Dieser Beitrag ist auch verfügbar auf: Englisch, Französisch, Portugiesisch (Brasilien)

Sicherheitsgewährleistung in einer Browser-Umgebung

Dieser Beitrag ist auch verfügbar auf: Englisch, Französisch, Portugiesisch (Brasilien)
Secured form fields in bowser

Sie wissen vielleicht bereits, dass Dashlane momentan von Desktops-Apps auf ein weborientiertes Erlebnis umsteigt, bei dem Benutzer über eine Browser-Erweiterung auf ihre Konten zugreifen können. Wir wussten von Anfang an, dass wir der Einhaltung unserer strengen Sicherheitsstandards hinsichtlich des neuen Dashlane-Erlebnis weiterhin oberste Priorität einräumen müssen. Wir freuen uns darauf, Ihnen in diesem Beitrag zu zeigen, wie wir dies umgesetzt haben. Zudem werden wir einige gängige Missverständnisse über die Sicherheit von Browser-Erweiterungen aufklären.

Zunächst einige grundlegende Zusammenhänge

Je nachdem, wie vertraut Sie mit Software sind, kennen Sie vielleicht bereits die Unterschiede zwischen einer Website, einer Web-App und einer Browser-Erweiterung.

Websites und Webanwendungen stellen Inhalte wie HTML-Dateien, Bilder und Javascript-Dateien über einen Server bereit. Dieser Inhalt wird dann von Ihrem Browser interpretiert und Ihnen in Ihrem Browserfenster angezeigt. Eine Web-App ist eine Art von Website, die über mehr Funktionen und interaktive Elemente verfügt: Während es sich bei Gmail, Twitter, Netflix, Amazon und Kayak um Web-Apps handelt, wird Wired.com beispielsweise gemeinhin als Website bezeichnet.

Im Gegensatz dazu ist eine Browser-Erweiterung eine Anwendung, die Sie in einem Browser Ihrer Wahl installieren, z. B. Chrome, Firefox oder Edge. Browser-Erweiterungen sind den Desktop-Apps sehr ähnlich: Beide werden anhand lokaler Dateien auf Ihrem Computer ausgeführt, anstatt mit Dateien, die von einem Server heruntergeladen werden. Der Hauptunterschied besteht darin, dass Desktop-Apps auf Ihrem Betriebssystem (Windows oder MacOS) installiert sind, wohingegen Erweiterungen direkt in Ihrem Browser installiert und ausgeführt werden. Außerdem werden Erweiterungen von Administratoren des Browser-App-Stores geprüft, um eine zusätzliche Sicherheitsebene zu schaffen.

In der neuen weborientierten Version von Dashlane arbeiten die Erweiterung und die Web-App von Dashlane Hand in Hand, sodass Ihnen das umfassendste und sicherste Erlebnis geboten wird. Die Funktion zum automatischen Ausfüllen wurde dabei ebenfalls deutlich verbessert. Außerdem können Sie weiterhin offline auf Ihren Tresor zugreifen, solange Sie sich zuvor angemeldet und das Gerät autorisiert haben und 2FA nicht für jede Anmeldung aktiviert ist. Der Zugriff auf Ihren Tresor ist einfach: Wählen Sie in Ihrer Erweiterung Mehr aus dem oberen Menü und klicken Sie dann auf App öffnen, oder gehen Sie auf die Website Dashlane.com und klicken Sie auf Anmelden oben rechts. Wenn Sie einen Computer benutzen, auf dem die Erweiterung nicht installiert ist, können Sie sich unter app.dashlane.com anmelden.

Neue Plattform, gleiche Architektur

Diese neue Plattform mag zwar anders aussehen, jedoch ändert sich an der zugrunde liegenden Architektur im Fundament von Dashlane nichts. Insbesondere stehen wir weiterhin voll zu unserem Engagement, eine Zero-Knowledge-Lösung zu bieten. Zero-Knowledge bedeutet, dass nur Sie Zugriff auf Ihre Daten haben, – weder Dashlane noch Hacker können den Inhalt Ihres Kontos sehen. Um dies zu ermöglichen, verschlüsselt Dashlane die Daten lokal auf Ihrem Gerät anstatt auf einem Remote-Server. Das weborientierte Erlebnis folgt weiterhin diesem Ablauf.

Da alle Daten lokal verschlüsselt sind, würden Datenpiraten im unwahrscheinlichen Fall eines erfolgreichen Hackerangriffs auf unseren AWS-Server Zugriff auf Millionen verschlüsselter Dateien erhalten. Der Schlüssel zum Entschlüsseln würde ihnen dabei jedoch fehlen. Zwar ist es möglich, jede verschlüsselte Datei mithilfe der Brute-Force-Methode zu entschlüsseln. Jedoch würde selbst der anspruchsvollste Computer dank unserer Implementierung der AES-256-Verschlüsselung und der Argon-2-Schlüsselableitung Tausende von Jahren dafür benötigen.

Und bitte beachten Sie Folgendes: Wenn Sie lokal verschlüsselte Dienste oder Produkte wie Dashlane oder die beliebte Messaging-App Signal verwenden, sollten Sie Ihr Gerät immer mit einem Passwort, einem PIN-Code oder Biometriefunktionen sperren. Über ein entsperrtes Gerät könnte ein Hacker oder Dieb Zugriff auf sensible Daten erhalten.

Unsere fortlaufende Investition in die Sicherheit

Sicherheit ist Kernbestandteil unseres Produktes, unserer Marke und unserer Unternehmenskultur. Zusätzlich zu den Anstrengungen hinsichtlich neuer Funktionen investieren wir fortlaufend in folgende Bereiche:

Kein Sicherheitssystem ist unfehlbar. Die Sicherheit unserer Kundendaten können wir am besten gewährleisten, indem wir alle potenziellen Risiken erkennen, proaktiv bleiben und Pläne erstellen, mit denen die Auswirkungen von Sicherheitsvorfällen so gering wie möglich gehalten werden. Zwar gab es bei uns noch keinen Sicherheitsvorfall, aber das bedeutet nicht, dass wir nachlässig werden können.

Sie möchten noch mehr über unsere Sicherheitsmaßnahmen erfahren? Lesen Sie unser Whitepaper.