Mooltipass Mini – meine Erfahrungen

Lesezeit: ca. 6 Minuten

Mooltipass Mini in Box Vor einiger Zeit machte ich mir Gedanken um meine Passwörter, die ich jeden Tag im Internet auf verschiedenen Seiten eingebe. Bisher hatte ich alles über KeePass organisiert und zusätzlich einige Passwörter im Browser gespeichert. Ja, ich weiß, das macht man nicht. Es musste sich also etwas ändern. Hier kam dann der Mooltipass Mini ins Spiel. Aber der Reihe nach.

Es gab nun die Möglichkeit einen der vielen Webdienste zu nutzen und meine Passwörter komplett in der Cloud zu speichern. Das wäre sehr einfach in der Anwendung gewesen, da die Passwörter sowohl auf dem Desktop, meinem Smartphone und meinem Chromebook verfügbar wären. Dennoch empfinde ich ein Unbehagen, wenn ich sowas wichtiges wie Passwörter in der Cloud speichern soll. Auch wenn die Anbieter mit Verschlüsselung werben. Ich denke halt immer, was nicht im Netz ist, kann auch nicht ausgespäht werden.

Mehr oder weniger durch Zufall bin ich auf ein Gadget namens Mooltipass Mini gestoßen. Auf den ersten Blick die eierlegende Wollmilchsau in Bezug auf Passwörter.

Es handelt sich dabei um ein Kickstarter-Projekt aus der Schweiz. 1674 Menschen haben die Finanzierung über insgesamt 168231 CHF (Ziel waren 50000 CHF) ermöglicht. Das Interesse an dem Gerät schien also sehr groß zu sein.

Die Vorteile bei dieser hardwarebasierten Lösung der Passwort-Speicherung sind:

  • Die Passwörter werden verschlüsselt auf dem Gerät gespeichert
  • Man braucht sich nur eine 4-stellige PIN zu merken
  • Verwendbar mit allen Geräten (auch Chromebooks und Smartphones sind kein Problem)
  • Keine spezielle Treiber-Installation nötig
  • Nahtlose Integration in den Browser über Erweiterungen
  • Pre-Boot-Authentication funktioniert ebenfalls direkt über das Gerät
  • Offline-Backups (optional kann auch in der Cloud gespeichert werden) sind möglich
  • Mehrere Nutzer können einen Mooltipass Mini verwenden (jeder nutzt eine eigene Smartcard)
  • Jede Smartcard kann auf mehreren Mooltipass Mini Geräten verwendet werden
  • Das Gerät ist nicht anfällig für gewöhnliche Angriffe auf Passwort-Speicher
  • Die Smartcards können direkt im Gerät geclont werden – als Backup
  • CRC-Checks bei jedem Gerätestart, um eventuelle Änderungen zu entdecken
  • UID-Check, um herauszufinden, ob das Gerät seit dem Versand verändert wurde
  • Klein und handlich, aus gebürstetem, eloxiertem Aluminium gefertigt – in aktuell 9 verschiedenen Farben lieferbar
  • Open Source (Code auf GitHub)

Ich habe mich daraufhin eingehend über das Gerät informiert und es letztlich auch bestellt. Der Versand dauerte leider einige Zeit, da ich bei der Bestellung den Versand über PostNL gewählt habe. Das war die günstigste, aber leider auch die langsamste Variante. Nach gut 3 Wochen war das Gerät dann endlich hier (kam per Einschreiben über die Deutsche Post). Einfuhrumsatzsteuer fiel bei mir nicht an. Glück gehabt. 🙂

Im Standard-Lieferumfang sind das Gerät selbst, ein USB-Kabel, zwei Smartcards und ein USB-Lanyard enthalten.

Man steckt eine der beiden Smartcards in den Mooltipass Mini und verbindet das Gerät per USB mit dem Computer. Danach kann man es direkt einrichten. Das geht einfach: es gibt für verschiedene Betriebssysteme (neben Windows, Ubuntu und Mac) auch die Möglichkeit Erweiterungen für die großen Browser Firefox, Chrome und Safari zu nutzen.

Im Einrichtungsprogramm kann man grundlegende Dinge wie das Tastaturlayout (wichtig für das richtige Einfügen von Sonderzeichen), Wartezeit nach jeder Zeicheneingabe, Abbruch der Passworteingabe nach x Sekunden, automatisches Sperren bei Inaktivität, Bildschirmschoner, Helligkeit des OLED-Bildschirms und die Empfindlichkeit der optionalen „Klopferkennung“. Darüberhinaus können über dieses Programm auch alle Passwörter von Hand eingegeben werden. Das geht aber auch sehr einfach (eigentlich noch einfacher) beim Login auf der entsprechenden Website direkt über die entsprechende Browser-Erweiterung. Wenn man aber Passwörter für z.B. die Pre-Boot-Authentication, Root- oder SSH-Zugänge etc. speichern will, kann man das komfortabel über das Einrichtungsprogramm erledigen.

Damit die Passwörter automatisch gespeichert und eingegeben werden können, installiert man sich nun eine Browser-Erweiterung. Dort kann man einstellen, ob und wie die Passwörter generiert werden sollen. Also aus welchen Zeichen sie bestehen und wieviele Zeichen das Passwort jeweils haben soll. Die Länge der Passwörter ist jedoch auf maximal 31 beschränkt. Das sollte zwar reichen, insbesondere wenn man auch Sonderzeichen nutzt, aber mehr Zeichen schadet bei Passwörtern in der Regel nicht. Darüber hinaus kann man dort eine Blacklist für Seiten, auf denen keine Passwörter gespeichert werden sollen und individuelle Passwortfelder, falls die Erweiterung diese nicht richtig erkannt haben sollte, pflegen. Letzteres ist bei mir bisher noch nicht nötig gewesen, aber es ist gut, dass es eine solche Funktion gibt.

Wenn man nun eine Seite ansurft, zu der noch kein Passwort gespeichert ist, und man sich einloggen will, fragt die Browser-Erweiterung, ob das Passwort gespeichert werden soll. Das bestätigt man nun mit einem Druck auf das Einstellrad an der rechten Seite des Mooltipass Mini und fertig. Beim nächsten Besuch der Loginseite blinkt das Gerät automatisch auf und fragt nach, ob es euch einloggen soll. Das kann man per Druck auf das Rad bestätigen oder durch ein Drehen auf Ablehnen und anschließendem Drücken abweisen. Wenn man nicht reagiert, wird der Vorgang nach einer vorher eingestellten Zeit automatisch abgebrochen. Klingt einfach? Ist es auch.

Alle Aktionen werden jeweils auf dem OLED-Display des Mooltipass Mini angezeigt.

Man kann auch mehrere Benutzerlogins pro Seite speichern. Wenn man dann gefragt wird, ob man sich einloggen möchte, kann man den einzelnen Login durch Drehen am Einstellrad auswählen.

Theoretisch kann man auch auf den automatischen Login per Browser-Erweiterung verzichten und wählt dann bei jeder Seite per Drehen am Rad die jeweilige Login/Passwort-Kombination aus und bestätigt per Druck auf das Rad. Der Mooltipass Mini fungiert hier als USB-Tastatur. Auf die gleiche Art funktioniert es auch beim Smartphone. Dort benötigt man eventuell noch einen OTG-Adapter.

Kommen wir zur Sicherheit des Geräts. Die Passwörter werden verschlüsselt im Gerät gespeichert. Der AES-256 Schlüssel befindet sich auf der Smartcard, die man vor der Nutzung in das Gerät reinstecken muss. Der Zugang ist mit einer 4-stelligen PIN gesichert. Wenn man die PIN 3 mal falsch eingibt, wird die Smartcard ungültig (wie bei einem Geldautomaten) und man kommt nicht mehr an die Passwörter ran. Die Übermittlung der Passwörter erfolgt über HID.

Damit man sich nicht über Datenverlust mehr Gedanken als nötig machen muss, kann man sowohl die eigentlichen Passwörter exportieren, als auch die Smartcard clonen. Es sind, wie weiter oben schon erwähnt, im Standard-Lieferumfang zwei Smartcards dabei. Somit kann man sich ein Backup anlegen und dieses an einem sicheren Ort verwahren. Die Passwortdatenbank liegt verschlüsselt als Datei vor und kann überall gespeichert werden. Das Einrichtungsprogramm bietet auch den direkten Upload und Download in der Cloud an.

Alles in Allem also ein tolles Gerät, das ich seit der Umstellung aller meiner Passwörter nun sehr gerne verwende. Es gibt aber ein paar Dinge, die mir nicht so richtig gefallen. Diese sind:

  • „nur“ maximal 31 Stellen pro Passwort
  • die Benutzernamen sind in der Backupdatei der Passwortdatenbank nicht verschlüsselt – mittlerweile gibt es das Programm Moolticute in einer stabilen Version, welches sowohl die Benutzernamen als auch die Passwörter verschlüsselt abspeichert und auch eine automatische Speicherung der Datenbankdatei anbietet, wenn Änderungen festgestellt wurden.

Zum ersten Punkt wurden die Entwickler wohl schon mehrfach angeschrieben, aber daran wird sich wohl nichts ändern, da sie kein Sicherheitsproblem darin sehen. Den zweiten Punkt habe ich gemeldet und es ist geplant diesen Umstand anzugehen. (erledigt; siehe oben)

Der Kontakt zum Hauptentwickler ist darüber hinaus äußerst angenehm und schnell. Der Support ist fabelhaft und ich habe keine Bedenken, dass die Entwicklung von heute auf morgen eingestellt werden könnte.

Ich kann euch den Mooltipass Mini also nur wärmstens empfehlen. Solltet ihr Fragen haben, schreibt einen Kommentar und ich versuche euch zu helfen.

(Beitragsbild (c) by Mooltipass Mini mit freundlicher Genehmigung von Mathieu Stephan)
Speichere in deinen Favoriten diesen permalink.

16
Hinterlasse einen Kommentar

avatar
  Abonnieren  
Benachrichtige mich bei
Dieter Heyer
Dieter Heyer

Hallo,

ich sehe, dass Du viele Erfahrungen mit dem Mooltipass hast. Ich habe mir für meine Familie ebenfalls solche Geräte (3 Stück) zugelegt. Für jedes Familienmitgleid eines.
Nun möchte ich mit meiner Smartcard an jedem Rechner meiner Familie meine Berechtigungen (Passworte) einlesen. Ist das möglich? Ich habe den Eindruck, dass Smartcard und Mooltipass immer eineindeutig zusammen gehören. Oder? Wie kann ich mehrere Lesegeräte mit einer Smartcard ansteuern? Ich danke Dir bereits jetzt für Deine Antwort.

Viele Grüße
Dieter

Dieter Heyer
Dieter Heyer

Hallo Torsten,

da bin ich wieder.

Ich habe nun tatsächlich ganz von vorn angefangen. Und das sieht mit mehreren Smartcards und mehreren Lesegeräten ganz gut aus, auch wenn es in der Tat ziemlich umständlich ist.

Allerdings habe ich wieder eine Frage an Dich. Wir haben auch noch eine XBox One. Und hier sind auch einige Passworte einzugeben. Kann man an diese ebenfalls ein Mooltipass-Gerät anschließen? Ein USB-Anschluß ist dran. Mir ist allerdings nicht bekannt, wie man die Mooltipass-App auf das Gerät bekommt. Und als Internet-Browser ist dort Microsoft Edge installiert. Hier ist mir kein Mooltipass-Plugin bekannt.

An unsere Handys (Android und IOS) habe ich mich auch noch nicht ran getraut.

Also es gibt viel zu tun. Aber der Winter ist lang!

Viele Grüße
Dieter

Dieter Heyer
Dieter Heyer

Hallo Torsten,

ich habe Dir schon am letzten Wochenende geantwortet, aber irgendwie ist mein Eintrag nicht bei Dir angekommen. Und in der Historie ist er auch nicht zu finden. Dann also noch einmal:

Ich habe alles ins Laufen gebracht. Allerdings ist es tatsächlich ziemlich umständlich mit den verschiedenen Lesegeräten, Smartcards und Passwort-Sets. Aber es funktioniert.

Nun habe ich noch eine weitere Herausforderung, bei der Du mir vielleicht helfen kannst. Ich habe eine XBox One, die ebenfalls Passwörter verlangt. Hier ist es mir nicht klar, wie ich das Mooltipass-Gerät einbinden kann. Es ist zwar ein USB-Anschluß vorhanden, allerdings kann ich kein Programm o.ä. installieren.
Hast Du hier eine Idee?

Mit unseren Handys (Android und IOS) habe ich noch nicht angefangen. Hier muss ich erst einmal die Herausfoderung mit den Schnittstellen lösen.

Viele Grüße
Dieter