Montag, September 14, 2015

Master Password Kritik

http://www.heise.de/forum/heise-Security/News-Kommentare/Master-Password-fuer-Android/Man-muss-es-eben-doch-synchron-halten/posting-5074325/show/

Man muss es eben doch synchron halten.

Doch, muss man, und zwar:
1) Die Schreibweise des Namens.
Mit TLD? Ohne? Nur der Firmenname? Abkürzung?

2) Den Password Counter
Mit jeder Passwortänderung muss der Counter erhöht werden

3) Der Zeichensatz
Bestimmte Seiten haben interessante Vorstellungen, wie ein Passwort aussehen muss, damit es sicher ist (was die Sicherheit natürlich stark reduziert...)

4) Die Einträge selbst.
Wenn ich mich bei einer neuen Seite anmelde, muss ich diese auf allen Geräten eintragen (Punkte 1-3)

Ich sehe nicht so ganz den Vorteil gegenüber eines verschlüsselten Containers. Ein Nachteil wäre eher, dass ein Angreifer nur das MasterPasswort braucht und dann ohne Container vermutlich die meisten Passwörter ermitteln kann.
Nicht so toll irgendwie...

Keine Kommentare: