Fragen zur Nutzung von 1password

Bernd68

Aktives Mitglied
Thread Starter
Dabei seit
07.11.2007
Beiträge
305
Reaktionspunkte
3
Hallo zusammen,

ich habe mir gestern die Testversion von 1password runtergeladen, habe aber noch ein paar generelle Fragen dazu.

Mir ist klar, dass ich mit dem Programm meine Passwörter, IDs, Kreditkartendaten etc aufbewahren kann und die Datei verschlüsselt ist. Zugriff kann nur durch das Masterpassword erfolgen.
Mir ist auch klar, dass es extrem praktisch ist, die Login-Felder per Mausklick zu füllen. Da man sich die Passwörter nicht mehr merken muss, kann man auch wirklich gute Passwörter nutzen - und auch viele verschiedene. Man könnte das natürlich auch analog machen und alles schön auf einen Zettel schreiben, aber wenn der mal wegkommt ist Schicht im Schacht. Ganz abgesehen davon, dass man in quasi jederzeit zur Hand haben muss, ihn gleichzeitig aber auch sicher aufbewahren muss.

Wenn ich das richtig sehe, steht und fällt die ganze Sache mit dem Masterpassword.
Solange nur ich das Masterpassword kenne, ist alles in Butter. Aber es muss ja NUR das Masspassword ausgespäht werden, und schon liegen ALLE meine Daten offen, oder?

Ich frage mich also, wie sicher meine Daten aufbewahrt werden bzw. wie schwierig es ist, das Masterpasswort abzugreifen. Ich möchte ja nicht eine Unsicherheit (Eintippen von Passwörtern, Zettelwirtschaft) gegen eine andere (Abgegriffenes Masterpassword und Offenlegung aller Daten) eintauschen.

Der Anbieter sagt z.B., dass durch die Browserintegration Keylogger keine Chance haben, Login-Daten abzugreifen. Aber können sie nicht das Masterpassword abgreifen wenn ich die Datei öffne um 1password zu nutzen?

Und noch eine Frage zur Browserintegration bzw. dem automatischen Ausfüllen der Login-Felder: Angenommen ich logge mich bei meiner Bank ein. Ist es nicht möglich, den Inhalt der Login-Felder auszuspähen, egal ob ich die Felder durch Eintippen, Copy & Paste, oder 1password ausfülle? Kann 1password mich wirklich vor dem Ausspähen meiner Login-Daten schützen?

Vielen Dank für Eure Hilfe,
Bernd
 
Wenn ich das richtig sehe, steht und fällt die ganze Sache mit dem Masterpassword.
Solange nur ich das Masterpassword kenne, ist alles in Butter. Aber es muss ja NUR das Masspassword ausgespäht werden, und schon liegen ALLE meine Daten offen, oder?
Wobei sich hier die Frage stellt: Wie und wo kann dieses Masterpassword ausgespäht werden? Das ging nur, wenn Du lokal auf dem Rechner einen Key-Logger installiert hast oder wenn Dir jemand über die Schulter schaut.
Es ist hier also nicht sicherer oder unsicherer wie jede andere Passwort-Eingabe.
Der Anbieter sagt z.B., dass durch die Browserintegration Keylogger keine Chance haben, Login-Daten abzugreifen. Aber können sie nicht das Masterpassword abgreifen wenn ich die Datei öffne um 1password zu nutzen?
Richtig: Key-Logger im Browser können das Master-Passwort nicht mit lesen, da Du es ja im Programm und nicht im Browser eingibst. Key-Logger im Browser können natürlich nur Passwörter im Browser mitlesen.

Und noch eine Frage zur Browserintegration bzw. dem automatischen Ausfüllen der Login-Felder: Angenommen ich logge mich bei meiner Bank ein. Ist es nicht möglich, den Inhalt der Login-Felder auszuspähen, egal ob ich die Felder durch Eintippen, Copy & Paste, oder 1password ausfülle? Kann 1password mich wirklich vor dem Ausspähen meiner Login-Daten schützen?
Richtig, egal wie die Login-Felder ausgefüllt werden, wenn im Browser ein Key-Logger mitläuft, der die Browser-Felder auslesen kann, so kann er die Login-Daten mitlesen.


Was hast Du für ein komisches System, dass Du Key-Logger installiert hast?
 
Hallo Pinu,

ich habe keine Key-Logger installiert - jedenfalls nicht wissentlich - und ich bin auch kein Experte für Sicherheit und Keylogger. Würde ich mich damit auskennen, hätte ich nicht gefragt.

Auf der Website des Anbieters von 1password heisst es, dass die Integration in den Browser ein großer Vorteil sei. Und das nicht nur weil es praktisch ist, sondern auch weil Key-Logger damit keine Chance hätten. Dem widersprichst Du nun.

Wenn das Master-Password und die Login-Eingaben durch 1password genau so ausgespäht werden können wie ohne den Einsatz von 1password, wo ist dann der Sinn? Ist es nicht sogar gefährlich, einen Password Manager zu nutzen, denn durch das Ausspähen des Master-Passwords werden ja alle Daten offengelegt.

Man kann jetzt sagen, dass Programm dient nur der Verwaltung von Passwörtern und deren bequemer Eingabe. Aber dann muss man doch auch sagen "ist das Master-Password futsch, ist alles futsch". Und da habe ich das Gefühl, dass mir irgend etwas entgeht (da ich ja kein Experte bin), denn 1password genießt ja einen sehr guten Ruf und ist weit verbreitet.
 
Keylogger greifen Eingaben der Tastatur ab, da 1P die Daten aber direkt in die Felder einfügt kann auch nichts abgegriffen werden.
 
Das Master-Passwort, so es denn abgegriffen würde (durch einen auf deinem PC installierten Keylogger), hilft jemandem ja nur etwas, wenn er oder sie auch den Schlüsselbund besitzt.
 
1. Ich denke beim Lesen immer wieder an das hier...

2. Ich benutze auch einen PasswortContainer mit einem Masterpasswort. Und im Prinzip teile ich auch die Sorge darum, dass der Verlust des Masterpasswords (egal auf welchem Wege) direkt und unmittelbar ALLE meine Passwörter offen legt. Angefangen vom Emailpostfach für den SPAM ;) bis hin zu loginDaten der Bank.

Auch nicht der Weisheit letzter Schluss, aber sicher auch nicht so ganz falsch im Sinne einer MultiTierLösung wie sie in Sachen Security grundsätzlich immer sinnvoll ist:
Einfach 2,3 oder 4 Container anlegen die jeweils unterschiedlichen Masterpasswords haben. Sicher, dann muss man sich ja wieder mehr als nur ein Passwört merken, aber selbst wenn man nur 2 Container anlegt, einen mit den wirklich kritischen Passwörten wie zB Bank, EC Karten und eben einen mit den weniger kritischen Passwörtern. (Die Unterscheidung sei dabei jedem selbst überlassen.) Jedenfalls kann man das Risiko so verteilen... Es etwas hinkender Vergleich ist vielleicht, dass man Backupplatten ja auch an einem anderen Standort lagert als der Server selbst.
 
Das ist auch bestimmt nicht falsch. :)

Übrigens kann man sich darüber streiten, ob man den Schlüsselbund aus der Hand geben sollte. Aber auch bei dieser Geschichte zeigt sich wieder, dass das wirklich entscheidende ein sicheres (!) Master-Passwort ist.
 
Also das mit dem Schlüsselbund verstehe ich ehrlich gesagt nicht. Wofür braucht jemand den Schlüsselbund (den von Mac OS X?) wenn er mein Master Password hat?

Es stellt sich für mich auch dir Frage, auf welchem Wege jemand das Master Password ausspähen könnte und wie man sich davor schützt. Denn den Gedanken, sich seine Passwörter nicht mehr merken zu müssen und auch noch ganz einfach an sichere Passwörter zu kommen, finde ich sehr gut! Ich habe nur Angst, dass plötzlich alle Daten offen liegen.

Ein Arbeitskollege sagte heute, dass Login Daten durch die Position der Felder auf einer Website ausgespäht werden könnten. Daher würden z.B. Banken die Position ihrer Login Felder immer wieder ändern. Kann das sein???
 
Also das mit dem Schlüsselbund verstehe ich ehrlich gesagt nicht. Wofür braucht jemand den Schlüsselbund (den von Mac OS X?) wenn er mein Master Password hat?

Ich meinte den 1Password-Schlüsselbund. Also die Gesamtheit der verschlüsselten Passwörter.
 
...
Wenn das Master-Password und die Login-Eingaben durch 1password genau so ausgespäht werden können wie ohne den Einsatz von 1password, wo ist dann der Sinn? ...

Der Sinn liegt darin, dass Du nun für jeden Account unterschiedliche, sehr lange und komplexe Passwörter generieren und nutzen kannst, die Du Dir ohne PW-Manager nicht merken könntest. Leute ohne PW-Manager haben meist immer das Selbe, einfache, leicht zu merkende Passwort. Genau da setzt ein PW-Manager an.
 
OK, das ist ungefähr das, was ich mir anfangs gedacht habe.

Ich bin also durch bessere Passwörter besser geschützt, erkaufe mir dies aber mit der Angst, dass das Master-Passwort ausgespäht wird und alle Daten offen liegen. Ab genau so könnten die einzelnen PWs auch einzeln nacheinander ausgespäht werden, ohne dass ich es merke.

Es ist schon ganz witzig: Ich schreibe jetzt von Ausspähen, Key-Loggern etc, hatte aber noch nie irgendein Problem bzgl. Sicherheit :)
 
Ich bin also durch bessere Passwörter besser geschützt, erkaufe mir dies aber mit der Angst, dass das Master-Passwort ausgespäht wird und alle Daten offen liegen. Ab genau so könnten die einzelnen PWs auch einzeln nacheinander ausgespäht werden, ohne dass ich es merke.

Dazu müsste Dein Computer aber erst durch Schadsoftware kompromittiert werden.. oder jemand erfährt anders Dein Master-Passwort (wenn Du es unsicher aufbewahrst), er bräuchte dann aber immer noch die Datei in der die ganzen Passwörter gespeichert sind, also den physischen Zugriff zu Deinem Rechner, oder dem Speichermedium wenn Du die (Schlüsselbund)-Datei zusätzlich ausserhalb des Rechners abspeicherst..
 
Wie könnte denn jemand an die Datei kommen? Es nutzt niemand außer mir den Rechner, es müsste also übers Internet versucht werden.

Ich habe da auch noch eine Frage zur Verschlüsselung... Die Datei, die die Daten enthält, ist ja verschlüsselt. Wenn ich mich jetzt über 1p irgendwo einlogge, muss ich ja mein Master Password eingeben. Öffne ich damit die Datei, so dass sie dann nicht mehr verschlüsselt ist? Ich frage dass, weil ich gelesen habe, dass jemand sein Master Password dem Mac OSX Schlüsselbund anvertraut hat, wodurch er sein Master Massword nicht mehr eingeben muss. Ist das sinnvoll?
 
Ich habe da auch noch eine Frage zur Verschlüsselung... Die Datei, die die Daten enthält, ist ja verschlüsselt. Wenn ich mich jetzt über 1p irgendwo einlogge, muss ich ja mein Master Password eingeben. Öffne ich damit die Datei, so dass sie dann nicht mehr verschlüsselt ist?

Richtig, wenn Due eine Datei öffnest, dann ist sie unverschlüsselt. Sie wird dann auch unverschlüsselt im Speicher liegen...

dass jemand sein Master Password dem Mac OSX Schlüsselbund anvertraut hat, wodurch er sein Master Massword nicht mehr eingeben muss.

Sorry, aber da hilft wohl nur noch: :hamma: :hamma:

Ist das sinnvoll?

:kopfkratz: ...ähhhm... :suspect: :nono:
 
Dacht ich's doch ;-)

Gibt es eigentlich irgendwo ausführlichere Informationen zur Funktionsweise von PW Managern bzw. welche Gefahren bei ihrem Einsatz drohen und wie sicher sie sind?
 
Gibt es eigentlich irgendwo ausführlichere Informationen zur Funktionsweise von PW Managern bzw. welche Gefahren bei ihrem Einsatz drohen und wie sicher sie sind?

Ich fürchte da wirst Du Dich auf die Suche machen müssen nach Tests von Drittanbietern. Aber das dürfte grundsätzlich schon schwierig sein, wie das BSP Dropbox ja offenbar gezeigt hat.

Das fällt alles in die Kategorie:

"Bei UNS ist Atomkraft sicher!" oder "Bei UNS sind ihre Daten sicher!" oder "Nur UNS kannst Du vertrauen!"

Ich denke mal, dass gerade in diesem Bereich (Verschlüsselung / Sicherheit) eher OpenSource Geschichten zu trauen ist, bei denen die Algorithmen offen liegen und deren Implementation auch überprüft werden kann... (zB MD5, DES, AES usw usf)
Aber auch hier gilt nie 100% sicherheit wie die Sache mit OpenSSL gezeigt hat.

Andere widerum befürworten proprietäre Lösungen. Das halte ich aber für fahrlässig...
Denn ich finde: Nur wenn eine Software wirklich kontrolliert werden kann, nur dann kann man davon ausgehen, dass der Anbieter (oder bei OpenSource die Community) ehrlich mit einem umgeht. (siehe Dropbox)
 
  • Gefällt mir
Reaktionen: Bernd68
IMHO ist 1Password die so ziemlich sicherste Variante, heutzutage mit Passwörtern zu jonglieren, vorausgesetzt man beachtet ein paar simple Vorgehensweisen:

- Master-Passwort mit hoher Sicherheit, d.h. mit Sonderzeichen und Ziffern durchsetzt (also nicht den Namen des Hundes oder der/des Liebsten). So ist ein Bruteforce-Attacke für den Fall, dass der Rechner abhanden kommt, weitestgehend aussichtslos.
- In den Einstellungen von 1P Auto-Sperren nach X Minuten aktivieren sowie automatisches Entsperren deaktivieren. So ist man auch beim Diebstahl des Rechners relativ sicher, dass die Library gesperrt ist, bevor jemand, der den Rechner in die Finger bekommt, damit rumspielt. Ich habe Auto-Sperren auf 15 Min. gestellt. Darüber hinaus "Bei Ruhezustand sperren" und "Sperren, wenn Bildschirmschoner aktiv". Das führt zwar dazu, dass man mehrmals am Tag das Master-Passwort eingeben muss, erhöht aber die Sicherheit.
- Syncen mit dem iPhone/iPad nicht über DropBox, sondern ausschließlich lokal im heimischen WLAN. So bleiben die gesyncten Libraries eben auch nur lokal abgespeichert. Ich würde eine Passwort-Library niemals einem Cloud-Dienst anvertrauen, auch wenn es mit einem sicheren Master-Passwort (siehe Punkt 1) weitestgehend unmöglich ist, die Library zu knacken.
- Phishing-Schutz: Da die Domains, denen ein Passwort zugeordnet ist, in der Library gespeichert werden, besteht nicht die Gefahr, dass man die Passwörter mittels 1P unwissentlich an einen Phisher weiterreicht, da 1P eine Eingabe verweigert, wenn die Domain in der Adresszeile nicht mit der Library übereinstimmt. Beispiel: www . postbank . de und als Phishing-Seite www . poastbank.de. Bei letzterem würde 1P die Eingabe des Passwortes verweigern, auch wenn man die falsche Domain selbst gar nicht bemerkt hat.
- Thema Keylogger: Browser-Keylogger können die von 1P eingefügten Benutzernamen/Passwörter nicht auslesen, da die Daten eben nicht über die Tastatur eingegeben werden (aber das wurde ja bereits weiter oben erwähnt). Wie es mit systemweiten Keyloggern aussieht, kann ich nicht sagen. Meines Wissens sind aber auch keine Keylogger-Trojaner o. Ä. für Mac im Umlauf.

Fazit: IMHO ist 1P die so ziemlich sicherste (und komfortabelste) Lösung für Passwörter. Und sorgt aufgrund der Möglichkeit, wirklich sichere und unterschiedliche (zufallsgenerierte) Passwörter zu verwenden, für das unter Anwendungsgesichtspunkten bestmögliche Maß an Sicherheit. Außerdem ist bei 1P gewährleistet, dass die Sicherheit und Bedienungsfreundlichkeit permanent weiterentwickelt werden, da die Anwendung das Flagship von Agile ist, von der eine Menge Mitarbeiter leben.

Hier noch zwei gute Screencasts zu 1P:

1Password Mac
1Password iPhone
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Bernd68 und santigua
Wie könnte denn jemand an die Datei kommen? Es nutzt niemand außer mir den Rechner, es müsste also übers Internet versucht werden.

Eben, mein Beitrag..

Dazu müsste Dein Computer aber erst durch Schadsoftware kompromittiert werden.. oder jemand erfährt anders Dein Master-Passwort (wenn Du es unsicher aufbewahrst), er bräuchte dann aber immer noch die Datei in der die ganzen Passwörter gespeichert sind, also den physischen Zugriff zu Deinem Rechner, oder dem Speichermedium wenn Du die (Schlüsselbund)-Datei zusätzlich ausserhalb des Rechners abspeicherst..

..sollte aussagen, dass selbst wenn jemand Dein Haupt-Passwort erfährt, damit nicht gleich alles verloren ist, denn man müsste auch noch an die Datei kommen.
 
Zurück
Oben Unten