Mich würde interessieren, ob Mike und andere Sicherheitsexperten die Software schon auf dem Schirm haben. Ist das Konzept insgesamt gut? Wo liegen die Schwachstellen etc. pp. ?
Die GmbH hat letztes Jahr fast 1 Million Euro an Investorengeld bekommen (u.a. von Mozilla):
„Today, we are proud to announce that these first investors are joined by Mozilla and several business angels, including Dr. Alexander Hach, Dr. Ingo Luge and Thomas Neuerer. They all support the growth of heylogin and believe in our vision.“
Das Konzept klingt vernünftig. Wenn ich die Website richtig verstehe richtet sich das Konzept aber eher an Unternehmen als an Privatleute. Die beschriebenen Mängel von SSO-Lösungen sind real aber eher für Unternehmen relevant. Als Privatperson habe ich ja eher nicht das SSO-Problem, mich komfortabel an Unternehmensresourcen anmelden zu müssen.
Webauthn ist das Konzept, das für Privatpersonen interessant wäre. Das wird auf der Site als „kommt irgendwann“ abgetan. Das Secure Element des Smartphones, das von Heylogin verwendet wird, kann aber — neben einem Fido/Yubi — auch bei Webauthn genutzt werden. Da unterscheidet sich die Sicherheit nicht.
Nachtrag
Ich habe mal die App installiert. Die fragt eine E-Mail-Adresse ab, vermutlich für die versprochene Synchronisation. Das lassen wir mal bleiben.
Für mich ist das nichts.
Meine Daten liegen wieder auf einem fremden Server, das Ganze scheint noch unausgereift (siehe Playstore Reviews) und mögliche Risiken kann ich, mangels Sachkenntnis nicht einschätzen.
Solche Lösungen, wo Unmengen vertrauliche Daten zentral gespeichert sind, locken natürlich auch Kriminelle an (siehe Lastpass).
Da bleibe ich lieber bei bewährten Lösungen wie KeepassXC und entscheide selber wie und wo meine Daten gespeichert werden.
