📖 Arpass — Benutzerhandbuch
→ Vault öffnen

Benutzerhandbuch

Wie man Arpass verwendet, nach Szenario.

Inhalt

📚 Learn more: How to choose a YubiKey or passkey is covered in our guide articles.

🆕 Erste Nutzung

Der initiale Ablauf zum Erstellen Ihres sicheren Vaults.

Besuchen Sie arpass.io. Der Bildschirm „Sicheres Laufwerk erstellen” erscheint.
Geben Sie ein Master-Passwort zweimal ein. Dies ist Ihr Arpass-Anmeldepasswort — geben Sie es niemals weiter und merken Sie es sich gut.
Klicken Sie auf „Sicheres Laufwerk erstellen”. Registrieren Sie anschließend einen Passkey (Geräteauthentifizierung) über Touch ID / Face ID.
Das Wiederherstellungsgeheimnis wird nur einmal angezeigt (Format: RS1-XXXX-XXXX-…). Bewahren Sie es an einem sicheren Ort auf.
Klicken Sie auf „Ich verstehe”, um das Laufwerk zu öffnen.
🔑 Schützen Sie Ihre Schlüssel (Passkey) und Ihr Wiederherstellungsgeheimnis
Der einfachste Weg, Ihr Laufwerk auf einem neuen Gerät zu öffnen, ist ein synchronisierter Passkey (iCloud-Schlüsselbund / Google Passwortmanager) oder ein Sicherheitsschlüssel wie ein YubiKey. Damit öffnet sich ein neues Gerät allein mit „Master-Passwort + Passkey” (kein Wiederherstellungsgeheimnis nötig).

🔓 Tägliche Nutzung

Passwort abrufen

Besuchen Sie arpass.io → Sperrbildschirm
Master-Passwort eingeben → mit Touch ID / Face ID authentifizieren
Die Passwortliste erscheint. Nutzen Sie das Suchfeld, um nach Webseitenname zu filtern.
Auf einen Eintrag klicken → Detailansicht. Verwenden Sie „👁 Anzeigen”, um das Passwort einzublenden, und „📋 Kopieren”, um es in die Zwischenablage zu kopieren.

Neues Passwort speichern

Klicken Sie auf „+ Neu hinzufügen”
Geben Sie Webseitenname, URL, Benutzername und Passwort ein. Verwenden Sie „🎲 Generieren” für ein starkes Passwort.
Klicken Sie auf „Speichern”, um auf Arweave zu schreiben (verbraucht 1 Guthaben)

📄 Dateispeicherung

Speichern Sie PDFs, Bilder und beliebige Dateien dauerhaft verschlüsselt. Ideal für Buchhaltungsbelege (Quittungen / Rechnungen / Verträge / Gesundheitsberichte). Kompatibel mit den Suchanforderungen des japanischen Gesetzes zur elektronischen Buchführung (Datum / Betrag / Vertragspartner).

Datei hinzufügen

Öffnen Sie die Registerkarte 「📄 Dateien」 oben in der App
Klicken Sie auf 「+ Datei hinzufügen」
Wählen Sie eine Datei (PDF / Bild / Text / Word / Excel usw., bis zu 30 MB)
Vorschau wird angezeigt. Für große Bilder verwenden Sie 「🗜️ Komprimieren」, um zu verkleinern (~200-500 KB)
Geben Sie Vertragspartner oder Titel ein (mindestens einer erforderlich); Datum / Betrag / Währung sind optional
Klicken Sie auf 「Speichern」, um zu verschlüsseln + in Arweave zu schreiben

💡 Dateien unter 100 KiB kosten $0 (durchgereicht aus Turbos Free Tier). Ein 1 MB Foto kostet ~$0,13. Wenn die tatsächlichen Kosten unter der Schätzung liegen, wird die Differenz sofort erstattet.

OCR Auto-Ausfüllen (optional)

Extrahiert automatisch Datum / Betrag / Vertragspartner / Beschreibung / Tags aus Beleg- oder Rechnungsbildern / PDFs. Benötigt Ihren eigenen OpenAI-API-Schlüssel (Bilder werden direkt an OpenAI gesendet; Arpass-Server sind nicht beteiligt).

Holen Sie sich einen API-Schlüssel unter platform.openai.com/api-keys
In den Arpass-Einstellungen (⚙️) → unterer Bereich „📷 Kassenbon-OCR (optional)” → Schlüssel eingeben → „Speichern & Überprüfen”
Wenn Sie ein Bild oder eine PDF-Datei auswählen, erscheint die Schaltfläche „📷 Automatisch aus Bild ausfüllen (OpenAI)”
Klicken Sie zum Extrahieren; ~$0.005 pro Bild werden Ihrem OpenAI-Konto belastet
Leere Felder werden automatisch ausgefüllt (wird immer überschrieben – bitte prüfen und bei Bedarf bearbeiten)

Dateien durchsuchen

Suchfeld oben: Filter nach Datum / Betrag / Vertragspartner / Titel — sofort
«🎛️»-Klick für erweiterte Filter: Datumsbereich, Betragsbereich, Vertragspartner/Titel, Typ, Tags — UND-kombiniert
Japanische Vertragspartner-Suche mit NFKC + Hiragana⇄Katakana-Normalisierung («セブン» stimmt mit «せぶん» überein)

Dateien korrigieren und löschen

Klick auf eine Zeile → Detail-Modal
«✏️ Edit»-Schaltfläche zum Korrigieren (Grund erforderlich, append-only aufgezeichnet)
«🗑️ Delete»-Schaltfläche zur logischen Löschung (Grund erforderlich, Original und Arweave-Daten erhalten)
«📜 History»-Schaltfläche zeigt das Audit-Log (Erstellung/Korrekturen/Löschungen alle sichtbar)

📋 Korrektur-/Löschverlauf ist append-only und kann als Beweis für Steuerprüfungen verwendet werden (kompatibel mit dem Gesetz zur elektronischen Buchführung). Physische Löschung ist unmöglich, aber dies ist auch ein rechtlicher Vorteil von "die Spur bleibt erhalten".

Als CSV herunterladen

Klick auf «📥 CSV» im Dateien-Tab-Header
Alle Datei-Metadaten werden als arpass-files-YYYY-MM-DD.csv heruntergeladen
UTF-8 BOM stellt sicher, dass Japanisch in Excel / Numbers / Google Sheets nicht zerbricht
Spalten: id / type / date / counterparty / title / amount / currency / description / tags / createdAt / version / txId / sha256 / arweave_url

📱 Gerätewechsel (gleichen Vault auf neuem Gerät öffnen)

Wenn Sie ein neues iPhone oder Mac gekauft haben und auf Ihr vorhandenes Laufwerk zugreifen möchten. Wenn Sie einen synchronisierten Passkey oder einen Sicherheitsschlüssel (YubiKey) haben, können Sie es allein mit Master-Passwort und Passkey öffnen — kein Recovery nötig.

Öffnen Sie arpass.io auf dem neuen Gerät → klicken Sie auf „📲 Tresor von einem anderen Gerät wiederherstellen”
Wenn Sie einen synchronisierten Passkey (iCloud-Schlüsselbund / Google Passwortmanager) oder einen YubiKey haben: klicken Sie auf „🔑 Mit Passkey + Master-Passwort wiederherstellen (ohne Recovery)”, geben Sie Ihr Master-Passwort ein → authentifizieren Sie sich mit dem Passkey. Kein Recovery nötig.
Wenn Sie keinen Passkey zur Hand haben: geben Sie Ihr Master-Passwort + das Wiederherstellungsgeheimnis vom Papier ein (📷 QR-Scan funktioniert ebenfalls).
Sobald das Entsperren erfolgreich ist, wird automatisch ein eigener Passkey auf diesem neuen Gerät registriert.
Von nun an entsperrt dieses Gerät mit nur „Master-Passwort + Touch ID / Face ID”.

🔑 Master-Passwort vergessen

Sie haben das gemerkte Passwort vergessen oder möglicherweise versehentlich geändert.

Klicken Sie auf dem Sperrbildschirm auf „🔑 Master vergessen → Mit Passkey + Wiederherstellung zurücksetzen”
Geben Sie das Wiederherstellungsgeheimnis vom Papier ein (📷 QR-Scan funktioniert ebenfalls)
Authentifizieren Sie sich per Passkey mit Touch ID / Face ID
Die Eingabeaufforderung „Neues Master-Passwort festlegen” erscheint → geben Sie ein neues Passwort ein
Das Laufwerk öffnet sich + das neue Passwort wird automatisch auf jede Umhüllung angewendet
💡 Beim Festlegen oder Ändern Ihres Master-Passworts wird auf diesem Gerät ein neuer Passkey erstellt (der alte Passkey kann nicht mehr entsperren; Sie können ihn unter "Registrierte Geräte verwalten" löschen, wenn Sie ihn nicht mehr benötigen). Wenn Sie einen synchronisierten Passkey verwenden, wählen Sie auf Ihren anderen Geräten beim nächsten Mal einfach den neuen Passkey und geben das neue Passwort ein. Wenn jedes Gerät einen eigenen Passkey hat, entsperren Sie diese Geräte erneut mit "neuem Passwort + Recovery Secret".

🔐 How to save the Recovery Secret

When you create a vault, the Recovery Secret is shown only once. Pick the right method from the 4-tier picker in the app based on your environment.

🏆 BEST — Print on paper

Click "🖨 Print now" → browser print dialog → print on paper
Keep in a safe or locked drawer, physically secure
Store it in a different place than your master password

💡 Print later is also available. But you must print before proceeding (= it's shown only once).

🥈 GREAT — Switch to YubiKey-only mode

A mode where the Recovery Secret itself doesn't exist. For physical-security-focused users. See 🔐 YubiKey-only mode.

🥉 OK (mobile / PC compatible) — Save image

The "📸 Save image" button creates a PNG (= Recovery Secret + QR code). On mobile, save via the share sheet to iCloud Photos / Google Photos. On PC, it's downloaded to your Downloads folder.

⚠ Requirement: E2E encryption ON
You need iCloud Photos Advanced Data Protection, or Google One Backup E2E encryption ON before saving. Without this, Apple / Google still have technical access.

iCloud ADP check: Settings → [Apple ID name] → iCloud → "Advanced Data Protection" ON.
Google E2E backup check: Google account → Backup → "End-to-end encryption" ON (Android 13+ partial support).

🚫 Avoid

📲 How to restore later

To restore on a new device:

Open arpass.io on the new device → "📲 Restore a drive created on another device"
Enter master password → tap the 📷 QR scan icon
In the QR scanner, tap "🖼 Scan image" (= NEW)
Select the saved PNG image → Recovery Secret is read and filled in
Drive unlocks

🆘 Der Passkey dieses Geräts ist weg

Sie haben das Browser-Profil gewechselt oder verwenden ein neues Gerät mit neuem Touch ID.

Auf dem Sperrbildschirm: „📱 Passkey verloren → Mit Master + Wiederherstellung entsperren”
Master-Passwort + Wiederherstellungsgeheimnis vom Papier eingeben (QR-Scan OK)
Entsperren erfolgreich → Einstellungen → „🔐 Passkey auf diesem Gerät registrieren”, um einen neuen Passkey zu erstellen
Von nun an kann dieses Gerät wieder mit „Master-Passwort + Touch ID” entsperrt werden

🔐 Nur-YubiKey-Modus

Ein Modus, der Ihr Laufwerk allein mit einem Sicherheitsschlüssel wie einem YubiKey öffnet — ohne Master-Passwort und ohne Recovery Secret. Es gibt nichts zu merken: Berühren Sie einfach einen Ihrer registrierten YubiKeys, um zu entsperren. Es ist eine Option für Fortgeschrittene, die sich vollständig auf einen physischen Schlüssel verlassen möchten.

💡 More on YubiKey itself: YubiKey: what & how to choose / Price tiers / Using with Arpass

⚠️ Bitte vor dem Erstellen lesen
Der Nur-YubiKey-Modus hat keine Master-Passwort-Rettung und kein Recovery Secret. Wenn Sie alle Ihre registrierten YubiKeys verlieren, kann das Laufwerk nie wieder geöffnet werden (auch wir können es nicht wiederherstellen).

Ein Nur-YubiKey-Laufwerk erstellen

Öffnen Sie arpass.io → wählen Sie im Bildschirm „Sicheres Laufwerk erstellen“ „🔑 Nur YubiKey verwenden“
Wählen Sie, wie viele YubiKeys registriert werden sollen (zwei oder mehr)
Setzen Sie das Häkchen, mit dem Sie bestätigen, dass das Laufwerk nicht wiederhergestellt werden kann, wenn alle YubiKeys verloren gehen
Drücken Sie „Im YubiKey-Modus erstellen“ und stecken Sie den ersten YubiKey ein (oder halten Sie ihn per NFC daran) und berühren Sie ihn gemäß den Anweisungen
Registrieren Sie die übrigen YubiKeys nacheinander (Sie werden zum Wechseln der Schlüssel aufgefordert)
Sobald alle registriert sind, wird das Laufwerk erstellt und sofort geöffnet

Auf einem anderen Gerät öffnen

Öffnen Sie arpass.io auf dem anderen Gerät → klicken Sie auf „📲 Ein auf einem anderen Gerät erstelltes sicheres Laufwerk wiederherstellen“
Wählen Sie „🔑 Laufwerk mit einem YubiKey von einem anderen Gerät öffnen“
Stecken Sie einen Ihrer registrierten YubiKeys ein (oder halten Sie ihn per NFC daran) und berühren Sie ihn
Das Laufwerk öffnet sich — ohne Master-Passwort und ohne Recovery

Einen YubiKey hinzufügen

Gehen Sie bei geöffnetem Laufwerk zu Einstellungen (⚙) → öffnen Sie den Abschnitt „🔑 Registrierte YubiKeys“
Drücken Sie „+ YubiKey hinzufügen“
Berühren Sie zuerst einen Ihrer bereits registrierten YubiKeys, um zu bestätigen, dass Sie es sind
Wechseln Sie dann zu dem neuen YubiKey, den Sie hinzufügen möchten, und berühren Sie ihn
Der neue YubiKey ist registriert und kann das Laufwerk von da an ebenfalls öffnen

📲 Anderes Gerät schnell mit Geräte-Hinzufüge-Code einrichten

Übergeben Sie von einem bereits entsperrbaren Gerät <strong>credentialId und Arweave-Index-Tag</strong> an ein anderes Gerät (= eines, das mit demselben YubiKey ebenfalls entsperren soll). Das ist schneller und zuverlässiger als «Mit YubiKey eines anderen Geräts öffnen». Auf Android Chrome ist es faktisch erforderlich, da ein Chrome-Bug den normalen Picker verhindert.

💡 Sicherheit: Der Code enthält nur öffentliche Informationen (credentialId + Arweave-Tag). PRF / Krypto-Schlüssel / Recovery / Master sind nicht enthalten, sodass selbst bei Leak niemand ohne physischen YubiKey entsperren kann. Behandeln Sie ihn als kurzlebig (nach dem Einfügen löschen).
Anzeigeseite (= bereits entsperrtes Gerät): Bei geöffnetem Laufwerk Einstellungen (⚙) → Abschnitt «🔑 Registrierte YubiKeys»
«📲 Code für anderes Gerät anzeigen» antippen
Es erscheint eine Zeichenkette beginnend mit «AP1....» und ein QR-Code
Eingabeseite (= neues Gerät): Auf dem Erstellungsbildschirm von arpass.io unten den Link «📲 Mit Geräte-Hinzufüge-Code (AP1....) öffnen» antippen
Das Eingabefeld erscheint: Code von der Anzeigeseite einfügen oder den «📷»-Button verwenden, um den QR mit der Kamera zu scannen
«Code anwenden → Mit YubiKey öffnen» antippen und YubiKey berühren
Das Entsperren wird abgeschlossen und dieses Gerät kann fortan normal geöffnet werden
💡 Verwendungszwecke: ① Android Chrome lauffähig machen (erforderlicher Weg), ② Auch auf Mac / Win / iPhone den Picker-Tap überspringen, um die Einrichtung zu beschleunigen, ③ Standardweg beim Ausrollen eines einzelnen YubiKey auf viele Geräte. Funktioniert beliebig → beliebig.
💡 Über Safari auf dem Mac: Safari auf dem Mac implementiert WebAuthn anders als andere Browser, daher wird ein in Mac-Safari erstelltes oder verwendetes YubiKey-Laufwerk nur in Mac-Safari nutzbar und kann nicht in Chrome, Edge, iPhone oder Android geöffnet werden (und umgekehrt). Um dasselbe Laufwerk in mehreren Umgebungen zu nutzen, verwenden Sie auf Ihrem Mac einen anderen Browser als Safari (Chrome / Edge).

🏢 Sign up as an employee (Business mode)

If your company has deployed Arpass, you receive an invite code from the admin to join. Employees don't hold Recovery themselves — the admin manages it centrally (password loss / device loss recovery is performed via admin approval).

Get the invite code from admin (e.g., ARPASS-XXXX-XXXX) — in person / Slack DM preferred, share only the code, not a URL
Open arpass.io → click '📲 Employees: join with a code'
Enter the invite code in the prompt → moves to create view + yellow banner '🏢 Employee mode signup'
Set your master password (memorize it — admin does not know it)
'Create the company vault' → Touch ID to create Passkey
Lands on vault view. Recovery is auto-sent to admin (never shown on screen)
💡 The admin must have opened the app at least once (so their public key is registered on server). If you see 'Failed to join company or send Recovery', ask the admin.

📲 Employee device-add / total lockout recovery

If an employee wants to add a new device or has lost all their devices, the admin issues a <strong>device-add code</strong> (8 chars, valid 5 min). It's bound to the employee + single-use + IP rate-limited.

Employee contacts admin to 'add a new device'
Admin tab → employee row → '📲 Device-add code' → 'Auto-approve?' (recommended: Cancel = manual approval required)
Admin sees the 8-char code → relays to employee in person / Slack DM (code only)
Employee opens arpass.io on new device → '📲 Employees: join with a code' (or the same button on the 'Get started' view if picker is empty)
Enter code → device name → master password (the one set at signup) → 'Redeem code'
Progress view (big spinner + 10:00 countdown) shows the wait for admin approval
Admin tab's inbox shows '📲 Device-add' request → '✅ Approve' (auto-approve mode handles automatically)
Employee device auto-unlocks the vault + registers Passkey → vault view + toast '✅ This device is registered'
💡 Even if the device-add code is stolen, with auto-approve OFF the admin must approve, providing one defense layer. Admin can also see the requesting IP in the inbox.

💳 Gebühren & Zahlung

Die Abrechnung erfolgt nachträglich. Jede Speicheroperation (Hinzufügen, Bearbeiten, Löschen) erhöht Ihre Nutzung zum Tageskurs; zahlen Sie gesammelt, wann Sie möchten. Lesen und Kopieren sind kostenlos.

Bei entsperrtem Laufwerk auf „💳 Guthaben” in der oberen rechten Kopfzeile klicken
Das Paketauswahl-Modal öffnet sich (Starter / Standard / Heavy / Business / Family)
Auf ein Paket klicken → Stripe-Checkout öffnet sich in einem neuen Tab
Kreditkartendaten eingeben → Zahlung abschließen
Der neue Tab schließt sich automatisch und Sie kehren zum Laufwerk zurück → Benachrichtigung: „✅ +N Guthaben hinzugefügt”
💡 Ihr entsperrter Zustand bleibt erhalten. Kein erneuter Login während der Zahlung nötig.

🔄 Recovery Secret neu ausstellen

Wenn Sie das Papier verloren haben oder ein Leck vermuten. Das alte Recovery Secret ist erforderlich.

Laufwerk-Bildschirm → Einstellungen (⚙-Symbol) → Abschnitt „Wiederherstellungsgeheimnis neu ausstellen”
Aktuelles Master-Passwort eingeben
Zwischen zwei Modi wählen:
  • A. Einfach (empfohlen): Für den Fall, dass das Papier verloren gegangen ist, aber kein Diebstahl vermutet wird. Am schnellsten, keine Serveroperation.
  • B. Vollständig (Diebstahl vermutet): Für den Fall, dass das alte Wiederherstellungsgeheimnis möglicherweise kompromittiert wurde. Verschlüsselt den Inhalt neu und wechselt zu einem neuen Kontobezeichner.
Klicken Sie auf „Neues Wiederherstellungsgeheimnis ausstellen”
Das neue Wiederherstellungsgeheimnis erscheint auf dem Bildschirm → immer ausdrucken und sicher aufbewahren
Unterschied zwischen Fall A und B (wichtig):

🔐 Registrierte Geräte verwalten

Prüfen Sie, welche Geräte Passkeys registriert haben, benennen oder entfernen Sie sie.

Laufwerk-Bildschirm → Einstellungen → Abschnitt „🔐 Registrierte Geräte”
Die Liste der registrierten Geräte erscheint (dieses Gerät ist gelb hervorgehoben)
Schaltfläche „Umbenennen”: Ändern Sie den Namen zu einer aussagekräftigen Bezeichnung (z. B. „Mac Studio”, „iPhone 15”)
Schaltfläche „Entfernen” (andere Geräte als dieses): Trennt den Passkey dieses Geräts vom Tresor
Einschränkung beim Entfernen: Wenn eine Kopie des MEK auf dem entfernten Gerät verbleibt, können vergangene Arweave-Daten weiterhin entschlüsselt werden. Eine vollständige Ungültigmachung erfordert eine Neuausstellung des Wiederherstellungsgeheimnisses (Fall B, MEK-Rotation).

❓ Häufig gestellte Fragen

Was passiert, wenn ich alle drei verliere: Master-Passwort, Passkey und Recovery?

Eine Wiederherstellung ist nicht möglich. Arpass speichert nichts, daher können wir nicht helfen. Dies ist der Preis des Zero-Knowledge-Designs — wir können die Passwörter niemandem einsehen, aber der Verlust aller 3 Faktoren bedeutet vollständigen Verlust.

Der Verlust von 2 Faktoren ist noch behebbar (der verbleibende 1 kann die Wiederherstellung ermöglichen). Bevor alle 3 verloren gehen, kopieren Sie das Wiederherstellungsgeheimnis an mehrere Orte.

Können Betreiber meine Passwörter sehen?

Nein. Die gesamte Verschlüsselung erfolgt in Ihrem Browser, und der auf Arweave gespeicherte Inhalt wird doppelt verschlüsselt, bevor er Cloudflare-Server passiert.

  • Innere Schicht: AES-256-GCM (Schlüssel = MEK, zufällig generiert, wird nie an den Server übertragen)
  • Äußere Schicht: AES-256-GCM (Schlüssel = HKDF(vault-id), vault-id wird ebenfalls nie an den Server übertragen)
  • Was der Server sieht: verschlüsselte Zufallsbytes (nicht dekodierbar) + Guthabeninformationen

Details sind auf Code-Ebene im öffentlichen Spiegel arpass-spec (AGPL-3.0) überprüfbar.

Bleiben die verschlüsselten Daten auf Arweave für immer?

Ja — Arweave ist dauerhafter Speicher, daher verschwinden geschriebene Daten nicht. Dies ist sowohl ein Vorteil („Ihre Passwörter existieren noch in 200 Jahren”) als auch ein Nachteil („vergangene Daten bleiben für immer erhalten”).

Selbst wenn Sie ein Passwort ändern, verbleibt der alte Chiffretext auf Arweave. Dieser alte Chiffretext kann jedoch nur mit dem alten MEK entschlüsselt werden, den nur Sie kennen. Nach einer Neuausstellung des Wiederherstellungsgeheimnisses (Fall B) werden nachfolgende Schreibvorgänge mit einem neuen, von der Vergangenheit unabhängigen Schlüssel verschlüsselt.

Wie viel kostet es?

Das Hinzufügen, Bearbeiten oder Löschen eines Passworts verbraucht jeweils 1 Guthaben. 10 Passwörter speichern ≈ 10 Guthaben. Das „Starter 100”-Paket ($2) reicht für den täglichen Gebrauch aus. Die meisten Nutzer müssen nur ein- oder zweimal im Jahr ein Paket kaufen.

Is it OK to save the QR code as a photo?

OK under conditions. Save via the in-app 「Save image」 button, then ensure your iCloud Photos has Advanced Data Protection ON, or Google One Backup has E2E encryption ON. This makes the photo unreadable even to Apple / Google.

Without these E2E settings, regular cloud sync leaves the provider with technical access — paper printing is strongly preferred.

For maximum safety, switch to YubiKey-only mode — no Recovery Secret needed at all.

Was passiert, wenn ich auf mehreren Geräten gleichzeitig bearbeite?

Arpass verwendet optimistische Nebenläufigkeitskontrolle, sodass das zweite Gerät beim Speichern einen Fehler „Auf einem anderen Gerät aktualisiert” erhält. Entsperren Sie erneut, um die neueste Version abzurufen, und bearbeiten Sie dann erneut.

🛡️ Best Practices für Sicherheit

Arpass verwendet 2-von-3-Entschlüsselung (beliebige 2 von: Master-Passwort + Passkey + Wiederherstellungsgeheimnis können entschlüsseln). By Design entschlüsselt das Preisgeben eines einzelnen Faktors den Tresor nicht. Gleichzeitiges Preisgeben mehrerer Faktoren ist jedoch gefährlich. Befolgen Sie diese Richtlinien.

✅ Empfohlen

❌ Vermeiden

⚠️ Ungeeignete Anwendungsfälle

Dieser Dienst ist ein universeller Passwort-Manager für Einzelpersonen und kleine Unternehmen. Er ist nicht geeignet für:

Wir übernehmen keine Haftung für Schäden, die durch die Nutzung dieses Dienstes in diesen Szenarien entstehen. Weitere Einzelheiten finden Sie in den Nutzungsbedingungen.

🚨 Bei Verdacht auf ein Leck

Falls das Master-Passwort oder das Wiederherstellungsgeheimnis möglicherweise kompromittiert wurde, handeln Sie sofort:

  1. Nur Master-Passwort: Einstellungen → „Master-Passwort ändern”
  2. Nur Wiederherstellung: Einstellungen → „Sicherheitsvorfallreaktion” → Wiederherstellung neu ausstellen (Fall A, leicht)
  3. Beides oder Gerätediebstahl: Einstellungen → „Sicherheitsvorfallreaktion” → Wiederherstellung neu ausstellen (Fall B, MEK-Rotation macht Wraps auf dem verlorenen Gerät und altem Wiederherstellungsgeheimnis ungültig)

Weitere Details finden Sie unter „Sicherheitsvorfallreaktion” in den Einstellungen des App-Bildschirms.

🔬 Übersicht zum Kryptodesign (fortgeschritten)

Das kryptografische Design von Arpass basiert auf 2-von-3-Entschlüsselung. Beliebige 2 der 3 Faktoren können den Tresor entschlüsseln.

Entschlüsselungspfade

Body-Verschlüsselung und äußere Verschlüsselung

Verschlüsselt in zwei Schichten:

Die auf Arweave gespeicherten Bytes erscheinen vollständig zufällig; die JSON-Struktur und Algorithmusnamen sind von außen nicht unterscheidbar. Selbst der Arweave-Tag-Name, der an jeden Schreibvorgang angehängt wird, ist pro Benutzer randomisiert, sodass externe Beobachter nicht erkennen können, welche Transaktionen zu Arpass gehören.

Mit envelope v7 wird dieser äußere Schlüssel auch im Passkey (WebAuthn user.id) gespeichert. Der Schlüssel wird durch die Passkey-Hardware geschützt und erscheint nie in öffentlichen Arweave-Daten, sodass ein neues Gerät die äußere Schicht entschlüsseln kann, ohne das Wiederherstellungsgeheimnis einzugeben.

Was auf dem Server ist

Serverseitig in Cloudflare KV liegt nur Ihr Nutzungsprotokoll. Konten werden über den Hash Ihres öffentlichen Schlüssels (ECDSA P-256) identifiziert; äußerer Schlüssel, Master-Passwort und Recovery Secret erreichen den Server nie.

Für die vollständige Spezifikation: