Überspringen und zum Hauptinhalt gehen

Warum eine lokale Geräte-PIN besser ist als ein Master-Passwort

|Dashlane
green lock image

Sind komplexe Passwörter die einzige Möglichkeit?

Uns wird immer wieder gesagt, dass ein komplexes und einzigartiges Passwort einem einfachen überlegen ist. Die Komplexität von Passwörtern ist jedoch nur eine Möglichkeit, die Sicherheit zu betrachten. Es gibt Alternativen wie biometrisches Entsperren und Geräte-PINs, die ebenfalls sicher sind. Wenn es jedoch keine Geräteunterstützung für eine biometrische Methode zum Entsperren Ihres Laptops oder Mobiltelefons gibt, könnte eine 6-stellige PIN dann ein starkes Passwort ersetzen?

Lassen Sie uns sehen, was das Passwort eigentlich macht. Websites nutzen Passwörter in der Regel für die Benutzerauthentifizierung, während Passwort-Manager sie für deutlich mehr verwenden:

  • Websites müssen einfach verifizieren, dass ein Benutzer der ist, für den er sich ausgibt. Das geht zum Beispiel mit dem Passwort. Das Passwort ist jedoch nicht die einzige Möglichkeit, um auf das Benutzerkonto zuzugreifen, da man mit der Funktion „Passwort vergessen“ das Passwort einfach per E-Mail-Link zurücksetzen kann.
  • Für Passwort-Manager ist ein „Master-Passwort“ mehr als nur ein durchschnittliches Website-Passwort. Passwort-Manager benötigen einen Schlüssel für den Zugriff auf den Tresor. Das Master-Passwort stellt im Prinzip den Schlüssel zum Ver- und Entschlüsseln der Tresordaten dar. Ohne das Master-Passwort sind die verschlüsselten Daten nicht zugänglich.

Lassen Sie uns in Bezug auf Passwörter den Begriff „nützliche Kontodaten“ vorstellen. Stellen Sie sich diese Daten als die Daten vor, die es für Sie wertvoll machen, ein Online-Konto zu haben. In einem sozialen Netzwerk wären solche wertvollen Daten Ihre Kontakte, Ihre hochgeladenen Beiträge und Bilder usw. Ein weiteres Beispiel ist die Website eines Buchclubs, auf der Sie die Bücher, die Sie lesen, auflisten und Bewertungen hinterlassen können. Durch das Erstellen eines Kontos können Sie „nützliche Kontodaten“ erstellen. In solchen Anwendungsfällen dient Ihr Passwort wie ein Schlüssel zu Ihren Kontodaten. Das Passwort steht zwar in keinem direkten Zusammenhang mit Ihren „nützlichen Kontodaten“, doch es entsperrt Ihr Konto und ermöglicht so Zugriff auf die Daten. Wenn Sie Ihr Passwort vergessen, gibt es in der Regel Möglichkeiten, um es wiederherzustellen, wie z. B. einen Wiederherstellungsvorgang „Passwort vergessen“ (wie bereits erwähnt). Der Punkt ist, dass Sie Ihre Kontodaten nicht verlieren werden.

Passwort-Manager funktionieren anders als reguläre Online-Konten. Die „nützlichen Kontodaten“ eines Passwort-Managers sind alle vertraulichen Daten, die von ihm geschützt werden, wie z. B. Ihre Anmeldedaten für andere Websites. Ein Schlüssel verschlüsselt diese Daten, und dieser Schlüssel ist in der Regel direkt mit Ihrem Master-Passwort verknüpft. Wenn Sie Ihr Master-Passwort vergessen, verlieren Sie in der Regel den Zugriff auf Ihre „nützlichen Kontodaten“, da es keinen anderen Weg gibt, sie zu entschlüsseln. Mit dem Master-Passwort werden die realen Daten (Ihre verschiedenen Passwörter), die im Passwort-Manager gespeichert sind, entsperrt und angezeigt. Wenn Sie Ihr Master-Passwort verlieren, verlieren Sie den Zugriff auf alle geschützten Daten, es sei denn, Sie haben eine Notallmethode eingerichtet (wie einen Kontowiederherstellungsschlüssel).

Sicherheit und Komfort einer lokalen Geräte-PIN

Wenn Sie zum Entsperren von Dashlane auf Ihrem Gerät ein „Master-Passwort“ verwenden, entschlüsselt dieses Passwort im Prinzip Ihre Daten. Jede Person, die Ihre Daten stiehlt, benötigt Ihr Master-Passwort, um die Daten entschlüsseln zu können.

Wenn Sie zum Entsperren von Dashlane eine PIN verwenden, hängt diese nicht direkt mit der Entschlüsselung Ihrer Tresordaten zusammen. Es wird jedoch ein kryptografischer Schlüssel entsperrt, der stark und einzigartig ist und Ihren Tresor entschlüsselt. Außerdem ist der PIN-Code an das lokale Gerät gebunden, das Sie verwenden, und muss auf diesem Gerät eingerichtet werden. Die Eingabe der PIN auf diesem Gerät erfordert zusätzliche Daten, die für den Benutzer unsichtbar sind und nur bei diesem Gerät verfügbar sind. Nur so lässt sich der kryptografische Schlüssel, der Ihren Tresor entschlüsselt, entsperren.

Authentication MethodDoes it decrypt your data?What does it do?What if someone else knows it?
PINNoIt protects a local secret that can decrypt your data.Sie können Ihre PIN nur nutzen, wenn sie auch das Gerät haben, das diese PIN verwendet.
Master PasswordYesIt directly protects your data.They can't do anything with your master password unless they also have your data.

Was ist, wenn jemand meinen Laptop hat? Können sie die lokale PIN durch Brute Force knacken?

Die Parallele zu einem Kombinationsschloss an einem Gepäckstück ist, dass Sie das Gepäck benötigen, um Schlosskombinationen auszutesten. Zwar kann man Hunderte von Kombinationen für Ihr Gepäck testen und schließlich die richtige Kombination finden. Das Gleiche gilt aber nicht für die lokale Geräte-PIN von Dashlane.

Dashlane hat im Web eine lokale Geräte-PIN eingeführt, da es keine einfache Methode gibt, sich bei einem Produkt zu authentifizieren, das Daten ohne ein komplexes Master-Passwort verschlüsselt. Eine lokale Geräte-PIN ist eine gute Lösung, da sich Benutzer damit auf ein leicht zu merkendes Geheimnis verlassen können (etwas, das sie kennen) und dies mit ihrem Gerät kombinieren können (etwas, das sie haben). Darüber hinaus gibt es eine Versuchsbegrenzung, was eine andere Person mit Ihrem Gerät daran hindert, Tausende von Kombinationen auszuprobieren. Dabei endet auch die Parallele zu Ihrem Gepäckschloss, da es einen solchen Mechanismus bei Kombinationsschlössern für Gepäckstücke nicht gibt.

A visual of an equation where Dashlane’s Master-Passwort plus encrypted data equals your data. Underneath that visual is a longer equation where a local PIN plus a device specific to this PIN plus a server attempt limit check plus encrypted data equals your data.

Einstellung von Passwörtern und Master-Passwörtern bei Dashlane

Dashlane steht an der Spitze der passwortlosen Technologien. Passkeys tragen dazu bei, Passwörter für Websites zu eliminieren, und Dashlane verwaltet sie auf allen Plattformen. Mit Funktionen wie der lokalen Geräte-PIN trägt Dashlane außerdem dazu bei, die Verwendung des Master-Passworts einzuschränken, sodass Benutzer ohne die Unannehmlichkeiten und Tücken eines Passworts sicher und bequem auf ihre Konten zugreifen können.

Melden Sie sich an, um Neuigkeiten und Updates zu Dashlane zu erhalten