Ich wollte mal eure Meinung zur Passwort Generator App (Android) des KIT (Karlsruher Institut für Technology) oder Apps, die eine ähnliche Funktionsweise haben, hören. Diese App ist ein Passwortmanager ohne Passwortdatenbank, da die Passwörter jedesmal neu berechnet werden (siehe Privacy Friendly Passwort Generator App).
Ich hatte vor längerer Zeit bei golem.de eine News über die App gelesen und nun in ct 2/2023 wird sie auch nochmal vorgestellt. Ich frage mich welchen Vorteil ich habe, wenn es keine Passwortdatenbank gibt, das Programm aber trotzdem für jedes Konto den Namen, Benutzernamen und die Parameter zur Passwortberechnung speichern muss? Dafür brauche ich doch wieder eine Datenbank, die auch verschlüsselt sein muss.
Und dann kann ich auch gleich einen klassischen Passwortmanager nehmen. Sprich: Wo ist der Vorteil? Oder übersehe ich etwas?
Wie ich das sehe sind diese Daten offen über die App zugänglich, also jeder der sich Zugriff auf dein Handy verschaffen kann, hat die Möglichkeit zu sehen welche Konten Du eingerichtet hast. Nur die Passwörter sind geschützt, weil diese ja bei jedem Aufruf mittels Masterpasswort neu errechnet werden müssen.
Was mache ich am PC? Bliebe ja nur übrig das Passwort mühsam vom Telefon abzutippen.
Auch auf dem Handy ist die einzige Alternative zum Abtippen die Zwischenablage.
Für mich alleine schon aus praktischen Gründen absolut keine Alternative zu KeePassXC.
Bzgl Usability bin ich voll bei @porcupine0815 - hier sehe ich vor allem viele Nachteile, wenn man das Konzept nicht irgendwie schwächen möchte.
Der große Vorteil meinem Verständnis nach ist der, (solange das Gerät nicht kompromitiert ist) dass es keinen Verlust der Vertraulichkeit geben kann.
Das Masterpasswort wird nicht gespeichert, sondern nach einem definierten Schema wird aus den Profilangaben und dem Masterpasswort ein Passwort errechnet. Somit, sollte die Datenbank geklaut oder das Handy verloren gehen ist es fast unmöglich auf Basis der Datenbank das Passwort für einen bestimmten Dienst zu ermitteln.
Die Frage die sich mir stellt, wäre jedoch folgende: Mittlerweile bieten so viele Dienste auch Passwort-Reset-Optionen an, ob die gespeicherten Daten dann für Social-Engineering-Angriffe ausreichen um Zugang zu dem jeweiligen Konto zu erlangen? → vermutlich schon.
Was zu evaluieren wäre und somit eine Möglichkeit wäre, wenn z.B. lediglich basierend auf dem Nutzername (oder eines anderen leicht zu merkenden Merkmals wie die URL) im Zusammenhang mit dem Masterpasswort das Passwort errechnet wird - ist man deutlich besser gegen fehlende und kaputte Backups geschützt als überhaupt möglich ^^
Da die Zukunft aber wahrscheinlich den Passkeys gehört ist das wahrscheinlich ehh egal und nur eine Frage, welche App ich die nächsten 1-3 Jahre noch nutze ^^