WQR
Sicherheit

Server als Schild

Diese Seite erklärt die Rolle unseres Servers in klarer Sprache: was er kann, was er nicht kann, warum es diesen Tradeoff gibt, und was in Worst-Case-Szenarien passiert.

01

Server als Schild

WQR nutzt den Server als Sicherheits-Schicht – nicht als Tresor-Speicher.

WQR nutzt den Server als Sicherheits-Schicht – nicht als Ort, an dem dein Tresor gespeichert wird.

Die meisten Passwort-Manager wählen eins von zwei Extremen:

  • Nur offline entsperren: super unabhängig und privat – aber wenn jemand deine Tresor-Dateien stiehlt/kopiert, kann er Passwörter offline mit voller Geschwindigkeit ausprobieren.
  • Cloud-Tresor-Speicherung: bequemes Sync – aber du vertraust einer Cloud-Vault-Datenbank (ein großes Ziel) eine Kopie deines verschlüsselten Tresors an.

WQR geht einen anderen Weg:

  • Dein Tresor bleibt auf deinem Gerät (als verschlüsselte WQR-Code-Dateien gespeichert).
  • Entsperren ist online geschützt (server-gated), dadurch wird großflächiges Offline-Brute-Forcing blockiert.
  • Klartext verlässt dein Gerät nie.

Dieses Design hat ein Ziel: Risiko reduzieren, wenn Dinge schiefgehen (gestohlene Dateien, kopierte Backups, Malware mit Offline-Versuchen) – ohne deinen Tresor zu „den gespeicherten Daten von jemand anderem“ zu machen.

02

Warum es das Server-Schild gibt

Weil Offline-Brute-Force das Worst-Case-Szenario ist, wenn Tresor-Dateien leaken.

Wenn ein Passwort-Manager komplett offline ist, kann eine geleakte Tresor-Datei offline mit voller Geschwindigkeit angegriffen werden. Angreifer müssen mit niemandem reden – sie raten so schnell, wie ihre Hardware es erlaubt.

WQR macht das Entsperren bewusst zu einem server-gated Schritt. Das heißt: ein kopierter Tresor kann nicht im großen Stil brute-forced werden, ohne durch das Online-Gate zu gehen.

Das ermöglicht ein paar praktische Abwehrmaßnahmen:

  • Rate Limits, die Raten dramatisch verlangsamen
  • Missbrauchserkennung, die automatisierte Muster stoppen kann
  • Ein Notfall-Lockdown-Schalter bei echten Incidents

Und die Kernregel bleibt: der Server bekommt trotzdem keinen Klartext, und dein Master-Passwort verlässt dein Gerät weiterhin nie.

03

Was der Server KANN

Das sind die Schutzmechanismen, die der Server hinzufügt – ohne deinen Klartext zu brauchen.

1) Entsperrversuche rate-limitieren

Der Server kann wiederholte Entsperrversuche verlangsamen oder blockieren. Das macht Brute-Force-Angriffe drastisch härter, weil Angreifer nicht unbegrenzt mit voller Geschwindigkeit raten können.

2) Missbrauchsmuster erkennen

Der Server kann verdächtige Request-Muster erkennen (zum Beispiel automatisierte Retries von vielen IPs) und sie schnell stoppen.

3) Notfall-Shutdown / Lock-down

Wenn etwas seltsam aussieht, können wir das Entsperren temporär blockieren. Das ist nervig – aber es blockiert Angreifer auch. Ein echter Sicherheitsschalter für echte Incidents.

4) Server-seitiges Härtungs-Secret (Pepper) rotieren

Wenn wir vermuten, dass ein serverseitiges Secret exponiert sein könnte, können wir es schnell rotieren, um den Incident einzudämmen und den Angreifervorteil zu reduzieren.

5) Server-unterstützte Härtung (Unseal-Schritt)

Das Entsperren erfordert einen Server-Schritt, der offline nicht ausführbar ist. Wenn jemand deine Tresor-Dateien stiehlt, kann er den Unlock-Flow ohne Server trotzdem nicht abschließen.

6) Nur die minimal nötige Antwort zurückgeben

Der Job des Servers ist, nur das zurückzugeben, was das Gerät braucht, um die Entschlüsselung lokal fortzusetzen – und nur für die Dauer dieses Requests.

7) Kein Tresor-Storage

Wir speichern deinen Tresor nicht auf unseren Servern. Es gibt keine Cloud-Tresor-Datenbank, die irgendwo herumliegt und darauf wartet, kopiert zu werden.

04

Was der Server NICHT kann

Klare Grenzen: es gibt Dinge, die wir absichtlich nicht können.

Kann deine Passwörter nicht lesen

Kein Klartext wird an den Server gesendet.

Kann dein Master-Passwort nicht wiederherstellen

Dein Master-Passwort verlässt dein Gerät nie.

Kann deinen Tresor nicht allein rekonstruieren

Deine Tresor-Dateien liegen lokal, nicht serverseitig.

Kann deine Secrets nicht exportieren

Der Server besitzt keinen Klartext, also kann er deine entschlüsselten Secrets nicht exportieren.

Kann deine Secrets nicht für dich zurücksetzen

Wenn du deine Master-Passwörter verlierst, können wir deine Secrets nicht wiederherstellen. (Wir können dir bei Account-Zugang und Support helfen, aber wir können Verschlüsselung nicht rückgängig machen.)

05

Welche Bedrohungen das abfedert (und welche nicht)

Ehrlich über Stärken und Grenzen.

Das hilft gegen

  • Gestohlene Tresor-Dateien / kopierte Backups: Offline-Brute-Force im großen Stil wird blockiert, weil Unlock server-gated ist.
  • Credential Stuffing gegen deinen Account: Rate Limits und Missbrauchserkennung können automatisierte Angriffe verlangsamen/stoppen.
  • Malware mit wiederholten Versuchen: Das Server-Gate fügt ein zweites Hindernis neben deinem Master-Passwort hinzu.
  • Incident Response: Notfall-Lockdown und Pepper-Rotation reduzieren den Blast Radius.

Das löst NICHT magisch

  • Geräte-Kompromittierung im entsperrten Zustand: wenn dein Gerät infiziert ist und die App entsperrt ist, kann ein Angreifer trotzdem versuchen zu stehlen, was du aufdeckst.
  • Shoulder-Surfing / Screenshots: wir können Exposition reduzieren, aber du brauchst trotzdem gute Gewohnheiten.
  • Social Engineering: kein System kann dich komplett davor schützen, ausgetrickst zu werden und Secrets preiszugeben.
06

Warum das nicht dasselbe ist wie Cloud-Tresor-Speicherung

Server-unterstützte Sicherheit ist nicht dasselbe wie „wir speichern deinen Tresor“.

Fairer Punkt: „Wenn Entsperren euren Server braucht – ist das nicht im Grunde dasselbe wie meinen Tresor irgendwo anders zu speichern?“

Nein – und das ist der Unterschied:

  • Cloud-Tresor-Speicherung bedeutet: es gibt eine gespeicherte Kopie deines verschlüsselten Tresors an einem unbekannten Ort (Cloud-Datenbank, Object Storage, Backups usw.).
  • Server als Schild bedeutet: dein Tresor bleibt auf deinem Gerät, und der Server hilft nur bei einem kurzlebigen Sicherheitsschritt beim Entsperren.

Anders gesagt: wir wollen deine Daten nicht besitzen. Wir machen Offline-Diebstahl und Offline-Raten schwerer.

07

Worst-Case-Szenarien

Was passiert, wenn es schiefgeht – ohne Marketing-Zuckerguss.

Was passiert, wenn der Server down ist?

Speicherung funktioniert weiter (dein Tresor ist auf deinem Gerät). Entsperren nicht. Wenn der Server nicht erreichbar ist, kannst du den Unlock-Flow nicht abschließen. Das ist der Tradeoff eines server-gated Designs.

Was passiert, wenn der Server gehackt wird?

Ein Server-Compromise ist ernst – aber es ist nicht automatisch Game Over. Der Server hat weiterhin weder deinen Klartext noch dein Master-Passwort. Ein Angreifer bräuchte immer noch dein Master-Passwort pro Secret, und Entsperren ist weiterhin server-gated und rate-limited.

Im Incident kann der Server außerdem in den Lock-down gehen und das serverseitige Härtungs-Secret (Pepper) rotieren, um Schaden einzudämmen.

Was passiert, wenn sowohl dein Gerät als auch der Server kompromittiert sind?

Wenn ein Angreifer dein Gerät entsperrt hat und zusätzlich Server-Zugriff, ist das ein sehr hohes Risiko. Das Ziel von WQR ist, die Anzahl realistischer Wege dorthin zu reduzieren und zu begrenzen, wie viel automatisch extrahiert werden kann.

08

Logging-Policy (was wir speichern und was nicht)

Minimale Betriebslogs, kein Klartext, keine WQR-Payload-Inhalte.

Wir können minimale Betriebslogs behalten, wie z. B.:

  • Request-Zeitstempel
  • Fehlercodes / Missbrauchssignale
  • Rate-Limit-Counter
  • Basis-Service-Health-Metriken

Wir loggen NICHT:

  • Klartext-Secrets
  • Entschlüsselte Passwörter
  • Den Inhalt deiner WQR-Payloads

(Genaue Aufbewahrungszeiten und Details gehören auf die Transparenz-Seite.)

09

Das ehrliche Versprechen

Klare Versprechen, klare Tradeoffs, keine magischen Behauptungen.

  • Dein Tresor bleibt lokal. Wir speichern ihn nicht als Cloud-Datenbank-Asset.
  • Klartext verlässt dein Gerät nie. Nicht beim Entsperren, nicht beim Teilen, nicht in Logs.
  • Entsperren ist server-gated. Das verbessert Brute-Force-Resistenz, aber Downtime betrifft Entsperren.
  • Wenn du dein Master-Passwort vergisst, können wir deine Secrets nicht wiederherstellen. Das ist der Preis echter Verschlüsselung.

Wenn du Fragen hast, beantworten wir sie lieber ehrlich, als uns hinter vagen Phrasen zu verstecken. Schau auf die Q&A-Seite und schreib uns gern über die E-Mail-Adresse auf der Website.

Related: Encryption Flow · Unlock Flow · Security Center · FAQ