> > > > Ein erster Blick auf die 1Password 4 Beta

Ein erster Blick auf die 1Password 4 Beta

DruckenE-Mail
Erstellt am: von

1password4-logoIn Anbetracht der aktuellen Diskussion über den Datenmitschnitt einiger Geheimdienste, allen voran in den USA, rückt auch Software in den Vordergrund, die sich mit der sicheren Ablage der Daten beschäftigt. Um dem Wust von Accounts, Anmeldenamen und Passwörtern Herr zur werden, hat sich hier vor allem Agilebits mit 1Password hervorgetan. Derzeit arbeitet man im kanadischen Entwicklerstudio an der vierten Version für OS X. Diese konnten wir uns nun in einer recht frühen Beta-Version etwas genauer anschauen.

Welches Problem geht 1Password an? Viele von uns haben unzählige Benutzerkonten auf allen möglichen Webseiten. Hinzu kommen E-Mail-Accounts, Kreditkartendaten, Bankkonten und vieles andere, was sich entweder schön sortiert in der Ablage oder aber kreuz und quer auf irgendwelchen Notizzetteln oder dem Posteingang befindet. 1Password will all diese Daten sicher und übersichtlich in einer Software anbieten. Dazu stellt man Versionen für OS X, Windows, iOS und Android zur Verfügung, zwischen denen per Dropbox und teilweise auch über die iCloud synchronisiert werden kann. Etwas verwirrend ist allerdings die Versionsbezeichnung, denn während aktuell die Version 4 für OS X getestet wird, verwendet die iOS-Version diese Versionsnummer bereits. Windows und Android arbeiten noch auf Versionsnummer 1.x, was aber nicht heißen muss, dass in Sachen Funktionsumfang und Sicherheit ältere Standards verwendet werden. Dies sind einzig interne Versionsbezeichnungen, die allerdings nicht sonderlich eingängig im Vergleich sind.

1Password 4
1Password 4 Beta

Agile Keychain Design

Ein Thema wollen wir gleich zu Beginn behandeln: Die Sicherheit. 1Password speichert seine Daten lokal auf dem System in einem verschlüsselten Bundle. Aktuell verwendet 1Password eine 128 Bit oder 256 Bit AES-Verschlüsselung. Entwickelt wird diese aus einer Kombination aus OpenSSL und CommonCrypto. Unter Windows wird eine andere Verschlüsselungs-Bibliothek verwendet, aber in jedem Fall hält sich 1Password an die FIPS 140-1 und FIPS 140-2 Standards.

Wie schwierig es ist, eine solche Verschlüsselung zu knacken, lässt sich recht leicht darstellen. Eine Methode, eine solche Verschlüsselung zu knacken ist durch simples ausprobieren der verschiedenen Keys. Dies wird so auch für das Knacken anderer Krypto-Mechanismen angewendet. Vorausgesetzt ein System würde 255 Keys pro Sekunde ausprobieren können, dann würde es dennoch 149 Billionen Jahre dauern, einen 128 Bit AES-Key zu entschlüsseln -  eine Billion ist eine Eins, auf die 12 Nullen folgen. Ohne, dass das Passwort zur Entschlüsselung bekannt ist, ist es also nicht möglich ein solch gesichertes Bundle zu lesen.

Nun gibt der Nutzer aber keinen 128 Bit langen Key ein, sondern erstellt diesen über ein eigenes Master Passwort. Dies ist ein entscheidender Faktor für eine sichere Verschlüsselung. Agilebits verwendet dazu die PBKDF2 (Password-Based Key Derivation Function). Diese generiert aus einem beliebigen Kennwort den 128-Bit-Key. Damit aber nicht jedes Kennwort auch den gleichen 128-Bit-Key erzeugt, werden mehrere tausend Iterationen verwendet. Wichtig ist einzig und alleine sich ein sicheres und komplexes Kennwort auszudenken. Aus diesem wird der 128 Bit AES-Key erstellt und der Zugriff auf die Passwörter ist über dieses eine Master-Kennwort sichergestellt.

Kryptografie in der Cloud

Wer 1Password allerdings auf mehreren Systemen verwendet, der möchte die Daten sicherlich gerne automatisch auf alle Geräte synchronisieren. 1Password bietet dazu grundsätzlich zwei Wege: Dropbox und iCloud. Die iOS-Version bietet beide Möglichkeiten. Unter OS X wird mit 1Password 4 nur noch die iCloud unterstützt und dies wird sich vermutlich dann auch auf die iOS-Version auswirken. Egal wo die Daten auch abgelegt werden, die Verschlüsselung findet statt, bevor der Upload angegangen wird. Somit sind weder Dropbox, noch Apple auf der iCloud in der Lage die abgelegten Daten zu entschlüsseln. Auch Agilebits selbst besitzt keinen Master Key für seine Bibliotheken. Möglichst offen stellt man dies per OpenSSL und CommonCrypto dar.

Kommen wir nun aber zu den Neuheiten von 1Password 4 für OS X:

1Password 4
1Password 4 Beta

Nach der Eingabe des Master Kennworts öffnet sich 1Password und präsentiert in der vierten Version ein neues Design. Deutlich sind die Anlehnungen zur aktuellen iOS-Version zu sehen und es ist auch davon auszugehen, dass sich die Software für iOS und OS X weiter annähern wird.

1Password 4
1Password 4 Beta

Über die linke Navigationsleiste kann zwischen den verschiedenen Kategorien gewählt werden. 1Password bietet hier bestimmte Vorgaben, teilt diese aber noch in Unterkategorien auf. Im obigen Beispiel sind die gespeicherten Logins zu sehen. Mit Klick auf den jeweiligen Login werden die Details angezeigt. Passwörter werden allerdings nicht direkt im Klartext dargestellt, sondern erst auf Wunsch des Nutzers. Sie können aber auch ohne Anzeige direkt in die Zwischenablage kopiert werden.

Wird ein neuer Account angelegt, bietet 1Password auch gleich die Möglichkeit ein Passwort zu erstellen. Von einem ist im Zusammenhang mit Zugangsdaten abzuraten: Immer das gleiche Passwort zu verwenden. Aber der Nutzer ist häufig zu bequem und wählt daher zu kurze und zu einfache Passwörter. 1Password 4 erstellt Passwörter mit einer beliebigen Zeichenlänge aus Klein- und Großbuchstaben sowie Zahlen und Sonderzeichen.

1Password 4
1Password 4 Beta

Ein weiteres Beispiel für Daten die häufiger gebraucht, aber nicht immer direkt zur Hand sind, sind Kreditkarteninformationen. Auch diese können in der entsprechenden Kategorie abgelegt werden. Zur Sicherheit blendet 1Password aber schon die Kreditkarten-Nummer in der Vorschau aus.

Der Nutzer hat nun entweder die Möglichkeit die einzelnen Daten per Hand zu kopieren und im Formular einzufügen oder aber ein Browser-Plugin zu installieren, das dies selbstständig erledigt.

1Password 4
1Password 4 Beta

Ein letztes Beispiel sollen Softwarelizenzen sein. Nicht immer sind diese an einen Account im Mac App Store oder bei Steam gebunden und somit zentral verfügbar. 1Password soll die Verwaltung alle erdenklichen Daten ermöglichen - somit auch der Softwarelizenzen.

Mini-Version in der Menüleiste

1Password 4
1Password 4 Mini Beta

Für den schnellen Zugriff auf die eigenen Benutzerdaten und Passwörter bietet 1Password eine Mini-Version, die sich in der Menüleiste versteckt. Per Klick und Eingabe des Master-Kennwortes ist hier ebenfalls der Zugriff auf alle hinterlegten Daten möglich.

1Password 4
1Password 4 Mini Beta

Die Ansicht ist natürlich eine andere, allerdings gelangt der Nutzer recht schnell über die Untermenüs zu den gewünschten Informationen.

1Password 4
1Password 4 Mini Beta

Wer möchte kann in der Mini-Version auch gleich ein neues Kennwort erstellen lassen. Agilebits versucht einen möglichst großen Funktionsumfang in der Menüleiste zu bieten und in den ersten Tagen mit 1Password 4 blieb das große Programm-Fenster in den meisten Fällen auch im Hintergrund und wurde gar nicht erst genutzt.

Fazit

1Password bietet für iOS seit der Aktualisierung im Dezember 2012 ein neues Design, die Möglichkeit Favoriten anzulegen und in den hinterlegten Daten zu suchen sowie Anlagen hinzuzufügen. Der Sync über die iCloud war bisher natürlich nur zwischen iOS-Geräten, also zwischen iPhones und iPads möglich. Wer zusätzlich noch 1Password unter OS X, Windows oder Android verwendet, muss auf den Dropbox-Sync vertrauen. Spätestens mit der 4. Version für OS X bietet Agilebits dann aber auch die Synchronisation per iCloud auf dem Desktop. In den ersten Testtagen konnten wir keinerlei Probleme mit dem Datenabgleich feststellen. Sowohl unter iOS wie auch OS X zeigten sich Änderungen oder hinzugefügte Daten innerhalb weniger Sekunden oder Minuten.

Auf die sichere Ablage der Benutzernamen und Passwörter sowie weiterer Daten sind wir hinlänglich zu Beginn eingegangen. Für die eigene kleine Sicherheit am heimischen Schreibtisch sorgt die Möglichkeit die Passwörter zu verstecken und in der Zwischenablage befindliche Daten nach einer beliebigen Zeitspanne zu löschen. Zusätzlich lässt sich der verschlüsselte Container nach einer beliebigen Zeitspanne wieder schließen und verlangt daher eine erneute Eingabe des Master-Kennwortes. Wer möchte kann sich ein Browser-Plugin installieren und lässt sich entsprechende Formulare automatisch ausfüllen.

Bisher hat Agilebits noch keinen Termin für 1Password 4 für OS X veröffentlicht. Lediglich "später diesen Jahres" wird angegeben. Wer die aktuelle Version in Design und Feature-Umfang bereits heute unter iOS verwenden möchte, findet die iPhone- und iPad-Version im App Store für 15,99 Euro. 1Password für OS X und Windows kostet in einer Einzelnutzer-Lizenz im Mac App Store 44,99 Euro. Angeboten wird sie aber auch direkt über die Webseite in verschiedenen Bundels. Die Version 4 wird aber vermutlich wegen des iCloud-Synchs nur noch im Mac App Store zu finden sein.

Mit OS X 10.9 Mavericks wird Apple die iCloud Keychain anbieten. Darin sollen Nutzer ihre Benutzerdaten und Kennwörter hinterlegen können. Auch Daten wie Kreditkarteninformationen soll man der iCloud Keychain anvertrauen können. Bei Agilebits dürfte die Ankündigung für Aufsehen gesorgt haben. Was wir aber bisher von der iCloud Keychain gesehen haben, dürfte die Ängste beim Anbieter von 1Password weitestgehend wieder beseitigt haben, denn der Funktionsumfang ist gegenüber der dedizierten Software aus Kanada deutlich reduziert.

Persönliche Meinung

Ich gehöre zu den eher bequemen Menschen, die früher nur ein einziges, maximal aber zwei oder drei Passwörter für sämtliche Dienste und Logins verwendet hat. Bequem bin ich geblieben, aber dank Software wie 1Password fühle ich mich trotz gespeicherter Passwörter auf der sicheren Seite. Kryptografie ist schwierig, ebenso wie eine funktionierende Synchronisation. Die Verschlüsselung basiert auf einem gewissen Grundvertrauen des Nutzers - ich gebe Agilebits aber aufgrund der Offenlegung aller Mechanismen einen gewissen Vertrauensvorschuss. Mit der aktuellen Beta-Version bin ich soweit zufrieden. Abstürze kamen mir nicht unter und die Synchronisation zwischen iOS und OS X funktioniert bereits jetzt. (Andreas Schilling)

Social Links

Ihre Bewertung

Ø Bewertungen: 3

Tags

Kommentare (22)

#13
Registriert seit: 03.01.2009

Banned
Beiträge: 2617
Und was nützt KeePass wenn es nicht Benutzerfreundlich etc. ist?
Hier wurde eine App, ein Programm getestet und eben kein xy oder z.
Was eben evtl. irgendwann für sich getestet wird.

Würde eher warten mit Maverick wird wohl etwas Apple eigenes kommen :)
Ansonsten LastPass ist eigentlich so die einzige schnell und einfach benutzbare Alternative.
#14
Registriert seit: 13.06.2006
Würzburg
Fregattenkapitän
Beiträge: 2931
Wo genau ist KeePass nun nicht benutzerfreundlich? Was kanns nicht und wo ist es umständlich?
#15
customavatars/avatar19454_1.gif
Registriert seit: 14.02.2005
Raccoon City
Vizeadmiral
Beiträge: 7152
Ohne jetzt tief ins detail zu gehen (nur iphone zur hand) ist die 1password app deutlicher besser fuer ios umgesetzt als alles andere. Ich habe vor 1password auch alternativen getestet.
Ich weiss net ob win mobile berueckschtigt wurde doch ansonsten wird alles abfedeckt: os x, windows, android und ios.

Natuerlich ist open source bei sicherheitssoftware "besser" und nichts zu bezahlen ist auch nicht verkehrt doch meinen win + 2x ios kauf bereue ich nicht.
#16
customavatars/avatar125044_1.gif
Registriert seit: 12.12.2009


Beiträge: 4246
Ich würde nie im Leben meine Passwörter einem Programm anvertrauen. Schon gar nicht wenn ich nicht die Hersteller-Firma, geschweige denn dessen Intentionen und Ideologien kenne.
Niemand kann die Sicherheit des Programms wirklich überprüfen, oder herausfinden ob da eine Backdoor etc. ist. Open Source ist die einzige Lösung.
Ich halte es für am Sinnvollsten Passwörter auf einem verschlüsselten USB Stick zu speichern, der nur angeschlossen wird wenn ein Passwort benötigt wird. Mit Automount bei Truecrypt klappt das relativ bequem.
#17
customavatars/avatar163959_1.gif
Registriert seit: 27.10.2011

Bootsmann
Beiträge: 750
@Bzzz: Joar, spezielle Angriffe sind etwas anderes. Selbst Schlüssellängen wie 512 Bit sind nicht sicher, wenn der zugrunde liegenden Algorithmus schwach ist. Aber im Grunde ist eine längere Schlüssellänge gleichzusetzen mit einer höheren Sicherheit. (Beispielsweise bei Bruteforce) (Man muss die Schlüssellänge aber auch ausnutzen.)
Ich möchte übrigens erwähnen, dass der Angriff (falls die Angaben der Wahrheit entsprechen) immer noch praktisch nicht durchführbar ist.

Das beste daran ist ja aber, dass ich eh nicht AES benutze, sondern Twofish. AES hat nämlich zwar den Vorteil, dass mehr Leute ihn untersucht haben, allerdings wird deswegen auch fast die ganze Kraft zum Knacken auf ihn angewendet. Andere Verfahren werden kaum beachtet. (Gleiches Prinzip bei Viren und Linux: Linux wird weniger verwendet und allein dadurch gibt es, neben anderen Gründen, weniger Viren dafür.)
Hinzu kommen persönliche Merkmale, wie beispielsweise dass ich Bruce Schneier (Mitentwickler von Twofish) sympatischer finde. Sicherheit ist eben auch eine Sache des Vertrauens. ^^
#18
customavatars/avatar3377_1.gif
Registriert seit: 15.11.2002
www.twitter.com/aschilling
[printed]-Redakteur
Tweety
Beiträge: 29105
Zitat Lebedev;20926180
Niemand kann die Sicherheit des Programms wirklich überprüfen, oder herausfinden ob da eine Backdoor etc. ist. Open Source ist die einzige Lösung.


Das in Linux und Android gefundene Code, der von der NSA stammen soll, ist für mich aber auch nicht gerade ein Beispiel für vertrauensvoller Code. Bewiesen ist in der Hinsicht nichts, aber ich kann dem Hersteller der Software hier auch nicht beweisen, was er tut und was nicht.
#19
Registriert seit: 01.01.1970


Beiträge:
und wo her habt ihr die sicherheit das diese Tool nicht von NSA Finanziert worden ist.

Dann haben die bequem alle euere Passwörter beste schutz ist immer noch mein Kopf :D

Ich würde keine Tool benutzen schreibt eine World Datei alle euere Accounts + passwörter Druck das aus lernt das auswendig und tut diese Doku sicher aufbewahren fertig aus.
#20
customavatars/avatar19454_1.gif
Registriert seit: 14.02.2005
Raccoon City
Vizeadmiral
Beiträge: 7152
Ist zwar leicht paranoid aber man kann auch die Login Namen abkuerzen (wie ich es tue) oder ganz weglassen. Dann fehlt natuerlich die Komfort Funktion der automatischen Anmeldung im Browser.
#21
Registriert seit: 03.01.2009

Banned
Beiträge: 2617
Ehrlich gesagt ist es mir doch piep egal was die nsa macht, was fängt die mit meinen pws an?
Solanoge da nicht noch mehr so leute wie der piep rum laufen die Sachen machen für die sie nicht zuständig ist, gibt es da keinen der sich auch nur einen scheiß um die pws kümmert bzw. Damit was anfangen kann.
Was haben die von meinen Online Konten, Privat Bildern oder was auch immer?
Nix, ist schlicht nicht relevant, solange ich nicht gerade irgendwelche Spionage, Terror oder sonstige Kake betreibe.

Don hat es schon gesagt, in Open Source ist es vermutlich noch einfache BackDoors ein zu bauen oder kontrolliert ihr den kompletten Quelltext? Nur weil man das theoretisch kann macht das einer? Nein mehr Sicherheit,,hat man nur wenn man sie selbst schreibt.

@Bzzz
Alleine die App für iOS entweder veraltet oder sonst wie nicht direkt zu nutzen oder x Sachen machen zu müssen.
1Password hat dagegen z.B, direkt Browser etc. Integriert, Einrichtung ist schnell und einfach gemacht, iCloud Unterstützung.
Dazu die Optik von KeePass, keine Anpassung ans System und nichts.
Wie gesagt, ich nutze aber kein 1Password, mir reicht der Online Service von LastPass.
#22
Registriert seit: 13.06.2006
Würzburg
Fregattenkapitän
Beiträge: 2931
Zitat Darkwonder;20927178
Alleine die App für iOS entweder veraltet oder sonst wie nicht direkt zu nutzen oder x Sachen machen zu müssen.


Das klingt jetzt nicht nach ausprobiert, sondern aus deiner Macmini-, AirportExtreme-, Eipäd-, MBP und Eifon-Ausstattung abgeleitet. Wurde nicht speziell dafür gemacht, kann ja nix taugen.
Aber glücklicherweise ist iOS ja nicht die goldene Kuh, um die alle tanzen. Und 1Password gibts z.B. nicht für Maemo und normales Linux, hat sich daher für mich zu 100% erledigt - und wenns noch so toll wäre.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Kommentar: Pokémon Go bringt die Smombies auf den Vormarsch

Logo von IMAGES/STORIES/LOGOS-2016/POKEMON_GO_LOGO

Sicherlich lassen sich meine Erfahrungen von Sonntag nicht zwangsläufig auf ganz Deutschland übertragen, dennoch stelle ich folgende Behauptung auf: Am vergangenen Wochenende zog es vielerorts deutlich mehr Menschen auf die Straßen als noch in den Tagen zuvor. Schuld daran war nicht nur das... [mehr]

Microsoft Cortana wehrt sich gegen "sexuelle Belästigung"

Logo von IMAGES/STORIES/LOGOS-2015/MICROSOFT_CORTANA_BUTTON

Menschen sind neugierig, wenn künstliche Intelligenz ins Spiel kommt. Man probiert aus, stellt absurde Fragen, prüft, ob die K. I. Humor hat oder lotet die Grenzen aus, bis sie bei Ironie und Sarkasmus nicht mehr weiter weiß. Auch ist bekannt, dass Apples Sprachassistentin Siri etwa durchaus... [mehr]

WhatsApp wird dauerhaft kostenlos

Logo von IMAGES/STORIES/LOGOS-2013/WHATSAPP

Kaum eine Anwendung dürfte Mobilfunkanbieter derart viel Geld gekostet haben wie WhatsApp. Denn seit dem Start im Jahr 2009 steigt die Zahl der über den Dienst verschickten Nachrichten kontinuierlich, vor allem auf Kosten der ehemals so lukrativen SMS. Für die Gründer hat sich das längst... [mehr]

Harvester Messenger vereint fast alle Messenger in einer App

Logo von IMAGES/STORIES/LOGOS-2016/HARVESTER_LOGO

Früher hatte sicher jeder einige Multimessenger in Benutzung, die namensgebend viele verschiedene Messenger-Protokolle in einem Programm vereinten. So konnten Nutzer gleichzeitig via icq, AIM oder XMPP (Jabber) kommunizieren. Die aktuelle Messengerlandschaft hat sich zwar stark gewandelt, doch im... [mehr]

Pokémon Go offiziell in Deutschland erhältlich – erstes Update für iOS

Logo von IMAGES/STORIES/LOGOS-2016/POKEMON_GO_LOGO

Bis vor wenigen Stunden war Pokémon Go nur über Umwege in Deutschland spielbar. Besitzer eines Android-Smartphones mussten sich über Umwege die APK-Datei beschaffen und diese durch Aushebelung der Drittanbieter-Sperre auf ihrem Gerät installieren. Etwas schwieriger war das unter iOS – hier... [mehr]

Windows-Fans rufen Project App-Gap ins Leben

Logo von IMAGES/STORIES/LOGOS-2016/PROJEKT_APPGAP

Windows Phone bzw. Windows 10 Mobile fehlen vor allem eins: Apps. Um dies zu ändern haben sich die beiden Microsoft-Fans Nils Tuschik sowie Manuel Blaschke eine Idee einfallen lassen. So haben die beiden das Project AppGap ins Leben gerufen, bei dem Nutzer vorgefertigte Textbausteine an... [mehr]