Über Twitter bekam ich die Anfrage, mir doch mal my1login anzusehen. Was ist my1login?

my1login is your free, online favorites and password manager, providing you with a personal portal to the internet. It can be used to securely store bookmarks for your favourite web sites together with your corresponding login and password details, meaning that wherever you’re accessing the internet from, you’ll only have to remember your my1login to sign-in to all your favourite sites.

Also im Prinzip eine browserbasierte Version von KeePass oder 1Password.

Der Sicherheitsfokus liegt bei my1login auf dem „KEY”, mit dem die Passwörter für die einzelnen Sites verschlüsselt werden und der nichts mit dem Passwort zu tun hat, mit dem man auf die my1login Site selbst zugreift. my1login mein dazu:

Your KEY enables your data to be encrypted within your browser using AES (Advanced Encryption Standard), an encryption standard which is so secure that it has been adopted by the US government to secure classified information.

Nur wissen wir ansonsten nichts zu deren AES Implementierung. Weder ob sie den selbst implementiert haben (was Bruce Schneier Schweissperlen auf die Stirn treibt) oder eine Bibliothek dafür verwenden, noch mit welchen Parameter AES betrieben wird.
Darüber hinaus stellt sich noch die Frage, wie sicher AES Verschlüsselung in einem Browserfenster wirklich ist, auch wenn sie gewisse Maßnahmen gegen Keylogger und Co. setzen. Wer garantiert mir, dass der JS Code von my1login die Keyphrase nicht mitliest und an den Server überträgt oder der Browser nicht irgendiwe „verwanzt” ist?
Warum Javascript Cryptographie prinzipiell keine gute Idee ist, führt auch Javascript Cryptography Considered Harmful sehr schön aus.

Um den Javascriptcode vom Server zum Browser zu bringen, setzt my1login auf SSL/TLS (gut) und Zertifikate von Verisign (weniger gut). Versign a) gehört quasi den USA und b) was repeatedly hacked in 2010.

I personally wouldn’t give a rats ass that an security audit performed by Hewlett Packard’s Information Security teamconfirmed that the my1login service is „robust” and also specifically commented about the high levels of encryption used to provide the service. Solang mit keiner GENAU beschreibt, was sie mit „robust” meinen, greife ich das Ding nicht an. Und nur weil „gute” Verschlüsselungsalgorithmen verwendet werden, bedeutet noch lange nicht, dass das Service auch nur irgendwie „sicher” ist.

Bauchweh bekomme ich ja dann auch, wenn mich dieses Service „automatisch” bei Twitter, Facebook und Co. anmelden kann. Das bedeutet, dass ja, dass my1login genau mitprotokollieren kann, was ich tue.
Darüber hinaus benötigt der Code von my1login dafür ja Zugriff auf mein Passwort, welches ich zuvor mit AES vor Zugriff durch my1login geschützt habe. Das kanns ja nun wirklich nicht sein.

Dazu kommen dann noch Kleinigkeiten wie die Tatsache, dass man ich mit einer RFC konformen E-Mail Adresse wie name+my1logon@gmail.com nicht für den Dienst registrieren kann oder eine Registrierung ohne aktivem JavaScript nicht möglich ist. In meinem Fall erschien dann auch noch ein nicht funktionierender Captcha Check, der dann alle weiteren Tests verhinderte.

Ich persönlich würde den Dienst nicht verwenden, YMMV. Und falls wer ein „ordentliches” Security Assesment zu my1login schreibt, lasst mir bitte den Link zukommen, würde mich interessieren.

Update 11.03.2012: my1login hat auf meinen entsprechenden Tweet reagiert und erlaubt mittlerweile auch E-Mail Adressen mit „+” im Namen.

Tagged as: AES, browser, javascript, password, paßwort, security | Author: Martin Leyrer
[Samstag, 20120303, 16:20 | permanent link | 0 Kommentar(e)