Master Password für Android ist wieder da

Eine geniale Idee steckt hinter dem kleinen Programm Master Password: Aus einem einzigen Passwort generiert die Software individuelle Passwörter für unterschiedliche Webseiten – der Nutzer muss sich nur ein einziges "Master Password" merken. Und im Unterschied zu üblichen Passwort-Tresoren speichert Master Password kein einziges Passwort, auch nicht in der Cloud. Die kostenlose Anwendung gibt es seit Jahren für iOS sowie Desktop-Betriebssysteme. Dank David Kunzler gibt es zudem eine Version für Android bis Version 12 – und jetzt auch über Google Play für Android 13, reklamefrei.

Der Trick hinter Master Password: Das Programm berechnet die Passwörter bei jedem Aufruf neu. Das hat gleich mehrere Vorteile: Es gibt keinen zentralen Passwort-Container mehr, der in die falschen Hände geraten könnte. Wer mehrere Geräte nutzt, benötigt keine Cloud-Anbindung und muss sich auch sonst nicht um die Synchronisation des Containers kümmern. Mit dem Hauptpasswort kann man das für einen bestimmten Dienst gewünschte Passwort jederzeit und überall neu generieren, offline.

So funktioniert Master Password

Dazu nimmt die App das beim Aufruf eingegebene Master-Passwort samt Nutzernamen, berechnet daraus einen sehr langen Schlüssel, und kombiniert den mit dem vom Anwender vorgegebenen Dienst-Namen, um daraus ein einmaliges, nahezu unknackbares Passwort für diesen Dienst zu erstellen. So kann man eigene Passwörter für Bankkonten, Soziale Netzwerke, Online-Shops und so weiter nutzen und muss sich trotzdem nur eines merken: das Master-Passwort.

Zudem kann der Anwender für jeden Dienst einzeln auswählen, wie komplex das Passwort sein soll, von vierstelligen Nummern für Bankkarten bis zu ziemlich langen Ketten aus Buchstaben, Ziffern und Sonderzeichen. Auch an den Fall, dass einer der Dienste gehackt und das dort genutzte Passwort kompromittiert wird, hat der kanadische Gründer des Systems, Maarten Billemont, gedacht: Bei Master Password kann man für jeden Dienst separat einen Zähler hochsetzen, der ebenfalls in den Algorithmus einfließt. Dann wird ein völlig neues Passwort errechnet.

Die App merkt sich nur die Namen der Dienste, für die man Passwörter erstellt hat und, optional, den zugehörigen Benutzernamen. Sollte sich ein Angreifer Zugriff zum Programm verschaffen, fände er wenig Brauchbares. Zwar gibt es da eine Liste jener Konten, für die sich der User ein Passwort berechnet hat, aber kein einziges gespeichertes Passwort. Umgekehrt kann ein Angreifer die App mit jedem beliebigen Master Password aufrufen – nur sind die dann berechneten Passwörter ebenso beliebig und damit nutzlos. Wer das richtige Master-Passwort nicht kennt, hat nichts von einem Einbruch in eine fremde Master-Password-Installation.

Master Password und Spectre

2010 hat Billemont mit der Entwicklung begonnen, weil ihn seine vielen Passwörter genervt haben. Die erste Version hieß noch One Passsword und kam 2012 heraus, seit Juni 2012 ist Master Password im Apple Play Store verfügbar. 2021 hat Billemont eine neu programmierte Version namens Spectre hinzugefügt. Der Source Code ist weiterhin Open Source (GNU GLPv3), der öffentlich dokumentierte Algorithmus ist rückwärtskompatibel zu Master Password.

Der deutsche Entwickler David Kunzler hat Master Password schon vor Jahren auf Android portiert. Mit Android 13 hat Google allerdings neue Anforderungen an Software, die über Google Play vertrieben wird, eingeführt; daher war die App für neuere Geräte einige Zeit nicht verfügbar. Seit wenigen Tagen liegt die werbefreie Master Password App in Google Play nun in Version 1.14 vor, die auch mit Android 13 funktioniert. Wer Kunzlers Arbeit unterstützen möchte, kann ihm eine Spende zukommen lassen.

Master Password/Spectre Implementierungen gibt es außerdem für macOS, Linux, BSD, Unix, sowie Windows, sei es als Java-Applet, als in C geschriebenes Programm für die Konsole oder als HTML+Javascript für den Browser. Daher kann man die Funktionsweise auf einer Webseite ausprobieren.

(ds)