Frage zu 1Password

wolf1210 · 14.01.16

hallo Gemeinde

ich habe schon lange o.g. Passwort-Manager doch nun hab ich doch noch mal ne "doofe" ? Frage dazu die ich bisher nirgendwo beantwortet finden konnte:
ist es mit 1PW möglich automatisch sich ändernde PW für Logins etc. einzustellen die sich nach einem festzulegenden Rythmus automatisch ändern ohne dass man das händisch selber machen muss ?
Danke für Eure Tipps und Antworten
gruss wolf

double_d · 14.01.16

Das wäre in der Tat ein nettes Feature, aber ich denke, dass dies nicht möglich ist, da 1 Password ja dann auch für jeden Login die Änderungsroutine kennen müsste.
Und die ist ja von Login zu Login sehr unterschiedlich.

BlueSpark · 05.03.16

Hallo zusammen,

da ich kein eigenes neues Thema eröffnen möchte, greife ich diesen Beitrag hier kurz auf. Da ich bisher meine Passwörter eher außerhalb der digitalen Welt notiert/ aufgeschrieben hatte und derzeit überlege, ob ein zentrales Passwortmanagementtool hier sinnvoll ergänzt werden könnte, bitte ich euch um Rat. Da man die händisch aufgeschriebenen Passwörter meist nicht dabei hat, wenn man sie brauchen könnte gehen meine Überlegungen derzeit in diese Richtung.

Als wie sicher kann 1Password angesehen werden (100% Sicherheit gibt es nicht, dass ist mit bewusst; ebenso, dass die Passwortlänge/ -ausgestaltung etc. entscheidend ist). Selbst kennt ihr es sicher auch, verschiedene Mail Accounts, Amazon, Apple, Apps, PCs/ iPhones/ Macs etc pp. Daher überlege ich mir, ob die Anschaffung von iPassword für iOS und Mac OS Sinn ergeben würde und einigermaßen sicher ist. Gespeichert werden sollen die Tresore lediglich lokal und direkt mit den Geräten synchronisiert werden (kein iCloud oder Dropboxeinsatz zur Sicherung in Planung).

Würde mich jedenfalls über Meinungen/ Ratschläge und Kommentare freuen.

Danke bereits im Voraus

Mikael Blomkvist · 05.03.16

Ich vertraue darauf, dass die App so sicher ist, wie die Entwickler behaupten. Ob man das irgendwie belastbar nachprüfen kann – keine Ahnung.

frizzo · 06.03.16

Mikael Blomkvist schrieb:
Ich vertraue darauf, dass die App so sicher ist, wie die Entwickler behaupten. Ob man das irgendwie belastbar nachprüfen kann – keine Ahnung.

WORD!!!

Nur verstehe ich jetzt bei dir, @BlueSpark , nicht ganz wie du das dann machen möchtest, die Option der Synchronisierung per iCloud erspart dir eine menge Arbeit. Damit ist sichergestellt dass die am MacBook geänderten Passwörter auch direkt auf deinem iPhone hinterlegt werden und du sie nicht immer doppelt, dreifach oder vierfach eingeben musst!?

Wenn du es OHNE iCloud Sync nutzen möchtest gibt es bestimmt auch andere Apps die es günstiger zu haben gibt die deinen Anforderungen entsprechen!

Grüße!

Ziehlten · 06.03.16

Ueber Wlan synchronisieren.

Wuchtbrumme · 06.03.16

"Sicher" bedeutet im Kontext Kryptologie vor allem, dass es "zur Zeit sicher" ist. Eigentlich lässt sich nämlich jede Methode des Sicherns brechen - deswegen ist Kryptologie quasi die "Wissenschaft des Besondersschwermachens". Sicher heißt auch, dass noch nicht (öffentlich) bekannt ist, dass die Verschlüsselung schon einmal gebrochen wurde. Und diese Kriterien treffen bei 1Password zu. Das heißt aber nicht, dass das so bleibt - absolute Sicherheit gibt es nicht, wird es nie geben und was heute als sicher gilt, wird morgen geknackt sein.

Seinen Passwort-Safe nicht in die Cloud oder sonstwie öffentlich zu lagern ist eine gute Entscheidung.

Farafan · 06.03.16

BlueSpark schrieb:
Als wie sicher kann 1Password angesehen werden...

Überhaupt nicht als sicher.
1password hatte bereits seinen Sicherheits-GAU und AgileBits sahen sich gezwungen von der Benutzung abzuraten.

Hintergrund ist das 1password einen fatalen strukturellen Fehler aufweist und sich auf Sicherheitsmechanismen des Betriebssystems verlässt. Liegt hier eine Schwachstelle vor, bricht das ganze Kartenhaus, wie bereits geschehen, in sich zusammen.
Eine Software die Sicherheit verspricht, muss eigensicher sein.

Zudem wird dich als Nutzer niemand von Schuld oder Schaden freisprechen wenn du damit argumentierst 1password genutzt zu haben. Es ist und bleibt ein Verstoß gegen AGBs Passworte abzuspeichern. Ob verschlüsselt oder nicht.

Nemesis · 06.03.16

Farafan schrieb:
Es ist und bleibt ein Verstoß gegen AGBs Passworte abzuspeichern. Ob verschlüsselt oder nicht.

Nur witzig, dass viele von den Banken etc. TouchID für Ihre Apps anbieten. Das widerspricht sich etwas

Farafan · 06.03.16

Moment!
Nun wollen wir einmal nicht Äpfel mit Birnen vergleichen.

Eine Banking-Software die in Kombination mit Touch ID arbeitet stellt eine 2-Faktor-Authentifizierung dar. Einerseits muss der handwarebasierte Touch ID und zweitens ein Stück Software. Das ist strukturell schon einmal eine sehr gute Sicherheit da ein böser Bube nicht nur die Software, sondern auch noch Touch ID manipulieren müsste.

1password hingegen ist ausschließlich eine Software das sich zudem noch auf ein korrekt arbeitendes OS verlässt. Unter dem Sicherheitsaspekt ist der Begriff "grob fahrlässig" noch geschmeichelt.

Ja, ich weiß: Viele lieben dieses Programm abgöttisch. Tut mit leid wenn ich gegen das Kartenhaus puste.

Mikael Blomkvist · 06.03.16

Da ich mich auch zu diesen 1Password-Jüngern zähle: Hast du da weitere Infos zu? Höre ich gerade (leider) zum ersten Mal, und ich habe spontan nichts tiefergehendes gefunden, sondern nur einen Fehler, der wohl dann doch nicht so schlimm ist und damit zusammenhängt, dass Metadaten unverschlüsselt gespeichert wurden; das ist aber wohl nur dann ein Problem, wenn man die offen/unverschlüsselt auf der eigenen Website hostet (Link).

Farafan · 06.03.16

Klick.
So etwas kann und darf einer Software nicht passieren die angebliche Sicherheit verspricht.

Eine solche Software muss in sich geschlossen sein und darf sich nicht darauf verlassen das ein Betriebssystem seine Arbeit korrekt verrichtet.

Mikael Blomkvist · 06.03.16

Hmm, wobei ich das so verstehe – als Laie – dass diese Sicherheitslücke in OS X den Datentransfer zwischen 1P und beispielsweise Safari unsicher macht – sprich es ist nicht möglich, die Daten direkt aus dem Schlüsselbund abzugreifen. Und wer eine App haben will, die Passwörter in den Browser überträgt, dann kann sie nicht geschlossen sein, zumindest aus meiner Sicht.

Farafan · 06.03.16

Mikael Blomkvist schrieb:
....dann kann sie nicht geschlossen sein

Eben.
Genau das ist ja das Problem.

Daher verkauft Herr AgileBits etwas das es überhaupt nicht geben kann. Schlimm genug das hier nicht einmal Mechanismen integriert werden um die Systemintegrität abzuprüfen.
Das tut sogar eine Banking-Software einer lokalen Sparkasse, wie ich neulich bei einem Kollegen sah, die ihren Dienst komplett verweigert wenn ein Jailbreak entdeckt wird.

Mikael Blomkvist · 06.03.16

Wäre das denn auch unter OS X möglich?

Und wie sieht es dann bei den anderen Passwortmanagern aus? Wenn die einen ähnlichen Weg wählen, sind sie ebenfalls unsicher.

Farafan · 06.03.16

Zwingend ist (für mich) um von Sicherheit sprechen zu können immer eine 2-Faktor-Authentifizierung.
Es muss eine zweite, externe Komponente ins Spiel kommen um in sensiblen Bereichen ernst genommen zu werden.

Ob dies nun eine Chipkarte (mit externem Kartenleser), ein NFC-Chip, ein Fingerabdruck oder sonstiges ist wäre zweitrangig.
Die ganze Geschichte an nur einer einzigen Komponente aufzuhängen ist steinzeitlich und dumm.

Und auch wenn man nun ins Feld führt wie toll das doch alles verschlüsselt abgelegt wird: Kommt es hart auf hart, wird es missbraucht und geht es um Geld so hat man mit jedem Passwort-Manager der Welt die AGB verletzt und bleibt auf dem Schaden sitzen.

Nemesis · 06.03.16

@Farafan
Du hast natürlich recht. Ich bin mit der Gesamtsituation auch unzufrieden.
Nur was machen die Banken, z.B. SmartTan. TAN erzeugen auf dem selben Gerät, wie die Banking App läuft.

In diesem Fall hat sich die Sparkasse nicht gerade mit Ruhm bekleckert. Überall wo Software im Spiel ist, kann es zu Sicherheitsproblemen kommen.
Also die Passwörter immer schon in den Kopf. Aber bitte auch keine Systeme beim ausdenken der Passwörter verwenden, ich können nämlich auch geknackt werden

Mikael Blomkvist · 06.03.16

Nemesis schrieb:
In diesem Fall hat sich die Sparkasse nicht gerade mit Ruhm bekleckert.

Deswegen verbietet die Sparkasse auch, Onlinebanking auf dem gleichen Gerät zu nutzen, auf dem man die TAN erhält. Das nichts mit „mit Ruhm bekleckern“ zu tun. Natürlich macht die iPhone-App so nicht wirklich Sinn, aber den AGB hast du ja auch zugestimmt.

Nemesis · 06.03.16

Lese Dir mal die Beschreibung der App S-PushTan der Sparkasse durch. Online Banking und TAN Generierungen auf dem selben Gerät.
Den Artikel zum über die Sicherheitsprobleme muss ich noch raussuchen. War aber bei Heise, meine ich.

Mikael Blomkvist · 06.03.16

Ich weiß nur, dass das per SMS-TAN bei meiner Sparkasse nicht gestattet ist, das wird einem beim Login auch jedes Mal gesagt; die von dir erwähnte App nutze ich nicht.

Frage zu 1Password

Roter Stettiner

Baumanns Renette

Jonagold

Normande

Gelbe Schleswiger Reinette

Elstar

Golden Noble

deaktivierter Benutzer

Ontario

deaktivierter Benutzer

Normande

deaktivierter Benutzer

Normande

deaktivierter Benutzer

Normande

deaktivierter Benutzer

Ontario

Normande

Ontario

Normande

Wir schützen Ihre Privatsphäre

Informationen auf einem Gerät speichern und/oder abrufen

Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen (Optionale Cookies)

Datenübermittlung an Partner in anderen Staaten (Drittanbieter-Cookies)