Menü

Daten-Safe SplashID schreddert Passwort-Container

Ein Ausfall der Server des Entwicklers SplashData führte dazu, dass Anwender des Kennwort-Safes SplashID stundenlang nicht mehr auf ihre Passwort-Container zugreifen können. Einige Anwender kommen seitdem überhaupt nicht mehr an ihre Kennwörter heran.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 59 Beiträge
Update
Von

Am 4. Februar fielen beim US-amerikanischen Hersteller SplashData mehrere Server aus, wovon auch auch die Server zur Authentifizierung der Anwender des Kennwort-Safes SplashID betroffen waren. Wer den Datenabgleich über den Cloud-Dienst erledigte, der konnte nach dem Ausfall wieder auf alle Kennwörter zugreifen. SplashData versichert, beim Server-Ausfall seien keine Anwenderdaten verloren gegangen.

Für Anwender, die ihre Daten lokal per WLAN abgleichen, ist dies kein Trost: Sie können seitdem teilweise überhaupt nicht mehr auf ihre Daten zugreifen und auch nicht mehr abgleichen. Dies liegt daran, dass auch die WLAN-Version zur Lizenzüberprüfung auf die Server von SplashData zurückgreift. Wer sich während des Server-Ausfalls in den lokalen Daten-Safe einzuloggen versuchte, hat jetzt ein Problem – die Clients halten sich stur für nicht registriert und verweigern die Mitarbeit. Für betroffene Kunden gibt es derzeit keine Abhilfe.

Der Benutzername "null" bezieht sich auf die Chancen des Anwenders, seine in SplashID Safe gespeicherten Kennwörter wiederzusehen.

In der Redaktion war zu beobachten, wie ein Windows-Client bei der Anmeldung nur noch den Benutzernamen "null" anzeigte und nach Eingabe des Kennworts direkt abstürzte. Normalerweise zeigt SplashID Safe die Mail-Adresse des Anwenders als Benutzername an. Ein betroffener Android-Client zeigte ebenfalls nur noch "null" als Mail-Adresse an und in den Einstellungen etwas paradox sowohl "Not Licensed" als auch "Licensed User". In diesem Zustand verweigert die App den Datenabgleich komplett – die Kennwörter sind im Smartphone gefangen.

Es ist schwer abzusehen, wie viele Anwender von diesem Problem betroffen sind: SplashData hat seine Anwenderforen geschlossen und die Antworten des Supports sind, freundlich formuliert, wenig erleuchtend.

So bleibt betroffenen Desktop-Anwendern nur, das Datenverzeichnis von SplashID umzubenennen (%USERPROFILE%\Documents\SplashData\SplashID\), etwa in SplashID.old, den Client neu zu starten und dann eine der unter %USERPROFILE%\Documents\SplashData\SplashID.old\Backup angelegten automatischen Sicherungen zu importieren. Zwischen dem letzten automatischen Backup und dem Absturz des Clients angelegte Datensätze sind damit verloren.

[Update] Anwender der Android-App müssen die App komplett vom Smartphone deinstallieren, die App dann neu herunterladen und sich wieder mit ihrem Kontonamen anmelden. Die zuvor auf dem Gerät gespeicherten Datensätze lassen sich nicht lokal wiederherstellen; sie müssen durch einen Abgleich mit dem PC wiederhergestellt werden. [/Update]

Der Daten-GAU bei SplashData unterstreicht einmal mehr, warum Kennwort-Safes sensiblen Kennwörtern nicht die Sicherheit bieten, die man sich wünscht. Bei SplashID kommt noch hinzu, dass das lokal verwendete Kennwort zugleich als Login bei den SplashData-Servern zum Einsatz kommt. Potenziell besitzt der Safe-Hersteller damit stets auch den Schlüssel zu den privaten Kennwörtern seiner Anwender.

Der Kennwort-Safe SplashID ist nicht zuletzt aufgrund seiner plattformübergreifenden Verfügbarkeit weit verbreitet. Derzeit wird die Software für Android, BlackBerry, iOS, Mac OS X, Windows und Windows Phone angeboten. Zu den Besonderheiten von SplashID Safe gehört, dass der Anwender seine Kennwörter auf allen Clients bearbeiten und synchronisieren kann – wahlweise per WLAN oder über einen kostenpflichtigen Cloud-Dienst. Die Cloud-Funktion kostet monatlich 2 US-Dollar beziehungsweise jährlich 20 US-Dollar. Eine auf WLAN-Synchronisierung beschränkte Lizenz kostet hingegen einmalig 10 US-Dollar.

[Update vom 7.2.2014, 20 Uhr, um klarzustellen, dass sich die Daten auf dem Android-Safe entgegen vorheriger Aussagen nicht lokal wiederherstellen lassen.] (ghi)