Mooltipass Mini – meine Erfahrungen

Lesezeit: ca. 7 Minuten

Vor einiger Zeit machte ich mir Gedanken um meine Passwörter, die ich jeden Tag im Internet auf verschiedenen Seiten eingebe. Bisher hatte ich alles über KeePass organisiert und zusätzlich einige Passwörter im Browser gespeichert. Ja, ich weiß, das macht man nicht. Es musste sich also etwas ändern. Hier kam dann der Mooltipass Mini ins Spiel. Aber der Reihe nach.

Es gab nun die Möglichkeit einen der vielen Webdienste zu nutzen und meine Passwörter komplett in der Cloud zu speichern. Das wäre sehr einfach in der Anwendung gewesen, da die Passwörter sowohl auf dem Desktop, meinem Smartphone und meinem Chromebook verfügbar wären. Dennoch empfinde ich ein Unbehagen, wenn ich sowas wichtiges wie Passwörter in der Cloud speichern soll. Auch wenn die Anbieter mit Verschlüsselung werben. Ich denke halt immer, was nicht im Netz ist, kann auch nicht ausgespäht werden.

Mehr oder weniger durch Zufall bin ich auf ein Gadget namens Mooltipass Mini gestoßen. Auf den ersten Blick die eierlegende Wollmilchsau in Bezug auf Passwörter.

Es handelt sich dabei um ein Kickstarter-Projekt aus der Schweiz. 1674 Menschen haben die Finanzierung über insgesamt 168231 CHF (Ziel waren 50000 CHF) ermöglicht. Das Interesse an dem Gerät schien also sehr groß zu sein.

Die Vorteile bei dieser hardwarebasierten Lösung der Passwort-Speicherung sind:

  • Die Passwörter werden verschlüsselt auf dem Gerät gespeichert
  • Man braucht sich nur eine 4-stellige PIN zu merken
  • Verwendbar mit allen Geräten (auch Chromebooks und Smartphones sind kein Problem)
  • Keine spezielle Treiber-Installation nötig
  • Nahtlose Integration in den Browser über Erweiterungen
  • Pre-Boot-Authentication funktioniert ebenfalls direkt über das Gerät
  • Offline-Backups (optional kann auch in der Cloud gespeichert werden) sind möglich
  • Mehrere Nutzer können einen Mooltipass Mini verwenden (jeder nutzt eine eigene Smartcard)
  • Jede Smartcard kann auf mehreren Mooltipass Mini Geräten verwendet werden
  • Das Gerät ist nicht anfällig für gewöhnliche Angriffe auf Passwort-Speicher
  • Die Smartcards können direkt im Gerät geclont werden – als Backup
  • CRC-Checks bei jedem Gerätestart, um eventuelle Änderungen zu entdecken
  • UID-Check, um herauszufinden, ob das Gerät seit dem Versand verändert wurde
  • Klein und handlich, aus gebürstetem, eloxiertem Aluminium gefertigt – in aktuell 9 verschiedenen Farben lieferbar
  • Open Source (Code auf GitHub)

Ich habe mich daraufhin eingehend über das Gerät informiert und es letztlich auch bestellt. Der Versand dauerte leider einige Zeit, da ich bei der Bestellung den Versand über PostNL gewählt habe. Das war die günstigste, aber leider auch die langsamste Variante. Nach gut 3 Wochen war das Gerät dann endlich hier (kam per Einschreiben über die Deutsche Post). Einfuhrumsatzsteuer fiel bei mir nicht an. Glück gehabt. 🙂

Im Standard-Lieferumfang sind das Gerät selbst, ein USB-Kabel, zwei Smartcards und ein USB-Lanyard enthalten.

Man steckt eine der beiden Smartcards in den Mooltipass Mini und verbindet das Gerät per USB mit dem Computer. Danach kann man es direkt einrichten. Das geht einfach: es gibt für verschiedene Betriebssysteme (neben Windows, Ubuntu und Mac) auch die Möglichkeit Erweiterungen für die großen Browser Firefox, Chrome und Safari zu nutzen.

Im Einrichtungsprogramm kann man grundlegende Dinge wie das Tastaturlayout (wichtig für das richtige Einfügen von Sonderzeichen), Wartezeit nach jeder Zeicheneingabe, Abbruch der Passworteingabe nach x Sekunden, automatisches Sperren bei Inaktivität, Bildschirmschoner, Helligkeit des OLED-Bildschirms und die Empfindlichkeit der optionalen „Klopferkennung“. Darüberhinaus können über dieses Programm auch alle Passwörter von Hand eingegeben werden. Das geht aber auch sehr einfach (eigentlich noch einfacher) beim Login auf der entsprechenden Website direkt über die entsprechende Browser-Erweiterung. Wenn man aber Passwörter für z.B. die Pre-Boot-Authentication, Root- oder SSH-Zugänge etc. speichern will, kann man das komfortabel über das Einrichtungsprogramm erledigen.

Damit die Passwörter automatisch gespeichert und eingegeben werden können, installiert man sich nun eine Browser-Erweiterung. Dort kann man einstellen, ob und wie die Passwörter generiert werden sollen. Also aus welchen Zeichen sie bestehen und wieviele Zeichen das Passwort jeweils haben soll. Die Länge der Passwörter ist jedoch auf maximal 31 beschränkt. Das sollte zwar reichen, insbesondere wenn man auch Sonderzeichen nutzt, aber mehr Zeichen schadet bei Passwörtern in der Regel nicht. Darüber hinaus kann man dort eine Blacklist für Seiten, auf denen keine Passwörter gespeichert werden sollen und individuelle Passwortfelder, falls die Erweiterung diese nicht richtig erkannt haben sollte, pflegen. Letzteres ist bei mir bisher noch nicht nötig gewesen, aber es ist gut, dass es eine solche Funktion gibt.

Wenn man nun eine Seite ansurft, zu der noch kein Passwort gespeichert ist, und man sich einloggen will, fragt die Browser-Erweiterung, ob das Passwort gespeichert werden soll. Das bestätigt man nun mit einem Druck auf das Einstellrad an der rechten Seite des Mooltipass Mini und fertig. Beim nächsten Besuch der Loginseite blinkt das Gerät automatisch auf und fragt nach, ob es euch einloggen soll. Das kann man per Druck auf das Rad bestätigen oder durch ein Drehen auf Ablehnen und anschließendem Drücken abweisen. Wenn man nicht reagiert, wird der Vorgang nach einer vorher eingestellten Zeit automatisch abgebrochen. Klingt einfach? Ist es auch.

Alle Aktionen werden jeweils auf dem OLED-Display des Mooltipass Mini angezeigt.

Man kann auch mehrere Benutzerlogins pro Seite speichern. Wenn man dann gefragt wird, ob man sich einloggen möchte, kann man den einzelnen Login durch Drehen am Einstellrad auswählen.

Theoretisch kann man auch auf den automatischen Login per Browser-Erweiterung verzichten und wählt dann bei jeder Seite per Drehen am Rad die jeweilige Login/Passwort-Kombination aus und bestätigt per Druck auf das Rad. Der Mooltipass Mini fungiert hier als USB-Tastatur. Auf die gleiche Art funktioniert es auch beim Smartphone. Dort benötigt man eventuell noch einen OTG-Adapter.

Kommen wir zur Sicherheit des Geräts. Die Passwörter werden verschlüsselt im Gerät gespeichert. Der AES-256 Schlüssel befindet sich auf der Smartcard, die man vor der Nutzung in das Gerät reinstecken muss. Der Zugang ist mit einer 4-stelligen PIN gesichert. Wenn man die PIN 3 mal falsch eingibt, wird die Smartcard ungültig (wie bei einem Geldautomaten) und man kommt nicht mehr an die Passwörter ran. Die Übermittlung der Passwörter erfolgt über HID.

Damit man sich nicht über Datenverlust mehr Gedanken als nötig machen muss, kann man sowohl die eigentlichen Passwörter exportieren, als auch die Smartcard clonen. Es sind, wie weiter oben schon erwähnt, im Standard-Lieferumfang zwei Smartcards dabei. Somit kann man sich ein Backup anlegen und dieses an einem sicheren Ort verwahren. Die Passwortdatenbank liegt verschlüsselt als Datei vor und kann überall gespeichert werden. Das Einrichtungsprogramm bietet auch den direkten Upload und Download in der Cloud an.

Alles in Allem also ein tolles Gerät, das ich seit der Umstellung aller meiner Passwörter nun sehr gerne verwende. Es gibt aber ein paar Dinge, die mir nicht so richtig gefallen. Diese sind:

  • „nur“ maximal 31 Stellen pro Passwort
  • die Benutzernamen sind in der Backupdatei der Passwortdatenbank nicht verschlüsselt – mittlerweile gibt es das Programm Moolticute in einer stabilen Version, welches sowohl die Benutzernamen als auch die Passwörter verschlüsselt abspeichert und auch eine automatische Speicherung der Datenbankdatei anbietet, wenn Änderungen festgestellt wurden.

Zum ersten Punkt wurden die Entwickler wohl schon mehrfach angeschrieben, aber daran wird sich wohl nichts ändern, da sie kein Sicherheitsproblem darin sehen. Den zweiten Punkt habe ich gemeldet und es ist geplant diesen Umstand anzugehen. (erledigt; siehe oben)

Der Kontakt zum Hauptentwickler ist darüber hinaus äußerst angenehm und schnell. Der Support ist fabelhaft und ich habe keine Bedenken, dass die Entwicklung von heute auf morgen eingestellt werden könnte.

Ich kann euch den Mooltipass Mini also nur wärmstens empfehlen. Solltet ihr Fragen haben, schreibt einen Kommentar und ich versuche euch zu helfen.

(Beitragsbild (c) by Mooltipass Mini mit freundlicher Genehmigung von Mathieu Stephan)
Speichere in deinen Favoriten diesen permalink.
Abonnieren
Benachrichtige mich bei
guest
16 Kommentare
Inline Feedbacks
View all comments

Dieter Heyer
Dieter Heyer
14. Oktober 2017 19:13

Hallo,

ich sehe, dass Du viele Erfahrungen mit dem Mooltipass hast. Ich habe mir für meine Familie ebenfalls solche Geräte (3 Stück) zugelegt. Für jedes Familienmitgleid eines.
Nun möchte ich mit meiner Smartcard an jedem Rechner meiner Familie meine Berechtigungen (Passworte) einlesen. Ist das möglich? Ich habe den Eindruck, dass Smartcard und Mooltipass immer eineindeutig zusammen gehören. Oder? Wie kann ich mehrere Lesegeräte mit einer Smartcard ansteuern? Ich danke Dir bereits jetzt für Deine Antwort.

Viele Grüße
Dieter

Dieter Heyer
Dieter Heyer
15. Oktober 2017 18:48
Antwort auf  Torsten

Hallo Torsten,

das war ein guter Tipp. Das funktioniert mit den von Dir genannten Einschränkungen (Synchronisierung nur über den Export/Import-Vorgang). Jetzt kann ich jeden Rechner mit einem eigenen Gerät ausstatten und jedem Familienmitglied eine eigene Karte geben. Vielen Dank!

Wenn die Daten auf dem Gerät gespeichert werden, kann ich denn dort auch verschiedene (Passwort)- Datensätze ablegen und diese mit der jeweils eigenen Smartcard „freischalten“? (Beispiel: 3 Personen und drei Rechner mit drei Mooltipass-Geräten und jede Person hat einen eigenen Passwort-Satz und eine eigene Smartcard.)

Kannst Du hier auch helfen?

Unabhängig von der Antwort nochmals Danke und viele Grüße

Dieter

Dieter Heyer
Dieter Heyer
17. Oktober 2017 21:30
Antwort auf  Torsten

Hallo Torsten,

ich habe Folgendes vor:

Wir haben in der Familie mehrere Rechner (PC’s, Laptops) sowie auch jeweils ein Smartphone. Jedes Familienmitglied hat eigene Berechtigungen für gleiche Anwendungen (z.B. für den Internetzugriff, für das Onlinebanking, für Amazon usw.). Ich möchte – falls möglich – das jedes Familienmitglied an einem beliebigen Familien-PC / Laptop / (Handy) mit seinen individuellen Passworten in den gemeinsamen Anwendungen (Internet, Amazon, Starmoney …) arbeiten kann. Dabei sollen die Mooltipass-Geräte aber jeweils an die Geräte der Familienmitglieder gebunden sein. Mir ist bekannt, dass ich nur die Lesegeräte umstecken brauche, damit die individuelle „Passwort-Sammlung“ auf einem anderen Gerät verfügbar wird. Allerdings muss man dazu sowohl die Smartcard als auch das Lesegerät stetig dabei haben bzw. transportieren.

Ich hoffe, dass ich mich jetzt verständlich ausdrücken konnte. Falls nicht, dann werde ich es gerne noch einmal versuchen. Oder wir tauschen einfach unsere Telefonnummern aus und ich rufe Dich zu einem vereinbarten Zeitpunkt einmal an.

Vielen Dank für Deine Geduld.

Viele Grüße
Dieter

Dieter Heyer
Dieter Heyer
20. Oktober 2017 15:19
Antwort auf  Torsten

Hallo Torsten,

sorry, dass ich erst jetzt antworte. Aber ich bin viel unterwegs.

Meine Vorstellungen zum „automatisierten“ Umschalten des Passwort-Sets in Abhängigkeit von der verwendeten Smartcard scheinen unrealistisch zu sein.

Ich habe Deine Hinweise befolgt und komme zu folgendem Ergebnis: Eine individuelle Passwortsammlung pro Rechner kann ich bei „fest“ anschlossenem Mooltipass-Gerät nur dann erreichen, wenn ich jedesmals das richtige Passwort-File importiere. Eine automatiserte Zuordnung der Passwort-Sammlung zur Smartcard (bzw. zum User) erfolgt nicht. Oder anders herum: Eine Speicherung mehrerer unterschiedlicher Passwort-Sammlungen auf einem Mooltipass-Gerät ist nicht möglich. Diese unterschiedlichen Sammlungen können nur per File-Import händisch geladen werden. Und das ist tatsächlich unhandlich.

Habe ich das richtig zusammengefasst oder gibt es doch eine Lösung? Mittlerweile erkennen meine Mooltipass-Geräte eine meiner Karten nicht mehr und melden immer nur „Unknown Card“. Ich kann diese nicht löschen oder überschreiben. Gibt es hier einen Trick?

Viele Grüße
Dieter

Dieter Heyer
Dieter Heyer
22. Oktober 2017 19:07
Antwort auf  Torsten

Hallo Torsten,

da bin ich wieder. Entschuldigung, dass es wieder so lange gedauert hat.

Jetzt funktioniert alles. Ich habe mich heute ganz in Ruhe noch einmal hin gesetzt und von vorne angefangen.

Jetzt funktionieren an drei Lesegeräten drei unterschiedliche Smartcards und schalten auch die jeweiligen Passwortsammlungen automatisch um. Na, fast jedenfalls. 2 der Smartcard mit unterschiedlichen Usern rufen immer die gleiche Passwortsammlung auf, obwohl diese eigentlich unterschiedlich sein sollten und in unterschiedlichen Dateien gespeichert sind. Wenn ich die jeweilige Datei für die gewählte Smartcard importiere, dann ändert sich auch die Passwortsammlung der anderen Smartcard. Und dieses Verhalten ist auf allen drei Lesegeräten gleich. Sehr eigenartig. Als wenn ich mit „geclonten“ Smardcards arbeiten würde.Ich werde wohl am nächsten Wochenende nochmals von vorne anfangen.

Vielleicht hast Du noch einen Hinweis für mich. Ansonsten hast Du mir sehr geholfen! Also vielen Dank.

Eine der Smartcards lässt sich nicht wiederbeleben. Egal in welchen Lesegerät diese sich auch befindet, sie wird immer als „unknown card“ abgelehnt. Wenn ich mich richtig erinnere, dann hatte ich diese in der Anfangszeit einmal „gelöscht“. Allerdings nur die Daten und nicht den User. Seitdem ist das so.

Viele Grüße
Dieter

Dieter Heyer
Dieter Heyer
29. Oktober 2017 18:44

Hallo Torsten,

da bin ich wieder.

Ich habe nun tatsächlich ganz von vorn angefangen. Und das sieht mit mehreren Smartcards und mehreren Lesegeräten ganz gut aus, auch wenn es in der Tat ziemlich umständlich ist.

Allerdings habe ich wieder eine Frage an Dich. Wir haben auch noch eine XBox One. Und hier sind auch einige Passworte einzugeben. Kann man an diese ebenfalls ein Mooltipass-Gerät anschließen? Ein USB-Anschluß ist dran. Mir ist allerdings nicht bekannt, wie man die Mooltipass-App auf das Gerät bekommt. Und als Internet-Browser ist dort Microsoft Edge installiert. Hier ist mir kein Mooltipass-Plugin bekannt.

An unsere Handys (Android und IOS) habe ich mich auch noch nicht ran getraut.

Also es gibt viel zu tun. Aber der Winter ist lang!

Viele Grüße
Dieter

Dieter Heyer
Dieter Heyer
6. November 2017 19:19

Hallo Torsten,

ich habe Dir schon am letzten Wochenende geantwortet, aber irgendwie ist mein Eintrag nicht bei Dir angekommen. Und in der Historie ist er auch nicht zu finden. Dann also noch einmal:

Ich habe alles ins Laufen gebracht. Allerdings ist es tatsächlich ziemlich umständlich mit den verschiedenen Lesegeräten, Smartcards und Passwort-Sets. Aber es funktioniert.

Nun habe ich noch eine weitere Herausforderung, bei der Du mir vielleicht helfen kannst. Ich habe eine XBox One, die ebenfalls Passwörter verlangt. Hier ist es mir nicht klar, wie ich das Mooltipass-Gerät einbinden kann. Es ist zwar ein USB-Anschluß vorhanden, allerdings kann ich kein Programm o.ä. installieren.
Hast Du hier eine Idee?

Mit unseren Handys (Android und IOS) habe ich noch nicht angefangen. Hier muss ich erst einmal die Herausfoderung mit den Schnittstellen lösen.

Viele Grüße
Dieter

Dieter Heyer
Dieter Heyer
18. November 2017 12:53
Antwort auf  Torsten

Hallo Torsten,

schön, dass Du wieder da bist. Ich habe mir schon gedacht, dass etwas nicht stimmt und Du mich nicht einfach „abhängst“.

Prima! Ich werde das nachher einmal ausprobieren und melde mich dann noch einmal.

Viele Grüße
Dieter

Dieter Heyer
Dieter Heyer
19. November 2017 20:49
Antwort auf  Dieter Heyer

Hallo Torsten,

ich bin erst jetzt dazu gekommen, die XBox mit dem Mooltipass auszuprobieren.

Es hat leider nicht geklappt. Es wird zwar eine Zeichenreihe übertragen, welche aber scheinbar nicht mein Passwort ist. Zumindest wird meine Anwendung auf der XBox nicht freigeschaltet. Es sieht so aus, als ob bestimmte Zeichen (hier: ein Bindestrich) nicht übertragen werden. Mein Passwort führt einen Bindestrich. Und dieser wird scheinbar einfach ignoriert (ausgelassen). Es kommt dort ein Zeichen weniger an. Durch Ausprobieren glaube ich, dass es der Bindestrich ist, der nicht übertragen wird?!!

Ich werde nächste Woche mein Passwort neu setzen (dieses Mal ohne Sonderzeichen). Ich melde mich dann noch einmal.

Viele Grüße
Dieter