Heylogin-Passwortmanager Erfahrungen

[Micha785]

Konnte schon jemand Erfahrungen mit dem Passwortmanager machen?

https://www.heylogin.com/de

Kommt aus Deutschland. Angeblich für Privatleute kostenlos.

 

[Skudrinka]

Meinen Manager hoste ich dann lieber bei mir zuhause.(Vaultwarden)

Keine Lust dass meine ganzen PWs extern irgendwo liegen.
Wird einmal eingebrochen, wars das schnell mit deiner Identität im Netz..

 

[Oli_P]

Gut, aber bei diesem Heylogin wird ja 2FA angeboten, z.B. mit Handy oder auch Hardware-Schlüssel. Wenn die Datenbanken wirklich so strikt von den Benutzern getrennt sind, dann sollten die Daten schon erstmal sicher sein. Allerdings: Man muss dem Anbieter halt vertrauen. Ich möchte meine ganzen sensiblen Daten jetzt auch nicht einfach "irgendwo" abspeichern. Die sensiblen Daten unter eigene Kontrolle halten ist besser.

 

[Tornhoof]

Wenn ich deren Dokumentation zur Sicherheitsarchitektur richtig verstehe, ist das primär ein Cloud-Hoster für einen Passwortcontainer. Die Verschlüsselung wird dann über Keys im TPM gemacht, der TPM ist zwangsweise notwendig, bzw ein entsprechendes HSM als Ersatz (Fido2 Key)

Ohne ein offizielles Security Audit derer Implementierung ist das alles eher so lala.


Wenn ich sowas lese, bin ich nicht überzeugt

[...] At the time of writing, the library used on all platforms is TweetNaCl.js. As it
does not implement Argon2, which the original TweetNaCl does, we use a separate implementation of Argon2 when needed

Die aufgeführte library hatte vor 5 Jahren ihr letztes Release
https://github.com/dchest/tweetnacl-js/releases

(Das ist nen Javascript Port von nacl, von Djb, tanja lange et.al., nacl ist auditiert, der JS port nicht)

Und anscheinend auch kein Security Audit hinter sich.

Sowas implementiert man mit den entsprechenden Cryptolibs der Platformen, also openssl etc.

Die brechen die goldene Regel: never implement/roll your own Crypto.


Das sagt nichts darüber aus ob ihre Software gut oder schlecht ist.