1047744

Apps für Datensicherheit am iPhone

11.04.2011 | 10:01 Uhr |

Wer unterwegs Passwörter und PIN-Codes benötigt, sollte die in sicheren Apps speichern. Wir stellen Lösungen vor, die Ihre Daten nicht an Dritte preisgeben

Schon in der Zeit vor Smartphone und Laptop grassierte eine Unsitte: Vergessliche Zeitgenossen notierten PIN-Codes und andere Daten im Telefonbuch unter einem kreativen Namen à la "Bernd Bank". Als zugehörige Telefonnummer wurde dann die PIN notiert, zusammen mit einer Fantasievorwahl. Konnte ein Dieb das analoge Adressbuch samt EC-Karte ergattern, war es schon vor Jahren ein Leichtes, das Konto des Besitzers leerzuräumen.

Ähnlich dumm ist es heute, die iPhone-App Kontakte für derartige Gedankenstützen zu missbrauchen. Gerät das iPhone in falsche Hände, kann ein Dieb die Daten auch ohne Jailbreak und Co einfach einsehen und die Informationen nutzen.

Sichere Apps

Bereits seit geraumer Zeit gibt es spezielle Apps, die für das sichere Speichern und Verwahren von Passwörtern an iPhone, iPod Touch und iPad geeignet sind. Wir stellen im Folgenden zwei Lösungen vor, 1Password von Agile Web Solutions (7,99 Euro für iPhone/iPod Touch oder iPad bzw. 11,99 Euro für iPhone/iPod Touch und iPad) sowie Password Wallet von Selznick Scientific Software (3,99 Euro für alle drei Geräte). Der Zugang zur App beziehungsweise zur Datei ist mit einem frei wählbaren Passwort verschlüsselt.

1Password ist teurer als Password Wallet, bietet aber auch ein eleganteres Interface, sicher verwahrt sind die Daten in beiden Fällen.

Schutzmechanismen

Beim genannten Hack des Fraunhofer SIT gelang es lediglich, einige der Passwörter sichtbar zu machen, andere blieben verborgen. Apple nutzt für seine eigenen Apps verschiedene Einstellungen, wie und mit welchem Schlüssel Daten in der Keychain-Datei kodiert gespeichert werden. Die Mechanismen stehen auch App-Entwicklern zur Verfügung. Dabei gibt es Merkmale wie "Accessible Always", "Accessible after First Unlock", oder "Accessible only when Unlocked". Sie beziehen sich darauf, wann ein Passwort freigegeben werden soll, das heißt: "Immer" beziehungsweise "wenn die Code-Sperre das erste Mal freigeschaltet wurde" oder "nur bei freigeschalteter Code-Sperre".

Den drei Merkmalen lässt sich noch jeweils ein Attribut zuordnen, "Migratable" oder "Non-migratable". Diese Einstellung bestimmt das Verhalten für den Fall, dass der Anwender ein neues iPhone erworben hat und aus dem Backup seines alten Geräts über iTunes die Einstellungen übernehmen möchte (Migration).

Den Angreifern vom Fraunhofer SIT gelang lediglich das Entschlüsseln von Passwörtern, die mit dem Merkmal "Accessible Always" ausgestattet waren. 1Password etwa speichert das Zugangspasswort mit der sichersten Kombination: "Accessible only when Unlocked" und "Non-migratable". Passwörter, die mit dieser Kombination in der Keychain-Datei gespeichert sind, konnten mit der Attacke nicht sichtbar gemacht werden.

Mehr Aufwand

Neben den genannten Mechanismen kommen natürlich bei beiden Lösungen weitere zum Tragen, über die sich die Unternehmen aus gegebenem Anlass nicht weiter äußern. In beiden Fällen muss der Benutzer allerdings etwas Mehraufwand treiben.

Zunächst ist ein Passwort festzulegen, erst dann hat der Benutzer Zugriff auf die geschützte Datei mit seinen sensiblen Daten. Das Masterpasswort ist sicher zu wählen, es sollten also weder einfache Namen noch Zahlen zum Einsatz kommen, sondern eine komplexe Kombination aus Ziffern und Zeichen. Erst dann sind die sensiblen Daten am iPhone sicher gespeichert und geschützt vor Datenklau durch Dritte.

Mehr Komfort

Beide Lösungen bieten aber auch eine einheitliche Verwaltung auf iOS-Geräten und Macs beziehungsweise PCs. Dazu haben Agile und Selznick Mac- und Windows-Versionen ihrer Lösungen im Angebot, die den Datenabgleich mit den iOS-Lösungen anbieten.

Beide Apps bieten nach heutigem Kenntnisstand eine sichere Aufbewahrung für sensible Daten. Uns gefällt das teurere 1Password wegen des schöneren Interface besser.

0 Kommentare zu diesem Artikel
1047744