1password-OT

[smoe]

Ins Kino, in die Waschmaschine, in den Mülleimer, irgendwohin wo man sie dann nicht mehr findet.

 

[Farafan]

Auch wenn ich es in jeder Diskussion um dieses Programm (die ja einmal jedes halbe Jahr aufkommt) immer wieder erwähne:

Mit der Nutzung dieser Software verstößt man willentlich und wissentlich gegen jede vertragliche Verpflichtung Passwörter nicht niederzuschreiben oder abzuspeichern. Sollte hier etwas passieren wird man den schwarzen Peter nicht mehr los.

Und das bei einem System das Zugang zu sämtlichen gespeicherten Login-Daten besitzt. Na, Prost Mahlzeit.

Kein Richter der Welt, keine Bank, kein Paypal, kein Ebay oder sonstiger Händler interessiert sich für die Aussage das man doch 1password benutzt hat. Hier wird nur eine Frage gestellt: Ist das eine nach dem Stand der Technik anerkannte Methode und vom BSI als solche zertifiziert? Nein.

Warum eigentlich nicht? Mit einer solchen Zertifizierung könnte man doch erstklassig werben und Zugang zu ganz anderen Kundenkreisen auch im kommerziellen Bereich suchen?

 

[smoe]

Ist das eine nach dem Stand der Technik anerkannte Methode und vom BSI als solche zertifiziert? Nein.

Trotzdem empfiehlt das BSI die Verwendung von PW Managern.

https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/Umgang/umgang.html

Wer sollte sich also beschweren wenn man der Empfehlung des BSI folgt?

Viele Anbieter wie zB eBay haben 1Password auch direkt in ihre Apps integrierst, da sollen sie mal argumentieren, dass man diesen Knopf in der offiziellen App gar nicht antippen dürfen soll....

 

[Ühm]

@rootie: Danke für die Aufklärung.

Meine Sicherheitsbedenken bei 1Passwort bleiben dennoch, so dass ich diesen Dienst in Zukunft nicht mehr nutze.

Euch Allen einen guten Rutsch ins neue Jahr!

 

[Farafan]

Trotzdem empfiehlt das BSI die Verwendung von PW Managern.

Ich sehe noch einen gewaltigen Unterschied zwischen einer Empfehlung für einen Passwortgenerators und dem Einsatz eines Passwortmanagers der Zugriff auf das komplette digitale Leben hat.
Hier lese ich keine Empfehlung auf der von dir verlinkten Seite. Warum wohl?

 

[smoe]

Also ich finde den Satz recht eindeutig:

Wer viele Online-Accounts hat, für den empfiehlt sich ein Passwort-Verwaltungsprogramm

Diese Programme können neben der Passwort-Verwaltung auch starke Passwörter generieren [...]. Sie müssen sich dann nur noch ein gutes Masterpasswort überlegen und merken.

Es ist NICHT die Rede von *nur generieren*, sondern klar von Verwaltung, und alle PWs unter einem Masterpasswort zusammenzufassen.

Sorry aber die BSI-Argumentation kannst du damit einfach sein lassen. Das BSI mag früher mal von sowas abgeraten haben, aber auch die gehen halt mit der Zeit (wenn auch gern mal ein paar Jahre verspätet).

 

[Ühm]

Dann schaue Dir bitte mal den Haftungsausschluss an...

 

[smoe]

Was sollte da auffallen? Dass sie da einen Standard-Text eingesetzt haben den man so in fast jeder deutschen Webseite findet, in dem sie die Haftung für alles soweit wie möglich ausschließen?

Wenn es danach geht können wir das BSI sowieso komplett aus der Argumentation rausnehmen. Was mir von mir aus gern machen können.

 

[Farafan]

Unschön formuliert, ganz klar.
Hieraus aber einen Freibrief zum Bruch von Verträgen wie man sie mit Amazon, Ebay und Co. hat abzuleiten halte ich aber für gewagt.

Und nun noch die ganz ketzerische Frage: Apple wird permanent was Datenschutz und Datensicherheit angeht in Frage gestellt. Einem anonymen Unternehmen aus Kanada vertraut man aber bedenkenlos höchst sensible Daten in Massen an ohne hier ein schlechtes Gewissen zu haben?
Auf was gründet sich diese Gewissheit?
Das Argument das bisher noch nie etwas passiert ist, zieht ja nun nicht mehr.

 

[smoe]

Letzten Endes alles mangels besserer Alternativen. Passwörter sind Mist, das ist einfach ein schlechtes Konzept, aber ein besseres haben wir noch nicht. Diese Firma aus Kanada ist imho einer der ältesten und seriösesten Anbieter am Markt.

Sorry, aber wie schon oft gesagt, Sicherheit ist immer ein Kompromiss. Welchen Kompromiss findest du besser, für Leute die keine absoluten Gedächtnisse haben?

 

[Ühm]

...ich lese dort, dass sie für Folgeschäden nicht aufkommen.
Sprich: Folgeschäden aufgrund der Nutzung der Dienste die dort empfohlen werden.
Das heißt, dass sie keine Haftung übernehmen, obwohl sie es "empfehlen".
...oder interpretiere ich da zu viel rein...mag ja sein.

 

[smoe]

Natürlich übernehmen sie keine Haftung. Das BSI ist keine Versicherung. Aber deren Empfehlungen haben nunmal in Beamten-Deutschland durchaus Gewicht, wenn auch nicht immer zurecht.

 

[Farafan]

Passwörter sind total antiquierter Mist, völlige Zustimmung.

Hier wäre in meinen Augen primär der Gesetzgeber und der politische Wille gefragt Dinge wie zwingendes Angebot der digitalen Signatur durch Online-Händler zum Beispiel.
Der Wille ist aber offenbar nicht da.

Und die Wirtschaft wird sich hüten ohne Zwang etwas einzuführen das Geld kostet.

 

[smoe]

Bleibt die Frage: Was tut nun die Masse an Leuten die nicht in der Lage ist eine Menge sicherer Passwörter jahrelang im Gedächtnis zu behalten?

Naja diskutieren wir nächstes Jahr weiter, ich schau jetzt das Feuerwerk an

 

[Farafan]

Bleibt die Frage: Was tut nun die Masse an Leuten die nicht in der Lage ist eine Menge sicherer Passwörter jahrelang im Gedächtnis zu behalten?

Dann ist die Passwort-unter-die-Tastatur-kleben-Methode in meinen Augen immer noch deutlich sicherer als 1password. Denn wer dann an das Passwort will braucht zumindest erst einmal physikalischen Zugriff auf meine Wohnräume.

Aber ich rate immer zu einem einfachen Algorithmus. Einfache Buchstabenkombination dazu ein paar Ziffern plus die Jahreszahl minus den Kalendermonat zum Beispiel. Wenns geht noch Groß- und Kleinschreibung, ein Sonderzeichen mittendrin und schon hat man sich seinen Passwortmanager selbst gebaut.
Für einen anderen Account dreht man das Passwort um oder subtrahiert anstatt zu addieren.

 

[smoe]

Du meinst wirklich, dass sich die Leute 20 oder gar 50 angepasste Algorithmen merken können? Das funktioniert so nicht. Solche Merkhilfen sind toll um sich ein sicheres PW zu merken, aber scheitern katastrophal sobald die Leute damit mehr als nur eine Hand voll unterschiede PWs erzeugen müssen, und manche PWs nur selten brauchen. Kaum jemand weiß nach 6 Monaten noch was er da von was abgezogen hatte und aus welchem Spruch man nun welche Buchstaben genommen hatte. Genau da kommt der PW-Manager ins Spiel. Ein sicheres PW mit solch einer Merkhilfe erstellen und dann als Masterpasswort verwenden.

 

[Farafan]

Wir reden wohl eher nicht von nicht wollen als nicht können. Sprich Faulheit.

Ich ändere persönlich eigentlich nur die Passworte regelmäßig monatlich wo es um Geld oder vitale Daten geht. (Amazon, Paypal..., Bankgeschäfte sowieso ausschließlich per HBCI-Chipkarte)
Die Seite auf dem ich meinem Stromanbieter einmal im Jahr den Zählerstand eintrage bedarf wohl kaum erhöhter Sicherheit.

Und ganz ehrlich: Es gibt sogar Seiten die ich äußerst selten nutze und jedes Mal den Button "Passwort vergessen" drücken muss. Auch das ist schließlich kein Weltuntergang und nach neuen temporären Einmal-Daten per Email ist das Problem ja wieder erledigt.

Es ist ja glücklicherweise nicht so das die Welt untergeht wenn man mal ein Passwort vergessen hat.

 

[smoe]

Jedesmal einen PW-Reset auszulösen ist natürlich auch eine Möglichkeit. Wäre mir schlicht zu lästig, aber muss ich soweit als sicher durchgehen lassen.

 

[rootie]

Ich ändere bei den vitalen Online-Anbietern auch nicht monatlich mein 25-stelliges Zufallspasswort und wurde noch nie gehackt...

 

[smoe]

Musst du ja auch gar nicht. Wenn dein Account in Forum xy gehackt wird ist das ärgerlich aber meist ohne größere folgen. Wenn du aber überall das selbe PW verwendest und irgendwer knackt Forum XY, dann hat er wenns dumm läuft auch dein PW für alles andere.