272 Aufrufe
Gefragt in SW-Sonstige von

Hallo zusammen!

Ich habe eine Verständnis Frage zu Passwort Managern und hoffe, dass mir jemand etwas Erleuchtung bringen kann. Kurz gefragt: Mich würde interessieren, wie es (technisch) möglich ist, dass manche Anbieter den Zugang zur Passwort "Vault" wieder herstellen können, wenn der Benutzer sein Master Passwort vergessen hat?

Die meisten Anbieter werben mit einer zero-knowledge Architektur, bei der Passwörter vor der Übertragung auf deren Server verschlüsselt werden. Die Anbieter selbst haben somit keinen Zugriff auf die Passwörter. Auch das Master Passwort ist dem Anbieter dabei wohl unbekannt. Lediglich der Benutzer selbst kann durch Eingabe des Master Passwords wieder Passwörter wieder entschlüsseln.

Wenn dem so ist, dann verstehe ich nicht, wie es technisch möglich ist, dass ein verlorener Zugang durch (zum Beispiel) irgendwelche Recovery Codes wieder hergestellt wird. Angeblich hat der Anbieter ja keinen Zugriff auf die Vault. Wie ist es dann möglich, dass er sie für mich entschlüsselt, um ein neues Master Passwort zu vergeben? Wo habe ich da einen Denkfehler bzw. Verständnisproblem?

Ich möchte keine Werbung machen und setzte deshalb keine Links. Aber namhafte Anbieter werben mit "recovery code" oder "one-time password" zur Wiederherstellung.

Kann mir jemand auf die Sprünge helfen?

Grüße,

J0KER

2 Antworten

0 Punkte
Beantwortet von computerschrat Profi (32.2k Punkte)
Hallo Joker,

der Anbieter kann das verlorene Passwort nicht rekonstruieren und dir mitteilen. Er kann es aber zurücksetzen. Dazu generiert der Anbieter ein neues Passwort, legt es verschlüsselt ab und teilt dir das neue Passwort mit. Mit dem neuen Passwort kannst du dann wieder auf deine Daten zugreifen. Meist wirst du dann beim Einloggen mit diesem neuen Passwort aufgefordert, es sofort zu ändern.

Gruß computerschrat
0 Punkte
Beantwortet von j0k3r Einsteiger_in (5 Punkte)

Hallo Computerschrat!

Danke zunächst mal für dein Antwort! Ich fürchte, ich kann immer noch nicht ganz folgen. indecision

Ist es nicht so, dass das Master Passwort als "Secret Key" für die Verschlüsselung der anderen Passwörter genutzt wird? In dem Fall würde ein Zurücksetzen des Master Passworts bedeuten, dass alle verschlüsselten Daten verloren sind bzw. nicht wieder entschlüsselt werden können.

Oder gibt es einen Secret Key, der getrennt vom Master Passwort gehalten wird, so dass das Zurücksetzen des Master Passworts keinen Einfluss auf die Entschlüsselung hat? Das scheint mir aber unwahrscheinlich, weil der Anbieter den Secret Key in dem Fall kennen müsste. Das wiederrum verstößt gegen das "zero-knowledge" Prinzip.

Grüße,

J0KER

...