KyPass Pro: Nicht genug

Ohne Keepass geht bei mir nichts, leider gibt es derzeit aus meiner Sicht keine endgültig zufriedenstellende iOS-App, mit der ich meine Passwort-Datenbank absolut komfortabel verwenden könnte. KyPass Pro ist kein Desaster wie manch andere App, wird meinen Favoriten PassDrop aber nicht verdrängen.

Keine der KeePass-nutzenden Apps sieht auch nur ordentlich aus, da kann ich KeePass aus der abschreckenden Optik keinen Strick drehen. Die inneren Werte betont KyPass Pro, doch sind diese nur das Übliche. Im Grunde verfügt die App gerade mal über alle Grundfunktionen, um die Datenbank zu verwalten. Das Pro steht etwa vor allem für einen Passwortgenerator, der (pseudo-)zufällige Passwörter in neuen Einträgen erstellt. Das ist eine reichlich karge Rechtfertigung für den Pro-Zusatz. KyPass Pro scheitert für mich allerdings schon an der Dropbox-Synchronisation. Sie funktioniert eigentlich zuverlässig, sofern sie erst einmal eingerichtet wurde. Aber spätestens als mir kein Weg einfiel, innerhalb des Sync-Ordners eine neue Datenbank zu erstellen, war es für mich vorbei. Ohne Umwege über andere Rechner ging es nicht.

Auch fehlt mir immer noch ein gewisses Maß an Vertrauen, denn hin und wieder sind Einträge nicht übernommen worden oder Eingabefelder auf einmal leer gewesen. Reproduzieren konnte ich diese Fehler aber nicht. Dennoch ist für mich gerade wegen der derzeit umständlichen Synchronisation ein Wechsel zu KyPass Pro unwahrscheinlich.

Pillboxie: Digitale Pillendose mit Leck

Wenig bis gar keine Aufmerksamkeit widmete ich der Kategorie Medizin. Nun aber doch, da einige der Tiere im Haushalt ordentlich mit Medikamenten versorgt werden müssen. Um nicht durcheinander zu geraten, beschaffte ich mir eine digitale Pillendose. Pillboxie heißt die App und ist so nützlich wie einfach. Hat aber auch einen Haken.

Vor allem geht es mir darum, die Medikamente für die Tiere unterscheiden zu können. Also habe ich jeden Nager in Pillboxie als Patienten angelegt, das schafft schon einmal Übersicht, da ein gute Auswahl an Bildern für Tabletten, Pillen, Tropfen und andere Verabreichungsarten enthalten sind. Wichtiger ist aber das Notizfeld zum Verwendungszweck und der Dosierung, denn gerade bei den überaus empfindlichen Nagetieren bedeutet eine unbeabsichtigte Überdosierung leider allzu oft das Todesurteil. Pillboxie trennt Patienten, Medikamente und Dosierung übersichtlicher voneinander und macht für mich damit die Verabreichung der richtigen Medikamente an die kleinen Patienten leichter und sicherer. Die zusätzliche Erinnerungsfunktion, die obendrein tatsächlichen Pillendosen nachempfunden ist, funktioniert zuverlässig.

Nun sind Art oder Gattung der Patienten Pillboxie glücklicherweise gleich, sofern es sich dabei um Menschen handelt, darf der Datenschutz aber nicht unter den Tisch fallen. Pillboxie bietet zwar reichlich Einstellungen, um den Zugriff auf die Patienten- und Medikamentendaten sowie die Verabreichungshistorie über die GUI einzuschränken. Eine PIN-Eingabe kann als obligatorisch eingestellt werden, die graphische Oberfläche ist dann auch erst einmal vor unbedarften Zugriffen sicher. Genauso bietet Pillboxie einen Datenexporte an, bei dem sensible Daten ausgespart werden, sofern dies gewünscht ist. Dennoch täuscht dies über wichtige Sicherheitsaspekte hinweg, bei denen es bedauerlicherweise nicht mehr so gut aussieht.

Ein Ausrufezeichen ist hinter der dürftigen Absicherung der Daten auf dem Speicher des iOS-Gerätes selbst zu machen. Alle Daten liegen nicht in verschlüsselter Form auf dem Gerät, sie sind lediglich in einer Datenbank abgelegt, die keinerlei Zugriffsbeschränkungen unterliegt*. Damit erfüllt Pillboxie leider nicht die für professionelle Arbeit nötigen Sicherheitsvorkehrungen zum Schutz personenbezogener Daten. So juristisch sich das anhört, es muss gesagt werden, dass sich nach meinem Kenntnisstand alle Benutzerinnen und Benutzer im Klaren sein müssen, dass sämtliche gespeicherten Daten von Pillboxie auch für Laien mit nur geringem Aufwand zugänglich sein können.

Die App ist ansonsten eine verlockende, aber unter Datenschutzaspekten nicht zu empfehlende Anwendung. Für meine Zwecke ist dies weit weniger problematisch, da ich meinen tierischen Patienten zwar eine Vielzahl an Rechten zugestehe, aber keinen Sinn darin erkenne, ihre medizinischen Daten als hochsensibel einzuschätzen. Bei Menschen ist das tatsächlich mal ganz anders und sollte vor dem Kauf dementsprechend berücksichtigt werden.

* Nach heutigem Stand gilt für Version 2.6: Im Detail ist es eine übersichtliche SQLite-Datenbank, die in keinster Weise zugriffsbeschränkt ist oder anonymisierte oder codierte Datensätze enthält. Gängige Dateimanager für iOS-Geräte und ein SQL-Browser reichen bei direktem Zugriff auf das Gerät völlig aus, um alle Daten lesen, schreiben oder anderweitig verarbeiten zu können.

iKeePass

Es ist kein Geheimnis, ich nutze KeePass, wo es nur geht. Auch unterwegs ergeben sich Situationen, in denen ich auf meine Datenbanken zugreifen muss, weil ich nicht alle Passwörter mit einem nachvollziehbaren System erstellen kann. Hierzu gibt es auf iOS einige Apps, die Zugriff auf KeePass-Datenbanken ermöglichen. Der einfachste Weg ist, die Datenbank in einer Dropbox vorzuhalten, mit der die App dann synchronisiert. iKeePass* ist eine dieser Apps.

Bedauerlicherweise habe ich mit iKeePass mehrere Probleme. Eigentlich hat die App alles, was ich mir für einen reibungslosen Einsatz vorstelle: Dropbox-Synchronisierung, Unterstützung der Datenbankformate von KeePass 1.x und 2.x, einen Passwortgenerator und viele Funktionen mehr.

Die Probleme fangen aber schon beim UI-Design der App an. Wäge ich Zweckdienlichkeit und Optik gegeneinander ab, gewinnt im Zweifel Ersteres. Daher kann ich die angestaubte Optik, die steinzeitliche Elemente der iOS-UI nutzt, verschmerzen. Dass aber auf dem iPhone ein wesentlicher Teil des Bildschirms an eine Seitenleiste verloren wird, ist für mich auf Anhieb unangenehm. Die Usability wird dadurch eingeengt. Generell steuert sich die App durch unzählige Menüs und Untermenüs, wird je nach Aufgabe, die ich erledige, zur Klickorgie. Dabei entstehen gelegentlich störende Glitches in der Suche nach Einträgen.

Wesentlich für meine Enttäuschung ist aber die in meiner Version unzuverlässige Dropbox-Synchronisierung. Mehrere Male war die Integrität der in der Dropbox liegenden Datenbank gestört. Die Datenbank war in dieser Form unbrauchbar geworden. Damit geht mein Vertrauen in diese App völlig verloren. Auch die Hilfe gibt da wenig Anlass, das Vertrauen wiederherzustellen:

You can access and restore previous version of your database using your dropbox web interface. See dropbox faq here: https://www.dropbox.com/help/11/en

Die Sicherung der Daten soll also von einem externen Dienst gewährleistet werden. Das ist mir zu wenig. Denn im Falle der Wiederherstellung alter Backups in der Dropbox verliere ich im Zweifel auch einige Einträge. Doch die Datenbank habe ich ja gerade, um mir deren Inhalte nicht mehr merken zu müssen. Das Zutrauen zu iKeePass‘ ordentlichem Umgang mit meinen Datenbanken ist damit grundlegend gestört.

*Die von mir benutzte Version ist 2.5.3. Das Video ist für eine Testversion von 2.4. Optisch sind beide aber noch vergleichbar.

Passwortsicherheit (5): Here be smaller mathematical dragons.

Wie also berechnet sich die Stärke des eigenen Passworts? Dazu bedarf es basaler Mathematikkenntnisse, denn die Frage lautet schlicht: Wie viele mögliche Kombinationen muss ein Brute-Force-Angriff auf mein Passwort maximal durchspielen, um das Passwort zu knacken? Die Formel zur Berechnung in sprachlicher Form sieht so aus:

Die Länge des Passworts ist dabei ein bekannte Zahl, die Anzahl der Zeichen prinzipiell auch. Dies aber nur, da wir das Passwort ja kennen. Angreifer wissen diese nicht, weshalb sie potenziell mehr Zeichen abfragen müssen. Die möglichen Zeichen lassen sich etwa wie hier gruppieren, sodass vier Gruppen anfallen, die einen Großteil der Passwörter ausmachen: Kleinbuchstaben (26 Zeichen), Großbuchstaben (26 Buchstaben), Zahlen (10 Zeichen) und Sonderzeichen (34 übliche Sonderzeichen*).

Wenn wir nun ein Passwort annehmen, das nur aus Kleinbuchstaben besteht und vier Zeichen lang ist, ergibt das eine Anzahl der möglichen Kombinationen von:

Das klingt doch schon nicht schlecht. Das ist doch jede Menge Holz, oder nicht? Für menschliche Maßstäbe vielleicht, aber es bringt nichts, wenn man keinen Vergleichswert hat. Also nehmen wir mal an, dass Passwort habe eine Länge von zehn Zeichen.

Wesentlich mehr, aber wir können noch immer nicht sagen, wie sicher es genau ist, denn wir haben bisher eine Variable der Attacke nicht berücksichtigt. Das wäre die Geschwindigkeit, mit der ein Angreifer diese Kombinationen durchspielen kann. Dabei sind viele Faktoren zu berücksichtigen, die hier nicht alle genannt werden können. Im oben erwähnten Wikipedia-Artikel wird von 1 Milliarde Versuchen pro Sekunde ausgegangen, wobei dieser Wert von der Rechenleistung eines Standard-PCs ausgeht. Wird beispielsweise über ein Netzwerk, also auch das Internet angegriffen, ist nicht nur die Rechenleistung relevant, auch die Verbindungsgeschwindigkeit ist von Bedeutung. Es ist also situationsabhängig, um aber die Sicherheit eines Passwortes zu illustrieren, gehen wir von 1 Milliarde Versuchen in der Sekunde aus. Wie lange würde es dauern, die beiden Passwörter zu knacken?**

Das kurze Passwort ist unter den gegebenen Voraussetzungen in dem Bruchteil einer Sekunde geknackt, es wäre für Menschen nicht einmal wirklich spürbar, einen Unterschied zwischen der Berechnung der Attacke und ihrem Ergebnis wahrzunehmen. Beim längeren Passwort braucht es schon etwas länger, doch sind 39 Stunden nicht wirklich ein Wert, ab dem man von einem sicheren Passwort sprechen kann.

Ab wann ein Passwort sicher ist, kann deshalb nicht pauschal festgelegt werden. Es hängt davon ab, wie schnell Rechnerleistungen und Verbindungsgeschwindigkeiten sind – die im Laufe der Zeit zunehmen, sodass Passwörter mit der Zeit schwächer werden – und auch die Wichtigkeit der zu schützenden Informationen ist ausschlaggebend. Für den Hausgebrauch nehme ich für meine wichtigsten Daten immer an, dass sie nur wichtig sind, solange ich lebe. Mein Richtwert ist dann eine Passwortstärke, die bei aktuellem technischen Stand etwa die durchschnittle Lebenszeit eines Menschen benötigt, um durch Brute-Force-Angriffe geknackt werden zu können. Aber das muss jeder oder jede mit sich selbst ausmachen, weitere Informationen und Tabellen zur Passwortsicherheit gibt es beispielsweise hier oder auch hier.

Ein Frage ist aber noch offen: Warum ist es wichtiger, ein langes Passwort zu haben als eines, das aus möglichst vielen Zeichen besteht? Das obige Beispiel zeigt deutlich, dass die Länge des Passworts zu exponentiell steigenden Kombinationsmöglichkeiten führt, sodass eine einfache Empfehlung zur Passwortsicherheit, wie dies auch beim hier verlinkten XKCD-Comic der Fall ist, zu langen Passwörtern raten sollte. Die Anzahl der möglichen Zeichen ist nicht irrelevant, aber im Vergleich zu der gewonnenen Sicherheit bei der Verlängerung eines Passworts ist sie schwindend gering.

* Es gibt mehr, aber die gebräuchlichsten werden hiermit abgedeckt. ** Eine Stunde hat 3600 Sekunden.

Passwortsicherheit (1): Passwortverwaltung – One password to rule them all?

Was machen, wenn die Zahl der Passwörter überhandnimmt? Eine einfache Lösung ist es, nicht ständig neue Passwörter anzulegen. Nach einer Zeit neigen die Hirnwindungen dazu, sich zu verzetteln, womit der Weg der Erinnerung kurvenreich wird. Schlimmstenfalls enden die mentalen Verbindungen zu den Passwörtern im Nichts. Das kann es nicht sein, deshalb ist es praktisch, nur eines oder wenige Passwörter zu verwenden. Das mag die einfachste Option sein, für sie spricht ihre Schnelligkeit und Simplizität. Aber es ist die denkbar schlechteste aller Optionen, denn sie ist unsicher. Sehr unsicher. Weiterlesen

Passwörter und Kryptologie

Hin und wieder habe ich an dieser Stelle schon Webapps und Desktop-Software (hier, hier, hier oder hier) angesprochen, die bei mir nahezu täglich zum Einsatz kommen und nicht mehr aus dem Alltag und meiner Organisation wegzudenken sind. Vor allem kam ich auf Anwendungen zur Automatisierung zu sprechen, ich will ab heute nicht nur über diese direkten Helferlein und Lastesel sprechen. Deshalb der Auftakt zu einer mehrteiligen Serie zur Passwortsicherheit. Passwörter brauche ich für eigentlich alle dieser Anwendungen, vor allem die Webapps. Warum aber habe ich Passwörter, die ich nicht kenne, die ich aber jederzeit und überall erstellen kann? Weiterlesen

Des Bürgers Ängste – Zitat der Woche von Hans-Peter Friedrich

Willkommen zur heiteren Wortklauberei mit dem aesthetikargonauten und dem Bundesinnenminister Hans-Peter Friedrich. Der Mann hat ja ohnehin verdient, häufiger erwähnt zu werden, glorreiches Beispiel der Aufklärung, das er ist. Heute haben wir dann ein allererstes Schmankerl aus der Rede auf dem Krisentreffen wegen der Mordserie durch Rechtsextremisten, die anscheinend jahrelang nicht unter Verdacht gerieten.Ich spare mir alle Seitenhiebe auf deutsche Ermittlungsgebaren und ihr zweifelhaftes Fahndungsgebaren und komme gleich zu dem Zitat: Weiterlesen

Epeios‘ Unwissenheit?

Ich frage mich immer noch, ob es sich bei den im von den Landesbehörden eingesetzten Trojanern um Nachlässigkeit oder um Hinterlist handelte, was die zusätzlichen, illegalen Funktionen angeht.

Ich kann es nicht abschätzen. Es ist erschreckend, aber für eine endgültige Bewertung fehlen mir die Informationen. Und diese zu sammeln fällt mir derzeit etwas schwer. Ich will ja, meine Erkältung lässt mich nicht.