Mooltipass Mini – meine Erfahrungen

Mooltipass Mini in Box Vor einiger Zeit machte ich mir Gedanken um meine Passwörter, die ich jeden Tag im Internet auf verschiedenen Seiten eingebe. Bisher hatte ich alles über KeePass organisiert und zusätzlich einige Passwörter im Browser gespeichert. Ja, ich weiß, das macht man nicht. Es musste sich also etwas ändern. Hier kam dann der Mooltipass Mini ins Spiel. Aber der Reihe nach.

Es gab nun die Möglichkeit einen der vielen Webdienste zu nutzen und meine Passwörter komplett in der Cloud zu speichern. Das wäre sehr einfach in der Anwendung gewesen, da die Passwörter sowohl auf dem Desktop, meinem Smartphone und meinem Chromebook verfügbar wären. Dennoch empfinde ich ein Unbehagen, wenn ich sowas wichtiges wie Passwörter in der Cloud speichern soll. Auch wenn die Anbieter mit Verschlüsselung werben. Ich denke halt immer, was nicht im Netz ist, kann auch nicht ausgespäht werden.

Mehr oder weniger durch Zufall bin ich auf ein Gadget namens Mooltipass Mini gestoßen. Auf den ersten Blick die eierlegende Wollmilchsau in Bezug auf Passwörter.

Es handelt sich dabei um ein Kickstarter-Projekt aus der Schweiz. 1674 Menschen haben die Finanzierung über insgesamt 168231 CHF (Ziel waren 50000 CHF) ermöglicht. Das Interesse an dem Gerät schien also sehr groß zu sein.

Die Vorteile bei dieser hardwarebasierten Lösung der Passwort-Speicherung sind:

  • Die Passwörter werden verschlüsselt auf dem Gerät gespeichert
  • Man braucht sich nur eine 4-stellige PIN zu merken
  • Verwendbar mit allen Geräten (auch Chromebooks und Smartphones sind kein Problem)
  • Keine spezielle Treiber-Installation nötig
  • Nahtlose Integration in den Browser über Erweiterungen
  • Pre-Boot-Authentication funktioniert ebenfalls direkt über das Gerät
  • Offline-Backups (optional kann auch in der Cloud gespeichert werden) sind möglich
  • Mehrere Nutzer können einen Mooltipass Mini verwenden (jeder nutzt eine eigene Smartcard)
  • Jede Smartcard kann auf mehreren Mooltipass Mini Geräten verwendet werden
  • Das Gerät ist nicht anfällig für gewöhnliche Angriffe auf Passwort-Speicher
  • Die Smartcards können direkt im Gerät geclont werden – als Backup
  • CRC-Checks bei jedem Gerätestart, um eventuelle Änderungen zu entdecken
  • UID-Check, um herauszufinden, ob das Gerät seit dem Versand verändert wurde
  • Klein und handlich, aus gebürstetem, eloxiertem Aluminium gefertigt – in aktuell 9 verschiedenen Farben lieferbar
  • Open Source (Code auf GitHub)

Ich habe mich daraufhin eingehend über das Gerät informiert und es letztlich auch bestellt. Der Versand dauerte leider einige Zeit, da ich bei der Bestellung den Versand über PostNL gewählt habe. Das war die günstigste, aber leider auch die langsamste Variante. Nach gut 3 Wochen war das Gerät dann endlich hier (kam per Einschreiben über die Deutsche Post). Einfuhrumsatzsteuer fiel bei mir nicht an. Glück gehabt. 🙂

Im Standard-Lieferumfang sind das Gerät selbst, ein USB-Kabel, zwei Smartcards und ein USB-Lanyard enthalten.

Man steckt eine der beiden Smartcards in den Mooltipass Mini und verbindet das Gerät per USB mit dem Computer. Danach kann man es direkt einrichten. Das geht einfach: es gibt für verschiedene Betriebssysteme (neben Windows, Ubuntu und Mac) auch die Möglichkeit Erweiterungen für die großen Browser Firefox, Chrome und Safari zu nutzen.

Im Einrichtungsprogramm kann man grundlegende Dinge wie das Tastaturlayout (wichtig für das richtige Einfügen von Sonderzeichen), Wartezeit nach jeder Zeicheneingabe, Abbruch der Passworteingabe nach x Sekunden, automatisches Sperren bei Inaktivität, Bildschirmschoner, Helligkeit des OLED-Bildschirms und die Empfindlichkeit der optionalen „Klopferkennung“. Darüberhinaus können über dieses Programm auch alle Passwörter von Hand eingegeben werden. Das geht aber auch sehr einfach (eigentlich noch einfacher) beim Login auf der entsprechenden Website direkt über die entsprechende Browser-Erweiterung. Wenn man aber Passwörter für z.B. die Pre-Boot-Authentication, Root- oder SSH-Zugänge etc. speichern will, kann man das komfortabel über das Einrichtungsprogramm erledigen.

Damit die Passwörter automatisch gespeichert und eingegeben werden können, installiert man sich nun eine Browser-Erweiterung. Dort kann man einstellen, ob und wie die Passwörter generiert werden sollen. Also aus welchen Zeichen sie bestehen und wieviele Zeichen das Passwort jeweils haben soll. Die Länge der Passwörter ist jedoch auf maximal 31 beschränkt. Das sollte zwar reichen, insbesondere wenn man auch Sonderzeichen nutzt, aber mehr Zeichen schadet bei Passwörtern in der Regel nicht. Darüber hinaus kann man dort eine Blacklist für Seiten, auf denen keine Passwörter gespeichert werden sollen und individuelle Passwortfelder, falls die Erweiterung diese nicht richtig erkannt haben sollte, pflegen. Letzteres ist bei mir bisher noch nicht nötig gewesen, aber es ist gut, dass es eine solche Funktion gibt.

Wenn man nun eine Seite ansurft, zu der noch kein Passwort gespeichert ist, und man sich einloggen will, fragt die Browser-Erweiterung, ob das Passwort gespeichert werden soll. Das bestätigt man nun mit einem Druck auf das Einstellrad an der rechten Seite des Mooltipass Mini und fertig. Beim nächsten Besuch der Loginseite blinkt das Gerät automatisch auf und fragt nach, ob es euch einloggen soll. Das kann man per Druck auf das Rad bestätigen oder durch ein Drehen auf Ablehnen und anschließendem Drücken abweisen. Wenn man nicht reagiert, wird der Vorgang nach einer vorher eingestellten Zeit automatisch abgebrochen. Klingt einfach? Ist es auch.

Alle Aktionen werden jeweils auf dem OLED-Display des Mooltipass Mini angezeigt.

Man kann auch mehrere Benutzerlogins pro Seite speichern. Wenn man dann gefragt wird, ob man sich einloggen möchte, kann man den einzelnen Login durch Drehen am Einstellrad auswählen.

Theoretisch kann man auch auf das Automatische Login per Browser-Erweiterung verzichten und wählt dann bei jeder Seite per Drehen am Rad die jeweilige Login/Passwort-Kombination aus und bestätigt per Druck auf das Rad. Der Mooltipass Mini fungiert hier als USB-Tastatur. Auf die gleiche Art funktioniert es auch beim Smartphone. Dort benötigt man eventuell noch einen OTG-Adapter.

Kommen wir zur Sicherheit des Geräts. Die Passwörter werden verschlüsselt im Gerät gespeichert. Der AES-256 Schlüssel befindet sich auf der Smartcard, die man vor der Nutzung in das Gerät reinstecken muss. Der Zugang ist mit einer 4-stelligen PIN gesichert. Wenn man die PIN 3 mal falsch eingibt, wird die Smartcard ungültig (wie bei einem Geldautomaten) und man kommt nicht mehr an die Passwörter ran. Die Übermittlung der Passwörter erfolgt über HID.

Damit man sich nicht über Datenverlust mehr Gedanken als nötig machen muss, kann man sowohl die eigentlichen Passwörter exportieren, als auch die Smartcard clonen. Es sind, wie weiter oben schon erwähnt, im Standard-Lieferumfang zwei Smartcards dabei. Somit kann man sich ein Backup anlegen und dieses an einem sicheren Ort verwahren. Die Passwortdatenbank liegt verschlüsselt als Datei vor und kann überall gespeichert werden. Das Einrichtungsprogramm bietet auch den direkten Upload und Download in der Cloud an.

Alles in Allem also ein tolles Gerät, das ich seit der Umstellung aller meiner Passwörter nun sehr gerne verwende. Es gibt aber ein paar Dinge, die mir nicht so richtig gefallen. Diese sind:

  • „nur“ maximal 31 Stellen pro Passwort
  • die Benutzernamen sind in der Backupdatei der Passwortdatenbank nicht verschlüsselt

Zum ersten Punkt wurden die Entwickler wohl schon mehrfach angeschrieben, aber daran wird sich wohl nichts ändern, da sie kein Sicherheitsproblem darin sehen. Den zweiten Punkt habe ich gemeldet und es ist geplant diesen Umstand anzugehen.

Der Kontakt zum Hauptentwickler ist darüber hinaus äußerst angenehm und schnell. Der Support ist fabelhaft und ich habe keine Bedenken, dass die Entwicklung von heute auf morgen eingestellt werden könnte.

Ich kann euch den Mooltipass Mini also nur wärmstens empfehlen. Solltet ihr Fragen haben, schreibt einen Kommentar und ich versuche euch zu helfen.

(Beitragsbild (c) by Mooltipass Mini mit freundlicher Genehmigung von Mathieu Stephan)
Speichere in deinen Favoriten diesen permalink.

6 Kommentare

  1. Hallo,

    ich sehe, dass Du viele Erfahrungen mit dem Mooltipass hast. Ich habe mir für meine Familie ebenfalls solche Geräte (3 Stück) zugelegt. Für jedes Familienmitgleid eines.
    Nun möchte ich mit meiner Smartcard an jedem Rechner meiner Familie meine Berechtigungen (Passworte) einlesen. Ist das möglich? Ich habe den Eindruck, dass Smartcard und Mooltipass immer eineindeutig zusammen gehören. Oder? Wie kann ich mehrere Lesegeräte mit einer Smartcard ansteuern? Ich danke Dir bereits jetzt für Deine Antwort.

    Viele Grüße
    Dieter

    • Hallo Dieter,

      das geht.

      Die Passwörter werden auf dem Gerät und nicht auf der Smartcard gespeichert. Daher müsstest Du die Passwörter von Gerät A exportieren und danach Deine Smartcard in Gerät B einsetzen. Dort dann die Passwörter wieder importieren. Genau so dann wieder bei Gerät C.

      Du musst aber beachten, dass die Passwörter nicht automatisch synchronsiert werden. Du müsstest das also jedes mal von Hand machen, wenn Du neue Passwörter hinzufügst.

      Viele Grüße
      Torsten

      • Hallo Torsten,

        das war ein guter Tipp. Das funktioniert mit den von Dir genannten Einschränkungen (Synchronisierung nur über den Export/Import-Vorgang). Jetzt kann ich jeden Rechner mit einem eigenen Gerät ausstatten und jedem Familienmitglied eine eigene Karte geben. Vielen Dank!

        Wenn die Daten auf dem Gerät gespeichert werden, kann ich denn dort auch verschiedene (Passwort)- Datensätze ablegen und diese mit der jeweils eigenen Smartcard „freischalten“? (Beispiel: 3 Personen und drei Rechner mit drei Mooltipass-Geräten und jede Person hat einen eigenen Passwort-Satz und eine eigene Smartcard.)

        Kannst Du hier auch helfen?

        Unabhängig von der Antwort nochmals Danke und viele Grüße

        Dieter

        • Hallo Dieter,

          ich bin mir nicht sicher, ob ich die Frage richtig verstanden habe.

          Eine Smartcard ist immer auf eine „Passwort-Sammlung“ festgelegt. Wenn Du verschiedene Sammlungen nutzen wolltest, bräuchtest Du jeweils eine eigene Smartcard. Das finde ich aber unpraktisch. Daher bin ich mir nicht sicher, ob ich die Frage richtig verstanden habe. Wieso brauchst Du verschiedene Passwort-Sammlungen (pro Person)?

          Ansonsten hat ja jede Person seine eigene Smartcard und somit Zugriff auf die eigenen Passwörter.

          Viele Grüße
          Torsten

          • Hallo Torsten,

            ich habe Folgendes vor:

            Wir haben in der Familie mehrere Rechner (PC’s, Laptops) sowie auch jeweils ein Smartphone. Jedes Familienmitglied hat eigene Berechtigungen für gleiche Anwendungen (z.B. für den Internetzugriff, für das Onlinebanking, für Amazon usw.). Ich möchte – falls möglich – das jedes Familienmitglied an einem beliebigen Familien-PC / Laptop / (Handy) mit seinen individuellen Passworten in den gemeinsamen Anwendungen (Internet, Amazon, Starmoney …) arbeiten kann. Dabei sollen die Mooltipass-Geräte aber jeweils an die Geräte der Familienmitglieder gebunden sein. Mir ist bekannt, dass ich nur die Lesegeräte umstecken brauche, damit die individuelle „Passwort-Sammlung“ auf einem anderen Gerät verfügbar wird. Allerdings muss man dazu sowohl die Smartcard als auch das Lesegerät stetig dabei haben bzw. transportieren.

            Ich hoffe, dass ich mich jetzt verständlich ausdrücken konnte. Falls nicht, dann werde ich es gerne noch einmal versuchen. Oder wir tauschen einfach unsere Telefonnummern aus und ich rufe Dich zu einem vereinbarten Zeitpunkt einmal an.

            Vielen Dank für Deine Geduld.

            Viele Grüße
            Dieter

            • Hi Dieter,

              das sollte eigentlich folgendermaßen funktionieren. Man steckt auf jedem Mooltipass mini reihum alle Smartcards rein und speichert bzw. importiert jeweils die Passwörter aller Familienmitglieder darauf. So kann man an jedem PC/Laptop ein Mooltipass mini eingesteckt lassen und jedes Familienmitglied braucht nur die eigene Smartcard einzustecken.

              Das macht das ganze bei Änderungen an den Passwörtern aber ziemlich aufwändig und irgendwie auch unpraktisch. Eventuell ließe sich das dann durch den Cloud Export und Import etwas komfortabler gestalten. Kommt aber auch drauf an, wie oft neue Passwörter hinzugefügt werden sollen bzw. müssen. Wenn es immer nur die gleichen Dienste sind, dann braucht man den Aufwand nur einmal zu betreiben und kann nachher die eigenen Passwörter auf allen Mooltipass mini nutzen und muss dazu nur die eigene Smartcard dabeihaben.

              Viele Grüße
              Torsten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.