iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 839 Artikel

Versteckte Risiken der Cloud

Sicherheitsvorfall bei 1Password: Keine Nutzerdaten betroffen

Artikel auf Mastodon teilen.
125 Kommentare 125

Die Betreiber des Passwort-Managers 1Password informieren über einen Sicherheitsvorfall im Zusammenhang mit einer Schwachstelle bei dem für 1Password tätigen Cloud-Dienstleister Okta. Daten von 1Password-Nutzern sind der Stellungnahme zufolge allerdings nicht betroffen.

1Password zufolge wurden die Unregelmäßigkeiten frühzeitig erkannt und die Angreifer seien bereits bei dem Versuch aufgefallen, sich unentdeckt in dem von Okta für 1Password betriebenen System für Zugriffsmanagement zu etablieren, um Daten für einen größer angelegten Angriff zu sammeln.

1password

Keine Nutzerdaten involviert

Im Zusammenhang mit dem Angriff ist es wichtig zu differenzieren: Den Aussagen von 1Password zufolge hat der Angriff ausschließlich ein System für die Verwaltung von Zugängen für Supportmitarbeiter betroffen. Die Passwort-Tresore der 1Password-Nutzer sind davon komplett unabhängig und es gilt als unmöglich, diese zu entschlüsseln.

Der Angriff könnte das Ziel gehabt haben, einen gefälschten Support-Kanal anzubieten, um auf diese Weise an sensible Informationen der 1Password-Nutzer zu gelangen.

Beide Unternehmen haben weiterführende fachliche Informationen zu den Vorfällen veröffentlicht. Die bereits am Freitag veröffentlichte Stellungnahme von Okta findet sich hier, 1Password hat ergänzende Details in diesem PDF zusammengefasst. Aufgefallen sind die Unstimmigkeiten bei den Betreibern des Passwort-Managers bereits Ende September.

Cloud-Angebote mit versteckten Risiken

Auch wenn es wie gesagt keinen Anlass gibt, an den Aussagen von 1Password zu zweifeln, dass keinerlei Nutzerdaten betroffen sind, macht dieser Vorfall einmal mehr die mit Cloud-Angeboten verbundenen Risiken deutlich. Die Unternehmen selbst stehen teilweise wiederum in Abhängigkeit von Drittanbietern, was zusätzliche Angriffsflächen bietet.

Reine Offline-Lösungen gehen zwar mit zum Teil deutlichen Einschränkungen beim Benutzerkomfort einher, tragen aber abgesehen von der meist auch damit verbundenen Kostenersparnis auch dazu bei, seine relevanten Daten besser zu schützen.

24. Okt 2023 um 06:53 Uhr von chris Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    125 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Bitwarden kann man den Server selbst betreiben. Familienlizenz kostet 40$ im Jahr.

    • Ist doch auch keine wirkliche Option. Ich bin relativ sicher, dass ich selbst es nicht schaffe, einen Server besser abzusichern als bspw. 1Password.

      Die einzige sichere Alternative wäre tatsächlich die reine offline-Nutzung.

      • Aus meiner Sicht besteht der Vorteil darin das es unwahrscheinlicher ist das sich die Hacker für Deinen Server interessieren. Die groß angelegten Versuche bei denen es sehr viel Know-How und Power braucht gelten den großen Firmen, da wo es viel zu erbeuten gibt. Aber ja, die sicherste Lösung ist die Offline Lösung, aber die hat nun mal seine Einschränkungen…

      • Wenn du auf deinen eigenen Server z.Bsp. nur per VPN zugreifst und der nicht offen im Internet steht, ist das in der Regel schon sicherer.

      • Bitwarden kann Unlock über die Apple Watch.

      • @raifb Security by obscurity. Echt jetzt? Immer noch die Vorstellung, dass da ein zausliger Hacker pizzafressend nachts um halb drei vor der Kiste sitzt? Die weitaus meiste Angriffsarbeit erledigen heute Bots. D.h. sollte ich Angriffspunkte für Bitwaren kennen, suchen meine Bots möglichst viele verletzbare Systeme. Ganz automatisch. Laienhaft zusammengestümperte Systeme sind da eine deutlich leichtere Beute als professionell abgesicherte Rechenzentren. Der Unterschied ist nur: Anders als die Kollegen im Rechenzentrum bemerkst Du den Angriff womöglich nicht einmal.

      • Das ist mir schon bewusst, allerdings bin ich mir sicher das diese Bots gezielt auf große Firmen/Clouds programmiert sind. Der Bitwarden den ich selber betreibe ist doch im Internet gar nicht als solcher sichtbar, da er hinter einem nginx-Proxy Server sitzt.

      • @ralfb:
        Wenn du deine Firewall Logs anschaust (da du einen exposed Server betreibst gehe ich mal davon aus, dass du so etwas verwendest bzw Logs einsehen kannst), wirst du sehen dass im Sekundentakt Bots deine IP nach offenen ports durchsuchen. Ist einer gefunden kümmert sich der nächste bot eben darum zu schauen welche nginx Version zu verwendest, welche exploits bereits bekannt sind und eventuell bei deiner veralteten Version funktionieren und welche applications hinter nginx laufen.
        Leider eben das ganze Prozedere. Irgendwo sitzen Menschen, die sich nur auf diese Szenarien spezialisiert haben und deines ist ja ein standardanwendungsfall. Bitwarden Server hinter nginx. Da schreibst du einmal die scripts für und lässt sie automatisch bei allen erkannten und offenen 80/443 ports durchlaufen. Bei mir ist’s genau so.. Ich versuche halt sehr viel mit country blocks in der Firewall zu bewerkstelligen, sodass, wenn zB von einer chinesischen, holländischen oder sonst was IP scannst kein offener Port erscheint und ansonsten natürlich MFA und IP ban nach wenigen versuchen, passwort sicher ist natürlich eh klar und am Ende müsste der Tresor dann auch noch entschlüsselt werden.. Wer keine ordentliche Firewall hat könnte auf Cloudflare ausweichen und über deren Server die Verbindung ins heim Netz herstellen lassen. Da lassen sich auch verschiedene Sicherheitseinstellungen konfigurieren und Cloudflare erkennt natürlich auch ddos attacken und hat die Power um sie abzuwehren.

    • Leider fehlen halt bei Bitwarden so viele Features die in 1Password drinnen sind. Zum Beispiel Unlock über Apple Watch als ich noch einen Mac Mini hatte und somit kein Touch-ID vorhanden war (die Tastatur gab es noch nicht und finde sie auch nicht besonders gut). Bis Passkeys unterstützt werdenwird es wohl auch dauern.

    • Und was ich ganz vergessen habe und bei 1Password einfach unglaublich toll ist: die Safari Erweiterung unter iOS. Damit hat man das Desktop-like Autofill auch am iPhone (nein es ist nicht das Autofill über das Keyboard gemeint).

      • Geht auch bei Enpass … und einigen anderen ;-)

      • Nein, eben nicht ;) Gerade heute nochmal überprüft. Ich habe ja explizit geschrieben dass ich nicht das Autofill über die Tastatur meine.

    • Ja, niemals ein Password manager verwenden, der close source ist und bei dem man eine Cloud braucht.

      • In dem Fall ist es ein Vorteil. Vorfall bei einem Kunden – Hacker haben eine eigene Version von KeePass deponiert und mussten dann nur warten, bis ein Admin den wieder verwendete und schon hatten sie alles.

        Das ist bei closed Source nicht und bei einer Cloud Lösung auch nicht.

    • 40€ im Jahr weil man sich seine Passwörter nicht selber sicher merken kann. Das geht für mich so gar nicht in den Kopf. Ich hab meine eigene Methode ohne jegliche Fremdsoftware

      • Also ich habe bestimmt 80 Logins, jede Seite hat ein eigenes einmaliges Passwort – teils 20 Stellig komplex. Und sowas kannst du dir im
        Kopf merken?

      • Er hat vermutlich ein Satz, welcher er sich merkt, davon die Anfangsbuchstaben nimmt und manche durch Special signs ersetzt und dahinter dann ein salt welcher aus dem Namen des Dienstes besteht
        Sprich überall fast das gleiche Passwort, nehme ich an. Lukratives Phishing Opfer würde ich sagen.

      • Passwortverwalter

        Dann merk dir bitte meine zur Zeit 559 Passwörter, von denen mind. 3/4 eine PW Länge zwischen 18 und 30 Stellen haben. Und noch die dazugehörigen Benutzernamen oder e-Mails. Ich verwende mind. 6 verschiedene Mail Adressen.
        Wenn du das hinbekommst, dann bist du echt gut – doch leider wird das nur Dampfplauderei gewesen sein oder du verwaltest nur 2 Passwörter ;-)

      • @Devil: Also ich habe in meinem 1Password Tresor über 900 Einträge, jeder einzelne mit einer 20-stelligen einzigartigen Zeichenkombination. Bin gespannt auf deine Methode dir das im Kopf zu merken.

      • Wie kompliziert meine Passwörter sind ist eine Sache, aber kompliziert genug, keiner sagt dass ich alles auswendig weis. Da ich auch Freunde und Familie administriere (man kennt das ja) kommt auch einiges zusammen und das schütze ich auf geeignete Weise. Aber sowas kommt mir in keine Cloud der Welt.

      • Die gehen sehr viele Passwörter in den Kopf (und bleiben dort wohl auch), aber dir geht nicht in den Kopt, dass Menschen einen PWM nutzen. Ahja. Ich will das nun mal nicht bewerten.
        Vielleicht magst du ja deine technik hier kurz beschreiben. Also das Prinzip. Ich denke, das würde uns viel mehr Licht ins Dunkel bringen und dich bei deiner Aussage besser verstehen. Vielen Dank.

    • Zum Beispiel Strongbox oder irgendwas, das auf KeePass basiert

      • Aber gibt es vernünftige Apps für iOS und MacOS? Welche, die auch länger als zwei Jahre halten?
        Ernst gemeinte Frage. Bin gerade auf der Suche, gerade auch für Familie.

      • @masc Strongbox ist für KeePass-Datenbanken und der Kauf lässt sich über die Familienfreigabe teilen. Es wird auch regelmäßig weiterentwickelt und bietet einen Importer für .1pif und.1pux Dateien

      • @H-Milch: Danke für die Info.

      • Strongbox ist wirklich nicht schlecht. Beim Import lässt es aber zu wünschen übrig. Habe das selber erfahren müssen und lange parallel Strongbox verwendet, bis alle manuell erstellten Felder etc. auch in Strongbox übernommen waren. War leider ein grosser manueller Aufwand. Dafür alles lokal, keine Cloud und kein Abo.

    • Da kommt sicher viel auf den persönlichen Anspruch an. Ich benutze Enpass und synchronisiere ausschließlich lokal.

      • Genau das solltest du nicht machen, denn wenn jemand dir diesen Zettel klaut, kommt er sofort in jeden Account von dir. Da würde ich sogar eher eine Notiz empfehlen (wobei das auch niemand jemals tun sollte!)

    • Enpass kann mit einem eigenen Webdav-Server (z. B. Nextcloud) synchronisieren. Funktioniert sehr gut, auch mit geteilten Tresoren.

    • iPin. Nutze und synchronisiere ich ausschliesslich lokal.

    • Enpass und iCloud mit erweiterten Datenschutz. Ist das nicht das maximal mögliche an transparente und Anwender muss technisch nichts wissen 1-Click Lösung? Sollte doch das maximal sicherste so sein. Wie seht ihr das?

      • Ja, das hat auch mein Vertrauen iCloud mit erweitertem Datenschutz. Deshalb bleibe ich bei Version 7 von 1P.
        Falls das nicht mehr läuft Enpass mit iCloud. Ich vertraue den Apple Ingeneuren mit end-to-end tatsächlich am meisten.

    • Ich nutze Sticky Password. Da kann ich Geräte im gleichen netzt manuell synchronisieren (ODER in der Cloud speichern). Daten bleiben auf den einzelnen Geräten.

    • Ich benutze immer noch nur die „alte“ Möglichkeit, einer 1Password-Safe-Datei in der Dropbox.

      Umstieg auf neuere Version kommt für mich vorerst nicht in Frage.

      • Hab die gleiche Lösung. Aber wenn es da irgendwann nicht weiter geht, weil sie 1password nur noch in der Cloud erlauben, es also aus der Wartung fliegt, wird es vermutlich bei mir auch enpass werden. Sie hatten so ein gutes Angebot. Ich verstehe einfach nicht, warum sie das tot machen.
        Was ist, wenn ihnen so ein Cloud Vorfall PR-mäßig um die Ohren fliegt? Das wäre ein gigantisches Problem.

      • Weil sich über die andere Variante einfach sehr viel mehr Geld machen lässt. Da sind dann auch abspringende Nutzer irrelevant, einfach weil die regelmäßige Cloudzahlung trotz geringerer Nutzerzahl um so viel höher ist als im Einmalkauf der Lizenz, was jahrzehntelang funktioniert hat, aber jetzt angeblich nicht mehr. Und das obwohl mit dem AppStore viel mehr potentielle User erreicht werden können ohne groß Marketingausgaben zu haben um auf die eigene Webseite und die App aufmerksam machen zu müssen. Und dann merkt man einfach mal wie viel teurer diese Aboseuche einfach ist und deshalb viele vehement ablehnen und lieber komplett verzichten auf jegliche neuen Apps…

  • Deswegen bleiben meine Daten bei mir auf meinen Geräten. Sobald man sie aus der Hand gibt, hat man eben das Risiko. Bei jeder CLOUD Firma, egal wie sie heist.

    • Nun wenn du MEHR wissen willst:
      Nutze Keepass (Touch), darin sind meine Passwörter.
      Diese Datenbank (und alles andere) sichere ich auf 7 Medien. > Sind also meine 7 Horkruxe. ;-)

      Klar, wenn meine Wohnung ein Ausnahmefall hat (Brand/Einbruch), dann habe ich ein Problem.
      Aber dafür ist ja eins der Medien da, was ich nahezu immer am Mann habe.

      Ich könnte noch ein Clouddienst dafür nutzen, aber dann siehe der NEWS > auch unsicher.

      100%ige Sicherheit gibt es NIE. Aber so habe ich wenigstens alles selber in der Hand.

      • Du hast 7 Kopien, aber alle in der gleichen Wohnung (inklusive der „am-Mann“-Kopie, die ja vermutlich ein USB-Stick am Schlüsselbund ist)? Dann hast Du Sicherheit leider nicht verstanden. 3-2-1 reicht, und die 1 steht für die externe Kopie, die räumlich entfernt sein muss, um wirklich Sicherheit zu bieten.

  • Spannend. Nach dem Lesen der Executive Summary hört es sich jetzt mal weniger schlimm an. 1Password und die Vaults an sich bleiben sicher. Allerdings häufen sich in letzter Zeit die Incidents bei Okta.

  • Haha ich habe es schriftlich das die Daten nie andere Hände kommen

  • Kann man bei 1password noch lokal synchronisieren? Wenn das weggefallen ist, so ist das für mich ein bewusst in Kauf genommenes Einfallstor von 1password..

    Hab schon länger auf Keepass umgestellt, da mir die Abos zu unverschämt wurden..

  • Der Deutsche und die unbegründete Angst vor der Cloud….
    Der Vorfall ist schlecht, hat aber nichts mit Cloud als Technologie zu tun.

    • Ähm, doch. Das hat was mit der Cloud als Technologie zu tun. Denn diese ist nun mal für Hacker interessanter als ein iPhone, welches die Daten lokal verwaltet.

    • Angst ist ein schlechter Ratgeber.
      Risiken muss man kennen und managen.

      Und das Konzept von 1Password eine separate Okta Instanz nur für den Support zu nutzen , halte ich für eine gute Lösung.

      • Erst einmal ist Angst eine überlebenswichtiges Verhalten, dass uns vor Schäden schützt.

        Und richtig: sobald Angst sich verselbstständigt, ist sie ein schlechter Ratgeber!

        Bei einem Passwortmanager mit Cloud-Anbindung aber, setzt man extrem viel auf eine Karte.

        Dessen sollte sich jeder bewußt sein, und es sorgfältig abwägen.

        Wer allerdings nur auf Hoffnung setzt, wird in Verzweiflung enden!

  • Betrifft das die 1Password.com oder die 1Password.eu oder beide Instanzen?

  • Keepass im iPhone Speicher wird synchronisiert mit Cryptomator verschlüsselt über iCloud zum Mac. Ist zwar etwas umständlich aber man hat mehr Kontrolle über seine Daten.

    Antworten moderated
    • Alle, die Ich kenne und das tun, haben bei vielen das gleiche Passwort und sehr simple obendrauf. Man muss schon sehr viel Willen haben und es lieben 50-stelligen Kauderwelsch viele male am Tag abzutippen. Für mich absolut nicht handlebar. Aber wenn jemand kaum PW-Abfragen zu erledigen hat – ja, warum nicht.
      Meine wichtigsten Passwörter gibt es auch nur auf Papier.

      • Ich glaube auch nicht, dass er das wirklich ernst meinte. Aber Sarkasmus klappt in Netz nur selten.

  • Bin seit Jahren bei SecureSafe und hatte noch nie negative Erfahrung. 2-Faktor Verifizierung. Selbst Schweizer Banken und Versicherungen nutzen die. Jemand andere Erfahrung?

  • Jetzt bekommen hier alle Schnappatmung. Das ist kein Problem bei 1Password, sondern auf den Incident bei Okta zurückzuführen, der vor einigen Tagen bekannt wurde. Da viele Leser leider nicht weiter als bis zur Überschrift kommen, wird hier leider impliziert, dass 1Password in irgendeiner Form gefährdet war, was aber nicht der Fall ist. Übrigens hat Okta nach ihrem letzten Incident sogar davor gewarnt, dass es vermehrt zu Social Engineering-Angriffen kommen kann. Ich empfehle da ein tieferes Einlesen ins Thema, um die Zusammenhänge zu verstehen.

    • Da erwartest du leider zu viel vom Durschnitts-Deutschen.

    • Und genau DAS meine Ich mit PR-Desaster. Ich verstehe 1PW nicht. Sie hätten weiterhin beides anbieten können. Wenn so was PR-mäßig schief läuft verlierst Du scharenweise Kunden, weil die meisten einfach keine ITler/IT-affin sind und das Risiko umreißen.

      • Das 1Password komplett vom lokale Vault weg ist, bemängele ich allerdings auch. Ich habe das zwar selbst nie genutzt, aber es ist doch gut, die Wahl zu haben. Allerdings spricht es auch für 1Password, dass sie, im Gegensatz zu z.B. LastPass, bislang eine absolut weiße Weste haben, was Sicherheitsprobleme direkt bei 1Password angeht.

  • KeePass am PC, synchronisiert via Tresorit. Auf dem iPhone Keepassium, das in Tresorit gespeicherte KeePass-Datenbanken wunderbar synchron hält.

    KeePass: Vernünftig langes Kennwort + Datei, die zum Entschlüsseln benötigt wird.

    Läuft jetzt seit ca. 2 Jahren hier störungsfrei.

  • Enpass synct lokal, sogar Passkeys (ohne Schlüsselbund!)

  • Hab mir vor dem Abomodell eine Version gekauft. Das Vault ist bei mir noch lokal. Das auch gut so.

  • Hab 1Password seit Jahren und liebe es einfach. Die Standalone-Erweiterung für Chrome/Firefox ist perfekt. Auf dem Privatrechner ist der ganze Client. Auf dem Dienstlaptop der Firma nur das Browserplugin. Sync klappt top. Bislang alles super. Würde nicht mehr wechseln. Klar ist offline für viele gefühlt sicherer. Aber zumindest ich traue mir nicht zu einen lokalen Server perfekt abzusichern und lokal braucht man sich auch nur einen Trojaner oder ähnliches einzufangen und dann war es das.

    • Immerhin mal einer, der es zugibt, nicht so affin zu sein und selbst einen Server aufsetzen zu können. Danke! Das geht nämlich vielen Leuten so.

      • Ich habe ein NAS, diverse Linux-Game-Server aufgesetzt. Ich kann das schon und würde es auch machen. Aber wo liegt am Ende der Mehrwert? Schaffe ich es das Ding so sicher aufzusetzen wie Sicherheitsexperten und Entwickler der Programms? Und was ist wenn man mein NAS knackt und mir von da den Container klaut? So kann ich wenigstens den Finger auf 1Password zeigen und sagen: Ihr wart schuld, ihr leistet nun Schadensersatz.

        Mache ich es selbst bin ich halt am Arsch. Diese Scheinsicherheit, die hier viele lokal haben ist genauso wie die Debatte um Bargeld. Und zwar eine Aluhutdiskussion. Am Ende wäge ich am zwischen „Security in der Cloud“ oder „Sicherheit gegen ein Abfackeln meiner Bude und dem Verlust der lokalen Daten“.

      • Lass ruhig weiter deinen Aluhut auf und schreib deine Sachen ins Papiernotizbuch.

      • Ich denke mal, Du benutzt ein Apple-Gerät, sonst wärst Du nicht in diesem Forum. Benutzt Du das nur zum Telefonieren? Was glaubst Du, wo Apple Deine Accountdaten speichert? Ach ja, in der Cloud. Wer hätte das gedacht.

  • Enpass mit Synology! Einfach Top!

    Antworten moderated
    • Was ist daran top?
      Ich glaube nicht das deine auf einer privaten Synology sicherer sind als bei einem Unternehmen, welches Sicherheit selbst anbietet. Und eine Synology ist sicherlich deutlich schneller gehackt.

      • Das mag vielleicht sein, nun wird sein NAS nicht unbedingt das Ziel von Hackern sein. Und wenn es danach geht, kann jede Technologie irgendwann gehackt werden. Es bleibt ein stetiges Wettrüsten.

      • Aber selbst das sehe ich erstmal genauso unproblematisch (für das Enpass-File) an, wie wenn mein Tresor bei 1Password weg käme. Genau dafür ist ja die Verschlüsselung da.

  • Ist doch egal wo 1Password die hostet so lange das im Netz / Cloud sind sie Kriminellen zu gänglich

  • Gibt es etwas, was Enpass im Gegensatz zu 1Password nicht kann?

  • Mh…Zugangsdaten und cloud ist für mich auch ein heikles Thema.
    Nutze 1Password schon sehr lange und als Version 7. zudem habe ich noch nie ein Abo oder ähnliches verwendet.
    lokal wird alles erstellt und gespeichert. Zum synchronisieren mit dem iPad von Zeit zu Zeit, aktiviere ich kurz die cloud und anschließend wird es deaktiviert und die cloud Daten werden gelöscht.
    So gefällt mir das besser und meine Daten sind nicht 24/7 in der Cloud.

  • Ich Frage noch warum Apple selbst nicht sowas anbietet? Es fehlt ja scheinbar nur ne vernünftige App für den Schlüsselbund (und nicht in den Systemeinstellungen sehr versteckt).

    Ich erwarte ja mit jeden neuen iOS oder macOS eine App – und nach Apples Manier auch ein einfacher Name: Passwort

    • Was ist denn da nicht vernünftig? Web-Passwörter sind in den Einstellungen, und zwar gar nicht versteckt. Es heißt „Passwörter“. Was gefällt Dir dabei nicht?
      Und eine App für den Schlüsselbund gibt es ja auch; sie heißt „Schlüsselbundverwaltung“ und kann mehr als nur Web-Passwörter. Einen passenderen Namen kann ich mir auch gerade nicht vorstellen.

  • Enpass. Einmalzahlung, kein Abo & lokaler WiFi-Snyc. Fall gelöst :)

  • Dass reine Offline-Lösungen mit erhebliche Einschränkung einhergehen ist aber kein Naturgesetz, das ist eher eine absichtliche Beschränkung der Anbieter der cloud-basierten Lösungen, die wissen, dass der Cloud-Zwang durch Abos deutlich mehr Geld einbringt.

    Man könnte reine offline-Lösungen anbieten, die für die meisten Anwender nahezu genauso gut funktionieren und ohne großen Komfortverlust dennoch alle Daten zwischen den Geräten und Computern abgleichen. Wenn ich unterwegs auf dem iPhone einen neuen Login anlege, dann sorgt die Cloud zwar dafür, dass dieser Login sofort auch zuhause auf dem Computer zugänglich ist, nur da ich aktuell gar nicht zuhause bin, ist das ja gar nicht nötig. Es reicht, wenn der Abgleich mit meinem Computer erst passiert, wenn ich wieder zuhause bin. Und dort kann der Abgleich ja auch im lokalen Netz durchgeführt werden, ohne Cloud und ohne dass ich meine wichtigsten Daten einem Fremden anvertrauen muss.

    Früher ging das mit 1Password auch. Jetzt nicht mehr. Jetzt bekommt man ohne Cloud seine Passwörter nicht mehr aus der App heraus, einen Export gibt es nicht mehr.

    • Es gibt durchaus Anwendungsfälle, bei denen die lokale Sync-Lösung an ihre Grenzen kommt, beispielsweise die Nutzung in der Familie oder im Team. Ich nutze seit 2009 PW-Manager und kenne auch noch die 1Password-Zeiten mit lokalen Vaults, die man dann optional via Dropbox syncen konnte. In der Familie noch halbwegs entspannt möglich, trotzdem bei nicht so tech-affinen Menschen mit viel Erklärungsaufwand verbunden. Wenn es dann aber daran ging, in der Firma Passwort-Vaults zu teilen, wurde es langsam kompliziert – insbesondere wenn Familien-Sharing + Firmen-Sharing auf dem gleichen Gerät passieren sollte.

      Auch für mich alleine bevorzuge ich eine Lösung, die sich automatisch mit der Cloud (egal ob eigene, die vom Hersteller oder einem Drittanbieter) abgleicht – mir muss nur im Urlaub das Smartphone gestohlen werden und ich habe ein Problem: Alle noch nicht synchronisierten Logins sind verloren. Auch mein KeePass-File liegt in „der Cloud“, ich habe deswegen keine schlaflosen Nächte, weil selbst bei einem Abfluss der Daten meine Passwörter sicher wären. Encryption sei Dank.

      Sidenote: auch in der aktuellen 1Password-Version mit Cloud kann man seine Passwörter problemlos exportieren. Das geht direkt in der App: https://support.1password.com/export/

      Antworten moderated
  • Hier wurde ja schon viel dazu geschrieben, dass keine Kundendaten betroffen sind. Das ist eine gute Nachricht. Selbst wenn Kundendaten betroffen gewesen wären – was sicherlich ärgerlich ist – würde ich mir keine so großen Sorgen über die Inhalte meines Tresors machen. Neben dem Passwort braucht es ja auch noch den Secret Key.

  • Vaultwarden aufm Pi laufen lassen und mit WireGuard per VPN von unterwegs drauf zugreifen. Ich würd mal sagen sicherer geht es nicht, da man so halt eher in der Masse untergeht und der Aufwand absolut nicht gerechtfertigt ist (außer man gehört zu einer wichtigen Personengruppe, die dann eh sowas nicht nutzen werden).

  • es geht los! wenn die AI in ein paar jahren soweit ist, werden all cloud-services geliefert sein. zu der aussage „…es gilt als unmöglich, diese zu entschlüsseln.“ kann ich nur sagen: okay boomer.

    Antworten moderated
  • Empfehlung für möglichst sichere & plattformübergreifende Alternative, die potentiell sicher ist:

    Keepass (in macOS Strongbox (wenn man Firefox als Browser nutzt, zusätzlich Keepassxc), in Win Keepassxc, in Linux Keepassxc, in iOS/iPadOS Strongbox (seit iOS/iPadOS 12 ist von Apple für Passwortmanager von Drittentwicklern eine API integriert, wodurch andere Üasswortmanager so bequem wie 1password werden).

    Und keine Angst, man kann mit Strongbox ein Passwort eintragen/ändern und das parallel laifende KeePassXC bekommt die Änderung mit und zeigt diese an.

    Nur Synchronisierungsmöglichkeit muss man selbst einrichten (ist bei Bitwarden und anderen auch nötig, wenn man für deren Synchronisationsservice nicht extra zahlen möchte), was man einfach per WebDAV-Server im Netz oder lokal im Heimnetz erreichen kann. Ich benutze einfach die Magentacloud, aber zum Synchronisieren nutze ich die Nextcloud-App, nicht diese sicherlich schlechte Telekom-App.

    Sicherheitshinweise zum Einrichten (es ist OpenSource, also man wird nicht an der Hand geführt zum sicheren Einrichten, was hier nun etwas versuche): Man sollte eine Schlüsseldatei anlegen und zur Sicherheit auch ein langes Hauptpasswort (bei mir 42 Zeichen lang … zum Entsperren kann man sowieso Touch/Face ID nutzen … selbst das manuelle Eingeben ist nicht so schlimm, wenn man sich eine Geschichte zum Passwort überlegt (aber bloß keine Wörterbuchwörter integrieren!) und sie am Anfang mehrmals eingegeben hat (ja, am Anfang mühsam, aber der Mensch ist unglaublich anpassungsfähig und kann sich gut ausgedachte Passwörter trotz hoher Komplexität gut merken).

    Ratschlag für Einstellungen der Passwortdatenbank (besser Tresor genannt, auch wenn es technisch nur eine verschlüsselte Datenbank ist): Verwende als Verschlüsselungsalgo. ChaCha20 mit 25 Transformrounda, 64MiB Mem. Usage (nicht höher, da es sonst beim iPhone oft oder immer abstürzt) und 2 Threads (inzwischen kann jede CPU mind. 2 … ja, einige uralte CPUs haben nur ein Core, aber per Multithreading sind sie bis zu zwei Threads fähig, obwohl nur ein Core). Das ist potentiell sicher bzgl. Quantencomputer (AES ist zwar momentan auch noch stark genug, wenn es erstmals Quantencomputer gibt, aber erfahrungsgemäß kann die Weiterentwicklung extrem rapide sein, weshalb man doch etwas besser vorsorgen sollte – und nein, mein Ratschlag ist auch nicht optimal, aber es ist sicherlich zumindest etwas besser als AES, aber ob viel mehr, kann ich mangels Quantencomputer praktisch nicht überprüfen).

    Praktischer Sicherheitshinweis zur Schlüsseldatei: Manche denken bestimmt, dass zum Einrichten der Zuganges zum Tresor man die Schlüsseldatei auch in die Cloud/auf den Server tut. Aber genau dies wäre widersinnig und konterkariert den zusätzlichen Sicherheitsgewinn dirch die Schlüsseldatei! Deshalb nie die Schlüsseldatei in die Cloud/auf den Server! Klar, beim Einrichten ist es etwas unbequem die Schlüsseldarei z.B. per USB-Stick auf das andere System zu bekommen, aber man diesen Umstand sich nicht auf sich nimmt, dann stellt sich die Frage, warum man überhaupt eine Schlüsseldatei verwendet. Also seid bei der Schlüsseldatei nicht zu bequem! Und wie Schlüsseldatei auf Strongbox im iPhone/iPad bekommen? Einfach per Kabel mit Computer verbinden und in iTunes kann man sogar der App direkt vom Computer die Datei übergeben (nein, wird von Strongbox nicht für den Tresor automatisch übernommen, aner steht dannczur Aiswajl bereit, wenn man den Tresorzugang dort einrichtet).

    Da es Ende-zu-Ende-verschlüsselt ist mit guter Verschlüsselungsstärke, spricht eigentlich nichts gegen eine Synchronisation in einer Cloud/mit einem Server, welcher as de, Internet direkt erreichbar ist (und nicht nur im lokalen Heimnetz, was partout nicht wirklich sicherer ist, sondern eher nur Security Through Obscurity … weshalb? Erläutere ich später in einer Antwort). Dieser kann sogar offen sein, da der Tesor sowieso stark verschlüsselt ist (klar, man vermindert die Wahrscheinlichkeit, wenn sehr fortgeschrittene Quantencomputer existieren und man für Tresor nicht in den Server einbrechen muss).

    Die Links zu Strongbox, KeePassXC und Nextcloud-Client erfolgen in einer Antwort, wenn dies erscheint (hoffentlich sofort, oder spätestens nach Freigabe, da der Text hier lang ist).

    Antworten moderated
  • Oh Goot, mein langes Posting ist weg (Fehler oder tatsächlich weg?).

    Nun nur kurz: Empfehlung Keepass (läuft unter allen Systemen sehr gut (außer ausgerechnet unter Ubuntu momentan die Kommunikation zwischen Firefox und KeepassXC, aber ich werde dies sicherlich noch lösen).

    Es ist Ende-zu-Ende-verschlüsselt (also egal, ob Tresor (manche nennen es Datenbank, was nicht stimmt, da es verschlüsselt ist) auf unsicherem Server/Cloud liegt). Mehrere Programme können gleichzeitig darauf zugreifen (auch mehrere Hosts wie Computer, Smartphones und andere). Und es ist potentiell jetzt schon ziemlich sicher vor Quantencomputer, die praktisch noch nicht realisierbar sind.

    Antworten moderated
  • Ich finde es immer wieder erstaunlich, wie sehr 1Password hier von manchen Leuten verdammt wird, die sich offensichtlich noch nie mit dem Security Whitepaper von 1Password beschäftigt haben. Aber das ist ja heutzutage normal, ohne Ahnung loszupoltern.

    Ja, es ist closed source. Genau wie iOS und macOS, das Ihr auch einfach so benutzt.

  • Daten in der Cloud nein Danke Noch nicht einmal Bilder Es gibt keine Sicherheit im Netz, man kann es den Verbrecher nur so schwer wie möglich machen

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38839 Artikel in den vergangenen 6322 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven