseite. Alle Berechnungen und Ein-/Ausgaben werden auf dem Client - deinem Rechner - ausgeführt. Hier wird >nichts< gespeichert und nichts zu einem Server gesendet. Schau Dir den Quelltext einfach im Browser an, analysiere ihn und entscheide dann selbst, ob Du es nutzen willst oder nicht. Zur Not ziehst Du nach dem Laden der Seite oder des Widgets einfach das CAT5-Kabel. Es wird dennoch funktionieren

Dein Pseudo-Quelltext ist eine schöne Idee, hat mit 10sec.ure aber nun gar nichts zu tun.

Die Kombination aus eMail-Adresse bzw. Benutzernamen und Passwort als Passphrase für das Hashverfahren zu verwenden ist natürlich nicht gerade glücklich gewählt und empfehle ich Dir auch nicht. Versuche es doch ein wenig anonymer!

 

[Tekl]

Für alle Extremparanoiker könnte man das Skript zur Installation auf den eigenen Webserver anbieten. Allerdings können auch dann die Eingaben noch irgendwo hin geschickt werden. Das Javascript müsste ja nur eine Url mit Parameter aufrufen und schon stehen die Daten im Serverlog.

 

[flostere]

Also ich bin ziemlich beeindruckt von dem Prinzip. Sicherlich für viele Heimanwender eine aufwändige Angelegenheit. Für Fragile Daten aber sicherlich eine Überlegung wert.
Ich nutze es aber durchaus. Allerdings nicht für jedes Portal oder Webseite. Ich denke das liegt im Ermessen des Users.
Ich befürworte auf jeden Fall eine schöne Domain!!! Beteiligung nicht ausgeschlossen!!!

mfg Flo

 

[iLX]

Update

Die Webseite ist nun unter http://www.10secure.de erreichbar! Ich denke, diese URL dürfte nun etwas leichter zu merken sein

Das ist neu:

iPhone/iPodTouch-Nutzer können unter http://iphone.10secure.de eine speziell angepasste Version abrufen. Der Vorteil dieser WebApp besteht darin, dass die Nutzung auch offline möglich ist! Einmal geladen, befinden sich alle relevanten Dateien im sog. Offline Application Cache des MobileSafari - auch ohne Verbindung zum Internet ist anschließend das Laden und Ausführen von 10secure, am Einfachsten mit Zugriff über ein Lesezeichen (Homescreen), möglich. Passwörter, Hashsummen oder andere Benutzerdaten werden wie immer nicht gesichert.

@Tekl: Zu Gunsten zusätzlicher Einstellungsmöglichkeiten habe ich mich nicht für ein Bookmarklet entschieden. Eine WebApp ist in meinen Augen da sicher etwas komfortabler. Das lästige App-Wechseln entfällt dennoch.


Feedback erwünscht!