Großes Update für macOS Big Sur
1Password 7.7: Tresor entsperren per Apple Watch
Obgleich die Macher der Passwort-Verwaltung 1Password inzwischen nur noch ihr Abo-Modell bewerben, lassen sich noch immer reguläre Einzelplatz-Lizenzen für den Passwort-Tresor erwerben. Wir wissen dies, da wir die ~65 Euro in die aktuelle Version 7 erst in der vergangenen Woche für einen Rechner aus dem Familienkreis investiert haben.
Für eben jene Ausgabe 7 des Passwort-Managers steht nun die Aktualisierung auf Version 7.7 zum Download bereit, die Besitzer der Apple Watch mit einer netten Zusatzfunktion überrascht. Wenn diese auch über einen aktuellen Mac verfügen, der Apples Secure Enclave integriert, können diese die Computeruhr fortan zum Entsperren des verschlüsselten Passwort-Tresors einsetzen.
Das neue Komfort-Feature wird dabei nicht anstatt der Authentifizierung per Touch ID sondern zusätzlich angeboten. Soll heißen: Vor einem aktuellen MacBook Air könnt ihr nach Lust und Laune wählen, ob ihr den Fingerabdruck-Scanner oder die Apple Watch am Handgelenk nutzt, um 1Password zu entsperren.
Touch ID und Apple Watch bieten sich zusammen an
Die neue Funktion lässt sich mit allen Macs nutzen, die Apples T1 oder T2 Security Chip verbauen, der seinerseits die Secure Enclave beherbergt. Dies trifft auf viele der neueren Modellen von Mac mini, iMac und Mac Pro sowie allen MacBooks mit Touch ID zu.
Ansonsten kümmert sich die Aktualisierung vor allem um Performance-Verbesserungen unter der Haube, bringt eine neue Safari-Erweiterung mit, die das Ausfüllen von mehrseitigen Login-Verfahren optimiert und verspricht intelligenter zwischen Passwörtern, Identitäten und Kreditkarten-Infos zu wählen, die beim Besuch von Webseiten automatisch angeboten werden.
Die Entwickler des Passwort-Manager gehen in diesem Blogeintrag auf die neuen Funktionen ein und listen alle Veränderungen und Verbesserungen von Version 7.7 in diesem Changelog.
Wo kann man denn die Single Lizenz kaufen?
Auf der Webseite. Der Link ist etwas versteckt.
Wo? Ich find’s nicht :'(
Hier werden die Links beider Versionen (Mac und Windows) angezeigt:
https://benjamin-staneck.com/?p=14
Kann man die App auf mehreren Rechnern installieren mit der Lizenz?
@GlennQ: Ob mehrere Rechner möglich oder erlaubt sind bei der Einmalkaufversion, weiß ich aktuell zwar nicht, aber früher (vor vielen Jahren) durfte man z.B. die macOS-Version auf dem Desktop-Mac und dem MacBook („“/“Air“/“Pro“) nutzen mit einer Lizenz. Wie das aktuell ist, weiß ich nicht, auch wenn ich dies vermute. Und ob man die Lizenz mischen kann (einer für Windows-Betriebssystem und einer für macOS), weiß ich auch nicht. Ich bezweifle dies zwar, aber evtl. ist dies doch möglich. Ich empfehle hierfür den 1password-Support zu kontaktieren. Z.B. für Wechsel von MacOS-Version zu Win-Version oder anders herum, geben sie dem Bittenden evtl. kulanterweise eine Lizenznummer.
Ich glaube mich daran zu erinnern, dass wir den Lizenzkauf direkt über die App angestoßen haben.
In der Vergangenheit war das recht umständlich gelöst:
* Download der Software von der Webseite, nicht aus dem Store
* Installieren und KEIN 1password Konto anlegen
Dann sollte es im Menü bzw. in einem Dialog die Möglichkeit geben, eine Einzellizenz zu erwerben.
Man sollte aber darauf hinweise, dass diese Lizenz nur für eine Plattform gilt, man für ein weiteres Betriebssystem also ggf. eine weitere Lizenz erwerben muss.
Des weiteren sollte man sich mit den Einschränkungen auseinandersetzen, wenn man kein 1password Konto verwendet.
Gruß
Was sind denn die Einschränkungen, außer dass man für den Sync Dropbox bzw. SyncFolder verwenden muss?
Ist schon etwas her, dass ich mich damit beschäftigt hatte. Letztendlich habe ich mich dann für KeePass entschieden.
Das man nur eine Lizenz für 7.x für eine Plattform kauft dürfte noch recht schnell auffallen. Erscheint Anfang nächstens Jahres die Version 8.x, so wird man wohl eine neue Lizenz erwerben müssen.
Dann gibt es teilweise Unterschiede in der Funktionalität. So funktioniert AFAIR z.B. das Prüfen der gespeicherten Passwörter gegen den Dienst „Have I been pwned?“ nur in Zusamenhang mit einem 1Password Konto. Ebenso das Absichern der Tresore mit einem zweiten Faktor (vergleichbar mit der Schlüsseldatei bei KeePass). Und ich meine mich erinnern zu können, dass es auf den mobilen Geräten eine Einschränkung bzgl. der Anzahl (lokaler) Tresore gibt.
Eine Übersichtsseite, die alle Unterschiede auflistet, ist mir nicht bekannt. Allerdings stößt man beim Stöbern in den Foren auf einige Punkte – einfach mal ein bisschen quer lesen bzgl. der Einzellizenz.
Gruß
@hotrs: Was hast du für ein Passwortmanager und eine Synchronisation mit deinem iOS-Gerät?
Zum derzeitigem Testen nutze ich KeePassium Pro. Für die Synchronisation der kdbx-Datei nutze ich FE File Explorer Pro. Einwandfrei funktioniert dies leider nicht. Eine Änderung im iOS-Gerät kann durch eine Änderung in einem anderen iOS-Gerät überschrieben werden. Die App FileBrowser Business (die Standard-Version verspricht dies nicht) verspricht, bei Synchronisationskonflikten eine separate kdbx-Datei zu erstellen. Auf der KeePassium-Seite steht, dass man dann angeblich die beiden Dateien wieder zusammenführen kann. Das ist schade, dass KeePassium Pro dies nicht kann, aber eine andere App kann dies auch nicht, oder? Oder gibt es einen zuverlässigeren „Filebrowser“? Oder sollte man einen anderen Onlinespeicher als über Webdav mit Magentacloud nutzen?
(Dies ist für Eltern gedacht. Ich persönlich bevorzuge 1password & zahle lieber ein Abo. Es ist günstiger als die Einmalzahlung. Denn nach ein paar Jahren miss man für die neue Version den vollen Preis zahlen. Und ich nutze mehrere Computer und mehrere Betriebssysteme (Hauptsystem Linux & macOS). Also müsste ich ca. 7 Mal (oder öfters) den vollen Preis zahlen. Zudem habe ich die zuverlässige sichere Cloudsynchronisation, was ich mit dem Firefox Addon 1password X auch unter Linux verwenden kann (zwar unbequemer zum Verwalten, aber es funktioniert, kann ausweichen auf andere Betriebssysteme für Verwaltung und „bald“ gibt es auch eine Linuxversion mit GUI, nicht nur für die Shell Bash (vergleichbar mit verkrüppelter Kommandozeile in Windows).)
@Arni: Zum einen zuverlässigen Cloudsync (als ich viel früher iCloud und später Dropbox verwendete, waren des öfteren Einträge sicherheitshalber doppelt (vor allem bei den Notizen). 1password-Cloud dagegen hat sich als zuverlässig erwiesen (obwohl ich die Cloud aus Kanada nutze).
Wenn man theoretisch 3 Betriebssysteme auf 4 Computern jeweils nutzt, muss man 12 Einzelkäufe tätigen. Da ist das Abo sehr viel günstiger, zumal man die 12 Einzelkäufe alle paar Jahre tätigen muss, wenn man die Betriebssysteme aktuell und sicher hält.
Gegenüber Keepass, was sonst wie 1password sehr sicher zu sein scheint (laut Audits namhafter Quellen & Erfahrung über längere Zeit ), hatte ich bei iOS Geräten (Erfahrung mehrere Jahre inzwischen) nie Synchronisationskonflikte und es ging nie etwas verloren.
Ohne Konto gibt es auch kein Flight Mode (Flugmodus). Dies ist für den Fall, dass man in den Bordercontrol der US (oder eines anderen Staates) gerät und man sein Passwortmanager freilegen soll. Die können Touch ID oder Face ID verlangen. Wenn man darauf achtet, dass man nur mit Passwort sich anmelden kann, kann man dies zwar verweigern, aber dann wirst du entweder bis zu Freigabe festgehalten, oder man kann nicht einreisen.
@hotrs:
Kleine Korrektur:
Auf der KeePassium-Seite steht, dass man mit Keepass doe kdbx-Dateien wieder zusammenführen können soll, aber leider nicht mit KeePassium Pro derzeitig (und in Zukunft?).
@Arni: WLAN-Sync geht auch ohne Konto mit der Standalone-Version. Dann verlassen die Passwörter Dein Heimnetz nie.
@Bob: Dann wäre Verschlüsselung fast nie nötig, wenn die Passwörter die sicheren Geräte nie verlassen. Man könnte dadurch viel Geld sparen.
@Reborn
Nach einigen Versuchen bin ich bei KeeWeb auf dem Mac und der LifeTime Lizenz von StrongBox auf dem iPhone und dem iPad gelandet. Als einziger Nutzer reicht mir das bislang.
Habe ich die Datenbank anfangs noch mittels iTunes / Finder bei Änderungen manuell zwischen den drei Systemen abgeglichen, so liegt diese inzwischen online bei meinem deutschen Mail-Provider und wird mittels WebDAV synchronisiert. Neben einem Kennwort für die Datenbank nutze ich zusätzlich eine Schlüsseldatei, die ich nicht online verfügbar gemacht habe.
( Die direkte Unterstützung von WebDAV war auch ein Grund für mich, StrongBox gegenüber KeePassium den Vorzug zu geben).
Bis jetzt läuft das ganze recht gut. Allerdings wird die Datenbank von mir nicht allzu häufig bearbeitet.
Gruß
@Bob
Nach meinem Kenntnisstand gibt es den WLAN-Sync (Abgleich der Datenbank im heimischen Netzwerk per WLAN) nur auf dem Mac – unter Windows Fehlanzeige.
Gruß
@hotrs: Danke für die Info. StrongBox mit integriertem Webdavclient ist anscheinend eine bessere Lösung bei iOS-Geräten. Das könnte eher meine Eltern überzeugen, falls ich bei 1password nicht auf die family Lizenz umsteige, was dann zwar teurer für mich ist, aber dann mit den Eltern geteilte Container nutzen könnte. Aber wenn StrongBox Family Version sicher ist, ist das hoffentlich eine gute Alternative. Schade, dass ich KeePassium Pro erworben habe & jetzt doch vermutlich nicht oder kaum nutzen werde …
Bei KeeWeb meinst du die Seite appDOTkeewebDOTinfo für den Zugang vom Mac? Damit meinst du auch macOS, oder?
Auf einem alten MBP mit macOS 10.13 (High Sierra) das aktuelle OpenSource KeepassXC installieren können. Per Paketmanager geht dies auch mit MacPorts oder Homebrew bis macOS 10.15 (Catalina) bestimmt gut (nur muss man einen separaten X-Server installieren (wahrscheinlich X11.org Variante, noch nicht Wayland) – aber ist nun besser mit natural scrolling integriert & mehr responsive). Ich habe es bisher nur etwas probiert, aber außer der für macOS etwas ungewöhnlichen GUI scheint es ganz in Ordnung zu sein. Und für Firefox gibt es ein KeePassXC-AddOn, das bei mir zumindest mit dem KeepassXC kommunizierte. Evtl. irre ich mich und diese Seite ist nachweislich sicher, aber ich vertraue nicht so sehr darauf. Oder mit Keeweb ist nicht diese Seite gemeint. :-)
Unter macOS 10.15 (Catalina) habe ich dies noch nicht eingerichtet. Auf macOS 10.16 oder 11.0 (Big Sur) warte ich noch. Intern soll es noch einmal deutlich sicherer gestaltet worden sein. Daher befürchte ich, dass es dort evtl. länger dauert, bis der zusätzliche X-Server und/oder Kommunikation zwischen KeepassXC und Firefox-Addon problemlos funktioniert (allerdings scheint es bisher nur Probleme für Apps zu geben, die als Software-Firewall agieren, also evtl. funktioniert KeepassXC mit Firefox-Addon bereits problemlos).
Übrigens: KeepassXC läuft in der Linux-Distribution sehr gut (Linux kernel 5.4.x – ja, kein Fedora, aber mit LTS – und weiterhin mit X.org statt Wayland). In Windows, wenn nötig, läuft dies sicherlich auch gut.
@Reborn:
Ich nutze nicht die Online-Version von KeeWeb sondern hab die App auf den Mac heruntergeladen und installiert. Und ja, neben einem iPhone und einem iPad nutze ich KeePass bislang nur noch auf diesem Mac unter macOS. Ich habe auf dem System zwar noch eine Windows VM und mittels BootCamp eine richtige Windows Installation, hatte aber dort bislang keine Notwendigkeit, KeePass zu installieren.
Tipp bzgl. StrongBox: Mark (Entwickler) hat auf Twitter für das Black Friday Wochenende eine 20% Rabatt Aktion auf alle neuen Lizenzen angekündigt.
Gruß
@hotrs: Wow, danke für den Tipp mit StrongBox. Ich freue mich schon darauf! :-D
Ups, bei keewebDOTinfo hatte ich offenbar übersehen, dass es eine Offline-Version gibt. Obwohl, wenn alles von einer Quelle ist (auch Version macOS), vermeidet dies evtl. zukünftige Probleme. Wenn es sich als sicher erweist (vor allem Synchronisation, editiere am Tag schon durchaus mehrere Einträge am Tag & wegen Umstrukturierung muss ich bei meinen 700 Einträgen viel ändern, wovon ich jedoch bestimmt nur ein Bruchteil aktiv ständig verwende).
Also nochmals vielen Dank für den Hinweis! :-D
Dropbox sync und deren Preispolitik war der Grund für mich zu wechseln. Die sind leider sehr limitiert in den Optionen. Habe mich da für Enpass mit OneDrive entschieden. Sehr zufrieden.
@hotrs: Der Entwickler von Strongbox teilte mit, dass ein Edit bisher nur möglich ist, wenn die App mit der kdbx-Datenbank synchronisieren kann. Sonst kann sie auf eine vorher gesicherte Version von der letzten Synchronisation zugreifen, jedoch momentan ist jetzt nur ein Lesemodus möglich. In den nächsten Monaten will er die Funktion einfügen, dass dann Einträge, die Offline getätigt wurden auf unterschiedlichen Geräten, dann bei nächster Synchronisation fusioniert werden können (wahlweise per Frage oder auch automatisch). Laut meinen Tests mit Keepassium Pro konnten sich Einträge leider überschreiben (sicherlich selten der Fall, aber wie ich die Erfahrung habe, tritt dieser Fall genau dann ein, wenn es am Unangenehmsten ist – manche nennen dies „PP“ (für „persönliches Pech“)). Ich denke, diese zukünftige Fusionsmöglichkeit wird es auch in die Mac-App-Version von „Strongbox“ implementiert werden, weshalb es sicherlich geschickter ist, erst einmal auch dessen Mac-App zu kaufen, falls KeepassXC nicht bereits fusioniert (oder Keeweb oder eine andere gute Keepass-App).
Über die App, die man auf der Webseite herunterlädt. Es ist wirklich gut versteckt.
Toll. Überschrift gelesen und mich gefreut – Text gelesen und vorbei die Freude. Habe echt gehofft endlich per Watch entsperren zu können, aber keine Chance da ich ein normales F-Tastenfeld haben wollte und somit auch kein TouchID habe.
Nervt mich. macOS entsperren oder AppStore Köufe bestätigen funktioniert doch auch?
Das „verstehe“ ich auch nur so das Apple will das wir uns ein neues MacBook kaufen. Ansonsten spricht nichts dagegen das es auch mit älteren Mac klappen sollte. Vielleicht kommt ja noch ein Tweak der es uns auch ermöglicht
Apple setzt die Apple Watch Freigabe ja konsequent um und bietet auch APIs dazu an. Es ist AgileBits die das nicht implementieren wollen.
@Cartman: Nach meiner Erfahrung setzt AgileBits noch vieles mehr komplizierter als möglich um, aber weil dies der Sicherheit dient. Ich kenne zwar diesen technischen Aspekt nicht, aber vermutlich wollten sie wegen irgendwelchen gerechtfertigten Sicherheitsbedenken diese API nicht nutzen. Z.B. Touch ID unterstützten sie sehr früh, aber auch nicht auf die gleiche Weise, damit das gewählte Masterkey nicht durch Sicherheitslücken in iOS ausgespäht werden kann. Deshalb hat dies erfahrungsgemäß sicherlich einen triftigen Grund, weshalb sie diese API nicht nutzen.
Ja macht schon irgendwo Sinn. Ohne SecureEnclave müsste der Key softwareseitig verschlüsselt abgelegt werden, das dann wiederum unnötig Ressourcen kostet und der Entschlüsselungsprozess vermutlich auch nicht in unter einer Sekunde erledigt ist.
Bleibt nur dass der Key durch Watch oder iPhone nach FaceID von diesen an den MBP geschickt werden, was aber dann nicht Apples API entspricht, somit wieder deutlich teurer zu entwickeln ist und selbst dann fraglich bleibt, wie sicher die Übertragung ist (bleibt ja nur Bluetooth übrig).
Ich gebe mich geschlagen.
Hallo Cartman, es ist nicht die Frage TouchID oder nicht, sondern ob ein „Secure Enclave“-Chip verbaut ist in Deinem Mac, also ein T1 oder T2.
T1 haben:
MBP Okt 2016 und Juni 2017 mit 4 Thunderbolt-3-Ports
T2 haben:
iMac Pro
Mac mini models from 2018
MacBook Air models from 2018
MacBook Pro models from 2018
@Cartman: Also mein MacBook hat die physischen F-Tasten und dennoch auch Touch ID & den T2 Security Chip.
Ja, sorry, hätte dazu sagen müssen dass ich das MBP aus 2017 habe. Dort gab es den T1 nur in den Modellen mit TouchBar. Die wollte ich nicht, entsprechend gab es ein aufgebohrtes BTO Einsteigergerät.
Wäre für mich übrigens auch heute noch ein Grund ein MBA zu holen nachdem es beim MBP nur noch TouchBar Modelle gibt.
@Cartman: Seit Event gibt es das MBA mit Intel Prozessor leider nicht mehr. Beim Modell mit M1 Prozessor ist die Thunderbolt 3 Schnittstelle nicht eGPU-fähig. Nur beim MBP gibt es den wahlweise noch immer mit Intel Prozessor, aber leider nur mit TouchBar. Aber falls eGPU (zukünftig) nicht wichtig ist, ist der aktuelle MBA evtl. noch immer gut („evtl.“ sage ich, weil es die Intel Technologie Thunderbolt 3 zwar dennoch hat, aber nur wegen einem zusätzlichen Intel Chip und dessen Funktionen sonst in aktuellen Intel Prozessoren integriert sind, also evtl. leider noch Kinderkrankheiten hat, aber sonst soll laut Test die CPU sehr schnell sein).
Also MoneyMoney kriegt sowas auch ohe T1 oder T2 chip hin. Wirklich schade
Stell dir vor, wenn du alles unverschlüsselt machst, kann alles viel bequemer & einfacher werden. Dann muss man auch nicht Geld für Passwortmanager zahlen und muss sich mit diversen anderen Problemen herumschlagen. Super, oder? ;-)
Tatsächlich enttäuschend, das vom T-Chip abhängig zu machen. Die Funktionalität hat mit dem Chip ja nix zu tun.
Ich habe mal nachgefragt, hier die Antworten:
https://twitter.com/1Password/status/1328744743896043522
„We have more security considerations than many programs do. We need Secure Enclave to store your encrypted secret on disk. A bit more detail on that here:
https://support.1password.com/touch-id-apple-watch-security-mac/#your-master-password-is-secured-by-the-secure-enclave“ und
„We can’t speak on behalf of other companies, but they may not have encrypted secrets. Important to keep in mind that when you’re unlocking 1Password, you’re not just opening the software, but also decrypting your vault data every time.“
Damit sollte das klar sein…
Danke für die Mühe.