Überspringen und zum Hauptinhalt gehen

Was Sie über die patentierte Sicherheitsarchitektur von Dashlane wissen sollten

|W. Perry Wortman

Sicherheit stand für unser Entwicklungsteam bei Dashlane schon immer stark im Fokus. Als führender Passwort-Manager ist Dashlane für die Sicherheit der Daten von Millionen von Benutzern verantwortlich. Um die Daten unserer Benutzer zu schützen, berücksichtigen wir Sicherheit in jeder Phase unserer Softwareentwicklung: u. a. beim Design unserer Architektur, beim Programmieren und bei der Überprüfung von Code, bei Tests und Sicherheitsprüfungen. Sicherheit spielt auch bei unseren Produktspezifikationen, bei der Gestaltung, Kommunikation und Dokumentation eine wichtige Rolle.

Wie wir unsere Sicherheitsarchitektur entworfen haben

Als wir mit der Entwicklung des Dashlane Passwort-Managers begannen, mussten wir festlegen, wie die Daten unserer Benutzer geschützt werden sollten. Wir haben zunächst alle Kriterien aufgeführt, die ein gutes Sicherheitsmodell ausmachen. Hier sind unsere drei wichtigsten Kriterien:

  1. Einfach: Ein wesentlicher Aspekt jeder Sicherheitsarchitektur ist ihre Einfachheit. Eine einfache Sicherheitsarchitektur ist sowohl für Entwicklerinnen als auch für Sicherheitsforscher einfacher zu überprüfen. Außerdem ist sie global leichter zu verstehen, sodass Entwickler sie problemlos anpassen können.
  2. Vertrauen Sie niemandem: Wir glauben, dass eine gute Sicherheitsarchitektur niemals einem Server, Code oder Benutzer vertrauen sollte, mit dem sie interagiert – nicht einmal den Servern von Dashlane. Selbst wenn wir alles tun, um die Sicherheit unserer Server zu gewährleisten, gehen wir immer davon aus, dass unsere Server jederzeit zum nächsten Ziel von Cyberkriminellen werden könnten. Unsere Entscheidungen bezüglich der Architektur müssen sicherstellen, dass ein solches Ereignis, so unwahrscheinlich es auch sein mag, unser Sicherheitsmodell nicht verletzt.
  3. Widerstandsfähig gegen gängige und bekannte Angriffe: Sicherheitsverletzungen passieren täglich. Ein gutes Sicherheitsmodell ist naturgemäß resistent gegen gängige Angriffe und Sicherheitsverletzungen wie Diebstahl und Leaken von Benutzernamen und Passwort-Hashes. Des Weiteren ermöglicht das unkomplizierte Sicherheitsmodell dem erstklassigen Sicherheitsteam von Dashlane eine einfache und kontinuierliche Überwachung der Angriffe und Schwachstellen. Auf diese Weise kann das Team sicherstellen, dass die Architektur von Dashlane vor neuen Sicherheitsverletzungen geschützt ist.

Von ersten Tag an haben wir unser Sicherheitsmodell so konzipiert, dass es alle diese Kriterien erfüllt oder übertrifft. Im März 2012 haben wir beim U.S. Patent and Trademark Office (USPTO) ein Sicherheitspatent unter dem Titel „Cloud-basierte Datensicherung und Synchronisierung mit lokalem Speicher und Zugriffsschlüsseln“ eingereicht. Während dieser Zeit waren wir mit dem USPTO im ständigen Kontakt bezüglich der Änderung unserer ursprünglichen Ansprüche und Beschreibung, um sicherzustellen, dass die neuesten und nicht replizierbaren Technologien festgehalten werden. Dies gipfelte in der Vergabe eines Patents im Februar 2016.

Hier ist ein kurzer Überblick über unsere patentierte Technologie, die den Authentifizierungsprozess eines Benutzers vom Verschlüsselungsprozess seiner Daten trennt.

Erfahren Sie mehr darüber, wie Dashlane Sicherheit priorisiert, um Ihre Daten zu schützen.

Verschlüsselungsprozess von Benutzerdaten

Der Algorithmus zum Verschlüsseln von Benutzerdaten ist sehr einfach und verwendet bekannte Standardverfahren. Aus dem Master-Passwort eines Benutzers leiten wir einen Verschlüsselungsschlüssel mit Argon2d ab (Argon2 ist eine hochmoderne Schlüsselableitungsfunktion). Dann verwenden wir AES-256 zur Verschlüsselung von Passwörtern, Zahlungsdaten und privaten Daten eines Benutzers, die in Dashlane gespeichert sind. Alle gespeicherten Daten werden immer in einer nicht entzifferbaren Folge zufälliger Buchstaben, Zahlen und Symbole verschlüsselt, die lokal und auf Dashlane-Servern zu Synchronisierungszwecken gespeichert werden. Zu Ihrem und unserem eigenen Schutz speichern wir Ihr Master-Passwort oder dessen Ableitungen jedoch zu keinem Zeitpunkt auf unseren Servern.

Benutzerauthentifizierungsprozess

Neben der Verschlüsselung von Benutzerdaten ist eine Benutzerauthentifizierung erforderlich. Wenn ich mich beispielsweise zum ersten Mal auf einem neuen Computer bei Dashlane anmelde, muss ich den Dashlane-Servern nachweisen, dass ich Guillaume Maron bin, damit mir die Dashlane-Server meine verschlüsselten Daten zur Verfügung stellen können.

Da viele Cyberangriffe auf Passwort-Hashes von Benutzern abzielen, wollten wir uns bei der Authentifizierung nicht auf Master-Passwort-Hashes von Benutzern verlassen. Wenn sich ein Benutzer zum ersten Mal auf einem neuen Gerät bei Dashlane anmeldet, wird er stattdessen immer dazu aufgefordert, ein Einmalpasswort (OTP) einzugeben, das per E-Mail gesendet wird. Während dieser ersten Verbindung wird ein Benutzergeräteschlüssel generiert und an die Dashlane-Server gesendet, um eine vertrauenswürdige Authentifizierungsverbindung herzustellen. Um auf die Daten eines Benutzers zuzugreifen, müsste ein Angreifer daher das Master-Passwort des Benutzers besitzen und auch Zugriff auf eines seiner Geräte oder auf seine E-Mail-Adresse haben. Dashlane unterstützt auch 2-Faktor-Authentifizierung anstelle des OTP per E-Mail.


Seit diesem ersten Patent haben wir die Sicherheit von Dashlane kontinuierlich innoviert und darin investiert, wobei wir unseren grundlegenden Sicherheitsprinzipien stets treu geblieben sind.

Wenn Sie mehr darüber wissen möchten, lesen Sie unser Sicherheits-Whitepaper oder kontaktieren Sie uns unter security@dashlane.com.

Melden Sie sich an, um Neuigkeiten und Updates zu Dashlane zu erhalten