Heylogin: Der Passwortmanager, der selbst ohne Passwort auskommt
Normalerweise ist der Clou eines Passwortmanagers, dass man sich statt Dutzender Passwörter nur die für das Gerät und den Passwortmanager merken muss – den Rest erledigt die Software. Der Passwortmanager Heylogin geht noch eine Stufe weiter und verzichtet auch auf das Hauptpasswort. Dabei soll er sicherer und genauso komfortabel sein wie klassische Cloud-Passwortmanager, etwa Lastpass , Dashlane oder Bitwarden (Test) .
Wie das funktioniert, erklärt uns Dominik Schürmann, der Heylogin gemeinsam mit Vincent Breitmoser gegründet hat. Die Sicherheitsforscher sind in der Open-Source-Szene verwurzelt, haben mit Openkeychain die wichtigste OpenPGP-App für Android entwickelt und betreiben den zentralen Keyserver keys.openpgp.org . Außerdem haben sie schon mehrere Sicherheitslücken entdeckt, beispielsweise konnten sie Microsofts Multi-Faktor-Authentifizierung aushebeln . Damit bringen die Heylogin-Gründer einiges an Know-how mit, um einen Passwortmanager zu entwickeln.
Golem.de: Was ist an Ihrem Passwortmanager Heylogin so besonders?
Dominik Schürmann: Wir haben den ersten Passwortmanager entwickelt, der selbst kein Passwort braucht, stattdessen benutzen wir den Sicherheitschip des Smartphones . Um die Unterschiede zu verstehen, muss man sich erstmal anschauen, wie ein herkömmlicher Cloud-Passwortmanager wie Lastpass funktioniert.
Dort brauchen die Nutzer zuallererst ein Passwort. Aus diesem werden üblicherweise zwei Schlüssel abgeleitet: Mit einem Schlüssel melden sich die Nutzer bei der Cloud des jeweiligen Anbieters an, über die der verschlüsselte Passwortcontainer synchronisiert wird. Mit dem zweiten ver- und entschlüsseln sie den Passwortcontainer auf ihrem jeweiligen Endgerät.
Einige Anbieter bieten zusätzlich eine Zwei-Faktor-Authentifizierung an, diese gilt – und das ist vielen Nutzern nicht bewusst – allerdings ausschließlich für die Anmeldung in der Cloud, nicht aber für die Verschlüsselung der Passwortcontainer. Verschafft sich ein Angreifer jedoch über einen Hack der Cloud – wie kürzlich bei Lastpass geschehen – Zugriff auf die Cloud, umgeht er die Zwei-Faktor-Authentifizierung der Anbieter komplett.
Die Sicherheit des Passwortcontainers steht und fällt dann mit der Sicherheit des verwendeten Hauptpasswortes sowie der vom Anbieter verwendeten Schlüsselableitungsfunktion.
Golem.de: Nach dem Hack wurde Lastpass für den Einsatz der Schlüsselableitungsfunktion PBKDF2 statt dem sichereren Argon2 kritisiert – insbesondere konnten bei älteren Konten noch schlechte und damit unsichere Einstellungen gesetzt sein, die offenbar nie aktualisiert wurden und so die Passwörter konkret gefährden. Ähnliches soll auch bei Bitwarden der Fall sein. Hat Heylogin diese Probleme nicht?
Schürmann: Nein, da es bei uns kein Passwort gibt, aus dem ein Schlüssel abgeleitet wird, gibt es bei uns diese Sicherheitsprobleme nicht.
Heylogin generiert auf dem Smartphone einen Schlüssel – ganz ohne Passwort – und verwahrt diesen im Sicherheitschip des Gerätes. Die Ver- und Entschlüsselung des Passwortcontainers übernimmt der Sicherheitschip. Der Zugriff auf diesen ist mit dem Anmeldeverfahren des Smartphones geschützt, also beispielsweise einem biometrischen Fingerabdruck oder der Geräte-PIN.
Dadurch haben wir einerseits zwei Faktoren und andererseits den Schutz des Sicherheitschips, der die Eingabe der Fingerabdrücke oder PIN limitiert – also nach mehreren Fehlversuchen erst nach einem immer länger werdenden Zeitraum wieder einen Versuch zulässt.
"Ein Passwortmanager-Schutz mit Passkeys ergibt keinen Sinn"
Golem.de: Kann der Passwortmanager nur am Smartphone genutzt werden?
Schürmann: Heylogin kann über Addons auch in den gängigen Browsern auf dem Desktop genutzt werden – also Chrome, Edge, Safari oder Firefox. Hier müssen die Nutzer bei der Einrichtung einen QR-Code mit ihrem Smartphone scannen, über den eine Ende-zu-Ende-verschlüsselte Verbindung zwischen dem Smartphone und dem Browser auf dem Desktop hergestellt wird. Dies ist nur für ein initiales Pairing nötig und muss nur ein Mal durchgeführt werden.
Geben die Nutzer nun ihren Schlüssel auf dem Smartphone mit dem bereits erwähnten biometrischen oder PIN-Schutz des Smartphones frei, kann der Passwortmanager auch im Desktop genutzt werden. Die Freigabe gilt für einen Tag, kann aber jederzeit auch im Browser oder in der Heylogin-App auf dem Smartphone widerrufen werden.
Golem.de: Wenn ich mein Smartphone verliere, komme ich nicht mehr an meine Passwörter?
Schürmann: Unser Produkt richtet sich primär an Firmen, die das System firmenweit mit einer Adminkonsole ausrollen. In diesem Fall lassen sich die Passwortcontainer nicht nur mit dem Schlüssel des jeweiligen Nutzers, sondern auch mit dem Schlüssel der Administratoren öffnen – die auch im Sicherheitschip auf den Smartphones der Administratoren gespeichert sind.
Geht ein Smartphone verloren oder wird anderweitig ersetzt, können die Administratoren den alten Schlüssel zurückziehen und einen neuen aktivieren. Wie bei einer zentralen Passwortverwaltung üblich, sind die Admins deswegen ein weiterer Endpunkt der Ende-zu-Ende-Verschlüsselung der einzelnen Nutzer.
Was im Unternehmenskontext ein Feature ist, kommt für Privatanwender eher nicht infrage. Deshalb bieten wir unseren Passwortmanager auch ohne zentrale Verwaltung an. Damit auch Privatnutzer beim Verlust des Smartphones wieder an ihre Passwörter kommen, können sie ein zweites Gerät hinterlegen. Das kann beispielsweise ein Fido2-Stick sein.
Fido2-Sticks unterstützen wir generell als Alternative zum Smartphone. Diese Sticks lassen sich analog zum Sicherheitschip im Smartphone per PIN oder Biometrie schützen , deren Versuche ebenfalls limitiert werden. Im Fido2-Standard ist definiert, dass ein Stick nach acht falschen Versuchen blockiert.
Golem.de: Apropos Fido2-Sticks: Unterstützt Heylogin auch Passkeys statt Passwörter?
Schürmann: Es ist wichtig zu verstehen, dass es nach meiner Meinung keinen Sinn ergibt, Passkeys als Schutz für einen Passwortcontainer zu nutzen, da man diese Passkeys dann auf einem anderen Weg zwischen Geräten synchronisieren muss. Hierbei würde man dann auf Apple Keychain oder den Google-Passwortmanager zurückgreifen, der wiederum am Apple- oder Google-Account hängt. Da beißt sich die Katze in den Schwanz.
Andersrum können wir uns aber vorstellen, das Speichern von Passkeys im Passwortcontainer zu implementieren, um die Passkeys mit Heylogin zwischen Geräten zu synchronisieren. Im Moment kann man sich mit Passkeys leider nur bei sehr wenigen Diensten anmelden und auch nicht zuverlässig auf allen Systemen.
Golem.de: Wie hinterlegen Nutzer ihre Passwörter?
Schürmann: Im Browser bieten wir, wie bei anderen Passwortmanagern üblich, beim Log-in das Generieren und Speichern von Passwörtern an. Was uns jedoch besonders macht: Wir überlagern die Log-in-Bereiche der Webseiten mit einem Heylogin-Overlay. Um sich einzuloggen, reicht es, auf das Overlay zu klicken. Das fühlt sich für die Endanwender schon fast nach passwortlosem Anmelden an.
Das funktioniert auch mit TOTP-Codes zur Zwei-Faktor-Authentifizierung , die ebenfalls im Passwortmanager hinterlegt werden können und mit einem Klick von Heylogin gemeinsam mit Nutzername und Passwort ausgefüllt werden.
Golem.de: Viele Entwickler setzen Tracker in ihren Apps ein – darunter auch der Passwortmanager Lastpass . In Heylogin konnte ich keine Tracker finden. Ist das Absicht?
Schürmann: Ja, definitiv. Wir kommen ja aus der Open-Source- und Hacker-Szene. Da kamen für uns Tracker in einem Passwortmanager nicht infrage.
Beispielsweise verwenden wir selbst auf Heylogin.com(öffnet im neuen Fenster) , unserer Marketingseite, keine Cookie-Banner, weil wir kein Google Analytics, Facebook Pixel oder Ähnliches einsetzen, sondern nur aggregierte Daten von Nutzern auswerten. Wir wählen die externen Dienste sehr genau aus und haben unsere Infrastruktur klar getrennt.
So gibt es bei der Anwendung – Heylogin.app – grundsätzlich keine externen Skripte. Davon getrennt betreiben wir das Payment und die Marketingseite jeweils unter eigenen Domains – so ist alles strikt voneinander getrennt.
Golem.de: Sie kommen aus der Open-Source-Community, Apps wie Openkeychain gibt es auch im alternativen Appstore F-Droid. Heylogin ist jedoch nur in Apples und Googles Appstores zu finden. Ist die App nicht Open Source?
Schürmann: Tatsächlich ist unsere App bisher nicht Open Source. Wir planen ein Open-Core-Modell, bei dem wir einen Client als Open Source veröffentlichen wollen, damit man sich auch den Code ansehen kann. Das wird wahrscheinlich die Kommandozeilenanwendung sein.
Den Quellcode der Apps für iOS und Android wollen wir aus wirtschaftlichen Gründen erstmal nicht veröffentlichen.
Golem.de: Was kostet Heylogin?
Schürmann: Für die private Nutzung ist Heylogin kostenlos. Für Unternehmen kostet Heylogin bei jährlicher Zahlung 3,99 € pro Nutzer pro Monat. Bei größeren Unternehmen gibt es natürlich Mengenrabatt auf Nachfrage. Derzeit nutzen rund 1.100 Unternehmen auf der ganzen Welt Heylogin.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.