Passwort-Container durch Daten-Safe SplashID geschreddert
Der Server-Ausfall der Entwicklungsfirma SplashData hat dazu geführt, dass User des Kennwort-Safes SplashID einige Stunden lang nicht auf ihre Kennwort-Container zugreifen konnten. Diverse User kamen seitdem gar nicht mehr an ihre persönlichen Zugangsdaten.
Der 4. Februar war für den US-amerikanischen Hersteller SplashData ein schwarzer Tag, denn gleich mehrere seiner Server fielen aus, wodurch dann die Server zur Anwender-Authentifizierung des Kennwort-Safes SplashID auch unbrauchbar waren. Auf seine Kennwörter zugreifen konnten nur Diejenigen, die nach dem Ausfall ihren Datenabgleich über einen Cloud-Dienst vornahmen. Das Unternehmen versicherte, dass beim Ausfall des Servers keine User-Daten verloren wurden.
Für User, die Daten jeweils lokal via WLAN abgleichen, ist dies leider nicht wirklich beruhigend: Teilweise können sie nun gar nicht mehr an ihre Zugangs-Daten kommen oder sie abgleichen. Der Grund hierfür ist, dass die jeweilige WLAN-Version ebenfalls zur Überprüfung der Lizenz auf die betroffenen Server zugreift. Insbesondere diejenigen, die sich im Moment des Server-Ausfalls einzuloggen versucht haben in den lokalen Daten-Safe, sind nun in einem Dilemma – die Clients verweigern die Arbeit und bestehen darauf, dass keine Registrierung vorhanden ist. Eine Abhilfe gibt es derzeit nicht für betroffene Kunden.
„Null“ ist die Bezeichnung des Usernamens und bezieht sich dann darauf, dass er keine Chance hat, seine im Safe befindlichen Passwörter je wieder zu sehen. Es war zu sehen, wie ein Windows-Client mit der „null“ in der Redaktion sofort abstürzte nach Eingabe des Passworts. Im Normalfall wird die Mail-Adresse des Anwenders in der SplashID als Benutzername angezeigt. Auch die betroffenen Android-Clients zeigten alle ebenfalls nur noch die „null“ an und zusätzlich in den Einstellungen seltsamerweise gleichzeitig „Not Licensed“ und „Licensed User“. Ein Datenabgleich wird durch die App dann rundum verweigert und die Passwörter sind in den Smartphones eingeschlossen.
Die Anzahl der User, die dieses Problem haben ist nicht bekannt. Das Unternehmen hat als Maßnahmen die Anwenderforen abgeschaltet und leider die Support-Antworten nur freundlich formuliert.
Hilfe für User: Den Desktop-Usern bleibt nur, das eigentliche Datenverzeichnis der SplashID (%USERPROFILE%\Documents\SplashData\SplashID\) zum Beispiel in SplashID.old umzubenennen und dann den Client neu zu booten um daraufhin eine automatisch angelegte Sicherungen zu importieren der unter %USERPROFILE%\Documents\SplashData\SplashID.old\Backup. Nur die Datensätze sind verloren, die zwischen dem letzten Auto-Backup und dem Client-Absturz angelegt wurden.
User des Android-Apps müssen die App ganz neu aufspielen nach Deinstallation und sich daran anschließend mit ihrem Anwendernamen anmelden. Die zuvor auf dem Gerät gespeicherten Datensätze lassen sich nicht lokal wiederherstellen; sie müssen durch einen Abgleich mit dem PC wiederhergestellt werden.
Dieses Daten-Fiasko bei SplashData bestätigt wieder einmal, weshalb Passwort-Safes wichtigen Zugangscodes nicht die erwünschte hohe Sicherheit bieten. Hinzukommt bei SplashID noch, dass das lokale Passwort gleichzeitig auch Log-in zu den SplashData-Servern ist. Im Prinzip hat Safe-Provider auch immer den Schlüssel zu den privaten Zugangscodes seiner User.
Ein Safe für Plattform-Vielfalt: Der Passwort-Safe SplashID ist auch aus dem Grund so populär und verbreitet, weil er plattformübergreifend verfügbar ist. Die Software wird momentan für BlackBerry, Android, iOS, Mac OS X, Windows sowie Windows Phone angeboten. SplashID Safe hat die Besonderheit, dass seine User die Passwörter in allen Clients bearbeiten und synchronisieren können – ob via WLAN oder kostenpflichtige Cloud-Dienste. Die Kosten für eine Cloud-Funktion liegen bei etwa 2 US-Dollar monatlich oder 20 US-Dollar jährlich. Für eine Lizenz, die lediglich auf WLAN-Synchronisierung beschränkt ist, liegt im Vergleich bei einer Einmalgebühr von 10 US-Dollar.
Artikel von heise.de, 06.02.2014: Daten-Safe SplashID schreddert Passwort-Container