cybton.com
Über uns | Jobs | Werbung | Sitemap | AGB | Impressum | Hilfe ?
 Kostenlos anmelden)
wichtigHier wird nichts mehr gelöscht!
Forum
Aktuellste Beiträge
Forenregeln

Community
BB-Codes
Tags
Chat
Suche (Web)
Wer ist online?
Top-User

Basar


Statistik
Mitglieder gesamt: 69662
Mitglieder online: 2
Gäste online: 5
mehr...

Anzeige
Forum » Forum: Das Promotion-Board » Thread: KeyPocket - sicher und nutzerfreundlich - Feedback erwünscht

Thread: KeyPocket - sicher und nutzerfreundlich - Feedback erwünscht

Tags: Login , KeyPocket
Seite 1 von 1331234Letzte »

09.11.2015 14:17 Uhr

 

brott
Administrator
Status: offline
Hey Community!

In aller Kürze: In meiner aktuellen Firma haben wir mit www.keypocket.de einen neuen Passwortmanager entwickelt.
Idee ist ein Passwortmanager, der Sicherheit und Nutzerfreundlichkeit inneinander vereint  :wink: 

Unsere Lösung dafür: Ein Passwortmanager auf dem Smartphone. Alle Passwörter werden rein lokal (stark verschlüsselt) gespeichert. D.h. du trägst deine Passwörter immer mit dir rum und auch wenn der Anbieter gehackt werden sollte, bekommt niemand die Daten.

Damit du dich am Notebook komfortabel auf beliebigen Seiten einloggen kannst, haben wir ein Browser-Plugin gebaut: Für den Login klickst du auf unser Schlüssel-Symbol, bekommst eine Push-Notification, bestätigst am Smartphone, dass du dich wirklich einloggen willst und im Hintergrund wird über ein One-Time-RSA-Verfahren die Zugangsdaten direkt in den Browser übertragen.

Ein Beispiel findest du unter https://www.youtube.com/watch?v=un2CTIrOfuA

Nun geht es darum, Erfahrung zu sammeln, Nutzerfeedback einzuholen und die App zu verbessern. Ich freue mich deshalb auf eure hochgeschätzte Meinungen!

Viele Grüße

Benno
2 mal bearbeitet
___________________________
kive - support it!
keypocket - smart login
14.11.2015 13:00 Uhr

 

Status: offline
Das klingt im Prinzip spannend. Was passiert, wenn der Dienst abgeschaltet wird? Dass Browser-Plugin wird dann nicht mehr funktionieren, das lokale Speichern jedoch schon? Kann man die Passwörter dann exportieren und an anderer Stelle importieren?

Wie ist eigentlich die Übertragung der Passwörter abgesichert?
___________________________
Folgt mir auf Identi.ca/
14.11.2015 18:53 Uhr

 

Status: offline
nujo würde sinn machen wenn man den bouncer in so einem fall selber betreiben kann
___________________________
Bitte vor Accountlöschung cyDOTs bei mir abgeben. Danke und schönen Tag noch.
IRC LEBT! gz @ #CybtonDOTcom im quakenet
14.11.2015 20:10 Uhr

 

brott
Administrator
Status: offline
Hi zusammen,

die Passwörter werden nur in der App gespeichert - d.h. auch wenn irgendwann der KeyPocket-server abgeschaltet wird, sind die Daten natürlich weiterhin vorhanden. Eine zusätzliche Export-Funktion aller Credentials (z. B. zu KeePass, 1password etc.) wird aktuell implementiert und zeitnah released.

Die Übertragung der Passwörter läuft über ein OTP-RSA-Verfahren. Das Browser-Plugin generiert für jeden Login-Vorgang ein eigenes Private-Public-Key-Pair. Der Private-Key bleibt im Browser und verlässt diesen niemals. Der Public-Key wird an das Smartphone übertragen, damit dein Passwort verschlüsselt und über den KeyPocket-Server an das Browser-Plugin übertragen. Weder während der Übertragung, noch wir als Serverbetreiber können das Passwort auslesen: Den passende private-Key kennt ausschließlich der Browser.
Der komplette Prozess ist damit mit einem asymetrischen Verfahren Ende-zu-Ende verschlüsselt.

Was nutzt ihr aktuell für Passwort-Management?

Viele Grüße

Benno
___________________________
kive - support it!
keypocket - smart login
14.11.2015 22:18 Uhr

 

Status: offline
ich nutz keepass aufm smartphone und hab weniger wichtige passwörter in google keep stehen. da mein google account ziemlich paranoid abgeriegelt ist mach ich mir da keine sorgen.

habt ihr in planung den pw container auch außerhalb des smartphones hostbar zu machen? würde den lieber auf meinen homeserver packen. n smartphone kann man mal verlieren ^^

wenns aufm homeserver liegt dann muss auch nix bei euch getunnelt werden (ja ich vertraue verschlüsselung und ich weis dass das für euch praktisch nur datenmüll ist) wenn man selber hostet entfällt allerdings der traffic auf eurer seite

prinzipiell erinnert mich euer verfahren stark an whatsapp :D


PS: 27001 certified. hui
finds traurig dass das bei uns in der firma nur einmal im jahr geprüft wird.. (ISP)
3 mal bearbeitet
___________________________
Bitte vor Accountlöschung cyDOTs bei mir abgeben. Danke und schönen Tag noch.
IRC LEBT! gz @ #CybtonDOTcom im quakenet
15.11.2015 02:07 Uhr

 

pFT
Status: offline
Zitat von brott:
Was nutzt ihr aktuell für Passwort-Management?
KeyPocket für das Cybton-Passwort.. Sonst KeePass und mein Hirn.  :lol: 

Seien wir realistisch: Wenn Hirn, dann meist die Passwort-zurücksetzen-Funktion und Mail.
___________________________
IRC LEBT! Flummi/pFT @ #CybtonDOTcom im quarknet
17.11.2015 15:24 Uhr

 

brott
Administrator
Status: offline
Zitat:
habt ihr in planung den pw container auch außerhalb des smartphones hostbar zu machen? würde den lieber auf meinen homeserver packen. n smartphone kann man mal verlieren ^^

Ja, dieses Feature existiert in den Konzepten, ist bisher leider noch nicht implementiert. Wir merken jedoch die Relevanz davon und werden es definitiv mitnehmen.

Wie bewertet ihr die Usability? Ist das Konzept in Ordnung, dass jede Passworteingabe per Smartphone bestätigt werden muss?
1 mal bearbeitet
___________________________
kive - support it!
keypocket - smart login
17.11.2015 16:47 Uhr

 

Status: offline
nujo ich find man könnte die freigabe schon auf die browser session erweitern so dass man bis zum neustart des browsers zumindest optional keine weiteren bestätigung mit dem smartphone durchführen muss.

in der session ist es immerhin sicherer als permanent zu erlauben.
___________________________
Bitte vor Accountlöschung cyDOTs bei mir abgeben. Danke und schönen Tag noch.
IRC LEBT! gz @ #CybtonDOTcom im quakenet
18.11.2015 06:05 Uhr

 

pFT
Status: offline
Da wäre ich auch dafür.

Jedesmal das Smartphone auspacken, zwei mal einen Code eingeben ist zwar ein schönes Gefühl von Sicherheit, auf Dauer nervt es aber ein wenig.
___________________________
IRC LEBT! Flummi/pFT @ #CybtonDOTcom im quarknet
18.11.2015 11:15 Uhr

 

Status: offline
Zitat von brott:
die Passwörter werden nur in der App gespeichert - d.h. auch wenn irgendwann der KeyPocket-server abgeschaltet wird, sind die Daten natürlich weiterhin vorhanden.
… die Übertragung mittles Browserplugin geht dann aber nicht mehr?

Zitat von brott:
Den passende private-Key kennt ausschließlich der Browser.
Hoffentlich. Es sei denn, euer Server wird kompromittiert und gibt einen Public-Key an den Client, dessen Private-Key er hat. Dann wird der kompromittierte Server ein Man-In-The-Middle.
___________________________
Folgt mir auf Identi.ca/
Seite 1 von 1331234Letzte »
Ähnliche Threads Forum Ähnlichkeitsgrad
 Login bei msn klappt nicht mehr Software & Betriebssysteme 1
 Problem mit einfachem Login System Website & Webprogrammierung 1
 [done] Suche LogIn-System (Cookies oder Sessions) Website & Webprogrammierung 1
 Login mit session und MySQL Website & Webprogrammierung 1
 Saison+Cookie für zwei domains schreiben Website & Webprogrammierung 1
 Hilfe beim Einrichten eines PHP-basierten Community-Systems gesucht!!! Website & Webprogrammierung 1
 login script Website & Webprogrammierung 1
nach obennach oben

Copyright © 2017 cybton-network

Google
Partner: #Musik - Dein Internetradio - nexem. - .wir machen news
ANEXIA - PHP Entwicklung - Web-Entwicklung - Fritz!Box Anrufmonitor für Mac OS - Rolladen, Markisen und Jalousien in Stuttgart - Rolladen in Stuttgart - SMSjobs