Was ist das Besondere am MobileSitter im Vergleich zu anderer Software zur Passwortverwaltung?
Selbst wenn bei anderen Programmen behauptet wird, dass sie starke Kryptoverfahren einsetzen und dies auch tun, so
sind sie dennoch nicht resistent gegen sogenannte Wörterbuchangriffe, welche in der Praxis den größten Teil von
Angriffen auf Passwortspeicher ausmachen. Im Vergleich dazu bietet Ihnen der MobileSitter die Möglichkeit, Ihre
geheimen Zugangsdaten resistent gegen Wörterbuchangriffe zu verwalten.
Warum verhält sich MobileSitter anders?
MobileSitter ist anders als konventionelle Passwortmanager. Für solche Benutzer, die bereits konventionelle
Produkte verwendet haben, sind bestimmte Features von MobileSitter überraschend. Lesen Sie in diesem Artikel (PDF) warum
dies für eine bessere Sicherheit im Vergleich zu konventionellen Produkten unbedingt notwendig ist.
Wieviele Geheimnisse muss man sich bei Verwendung des MobileSitters noch merken?
Man muss sich nur noch ein Geheimnis merken – das Master-Passwort.
Auf welchen Geräten läuft MobileSitter?
MobileSitter läuft Android-Smartphones ab Version 4, sowie auf allen Apple iPhone- und iPod-Touch-Geräten mit einer Betriebssystem-Version von 4.3 oder
höher. MobileSitter läuft auch auf dem Apple iPad und iPad2, jedoch derzeit nur in der iPhone-Auflösung mit einem
schwarzem Rand oder vergößert im Pixel-Doubling-Modus. Einen Überblick über die unterstützten Geräte finden sie auf dem MobileSitter-Webseite www.mobilesitter.de
Sicherheit
Warum ist der MobileSitter sicherer als andere Programme zur Passwortverwaltung?
Der MobileSitter verwendet ein besonderes kryptographisches Verfahren. Dieses bietet eine Resistenz gegen
Wörterbuchangriffe und Brute-Force-Angriffe, die zu den am stärksten verbreiteten Klassen von Angriffen auf
verschlüsselnde Passwortspeicher gehören.
Verwendet der MobileSitter standardisierte kryptographische Verfahren, wie bspw. AES?
Ja, der MobileSitter setzt das AES-Verfahren zur Verschlüsselung der hinterlegten Geheimnisse ein. Jedoch wird AES
in einer besonderen Art und Weise verwendet, um die Resistenz gegen Wörterbuch- und Brute-Force-Angriffe zu erreichen.
Kann ein Hacker den MobileSitter mit Hacker-Tools erfolgreich angreifen?
Der MobileSitter wurde derart entwickelt, dass Hacker das Master-Passwort mit heutigen Mitteln nicht in Erfahrung
bringen können. Für einen Hacker sieht es so aus, als wäre jedes eingegebene Master-Passwort korrekt.
Was sieht ein Hacker beim Angriff auf den MobileSitter?
Nach dem Start des MobileSitters kann der Hacker Master-Passwörter eingeben. Anders als bei konventionellen
Passwortmanagern lässt der MobileSitter den Hacker mit jedem beliebigen Master-Passwort herein und zeigt dann
Geheimnisse an, bei denen weder der Hacker noch dessen Werkzeuge entscheiden können, ob es die korrekten sind oder
nicht.
Wie kann ich erkennen, ob ich mich bei der Master-Passworteingabe vertippt habe?
Hierfür wird nach der Anmeldung eine optische Rückmeldung angezeigt. Sieht das angezeigte Symbol oder dessen
Farbkombination anders aus als sonst, dann ist dies ein Indiz dafür, dass man sich bei der Anmeldung beim
MobileSitter vertippt hat.
Kann ein Unberechtigter an meine Geheimkombinationen gelangen, wenn ich vergessen habe, den MobileSitter zu
schließen?
Nein! Nach einer kurzen Zeit, in welcher der Benutzer inaktiv ist, wird der Benutzer automatisch abgemeldet und das
korrekte Master-Passwort muss erneut eingegeben werden.
Können meine hinterlegten Geheimnisse geändert werden, wenn ein falsches Master-Passwort eingegeben wurde?
Ja, das ist aus Sicherheitsgründen sogar notwendig, auch wenn dies paradox erscheinen mag! Das wichtigste Schutzziel
des MobileSitters besteht in der Geheimhaltung der hinterlegten Daten. Wäre eine Änderung der gespeicherten Daten nur
nach Eingabe des korrekten Master-Passworts möglich, dann könnten Hacker diese Eigenschaft als Rückmeldung ausnutzen
und Wörterbuchangriffe durchführen. Wenn sich nach Eingabe eines Master-Passworts keine Daten ändern lassen, wäre dem
Hacker sofort klar, dass er weiter suchen muss.
Kann man beim MobileSitter dennoch die Integrität seiner Daten schützen?
Auch wenn der MobileSitter aus Sicherheitsgründen ungewünschte Modifikationen von gespeicherten Daten nicht direkt
abwehren kann, kann man sich als Benutzer gegen die Auswirkungen modifizierter Daten schützen. Man muss sich hierzu
lediglich als Benutzer von seinem aktuellen Datensatz über die Exportfunktion Backups anlegen, auf welche man
zurückgreift, wenn die Daten unerwünscht modifiziert wurden.
Warum muss ich beim Speichern von Diensten das Endgerät schütteln?
MobileSitter nutzt sog. probabilistische Verschlüsselung. Hierbei werden die Eingabedaten derart verschlüsselt,
dass selbst bei gleichen Eingabedaten und gleichem Master-Passwort das Verschlüsselungsergebnis jedes Mal
unterschiedlich ist. Das Schütteln des Endgeräts dient dem Sammeln der hierfür benötigten Zufallswerte.
Verwaltung von Geheimnissen
Wieviele Geheimkombinationen kann man mit dem MobileSitter verwalten?
Die Anzahl der Geheimkombinationen ist nicht beschränkt.
Welche Informationen kann man mit dem MobileSitter verwalten?
Grundsätzlich kann man Passwörter, PINs und TANs sicher mit dem MobileSitter speichern. Als Variante von TANs
lassen sich auch i-TANs verwalten. Zusätzlich kann man Informationen wie Login-Namen und Statusinformationen zu TANs
abspeichern.
Können die abgespeicherten Geheimkombinationen zwischen dem MobileSitter für Android und iMobileSitter für Apples iOS ausgetauscht werden?
Ja, das ist möglich.
Kann man eine Sicherungskopie der abgespeicherten Geheimnisse anlegen?
Ja. Mittels der Exportfunktion können die abgespeicherten Geheimnisse sowohl als E-Mail verschickt werden als auch
im Dateisystem gesichert werden. Die exportierten Daten sind hierbei mit dem gleichen Verfahren
verschlüsselt wie innerhalb des MobileSitters. Sie können daher, ohne dass weitere Schutzmaßnahmen ergriffen werden
müssen, in Backups abgelegt werden.
Müssen alle Geheimnisse mit dem gleichen Master-Passwort gesichert werden
Das ist nicht zwingend notwendig, in den meisten Anwendungsfällen jedoch ratsam. Grundsätzlich ist es jedoch
möglich, einzelne Geheimnisse oder Gruppen von Geheimnissen mit verschiedenen Master-Passwörtern abzuspeichern. Jedoch
können dann jeweils nur die Geheimnisse entschlüsselt werden, die mit dem zugehörigen Master-Passwort verschlüsselt
wurden.
Warum können beim Importieren bestimmte Dienste nicht ausgewählt werden?
Um versehentliches Überschreiben von Geheimnissen beim Importieren zu vermeiden, können einzelne Dienste dann nicht
ausgewählt werden, wenn Dienste mit gleichem Namen bereits existieren. Löschen Sie zunächst diese existierenden
Dienste, dann ist der Import möglich. Beim Import der gesamten Datensicherung gibt es jedoch die Möglichkeit, alle
existierenden Dienste zu überschreiben.
Installation und Konfiguration
Unterstützt der MobileSitter den Wechsel eines Mobiltelefons?
Der MobileSitter erlaubt es, die auf einem Mobiltelefon gespeicherten Daten sicher zu exportieren und diese auf
einem anderen Gerät zu importieren. Die somit übertragenen Geheimkombinationen lassen sich nur mit dem Master-Passwort
des Benutzers korrekt entschlüsseln.
Kann ich noch an meine Passwörter kommen, wenn ich mein Handy verloren habe?
Kein Problem! Die Software erlaubt das Anlegen von Sicherungskopien. Hierbei sind die Sicherungskopien genau so
verschlüsselt wie die verschlüsselten Daten, auf denen die Software arbeitet.
Ist die Nutzung der MobileSitter-Software zeitlich unbeschränkt?
Ja, nach Kauf des MobileSitters im Playstore von Google kann dieser zeitlich unbeschränkt genutzt werden.
Ist die optische Rückmeldung bei gleichem Master-Passwort für verschiedene Benutzer unterschiedlich?
Ja. Die Berechnung der optischen Rückmeldung ist geräteabhängig. Dies ist notwendig, damit Angreifer keine Listen
erstellen können, welche Master-Passwörter auf welche optischen Rückmeldungen abgebildet werden. Hierdurch würde ein
Angriff erleichtert, sofern der Angreifer das Symbol des Benutzers in Erfahrung bringen könnte. Für Benutzer, die den MobileSitter auf mehrerer Geräten einsetzen, kann die optische Rückmeldung vereinheitlicht
werden (siehe nächste Frage).
Kann ich auf allen meinen Geräten bei Eingabe meines Master-Passworts die gleiche optische Rückmeldung erhalten?
Ja. Standardmäßig wird die optische Rückmeldung geräteabhängig berechnet, so dass auch bei gleichem Master-Passwort
unterschiedliche Symbole angezeigt werden. Hierzu wird vom MobileSitter nach der Installation eine geräteabhänigge
Zeichenkette festgelegt, die in die Berechnung der Rückmeldung eingeht. Sie können diese Zeichenkette derart anpassen,
dass auf allen ihren Geräten die gleiche Zeichenkette verwendet wird. Damit erhalten sie geräteübergreifend für
gleiche Master-Passwörter auch gleiche optische Rückmeldungen. Die Änderung dieser Zeichenkette hat keinen Einfluss
auf die Verschlüsselung der Geheimnisse.
