Illustration: Albert Hulm

Funkey

Passwortmanager unter Android mit NFC aufschließen

Ob als Plastikkarte im Portemonnaie, als Anhänger am Schlüsselbund oder als Implantat unter der Haut – NFC-Chips bieten eine Alternative zu Passwörtern zum Öffnen von Passwortdatenbanken. Wir stellen drei Varianten vor, die Drahtlostechnik unter Android als Master-Schlüssel einzusetzen.

Von Julius Beineke

Mit physischen Schlüsseln in der Hosentasche den Passwortmanager aufschließen – verlockend, denn die kann niemand übers Internet klauen. NFC-Technik machts möglich und steckt in Karten, Aufklebern, Ringen, Implantaten und anderen Gadgets.

Verwaltet man Passwörter in Passwortmanagern, sind deren Master-Schlüssel sprichwörtlich Gold wert. Landen sie in den Händen Dritter, haben die potenziell Zugriff auf Unmengen sensibler Daten – vor allem, falls die Datenbankdatei in einer potenziell ebenfalls angreifbaren Cloud liegt. Umso wichtiger ist es, dass der Passwortmanager-Zugang besonders sicher ist. Das Master-Passwort muss schwer zu klauen, aber gleichzeitig auch gut zu merken sein.

NFC-Technik macht komplexe Passwörter zum Kinderspiel. Einfach den passenden NFC-Chip zum Login-Zeitpunkt ans Smartphone halten, dieses liest den darauf gespeicherten Schlüssel aus und entsperrt die entsprechende Passwort-Datenbank. Dafür braucht man nur ein paar Apps, ein NFC-fähiges Android-Smartphone sowie einen NFC-Chip.

Am simpelsten ist die App NFC Passwort Safe. Sie ist ein klassischer Passwortmanager für Android – den man allerdings statt Passwort mit NFC entschlüsselt. Als Schlüssel dient die Seriennummer (UID) des NFC-Chips (siehe Kasten auf S. 149).

Zum Kasten: NFC Passwort Safe

Lösung Nummer zwei: Nutzer des beliebten Passwortmanagers KeePassDroid installieren die App KeePassNFC, um den Manager mit NFC zu starten und zu entsperren. Der Befehl dafür wird im Datenbereich des NFC-Chips gespeichert. Daher muss der verwendete Chip beschreibbar sein (siehe Kasten auf S. 151).

Die dritte NFC-Sicherheitslösung nutzt die Zwischenablage des Smartphone-Speichers und lässt sich unabhängig vom verwendeten Manager und auch für andere Passworteingaben einsetzen. Dabei helfen die Apps NFC to Clipboard oder Tag to Clipboard.

NFC in vielen Formen

NFC-Chips sind klein, flach, günstig, und stecken in verschiedensten Gadgets. Ihr Grundaufbau ist immer gleich: Ein Mikrochip ist mit einer Spule verbunden, die als Antenne fungiert und für die Stromversorgung per Induktion zuständig ist. In Lesegeräten wie NFC-fähigen Smartphones erzeugt eine Spule ein Magnetfeld, das den NFC-Chip durch Induktion kabellos mit Energie versorgt, solange er in der Nähe der Spule ist. Die maximale Reichweite liegt zwischen zwei und vier Zentimetern. Daten fließen dann ausschließlich zwischen Chip und Lesegerät.

V. r.: NFC-Chip als Armband, Schlüsselanhänger/Dongle (hier ein Yubikey), Smartcard und als Implantat.

In einer ihrer simpelsten Formen stecken die Chips mitsamt Antenne in Plastikkarten – auch Smartcards genannt –, wie man sie von Personalausweis, Bankkarte oder Schlüsselkarte für Türmechanismen kennt. In kleinerer Ausführung lassen sich die Chips auch in passenden Armbändern verstauen und am Handgelenk tragen. Einige Banken bieten ihre EC-Karten in diesem Format an, um kontaktloses Bezahlen zu erleichtern.

Ähnlich simpel sind NFC-Tags – dünne Aufkleber, in denen die Chips stecken. Einmal beschrieben lassen sie sich, auch unauffällig, nahezu überall anbringen. So klebt man seinen NFC-Passwort-Schlüssel etwa im Büro unter den Schreibtisch. Die NFC-Sticker bekommt man für schmales Geld in vielen Online-Shops.

Weitere Varianten sind NFC-Anhänger für den Schlüsselbund oder Ringe mit integriertem Chip – die trägt man stets am Finger und so auch meist direkt in Smartphone-Nähe. Darüber hinaus gibt es auch speziell für Sicherheitszwecke konzipierte Gadgets wie den Yubikey NEO von Yubico, der zusätzliche Security-Features mitbringt. Das kleine Plastik-Dongle schließt per USB auch digitale Schlösser am PC oder Laptop auf [1].

Die ungewöhnlichste, aber wohl sicherste Variante, einen NFC-Chip bei sich zu tragen, ist als Implantat unter der Haut. Dieses kann man schließlich weder vergessen noch verlieren. Anbieter wie Digiwell oder I am Robot verkaufen in Deutschland Chip-Implantate verschiedener Machart. Man lässt sie sich von den Anbietern oder von professionellen Piercern unter die Haut setzen – oder man greift selbst zur Nadel, vorausgesetzt man ist kundig und mutig. Steckt das Implantat beispielsweise in der Hand, funktioniert der Chip dort genauso wie in anderen Gadgets – kann aber nicht ohne drastische Maßnahmen geklaut werden [2].

Modelle und Technik

Die verschiedenen Gadgets gibt es wiederum mit unterschiedlichen NFC-Chips. Deren Modellbezeichnung und Länge der UID ist üblicherweise bei NFC-Produkten in Shops angegeben, sodass man gezielt danach suchen kann. Manche Chip-Modelle haben allerdings nur vier Byte lange UIDs. Die nimmt man aus Sicherheitsgründen lieber nicht und achtet beim Kauf darauf, dass die UID stattdessen sieben Byte lang ist. Achtung: Gerade Personalausweis und viele Bankkarten eigenen sich aufgrund wechselnder UIDs und nicht beschreibbarem Speicher nicht als NFC-Schlüssel.

Wir empfehlen Chips vom Typ NTAG213, NTAG215 oder NTAG216 des Herstellers NXP. Sie sind weit verbreitet, günstig und leicht zu bedienen. Die drei Modelle unterscheiden sich nur beim internen Speicherplatz. Im Folgenden benutzen wir beispielhaft einen NTAG216.

Sein Dateisystem liegt auf einem 888 Byte großen Speicher, von denen 868 Byte beschreibbar sind, der Rest eine Read-Only-Sektion ist. Hier ist unter anderem die sieben Byte lange UID gespeichert, die viele NFC-Anwendungen zur Chip-Identifikation und Authentifizierung nutzen.

Auf der beschreibbaren Sektion finden diverse Daten wie URLs, vCards, App-Launch-Befehle, Klartext und mehr Platz. Jeden Eintrag muss man als einzelnen Datensatz anlegen. Zwar lassen sich mehrere davon auf einem Chip speichern, die NFC-Passwortmanager-Apps greifen aber standardmäßig nur auf den ersten zu.

Um nachträgliche Veränderung der gespeicherten Daten zu verhindern, sichert man sie mit einem 32-Bit-Schlüssel. Das Passwort zum Erzeugen dieses Schlüssels muss man dann bei jedem Schreibzugriff eingeben.

Alternativ kann man den Schreibzugriff auch gänzlich und unwiderruflich sperren. Das ist sinnvoll, wenn man Smartcards oder NFC-Sticker ausschließlich als Passwort-Schlüssel nutzt. Nicht zu empfehlen ist eine Dauersperrung bei Implantaten oder anderen NFC-Gadgets, die man langfristig und für verschiedene Anwendungen nutzen möchte.

Sicherheitsbedenken

Viele Gruselgeschichten um NFC sind übertrieben. Zum Beispiel ist die GPS-Verfolgung von NFC-Chips nicht möglich. Lesegeräte verzeichnen allerdings typischerweise alle Interaktionen mit Chips im System. NFC-Zugangs- oder kontaktlose Bezahlsysteme loggen, wann welche UID erfasst wurde. Hieraus lassen sich Rückschlüsse auf die Gewohnheiten und Bewegungen des Chip-Besitzers ziehen. Mit Zugriff auf die Systeme hinter dem jeweiligen Lesegerät ließe sich so auch die UID eines bestimmten Chips herausfinden. UIDs von anderweitig genutzten Chips als Master-Schlüssel für einen Passwortmanager zu verwenden, ist also relativ unsicher.

Während sich der Schreibzugriff per Passwort sichern lässt, ist der Lesezugriff nicht einschränkbar. Wer mit einem NFC-Reader lange genug in Lesereichweite zum Chip kommt oder diesen dem Besitzer klaut – ihm etwa Smartcard oder Schlüsselanhänger entwendet –, kommt an die gespeicherten Daten. Je nachdem, wie sensibel diese sind und welche Passwort-Safe-Methode man verwendet, kann das gefährlich werden. Hat der Dieb zusätzlich Zugang zum Smartphone des Anwenders, kann er digitalen Schlüssel und Schloss zusammenführen und somit den Passwort-Safe öffnen.

Zum Kasten: KeePassDroid + KeePassNFC

Da NFC der Cybersecurity eine physische Komponente verpasst, muss man auf diese im Offline-Leben achten wie auf jeden klassischen Schlüssel. Um das unbemerkte Auslesen von beispielsweise Smartcards zu verhindern, gibt es Sicherheitskarten, die Magnetfelder und solche Zugriffe abblocken. Man steckt sie einfach neben die sensiblen Karten ins Portemonnaie. Als Implantat unter der Haut sind NFC-Chips sicher am besten geschützt. NFC-Aufkleber mit sensiblen Daten sind besser nicht öffentlich zugänglich.

Master-Passwort per NFC

Ist der richtige Chip im Haus, nutzt man ihn mit einfachen Mitteln als eines von zwei Puzzleteilen für ein schwer zu klauendes Master-Passwort. Der Chip muss dazu nicht zwingend beschreibbar sein, die UID reicht aus. Für diese Methode installiert man zuerst die kostenlose App Tag to Clipboard sowie den gewünschten Passwortmanager. Wir haben die Lösung mit Dashlane, KeePassDroid, Keepass2Android und 1Password ausprobiert. Letzteren benutzen wir im Folgenden beispielhaft.

Puzzleteil auf NFC

Hat man die nötigen Apps installiert, kommt der erste Teil des Passwort-Puzzles: Ein komplexes, langes Passwort muss her. Hier bietet sich die UID eines NFC-Chips an. Tag to Clipboard legt deren hexadezimale Kodierung in die Zwischenablage. Ist die UID sieben Byte lang, hat man ohne zusätzlichen Aufwand ein vierzehnstelliges Passwort aus Ziffern und den Buchstaben A bis F an der Hand. Dieses lässt sich jedoch nicht verändern und wird auch von anderen Lesegeräten geloggt, an denen man den Chip nutzt (siehe S. 150).

Uns ist das zu unsicher und wir möchten stattdessen ein wechselbares, komplexeres Passwort-Puzzleteil benutzen. Mit etwas mehr Aufwand geht das ebenfalls. Hierfür benötigt man einen beschreibbaren Chip sowie die Apps NFC Tools und NFC to Clipboard.

Viele Passwortmanager bieten eine Generator-Funktion an. Da sich dieses Passwort niemand merken muss oder können soll, gilt: je länger und komplexer, umso besser. 1Password generierte für uns „ILLBqfkTUhF9n3R“. Dieses Passwort-Puzzleteil speichern wir mithilfe von NFC Tools als Klartext auf dem NFC-Chip. In der App wählt man dazu im Schreiben-Reiter „Datensatz hinzufügen“ an. Ein Tipp auf die folgende erste Zeile „Text“ erlaubt die Eingabe von Klartext. Hier kommt nun – getippt oder reinkopiert – das generierte Passwort hinein. Nach der Bestätigung erscheint der „Schreiben“-Button im gleichnamigen Reiter. Ist der angetippt, hält man den NFC Chip ans Smartphone. Sobald die App „Schreiben erfolgreich!“ verkündet, ist der NFC-Passwort-Schlüssel fertig.

Puzzleteil im Kopf

Als zweites Puzzleteil muss nun ein weiteres Passwort her. Dieses sollte wiederum leicht zu merken und nirgends aufgeschrieben oder gespeichert sein. In unserem Beispiel lautet es „Sternzeit:“ – inklusive Doppelpunkt. Dass es simpel zu merken und zu knacken ist, ist in diesem Fall irrelevant, da es nie alleinstehend verwendet wird.

Passwort zusammenpuzzeln

Damit der Trick funktioniert, muss man zuerst das Master-Passwort des gewählten Passwortmanagers ändern – auf eine Kombination aus „Sternzeit:“ und der UID des NFC-Chips. Wir verwenden statt der UID lieber unseren selbst generierten, komplexen Schlüssel. Unser Master-Passwort ist also „Sternzeit:ILLBqfkTUhF9n3R“.

Ein zufällig generierter Passwort-Schlüssel wird als Klartext auf einen NFC-Chip geschrieben.

Hält man den Chip ans Smartphone, landet der gespeicherte Schlüssel in der Zwischenablage.

Im Manager fügt man das Passwort zusammen: den simplen Teil eintippen, den komplexen einfügen.

Im Falle von 1Password – das es außer als App auch als Browser- und Desktop-Versionen gibt – ändert man das Master-Passwort über das Web-Interface. Achtung: Nutzt man einen Passwortmanager, der alle Geräte über die Cloud synchronisiert, muss man ab jetzt an allen anderen Zugängen ebenfalls die komplexe Passwort-Kombo händisch eintippen – oder einen NFC-Reader für Desktop-Rechner oder ein USB-Dongle wie den Yubikey beschaffen.

Ist das Master-Passwort geändert, steht der Rahmen des Puzzles. Wann immer man nun an seine Passwörter heran möchte, öffnet man den Manager und gibt als Erstes das simple Puzzleteil aus dem Gedächtnis ein: „Sternzeit:“.

Nutzt man die UID als zweites Puzzleteil, startet man Tag to Clipboard und hält den NFC-Chip an den NFC-Reader des Smartphones. Die App kopiert die UID flugs in die Zwischenablage. Jetzt muss man sie nur noch per Kontextmenü an der korrekten Stelle im Passwort-Dialog einfügen und bestätigen.

Hat man wie wir das zweite Puzzleteil als Klartext auf dem Chip gespeichert, nutzt man stattdessen NFC to Clipboard. Die App muss nach der Installation nicht separat gestartet werden und läuft im Hintergrund. Sie greift immer dann ein, wenn keine andere App gerade NFC benutzt. Hält man den Chip ans Smartphone, sieht es kurz so aus, als würde eine Anwendung starten, dann ist die Bestätigung zu lesen – in unserem Fall „Copied: ILLBqfkTUhF9n3R“. Das Passwort-Puzzleteil liegt nun in der Zwischenablage und lässt sich an der gewünschten Stelle einfügen.

Damit der wirklich sensible Teil des Master-Passworts – der komplexe Schlüssel – nicht in der Zwischenablage bleibt und von dort zugänglich ist, weist man 1Passwort in den Sicherheitseinstellungen an, die Zwischenablage in definierbaren Zeitintervallen zu löschen. Andere Apps bieten ähnliche Funktionen, und man sollte sie nutzen. (jube@ct.de)

Apps im Play Store:ct.de/yf3h

NFC Passwort Safe

NFC Passwort Safe entsperrt man mit einem NFC-Chip am Smartphone – etwa per Implantat in der Hand.

Im Kern ist NFC Passwort Safe ein schlichter Android-Passwortmanager ohne Cloud-Anbindung. Die kostenlose App bringt einen ähnlichen Funktionsumfang mit wie andere Vertreter der Gattung: Passwort-Verwaltung, einen Generator zum Erstellen zufälliger Passwörter unterschiedlicher Länge, Unterkategorien zum Sortieren der Einträge, Backup-Dateien-Export und Import sowie Benutzernamen und Notizen, die man zusammen mit Passwörtern hinterlegen kann. Hinzu kommt ein Mechanismus zum automatischen Sperren der App nach einem wählbaren Zeitraum.

Die Besonderheit von NFC Passwort Safe ist der Zugangsmechanismus. Beim ersten Starten der App muss man mit dem Smartphone einen NFC-Chip scannen, dessen UID anschließend als Schlüssel fungiert und mit einem Manager-Profil verknüpft ist. Aus Sicherheitsgründen sollte man Chips mit sieben Byte langer UID nutzen. Man muss und kann diese nirgends händisch eingeben. Selbst wenn jemand die UID des Schlüssel-Chips herausfindet, kann er sie nicht eingeben, um den Safe zu öffnen.

Möchte man einen zweiten Authentifizierung-Faktor einbringen, vergibt man zusätzlich eine vierstellige PIN. Deren Eingabe wird dann bei jedem Freischalt-Scan fällig. Außerdem lassen sich bis zu zwei Backup-NFC-Tags hinterlegen.

Praktisch ist, dass NFC Passwort Safe ausschließlich mit der UID des NFC-Chips arbeitet. Daher muss man auf dem Chip keine weiteren Daten speichern, um ihn mit der App zu verwenden – er muss nicht mal einen beschreibbaren Speicher haben.

KeePassDroid + KeePassNFC

Speicherpfad, Keyfile und Master-Passwort muss man in KeePassNFC eingeben.

Anwender des populären Android-Passwortmanagers KeePassDroid können ihn mit NFC-Funktionalität aufrüsten: KeePassNFC machts möglich.

Die kostenlose App aus dem Google Play Store fungiert als Launcher für KeePassDroid. In der App muss die gewünschte Datenbankdatei verknüpft werden. Dazu wählt man den Speicherpfad der Datenbankdatei im Dateisystem aus und gibt anschließend deren Master-Passwort ein. Wahlweise weist man die App an, trotz NFC bei jedem Öffnen der Datenbank nach dem Passwort zu fragen. Verwendet man zusätzlich eine Schlüsseldatei, gibt man deren Speicherpfad ebenfalls an.

Dann schreibt KeePassNFC einen Launch-Befehl für KeePassDroid auf den NFC-Chip. Die sensiblen Daten selbst (Pfad und Passwort) bleiben verschlüsselt auf dem Android-Gerät und werden nicht auf dem Chip gespeichert. Nun reicht ein Scan des NFC-Chips mit dem Smartphone für das direkte Öffnen von KeePassDroid und der verknüpften Passwort-Datenbank.

Verschiebt man die Datenbankdatei im Dateisystem des Smartphones, ändert man das Master-Passwort oder die Schlüsseldatei, muss man die Änderung auch per KeePassNFC auf dem NFC-Chip nachtragen. Den so beschriebenen Chip kann man ansonsten nur noch für NFC-Apps benutzen, die ausschließlich mit der UID des Chips arbeiten, da der erste Datensatz von KeePassNFC belegt ist.

Nutzt man auch die Desktop-Variante von KeePass und synchronisiert sie via Cloud mit der Android-Version, hat KeePassNFC einen weiteren Vorteil: Das Master-Passwort muss nicht unbedingt komplex und schwer zu merken sein, da es nicht vom NFC-Chip geklaut werden kann. Man kann eins benutzen, das auch am PC komfortabel einzugeben ist.