Home | english  | Impressum | Datenschutz | Sitemap | KIT
Kontakt

KIT Campus Süd
Kollegiengebäude am Kronenplatz (Geb. 05.20)
Kaiserstr. 89
76133 Karlsruhe

   

Newsletter abbonieren
YouTube abonnieren

Externe Veranstaltungen
Dienstag, 08.Jan 2019
HICSS 2018
Sonntag, 24.Feb 2019
USEC 2019
Montag, 08.Apr 2019
SAC 2019

Weitere Veranstaltungen...

KASTEL

Karlsruher IT-Sicherheitsinitiative

Privacy Friendly Passwort Generator App

Der Privacy Friendly Passwort Generator ist eine Android-App mit deren Hilfe Passwörter, aus zuvor gespeicherten Parametern und einem Master-Passwort, generiert werden können.

Die Privacy Friendly Passwort Generator App bietet folgende Feature:

  • Hinzufügen eines Benutzerkontos
    Beginne indem du einen Account zum Privacy Friendly Passwort Generator hinzufügst. Bitte klicke dafür auf den Plus-Button in der unteren, rechten Ecke. Dieser Button öffnet den Dialog.
    Nachdem alle Daten eingegeben wurden, wird das Benutzerkonto über den “Hinzufügen”-Button zu der Liste hinzugefügt.
    In Privacy Friendly Password Generator werden zunächst Parameter für das Passwort gespeichert. Folgende Parameter können gespeichert werden:
    • Kontoname: URL zu einer Webseite oder sonstigem zu dem das Passwort gehört.
    • Benutzername (optional)
    • Zeichensatz: Hier kann ausgewählt werden, welche Zeichen das Passwort enthalten soll. Mindestens eine der folgenden Möglichkeiten muss dabei gewählt werden: Kleinbuchstaben, Großbuchstaben, Zahlen, Sonderzeichen
    • Länge: Die Länge, die das Passwort haben soll. Hier können zwischen 4 und 20 Zeichen gewählt werden.
    • Passwort version (optional): Die Version ermöglicht das Updaten von Passwörtern ohne Änderung des Benutzerkontos oder Master-Passwort. Wird keine Version angegeben, startet diese bei 1. Bei einem Update wird sie automatisch hochgezählt.
  • Generieren von Passwörtern
    Durch Auswählen eines Benutzerkontos aus der Liste können Passworte speziell für dieses Konto generiert werden. Hierfür muss ein Master-Passwort eingegeben werden. Das Master-Passwort ist ein vom Benutzer ausgedachtes Passwort, welches alle anderen Passworte schützt und bei der Generierung verwendet wird. Wie alle anderen Passworte auch, wird es nicht in der App gespeichert. Falls gewünscht, kann es notiert und an einem sicheren Ort verwahrt werden.
    Dieses wird von der App weder gespeichert noch kontrolliert. Die Wahl des Master-Passworts hat einen Einfluss auf das spätere Passwort, dass es in den Generierprozess integriert ist.
    Die App zeigt das generierte Passwort an.
  • Update eines Benutzerkontos
    Durch ein langes Drücken auf ein Benutzerkonto in der Liste öffnet sich der Update-Dialog. Hier können alle oben erklärten Daten geändert werden. Wird nichts geändert, so kann trotzdem gespeichert werden und die Passwort-Version erhöht sich um eins, sodass nach dem Update auch ein anderes Passwort generiert wird.

    Nachdem die neuen Einträge gespeichert wurden, gibt es die Möglichkeit das neue und alte Passwort gleichzeitig anzuzeigen. Dies soll dabei helfen das Passwort auf einer Webseite o.ä. ebenfalls abzuändern. Auch hier wird das Master-Passwort benötigt.

  • Löschen eines Benutzkontos
    Ein Benutzerkonto kann durch eine Wischgeste von rechts nach links aus der Liste gelöscht werden. Die Liste der Benutzerkonten kann in den Einstellungen gelöscht werden.

  • Expertenmodus
    In den Einstellungen wird ein Expertenmodus angeboten. Here können Parameter des PBKDF2-Algorithmus geändert werden. Dabei kann zwischen den drei Hashalgorithmen SHA256, SHA384 und SHA512 gewählt werden. Die Anzahl der Iterationen kann zwischen 1000 und 10000 gesetzt werden. Das Verändern dieser Parameter hat Einfluss auf alle Passworte.

 

Die Privacy Friendly Password Generator App kopiert Passwörter standardmäßig nicht in die Zwischenablage. Für den Generierprozess kann dies aber in den Einstellungen eingeschaltet werden.
Der Inhalt der Zwischenablage kann durch jede App auf dem Gerät eingesehen werden, daher ist hier besondere Vorsicht geboten. Wir empfehlen nach dem Nutzen der Zwischenablage irgendetwas anderes hinein zu kopieren, um das Passwort zu überschreiben.

 

Die Passwörter werden folgendermaßen gesichert:
Das Generieren von Passwörtern basiert auf dem Algorithmus PBKDF2 and dem Hashalgorithmus BCrypt.
Das Master-Passwort dient als Startwert für PBKDF2. Kontoname, Benutzername, Geräte-ID (kann in den Einstellungen eingeschaltet werden) und Version werden zu einer langen Zeichenkette verbunden. Die Zeichenkette fungiert als Salz für ein Hashverfahren, welches eine bestimmte Anzahl von Iterationen lang eindeutige Zeichenketten aus dem Startelement erzeugt. In Privacy Friendly Passwort Generator sind es standardmäßig 1000 solcher Iteration mit dem so genannten SHA256-Algorithmus. Hash-Algorithmus und Iterationen können in den Einstellungen jedoch verändert werden.
Das Ergebnis des PBKDF2-Algorithmus dient als Salz des BCrypt Algorithmus. Dafür wird es zunächst in einer mit BCrypt kompatiblen Version von Base64 kodiert und mit dem Präfix $2a$10$ versehen (dies ist eine Anforderung von BCrypt und die 10 steht für den Rundenwert). Auch hier wird das Master-Passwort als Startwert verwendet.
Da Präfix und Salz Teil des Ergebnisses sind, werden diese nun entfernt.
Anschließend wird ein Zeichensatz aus allen vom User gewünschten Zeichen erstellt. Basierend auf dem Ergebnis der letzten Hash-Iteration werden Zeichen aus dem Zeichensatz deterministisch ausgewählt bis die gewünschte Länge des Passworts erreicht ist.

 

In folgenden Punkten unterscheidet sich die Privacy Friendly Passwort Generator App von anderen, ähnlichen Apps:

  1. Keine Berechtigungen
    Die Privacy Friendly Passwort Generator App benötigt keine Berechtigungen.
  2. Schutz sensitiver Daten
    In der Privacy Friendly Passwort Generator App werden keine Passworte gespeichert. Weder das Master Passwort, noch generierte Passworte werden in der App gespeichert. Zusätzlich ist es nicht möglich Bildschirmfotos von den Passwörtern anzufertigen.
  3. Keine störende Werbung
    Viele andere kostenlose Apps im Google Play Store blenden störende Werbung ein, die unter anderem auch die Akkulaufzeit verkürzt und Datenvolumen verbrauchen kann.

 

App herunterladen

Sie haben verschiedene Möglichkeiten, die App herunterzuladen:

  • Google Play Store (Über Feedback, siehe Kontakt, oder eine positive Bewertung würden wir uns sehr freuen)
  • F-Droid Store - (Der F-Droid Store ist ein Open Source Software Store, durch die Store App können Apps verwaltet und aktualisiert werden.).
  • Sofern Sie sich für die Entwicklung von Apps bzw. den Quellcode interessieren, können Sie diesen bei GitHub einsehen.
  • Veröffentlichung

 

Veröffentlichung

Assistance in Daily Password Generation Tasks: Karola Marky, Peter Mayer, Nina Gerber und Verena Zimmermann. In: 3rd International Workshop on Ubiquitous Personal Assistance, 2018.

Screenshots