-
Die Erfindung betrifft eine Vorrichtung zum Speichern von Kennwörtern. Derartige Kennwörter werden beispielsweise zum Bedienen von Datenverarbeitungsanlagen zur Freigabe eines Zugriffs auf die Datenverarbeitungsanlage und/oder darauf laufenden Programmen bzw. Anwendungen verwendet.
-
Die Anforderungen an als sicher angesehene Kennwörter bzw. Passwörter sind in den letzten Jahren sowohl in Länge des Kennworts als auch bezüglich der zumindest enthaltenen Zeichen (Sonderzeichen, Zahlen, Groß- und Kleinbuchstaben, etc.) gestiegen.
-
Entsprechend sind die Anforderungen an die Merkfähigkeit von Bedienpersonen gestiegen, da sich Personen an kompliziertere Passwörter oft nur schwer erinnern. Zudem sollen für unterschiedliche Anwendungen (Social Media Accounts, Onlinebanking, Online-Versandhäuser, etc.) möglichst unterschiedliche Passwörter verwendet werden, so dass selbst bei einem erfolgreichen Ausspähen eines Passworts eines Benutzers dessen andere Anwendungen bzw. Logins weiter geschützt sind.
-
Entsprechende Online-Passwortmanager ermöglichen zwar das Speichern von als sicher angesehenen unterschiedlichen Passwörtern, sind jedoch selbst angreifbar, so dass die gespeicherten Passwörter nicht ausreichend gegen Missbrauch geschützt sind. Zudem werden Online-Passwortmanager bzw. Passwort-Safes oft von datensammelnden Konzernen oder Diensten betrieben, die einen Benutzer nachverfolgbar machen. Zudem wird hierdurch des Öfteren eine Bindung erzwungen, die später kostenpflichtig werden kann.
-
Der vorliegenden Erfindung liegt daher die Aufgabe zugrunde, eine Vorrichtung zum Speichern von Kennwörtern zu schaffen, die das Speichern von sehr langen, beispielsweise länger als 10, 20 oder gar 80 Zeichen (oder mehr) langen Passwörtern ermöglicht, ohne dass diese Passwörter im Zeichensatz begrenzt sind. Weitere Aufgabe der Erfindung ist es, dass die Passwörter jederzeit und ortsunabhängig, jedoch mit einem hohen Maß an Sicherheit, gegen einen unbefugten Zugriff abgerufen werden können.
-
Diese Aufgabe wird erfindungsgemäß durch eine Vorrichtung mit den Merkmalen des Anspruchs 1 gelöst.
-
Die erfindungsgemäße Vorrichtung ist als autarkes und portables Gerät ausgebildet, so dass sie jederzeit und überall verwendet werden kann, um benötigte Passwörter abzurufen. Um die Vorrichtung gegen einen unbefugten Zugriff zu schützen, weist die Vorrichtung ein erstes Lesegerät zum drahtlosen, beispielsweise RFID, NFC, etc., Erkennen eines ID-Chips auf. Erst wenn ein solcher ID-Chip (RFID, NFC-ID, etc.) gelesen und (dessen geheimer Schlüssel) als korrekt erkannt wurde, kann von dem Benutzer auf ein gewünschtes Passwort zugegriffen werden. Durch eine mögliche kleine Bauform (Taschenformat, Scheckkartengröße oder kleiner bis hin zu einer üblichen USB-Stick Größe) kann die erfindungsgemäße Vorrichtung auf einfache Art und Weise mitgeführt werden, so dass ihr Einsatz durch diese Portabilität auch mobil (Geldautomat, unterwegs am Smartphone, etc.) erfolgen kann.
-
Ein entsprechender ID-Chip kann aufgrund seiner Miniaturisierung in beliebigen alltäglichen, vorzugsweise persönlichen Gegenständen, wie Ring, Füller, Brille, Uhr, Anhänger, Armband, Kettchen, etc. ebenfalls von einem Benutzer mitgeführt werden oder auch implantiert (beispielsweise unter die Haut) sein.
-
Nach einer derartigen Freigabe des Zugriffs kann der mittels erkanntem ID-Chip authentifizierte Benutzer auf die in der Vorrichtung in einem nicht flüchtigen Speicher, insbesondere Flash-Speicher, abgelegten Passwörter einzeln zugreifen. Hierzu weist die Vorrichtung eine manuell betätigbare Eingabeeinrichtung, beispielsweise in Form eines Wahlschalters, einer 3-Punkt-Wippe (Vor, Zurück, Auswahl), eines Drehtasters oder eines Rotary Encoders, auf, um zwischen mehreren abgelegten Passwörtern auswählen zu können.
-
In bevorzugter Ausgestaltung der Erfindung weist die Vorrichtung ein zweites Lesegerät zum Auslesen einer steckbaren Chipkarte auf. Eine auf der Karte gespeicherten Datei, vorzugsweise Text-Datei, wird beim Einstecken der Karte in das zweite Lesegerät, insbesondere ein Kartenleser (beispielsweise SD-Kartenleser) mit erforderlichem direktem Kontakt zur Chipkarte, gelesen und die in der Datei enthaltenen Passwörter, vorzugsweise verschlüsselt, im nicht-flüchtigem Speicher der Vorrichtung abgelegt.
-
Bei dem ersten und/oder dem zweiten Lesegerät handelt es sich vorzugsweise um ein ausschließliches Lesegerät, ohne dass hierdurch eine Information in umgekehrter Richtung, also ein Beschreiben der Chip-Karte oder des ID-Chips, möglich ist. Hierdurch wird die Sicherheit gegen einen unbefugten Zugriff erhöht. Entsprechend wird bei einem Schreibzugriff auf den Speicher ausschließlich eine Information mittels einer Datei, insbesondere textbasierte Datei, übertragen (und vorzugsweise ein früherer Inhalt überschrieben), ohne dass ein Auslesen einer im Speicher enthaltenen Information möglich ist.
-
In weiterer Ausgestaltung der Erfindung weist die Vorrichtung Programmmittel auf, mittels welcher eine Information, insbesondere ein Passwort, verschlüsselt, vorzugsweise doppelt verschlüsselt und im nicht-flüchtigen Speicher abgespeichert wird und unverschlüsselt ausgegeben werden kann. Durch die Verschlüsselung erhöht sich der Schutz gegen einen unbefugten Zugriff.
-
In weiterer Ausgestaltung der Erfindung weist die Vorrichtung als Ausgabeeinrichtung wenigstens eine Kommunikationsschnittstelle, beispielsweis in Form eines USB-Anschlusses (Typ-A, Typ-B, Micro-B, Typ-C) auf. Hierdurch ist gewährleistet, dass die erfindungsgemäße Vorrichtung an einer sehr großen Anzahl von Geräten verwendet werden kann. Beispielsweise weisen nicht nur Rechner (PC, MAC, Laptop, etc.), sondern auch Tablets, Smartphones, usw. universelle Schnittstellen (heutzutage USB-Schnittstellen) auf.
-
Über eine solche Kommunikationsschnittstelle kann in vorteilhafter Ausgestaltung der Erfindung auch die Stromversorgung der erfindungsgemäßen Vorrichtung erfolgen, so dass die Vorrichtung keine eigene Energiequelle aufweisen muss und dennoch im Sinne der Erfindung autark ausgebildet ist. Die zum Auslesen, Verschlüsseln und Ablegen in den Speicher notwendige Energie kann hierbei von dem Gerät (PC, MAC, Laptop, Tablets, Smartphones, etc.) bezogen werden.
-
In weiterer Ausgestaltung der Erfindung weist die Vorrichtung ein Display auf. In diesem Display kann beispielsweise eine Position des Passworts im Speicher, oder eine andere für einen Benutzer ausreichende Information zur Identifikation eines jeweiligen Passworts angezeigt werden.
-
In vorteilhafter Ausgestaltung der Erfindung kann mittels der Eingabeeinrichtung, vorzugsweise zusätzlich zur ID-Chip-Erkennung, eine Kennung eingegeben werden, so dass nur mittels berechtigter und erkannter Kennung auf die Vorrichtung zugegriffen werden kann.
-
In besonders bevorzugter Ausgestaltung der Erfindung ist die Vorrichtung derart ausgebildet, dass sie für eine Kennwortausgabe eine virtuelle Tastatur, insbesondere eine USB-HID-Tastatur, emuliert. Hierdurch kann auf einer sehr großen Anzahl von Geräten die Passwort-Eingabe an diesen Geräten automatisiert werden, ohne dass eine Passworteingabe noch vom Benutzer an dem jeweiligen Gerät vorgenommen werden muss.
-
Dies erhöht für einen Benutzer zum einen den Komfort und vermindert zudem Fehleingaben. Zum anderen wird hierdurch auch die Sicherheit gegen Missbrauch und unbefugten Zugriff erhöht, da die Übermittlung eines Passworts an da jeweilige Gerät bei dieser Methoden direkt erfolgt und nicht auf einem Display, und damit ungeschützt vor fremden Blicken, angezeigt wird.
-
In besonders bevorzugter Ausgestaltung der Erfindung ist die Vorrichtung derart ausgebildet, dass ein Export des gesamten Speicherinhalts verhindert ist und nur jeweils ein einzelnes Kennwort an die Ausgabeeinrichtung übergeben werden kann. Hierdurch erhöht sich vorteilhafterweise weiter der Schutz gegen Missbrauch und unbefugten Zugriff, insbesondere mittels Hacking eines Exports des Speicherinhalts der Vorrichtung auf die Passwörter eines Benutzers.
-
Weitere vorteilhafte Ausgestaltungen der Erfindung ergeben sich aus den Unteransprüchen.
-
Die Erfindung wird nachfolgend anhand eines in der Zeichnung dargestellten Ausführungsbeispiels näher erläutert.
-
In der einzigen Figur der Zeichnung ist eine erfindungsgemäße Vorrichtung in Form eines sogenannten Offline-Passwort-Safes schematisch als Blockdiagramm dargestellt.
-
Der Offline-Passwort-Safe 1 beinhaltet einen Prozessor 3 und einen nicht-flüchtigen Speicher 5 in Form eines Flashspeichers (beispielsweise EEPROM), der im Prozessor 3 integriert und/oder von diesem baulich getrennt ausgebildet sein kann.
-
Weiterhin umfasst der Passwort-Safe 1 in baulicher Einheit eine RFID-Lesegerät oder Ähnliches, mittels welchem drahtlos und ohne Steckverbindung ein ID-Chip, insbesondere eine RFID-Chip, gelesen werden kann. Das drahtlose Auslesen ist vorzugsweise auf die unmittelbare Umgebung (beispielsweise auf Entfernung von weniger als einem Meter oder wenigen Zentimetern, oder gar direktes Auflegen auf die entsprechende Stelle des Gerätegehäuses des Passwort-Safes) begrenzt, um ein unerwünschtes Abhören durch Unbefugte zu verhindern.
-
Des Weiteren beinhaltet der Passwort Safe 1 ein Display 9, an dem Informationen zur Auswahl eines jeweiligen Passworts bzw. Kennung angezeigt werden können. So kann eine vom Benutzer wählbare Information zur Bezeichnung des jeweiligen Passworts, wie beispielsweise Art oder gar Name des Zugangs („Bank“, „Name der Bank“, „Onlinebanking“, „Name der Anwendung“, etc.) oder auch ein Phantasiebegriff am Display 9 angezeigt werden, wenn das zugehörige Passwort mittels eines manuell betätigbaren Eingabegeräts 11, insbesondere in Form eines Wipptasters, ausgewählt wurde und zur Ausgabe über einen USB-Anschluss 15 emuliert als Tastaturausgabe anliegt.
-
Der Passwort-Safe 1 weist entsprechende Programmmittel auf, so dass er an dem mittels USB Anschluss 15 angeschlossenen Gerät (PC, MAC, Laptop, Tablets, Smartphones, etc.) als Tastatur bzw. als HID-Tastatur-Emulator 19 erkannt wird, so dass das vom Benutzer ausgewählte Passwort an dem Gerät bzw. der darauf laufenden Anwendung als Passworteingabe erkannt wird.
-
Da im Passwort-Safe 1 vorzugsweise kein Benutzername abgespeichert ist, muss der Benutzer seinen Benutzernamen hierzu selbst am Gerät eingeben, wodurch die Sicherheit gegen Missbrauch weiter erhöht wird.
-
Passwörter können zusammen mit den jeweiligen Bezeichnungen im Passwort-Safe abgelegt werden, indem eine entsprechende Datei, vorzugsweise eine Textdatei auf einer SD-Karte (beispielsweise mit einem PC) abgespeichert wird. Die SD-Karte muss zum Beschreiben des Passwort-Safes 1 bzw. dessen Flashspeichers 5 in den SD-Kartenleser 13 eingelegt werden, woraufhin der Passwort-Safe 1 automatisch oder nach Bestätigung am Eingabegerät 11 den Inhalt der SD-Karte, also die Passwörter samt deren Bezeichnungen einliest, verschlüsselt und im Flashspeicher 5 (verschlüsselt) ablegt.
-
Im Flashspeicher 5 vorhandene Informationen (Passwörter und Bezeichnungen) werden bei dem Beschreiben vorzugsweise überschrieben, so dass ein Lesezugriff, insbesondere auf einzelne Adressen des Flashspeichers 5 aus Sicherheitsgründen vermieden werden kann. Der neue Inhalt des Flashspeichers 5 entspricht - allerdings in verschlüsselter Form - damit dem Inhalt der erstellten SD-Karte.
-
Selbstverständlich ist es auch denkbar, in dem Passwort-Safe 1 bzw. dessen Flashspeicher 5 Passwörter und Bezeichnungen auf andere Art, beispielsweise über den USB-Anschluss 15, abzulegen. Allerdings kann durch die Verwendung einer SD-Karte, insbesondere spezielle SD-Karte, die ausschließlich in dem (speziellen) SD-Kartenleser 13 erkannt wird, die Sicherheit gegen Missbrauch und unbefugten Zugriff weiter erhöht werden.
-
Das im Passwort-Safe 1 im Prozessor 3 laufende Programm zu den jeweiligen vorgenannten Aktionen, wie Lesen RFID-Chip, Lesen SD-Karte, Ausgabe eines Passworts über den USB-Anschluss 15, Emulieren einer HID-Tastatur 19, Anzeigen einer ausgewählten Passwortsbezeichnung am Diplay 9, Schreib- und Lesezugriff auf den Flashspeicher 5, etc., ist selbst gegen ein Überschreiben und Auslesen geschützt. Hierzu kann beispielsweise ein Programmierinterface (sofern für die Fertigung erforderlich) nach dem Fertigungsprozess abgeschaltet werden.
-
Ein Zugriff auf dieses Programm ist weder über den RFID-Leser 7, noch über den SD-Kartenleser 13 möglich, da an diesen Lesegeräten kein Schreibzugriff (auf den RFID-Chip oder die SD-Karte) und damit Auslesen des Flashspeichers 15 möglich ist.
-
Auch der im Passwort-Safe 1 beinhaltete USB-Anschluss 15 bietet keinen unerwünschten ungehinderten Zugriff von außen auf den Flashspeicher 5, insbesondere dessen gesamten Inhalt. Über den USB-Anschluss 15 erfolgt ausschließlich eine Ausgabe eines von dem Benutzer über Eingabegerät 11 ausgewählten einzelnen Passworts, sowie vorzugsweise die Stromversorgung des Passwort-Safes 1.
-
Die Übertragungsrichtung der jeweiligen Information ist der Figur mittels Pfeile eindeutig angegeben, wobei die einzige bidirektionale Übertragung zwischen Prozessor 3 bzw. Mikrocontroller und Speicher 5 erfolgt.
-
Mit dem Passwort-Safe nach der Erfindung kann eine Authentifizierung (Login) an beliebigen Geräten oder auch Anlagen erfolgen, die ein hohes Maß an Sicherheit und Schutz gegen unbefugten Zugriff erfordern. Der erfindungsgemäße Passwort-Safe ermöglicht ein hohes Maß an Sicherheit, da sowohl der Passwort-Safe selbst, samt zugehörigem ID-Chip im Besitz des Benutzers sein muss. Entsprechend kann ein Passwort-Safe mit mehreren zugehörigen ID-Chips (RFID), und SD-Karten ausgeliefert werden, die nur mit diesem Passwort-Safe funktionieren bzw. nicht auf einen anderen Passwort-Safe übertragbar sind. Um die Sicherheit zu erhöhen kann auch auf die Möglichkeit eines Anlernens neuer Chips oder Karten verzichtet werden.
-
Weiterhin wird in dem erfindungsgemäßen Passwort-Safe nur das Passwort samt vom Benutzer wählbarer Bezeichnung (oder auch nur Passwortnummer) abgelegt. Eine Ausgabe eines Passworts erfolgt ausschließlich einzeln und vorzugsweise ohne Benutzername, so dass dieser von dem Benutzer in der Anwendung selbst eingegeben werden muss. Hierdurch erhöht sich die Sicherheit gegen unbefugten Zugriff weiter, da der für ein erfolgreiches Anmelden erforderliche Benutzername unbekannt bleibt.
-
Selbst bei Verlust einer Komponente (Passwort Safe oder RFID-Chip) bleiben die Passwörter eines Benutzers gegen einen unbefugten Zugriff sicher.