Warum key.matique
höchste Sicherheit bietet,

wir aber keine absolute
Sicherheit versprechen

Als Kriterium sollten Sie nicht die absolute Sicherheit (die es ohnehin nicht gibt) nehmen, sondern, ob die Sicherheit erhöht oder verringert wird.

Was die Sicherheit erhöht: Ablegen aller Geheimnisse an möglichst wenigen Orten mit strengem Zugangsschutz.

Was die Sicherheit verringert: Passwort unter die Tastatur kleben, Zettelwirtschaft, Kennworte über das Telefon oder per E-Mail mitteilen, Apps herunterladen und nie mehr updaten, ...

Ein unter Fachleuten unbestrittener Aspekt ist auch, dass Einfachheit der Freund der Sicherheit ist. Alles, was schwer durchschaubar ist, tendiert zu Fehleranfälligkeit und kann daher auch leicht angegriffen werden.

Deshalb verwenden wir bewährte Standardverschlüsselungsmethoden und weitere Sicherheitsverfahren, die wir nicht selbst programmiert haben, sondern aus bekannten und quelloffenen Programmbibliotheken beziehen.

Wir halten es für wesentlich klüger, wirklich wichtige Geheimnisse stark zu schützen, als alle Daten unterschiedslos zu behandeln.

Deshalb unterscheidet key.matique bei Geheimnissen zwischen Kerngeheimnissen, die mit dem Hauptkennwort verschlüsselt werden müssen (so dass selbst bei erfolgreichem Hacken der key.matique-Datenbank der Hacker an deren Inhalt nicht herankäme), und Begleitdaten: Die URL, der Anmeldename, Notizen, die angegebene E-Mail-Adresse. (Was "Beiwerk" ist, und was verschlüsselt werden muss, bestimmt aber letztlich der Benutzer selbst.)

Diese Unterscheidung ist wichtig, sollten Sie das Hauptkennwort verloren haben. Sie können dann (nach Durchlaufen einer Sicherheitsprozedur) zumindest ein neues Hauptkennwort setzen. Alle verschlüsselten Daten sind zwar nun zunächst verloren. Die unverschlüsselten Daten können aber helfen, den Schaden zu beheben, weil Sie jetzt wissen, welche Dienstleister Sie anschreiben müssen, um neue Kennwörter zu erhalten.

Diese Möglichkeit haben Sie nur mit key.matique.

Schützen Sie Ihre key.matique-Box durch die Zwei-Faktor-Authentisierung (2FA)!

Bei key.matique ist diese nicht so schwer zu handhaben, wie es Ihnen von anderen Anwendungen her vielleicht bekannt ist. Für freigeschaltete Geräte läuft die 2FA völlig im Hintergrund ab. Für die Freischaltung noch nicht registrierter Geräten können Sie zwischen besonders bequemen (aber immer recht sicheren) und besonders sicheren (aber immer noch recht bequemen) Varianten wählen.

Wenn Sie die 2FA einschalten, sind alle bislang für Box-Anmeldungen genutzten Geräte freigeschaltet. Aber Sie können dann gezielt einzelne Geräte sperren.

Somit können Sie bei Verlust eines Geräts dieses über die 2FA sperren, auch wenn Sie zuvor noch die einfache Authentisierung (nur mit dem Hauptkennwort) eingestellt hatten.

Also besondere Option können Sie auch noch die Sperrung von Anmeldungen nach mehrfachen Fehlversuchen wählen. Wenn Sie sich damit zuvor etwas beschäftigen, brauchen Sie auch vor Selbst-Aussperrungen keine Angst zu haben und gewinnen eine zusätzliche starke Sicherheit, dass außer Ihnen selbst niemand in Ihre Box gelangt.

Die 2FA läuft zwar hauptsächlich im Hintergrund ab, so dass Sie möglichst wenig damit belastet werden, aber ihre Funktionsweise ist transparent erklärt, damit Sie immer genau wissen, wann und warum eine Anmeldung möglich ist und wann und warum nicht.

Im Handbuch gibt dafür ein Tutorial und einen Artikel im Referenz-Handbuch. Schließlich wird das Konzept umfassend im Blog in einem Artikel zu 2FA und einem zu Lockouts erläutert.

key.matique eröffnet auch die Möglichkeit, das Hauptkennwort bei Freunden oder Bekannten (notfalls auch beim key.matique-Support) zu hinterlegen, am besten in Stücke geteilt, so dass niemand allein an das komplette Hauptkennwort herankäme.

Die Vertrauenspersonen bekommen die hinterlegten Hauptkennwort-Teile nicht zu Gesicht. Sie entscheiden jedoch darüber, ob diese Teile an einen Antragsteller, der behauptet, der Box-Eigentümer zu sein, herausgegeben werden oder nicht. Heimlich kann aber solch eine Herausgabe nicht passieren, da die Prozedur protokolliert wird.

Damit ist es nicht mehr nötig, einen Zettel mit dem Hauptkennwort irgendwo zu verstecken. (Ist dieses Versteck auch noch sicher, wenn der Sohnemann mal alleine zu Hause ist und alle seine Freunde einlädt, die dann auch noch ihre anderen Freunde mitbringen, die dann die Bude zerlegen?) Die Schaffung der Alternative "Hinterlegung" stärkt also die Sicherheit.

Auch diese Methode finden Sie nur bei key.matique.

Im Handbuch finden Sie dazu sowohl ein Tutorial als auch einen Artikel im Referenz-Handbuch

Die benutzerfreundliche Ausgestaltung von Sicherheitsmaßnahmen erhöht die Sicherheit. Das Quälen von Benutzern mit Sicherheitsrichtlinien verringert sie.

Zum Beispiel ist eine generelle Zwangsabmeldung nach zehn Minuten Inaktivität eine Zumutung: Man sitzt vor dem Computer, es kommt ein Telefonat herein, dauert elf Minuten und man muss sich wieder komplett neu anmelden und in der Web-App an die Stelle gehen, an der man zuvor war.

key.matique macht es anders: Der Benutzer kann selbst festlegen, nach welcher Zeit ohne Eingaben eine Sitzung gesperrt wird. Lediglich die Eingabe des Hauptkennworts ist nötig, um dort weiter zu machen, wo man aufgehört hat. Unabhängig davon kann der Benutzer eine (in der Regel längere) Zeitspanne festlegen, nach der bei Inaktivität die Sitzung komplett geschlossen wird.

Damit nun keine Sitzungen, bei denen der Browsertab geschlossen wurde, einfach weiterlaufen, kommunizieren Browser (über ein key.matique-JavaScript) und Server im Hintergrund miteinander und der Server sperrt die Sitzung automatisch, sollte diese Kommunikation abgebrochen sein.

Außerdem sperren wir die automatische Eingabe des Hauptkennworts durch den Passwortmanager des Browsers (falls dieses dort gespeichert wurde), wenn die Sitzung durch Inaktivität unterbrochen wurde. (Details zu diesem Feature werden im Blog diskutiert.) Erst diese Sicherheitsmaßnahme ermöglicht die sichere Benutzung des Browser-Passwortmanagers auch wenn man abgelenkt und unvorhersehbar vom Arbeitsplatz weg gerufen werden kann, so dass dann evtl. andere auf den PC zugreifen könnten. (Sie sollten dann aber auch für den Browser ein starkes Hauptpasswort festlegen!)

So erreichen wir ein hohes Maß an Sicherheit, ohne den Benutzer unnötig zu quälen.

Diese Verbindung von Sicherheit und Benutzerfreundlichkeit gibt es nur bei key.matique.

(Weitere Askpekte im Verhältnis von Sicherheit zur Benutzerfreundlichkeit werden auch im Blog diskutiert.)

Nutzer von key.matique können eine Angriffsstatistik erhalten (hat jemand versucht, Ihr Kennwort zu erraten, und wie nahe ist er dabei dem tatsächlichen Kennwort gekommen?) und feststellen, ob jemand anderes in der eigenen Box angemeldet war (nach der Methode des "Haars in der Tür" in Spionagethrillern).

Denn frühzeitig erkannte Schäden lassen sich oft noch gut begrenzen, so dass hier mit geringem Aufwand (das Haar in die Tür klemmen) viel erreicht werden kann. An Stelle des Haars kommt hier ein Sitzungsname ins Spiel, den man kreativ jedes Mal neu vergibt. Man muss ihn sich nicht merken, aber man kann bei der nächsten Anmeldung sehr wohl erkennen, ob der angezeigte Name der letzten Sitzung von einem selbst stammen könnte oder nicht.

Sitzungsnamen werden Sie bei anderen Passwortmanagern vergeblich suchen, es gibt sie nur bei key.matique.

Im Referenz-Handbuch finden Sie Kapitel über Statistiken als über Sitzungsnamen

Wir denken, dass Vertrauen für die Sicherheit nötig ist. Wir denken auch, dass On­line-​Dien­ste durchaus sicher gestaltet werden können und heruntergeladene Apps keineswegs per se sicherer sind.

Wenn Sie ein Programm von einem Hersteller kaufen oder dem Internet herunterladen, müssen Sie diesem Hersteller auch vertrauen.

In den vertiefenden Artikeln zu diesem Thema zeigen wir auf, dass wir keineswegs von Ihnen ein blindes Vertrauen erwarten, sondern Bedenken durchaus ernst nehmen und z. B. mit dem Komplementverfahren eine Lösung anbieten, die auch Skeptikern erlaubt, key.matique zu nutzen. Denn man muss auch dem Vertrauen die Chance geben zu wachsen.

Die Unterstützung von Komplementen finden Sie übrigens nur bei key.matique.

[Mehr zu diesem Thema]

Nächstes Thema:

Was Sie mit key.matique schaffen