dschuermann

Zuletzt Online vor 4 Jahren

dschuermann

Mitglied seit 4 Jahren

CEO of heylogin - Passwort-Manager ohne Master-Passwort

Kommentare

  • 6

    Kommentare
    geschrieben
  • 5

    Antworten
    erhalten
  • 3

    Likes
    erhalten
  • 05.10.22
  • 13:00
  • Artikel

Heylogin: Mozilla investiert in Passwort-Manager ohne Master-Passwort

@Islander: Puh, ja, relativ provokant formuliert von dir :) Wir arbeiten tatsächlich an einer Fallback-Lösung, die auch dann funktioniert wenn die heylogin-Infrastruktur nicht verfügbar ist, das ist für nächstes Jahr geplant. Unsere höchste Priorität aktuell ist aber genau diese Infrastruktur so zu betreiben, dass eine hohe Verfügbarkeit garantiert werden kann. Dafür betreiben wir Standby-Server zu denen wir innerhalb von wenigen Minuten (max 30) switchen können. Innerhalb von unter 1 Stunde können wir mit einem Backup zu einem komplett anderen Anbieter umziehen. Mehr dazu in unserem Compliance Whitepaper.

Den zweiten Absatz von dir verstehe ich nicht ganz. Mit welcher Lösung vergleichst du hier heylogin? Nach meiner groben Einschätzung haben von den Menschen die einen herkömmlichen Passwort-Manager einsetzen die wenigsten einen Security Key als 2. Faktor eingestellt.

  • 04.10.22
  • 16:11
  • Artikel

Heylogin: Mozilla investiert in Passwort-Manager ohne Master-Passwort

@bAssI: Ich sehe den Backup-Code selber nur als Zwischenlösung :P Ich möchte aber kurz feststellen, dass es kein nutzergewähltes Passwort sondern ein komplett zufallsgenerierter Code ist :)

Wenn du heylogin.app öffnest, kannst du in der Navigation links einen privaten Account und Organisationen anlegen. Diese sind komplett kryptografisch voneinander getrennt. Ein Admin einer Organisation kann nur Logins dieser Organisation wiederherstellen. Also ja, das ist strikt voneinander getrennt.

Wir konzentrieren uns aktuell darauf, den Dienst so zuverlässig wie möglich umzusetzen, deswegen wird es erst Mal keine self-hosted Variante geben.

  • 04.10.22
  • 15:21
  • Artikel

Heylogin: Mozilla investiert in Passwort-Manager ohne Master-Passwort

@bAssI: Dominik von heylogin hier.

Einen Zettel würde ich nicht mit mir rumtragen, das würde den Sinn des Ganzen aushebeln. Wenn du dir den Backup-Code aufschreibst würde ich den an einem sicheren Ort aufbewahren.

Wenn du jemand bist, der sein Smartphone öfter Mal nicht dabei hat, ist heylogin aktuell wahrscheinlich noch keine gute Lösung für dich. Wir arbeiten aber an einer Unterstützung von Yubikeys als Alternative.

Admins können heylogin-Zugänge wiederherstellen, weil alle Logins innerhalb eine Organisation immer auch mit an sie verschlüsselt sind. Das heißt aber nicht, dass wir als Betreiber die Logins sehen könnten. Alle Logins sind immer Ende-zu-Ende an die dazugehörigen Nutzer verschlüsselt.

  • 04.10.22
  • 15:12
  • Artikel

Heylogin: Mozilla investiert in Passwort-Manager ohne Master-Passwort

@Islander: Dominik von heylogin hier. Kurz zur Erklärung dazu: heylogin nutzt den Sicherheitschip des Smartphones (1. Faktor: Besitz). Dieser Chip ist durch den Mechanismus des Sperrbildschirms hardwareseitig geschützt (2. Faktor: Biometrie oder PIN). Als zusätzliche Maßnahme bei Verlust können Unternehmens-Admins Smartphones sperren.

Herkömmliche Passwort-Manager, wie LastPass oder KeePass, setzen auf ein langes und komplexes Master-Passwort, was regelmäßig eingegeben werden muss. Master-Passwörter als Single Faktor haben leider sehr schlechte Sicherheitseigenschaften: Sie sind nicht hardwareseitig gegen Brute-Force-Angriffe geschützt (Wenn ein Angreifer in den Besitz meines KeePass Vaults kommt, kann er viele Kombinationen automatisch durchprobieren). Gleichzeitig führen Sie zu einer schlechten User Experience.

  • 04.10.22
  • 15:02
  • Artikel
  • +2

Heylogin: Mozilla investiert in Passwort-Manager ohne Master-Passwort

@Rulf: Hi, Dominik von heylogin hier. heylogin ist technisch gesehen ein Passwort-Manager, d.h. wir verschlüsseln alle deine existierenden Passwörter und geben diese automatisch im Hintergrund in deinem Browser auf den verschiedenen Seiten ein. Die Webseitenbetreiber wissen also nicht ein Mal, dass du heylogin einsetzt. Es existiert eine Verknüpfung zwischen der heylogin App auf deinem handy und der Browser-Erweiterung, da wir den Sicherheitschip des Handys nutzen um deine Passwörter Ende-zu-Ende zu verschlüsseln. Die Handy-App gibt somit Logindaten nur nach Bedarf an den Browser frei. Mehr dazu hier: https://www.heylogin.com/de/verschluesselung

  • 04.10.22
  • 14:57
  • Artikel
  • +1

Heylogin: Mozilla investiert in Passwort-Manager ohne Master-Passwort

@ephemunch: Hi, Dominik von heylogin hier. Keepass ist auf jeden Fall eine super Lösung für IT-affine Menschen, die Lust haben ihre Logins manuell zu verwalten und bereit sind sich ein Master-Passwort zu merken. Hab ich selbst jahrelang benutzt. Auch der interne Passwort-Manager im FF ist völlig ausreichend für viele Menschen.
heylogin setzt da an, wo Logindaten zwischen mehreren Browsern und Geräten synchron gehalten werden müssen und Passwörter im Team verwaltet und genutzt werden sollen. Von der UX bieten wir hier etwas mit dem in der täglichen Anwendung auch weniger IT-affine Menschen klarkommen (sollen).

Mehr anzeigen

Entdecke deine Nachbarn