Passwort-Manager vs. heylogin

Passwortfreies Login-Erlebnis

Für eine passwortfreie Anmeldung konnten Unternehmen ihre SaaS-Lösungen bisher nur mit einem Single Sign-On (SSO) Service wie Okta oder Duo verbinden. Dadurch wird das erforderliche Software-Budget mehr als verdoppelt, gut dokumentiert auf sso.tax. Selbst wenn das Budget vorhanden ist, unterstützen viele Websites keine SSO-Funktionalität. Für Social Media, Behörden, Einkaufsportale und ähnliche Websites bleiben nur Passwort-Manager als Lösung. Herkömmliche Anbieter wie 1Password, LastPass und Dashlane verlangen von den Benutzern ein besonders komplexes Master-Passwort, das regelmäßig eingegeben werden muss. heylogin löst dieses Problem. Obwohl wir technisch gesehen ein Passwort-Manager sind, bieten wir das Login-Erlebnis eines modernen Single Sign-On.

Swipe-to-Login ersetzt Master-Passwort

Bei herkömmlichen Passwort-Managern müssen sich die Benutzer ein Master-Passwort merken und dieses regelmäßig eingeben. Ein Master-Passwort muss komplex sein und geheim gehalten werden, da es das einzige Geheimnis für alle Informationen darstellt. Dies ermöglicht es Angreifern, das Passwort des Benutzers zu erraten, indem sie viele Variationen ausprobieren, was als Offline-Brute-Force-Angriff bezeichnet wird. Zum Schutz vor diesen Angriffen ist ein zweiter Faktor erforderlich.
Herkömmliche Passwort-Manager bieten diesen nur als optionale Funktion an, die selten aktiviert wird, da sie die Nutzung umständlich macht.

heylogin macht ein Master-Passwort überflüssig. Stattdessen nutzen wir den Sicherheitschip, der in modernen Smartphones vorhanden ist, um unser "Swipe to Login" zu ermöglichen. Diese Sicherheitschips schützen Geheimnisse vor unbefugtem Zugriff und Brute-Force-Angriffen. Durch diese Abhängigkeit ist heylogin auch von vornherein 2-Faktor-sicher, da Logins durch das Smartphone (1. Faktor: Besitz) und die Sicherheitsmechanismen auf dem Smartphone (2. Faktor: PIN/Bioemtrie), geschützt sind. heylogin ist nicht nur sicherer, sondern auch einfacher zu bedienen.

Login-Lösungen im Vergleich

Zentrales Zugriffsmanagement
Automatische Synchronisation
2-Faktor-Sicherheit
Passwort-Sharing im Team
Funktioniert mit allen Webseiten
Bestätigung mit dem Smartphone
Geschützt durch Sicherheitschip
Passwortfrei: kein Master-Passwort
Hosting & Entwicklung in Deutschland
Monatliche Kosten für 70 Nutzer
System-Lösung
1
3
Vendor lock-in
Single Sign-On (SSO)
5
~6 € · 70 Nutzer
+ Kosten der Webdienste · ~200% · 70 Nutzer
Kostensteigerung aller Webdienste durch Enterprise-Upgrades. Mehr Details zu den Kosten auf www.sso.tax
Passwort-Manager
2
4
~6 € · 70 Nutzer
420,00 €
~5 € · 70 Nutzer
350,00 €
Zentrales Zugriffsmanagement
Automatische Synchronisation
2-Faktor-Sicherheit
Passwort-Sharing im Team
Funktioniert mit allen Webseiten
Bestätigung mit dem Smartphone
Geschützt durch Sicherheitschip
Passwortfrei: kein Master-Passwort
Hosting & Development in Germany
Monatliche Kosten
~5 € · 70 Nutzer
350,00 €
Passwort-Manager
2
4
~6 € · 70 Nutzer
420,00 €
Single Sign-On
5
~6 € · 70 Nutzer
+ Kosten der Webdienste · ~200% · 70 Nutzer
Kostensteigerung aller Webdienste durch Enterprise-Upgrades Mehr Details zu den Kosten auf www.sso.tax
System-Lösung
1
3
Vendor lock-in
1) System-Lösungen wurden primär für Einzelnutzer und nicht für die Nutzerverwaltung im Unternehmen entwickelt
2) Dashlane und LastPass synchronisieren nur verzögert oder bei Aktualisierung per Button. KeePass muss manuell synchronisiert werden.
3) 2-Faktor-Sicherheit bei System-Lösungen ist entweder nicht vorhanden oder funktioniert nur wenn auch Smartphones des Anbieters genutzt werden
4) Herkömmliche Passwort-Manager sind standardmäßig nur mit einem Master-Passwort (Wissen) geschützt. Faktoren des Besitzes und der Biometrie sind optional und führen zu einer verschlechterten Nutzererfahrung
5) SSO-Lösungen sind nur bei korrekter Konfiguration oder bei Nutzung moderner Lösungen (z.B. Hypr) passwortfrei
*Alle angezeigten Preise zzgl. MwSt.

Vergleich der Sicherheitsarchitekturen

Stark vereinfachte Darstellung der LastPass-Architektur

LastPass Security

Das Master-Passwort ist der eine Faktor bei LastPass, der wirklich für die Ende-zu-Ende Verschlüsselung genutzt wird. Es ist wichtig festzustellen, dass das Master-Passwort vom Nutzer gewählt wird. Damit ist es nicht perfekt zufällig sondern es enstehen Muster durch die menschliche Denkweise.

Key Stretching

Von diesem Master-Passwort wird durch Key Stretching ein Key abgeleitet, der für die Ende-zu-Ende-Verschlüsselung des Vaults genutzt wird. Im Fall von LastPass wird PBKDF2 mit 100,100 Iterationen genutzt. Dieser verschlüsselte Vault wird dann mit der Cloud synchronisiert.

2-Factor Authentication (2FA)

2FA-Mechanismen, die man optional bei LastPass einstellen kann sind ein zusätzlicher Schutz beim Zugriff auf die Cloud-Infrastruktur. 2FA ist nicht Teil der Ende-zu-Ende-Verschlüsselung.

Aus Sicht des Angreifers

Die Angreifer von LastPass haben sich Zugang zur Cloud-Infrastruktur verschafft und haben dabei Schutzmechansimen der LastPass-Mitarbeiter umgangen. Somit konnten die die verschlüsselten Vaults klauen und versuchen diese jetzt zu entschlüsseln.

Warum ist 2FA nutzlos?

Die Angreifer haben es geschafft Zugriff auf den Cloud-Speicher zu erlangen. Wahrscheinlich mussten sie dabei auch 2FA-Mechanismen der LastPass-Mitarbeiter überwinden. Nun, da sie aber alle verschlüsselten Vaults klauen konnten, sind die individuell eingestellten 2FA-Mechanismen der Kunden nutzlos, da die Vaults nun "offline" geknackt werden können.

Offline Brute Force Attack

Der Angreifer kann extrem viele mögliche Master-Passwörter automatisiert durchprobieren. Das einzige was diesen Angriff verlangsamt ist die Key-Stretching-Funktion. Dafür wurden diese Funktionen auch entworfen, aber müssen regelmäßig angepasst werden, da auch die Angreifer immer bessere Hardware besitzen. Leider ist PBKDF2 mit 100,100 Iterationen veraltet. Aktuell werden entweder 600,000 Iterationen empfohlen (OWASP-Empfehlung) oder noch besser Argon2, was seit 2015 von Kryptologen standardisiert wurde. Bei einem 12-stelligen vom Nutzer gewählen (sic!) Master-Passwort geht man im Durchschnitt von 100 USD Kosten für den Angreifer aus es herauszufinden.

Offline Brute Force Attacks des Angreifers
Stark vereinfachte Darstellung der Architektur von heylogin

Die Lösung

1Password hat als Lösung den "Secret Key" als weiteren Faktor neben dem Master-Passwort eingeführt. Sie empfehlen diese zufällige Zeichenkette auszudrucken, da man sie beim Einrichten von neuen Geräten benötigt und sie nicht verloren gehen darf. Das führt natürlich zu einer schlechteren User Experience, schlechterer Nutzerakzeptanz und einem erhöhten Support-Aufkommen.

Kein Master-Passwort

Wir bei heylogin verzichten komplett auf ein vom Nutzer gewähltes Master-Passwort. Stattdessen generieren wir den Key für die Ende-zu-Ende-Verschlüsselung direkt im Sicherheitschip des Smartphones. Dieser Key ist direkt 256 bit sicher, perfekt zufällig und enthält keine menschlichen Muster.

2-Faktor-sichere Ende-zu-Ende-Verschlüsselung

Sicherheitschips in Smartphones müssen bei Nutzung durch den Nutzer entsperrt werden. Das geschieht durch Fingerabdruck, Face Unlock oder PIN. Die Anzahl an falschen Versuchen hierbei ist begrenzt, sodass man z.B. nicht unendlich viele PINs durchprobieren kann. Ein Angreifer muss also nicht nur physisch das Smartphone klauen (1. Faktor), sondern auch den Sicherheitschip mit einem 2. Faktor entsperren. Das alleine ist schon extrem schwer und der Angriff skaliert nicht, da man als Angreifer ziemlich viele Smartphones klauen und knacken müsste.