Wie sicher sind Passwort-Apps wie z.B. KeepPassDroid usw.?

[DanX]

Hallo,

auf meinem PC und Laptop benutze ich schon lange den opensource Passwortmanager Keepass, was für mich unverzichtbar geworden ist, gerade weil man mittlerweile ja Unmengen von komplizierten Passwörtern hat und in zig Foren, Mailservern usw. angemeldet ist.

Jetzt habe ich mir überlegt, so einen Passwort-Safe auch für mein Smartphone zu benutzen. Es gibt ja so ein pendant zu Keepass und zwar Keepassdroid für Android.

--> Keepassdroid - Google Play Store

Aber nun frage ich mich natürlich, wie sicher das ist, auch dahingehend, ob nicht der Entwickler oder Programmierer dieser App evtl. ein Hintertürchen offen gelassen hat und sämtliche Passwörter auslesen kann/könnte? Ich meine, ich lege dem Passwortsafe ja quasi mein komplettes Internetleben offen...

Gruß, Daniel

 

[jna]

Ja, das ist möglich. Ebenso, wie der Keepass-Autor in den vorkompilierten Programmen, die du "schon lange" benutzt, entsprechenden Code hätte einschmuggeln können, kann das natürlich auch der Autor von Keepassdroid. Du wirst also nicht ohne dieses Vertrauen auskommen.
Etwas mehr Sicherheit bietet https://play.google.com/store/apps/details?id=keepass2android.keepass2android_nonet - die Offline-Variante von Keepass2Android. Die hat nämlich keine Netz-Berechtigung, kann also eventuelle Daten auch nicht verschicken.

 

[MeinNickname]

KeePassDroid hat auch keine Internetberechtigung. Daher sehe ich hier genauso wenig ein Risiko...

 

[DanX]

Danke für eure Hilfe. Ihr habt Recht, absolute Sicherheit gibt es wohl nicht, nur die Minimierung des Risikos. Keepassdroid hat eben die meisten Downloads, von daher denke ich mir, dass es da evtl. (hoffentlich) schon längst heraus gekommen wäre, wenn das unseriös wäre...

 

[DanX]

Hm, macht sich sonst keiner Gedanken darüber, seine Passwörter einem Passworttool anzuvertrauen?

Ich meine, gerade in der Zeit, in der so intensiv über Datensicherheit gesprochen wird, wie nie zuvor...

 

[MeinNickname]

Hmmm, ich habe aktuell gut 300 Einträge in meiner KeePass-Datenbank. Alle Passwörter sind mit dem Zufallsgenerator erstellt worden und haben meist 20 Stellen.

Kennst Du eine Alternative zu einer solchen Datenbank? Wenn Du alles hinterfragst, kannst Du auch KeePass nicht nutzen.

Ich kann versuchen, die maximale Sicherheit zu erreichen, indem ich zusätzlich zum Datenbank-Passwort noch mit einem Keyfile arbeite, aber mehr kann ich nicht tun...

Ein stückweit muss ich dem Programmierer vertrauen. Ich kann ja auch nicht vor einer Autobahnbrücke anhalten und zuerst die Standfestigkeit prüfen, bevor ich drüberfahre...

Die Datenbank wird mit einem anerkannten Verfahren verschlüsselt, die App hat keinen Internetzugriff, was bitte willst Du denn noch zusätzlich?!?

 

[jna]

Dir ist es freigestellt, die Quelltexte durchzuseen, um dann KeePass aus diesen selbst zu kompilieren.

 

[rihntrha]

Wegen den Internet Rechten. Kann eine App ohne Internet Rechte nicht trotzdem eine Website einbinden oder den Browser mit ner URL starten? Hierrüber könnten doch auch Daten verschickt werden.

Wobei ich mich mit keepass und Keepass2Android (beides open source und sehr bekannt) wohler fühle als mit irgendwelchen kommerziellen closed source Passwortmanagern (im zweifel von ner Ami Firma die per Gesetz verpflichtet ist ne Hintertür einzubauen) oder den vielen unbekannten closed source Freeware Passwortmanagern im Playstore.

Und ohne Passwortmanager könnte ich gar nicht mehr. Da wird man ja wahnsinnig und ist nur noch am Zettel wühlen.

cu

 

[jna]

Klar, über eine aufgerufene URL könnten Daten (z.B. als angehängte Parameter) versendet werden - aber zum einen nur in beschränktem Umfang, und zum anderen nicht heimlich.

Zum Rest Full Ack