Vorsicht bei 1Password

SicherheitViele Nutzer haben ja das Problem, sich nicht zig Kennwörter für diverse Konten merken zu können. Ein Password-Manager (bzw. Password-Safe) könnte da weiter helfen. Wer vorhat, die App 1Password zu verwenden, sollte das aktuell nochmals überdenken. So wie es ausschaut, scheint da etwas der Wurm drin zu sein. Zumindest macht das Tool nicht immer das, was man landläufig (und ohne detailliertes Studium der Dokument) als normaler Anwender erwartet.


Anzeige

Vorab: Ich gestehe, ich setze 1Password nicht ein, und habe also keine praktische Erfahrung mit. Aber ich surfe so mit offenen Augen durch dieses Internetz und bin da, quasi abseits des Weges, auf etwas gestoßen, was meine Aufmerksamkeit erregte. Ich musste zwar erst recherchieren, um was es genau geht – aber nun bilde ich mir ein, verstanden zu haben, was Sache ist. Hier daher ein kurzer Abriss – wenn’s ein Sturm im Wasserglas wird, ok, war ein Versuch wert. Aber ihr sollt nicht dumm sterben und am Ende das Tages sagen müssen “oh, das habe ich nicht gewusst”.

Worum geht’s eigentlich genau?

Ok, genug der Präliminarien. Bei 1Passwort handelt es sich um eine Lösung zur Verwaltung von Kennwörtern für Online-Konten. Das Programm bzw. die App kann aber noch mehr. Laut Webseite des Herstellers ist das die eierlegende Wolfsmilchsau:

Simple, Convenient Security

1Password gives you the security you need in today’s online world without slowing you down. 1Password makes you more productive while simultaneously increasing your security with strong, unique passwords for all your accounts and keeps all of your important information encrypted and secure.

Download 1Password now for your Mac, Windows, iPhone and iPad, or Android devices.

Die Lösung steht für faktisch alle relevanten Betriebssysteme zur Verfügung (ob Windows Phone relevant ist, darüber erlaube ich mir hier kein Urteil).

(Quelle)

Und vor ein paar Tagen hat der Anbieter die iOS-App gratis gestellt – Caschy, TechCrunch, Chip und ein paar weitere Medien haben da groß drüber berichtet. Da ist ja erst auch einmal nichts gegen einzuwenden. Klasse, wenn man von solchen Seiten einen Tipp bekommt, wo es eine App Gratis abzustauben gilt – speziell, da dieses neue iOS 8 ja gerade einschlägt.

Born, wo liegt dein Problem?

Falls euch diese Frage umtreibt: Ich habe kein Problem, denn ich setze die App bzw. diese Lösung nicht ein – habe ja auch gar kein iPhone, wo ich das testen können tät.

Hat im Grunde auch nichts mit dem iPhone oder iOS 8 zu tun – aber das sind momentan nun mal die Trigger-Begriffe, wo alle Welt wie der Pawlow’sche Hund drauf anspringt.

Aber mein Verständnis ist, dass so ein Tool dann die Verschlüsselung auch durchgängig verwendet, so dass privates auch privat bleibt. So kann man mit 1Password, laut folgender Beschreibung, auch Kurznotizen absichern.


Anzeige


(Quelle)

So was könnte mich schon begeistern, wenn ich die App einsetzen würde. Aber jetzt zum Beef: Eine solche Funktion sollte dann aber auch wirklich sicher sein und Unbefugten den Zugriff auf die Insides verweigern.

Und da bin ich dann abseits des Weges bei Google+ auf eine Diskussion vom 18.9.2014 gestoßen. Nutzer Herbert H. hat einen kurzen Test mit 1Password gemacht und eine “Secure Note” mit 1Password unter Windows verfasst. Diese Notiz hat er über Dropbox mit seinem iPad synchronisieren lassen und sich anschließend auf dem iPad den Quellcode der synchronisierten Notiz angeschaut. Herbert schreibt:

Aber bei meinen Tests hat sich gezeigt, dass die ja gar nicht ihre gesamt Datenbank verschlüsseln – Teile liegen ganz offen im Klartext (!) herum. Beispiel: habe unter Windows “Security Notiz” erstellt und via Dropbox gesynct. Auf dem iPad konnte ich – ohne vorher 1Password zu starten – einfach auf dem Dropbox-Pfad die Überschriften meiner Notizen lesen.


(Quelle)

Den obigen Screenshot hat er als Beleg mit gepostet (ich habe mir mal erlaubt, dieses Bild im Blog zu verlinken). Es zeigt, dass Teile der “Security Notiz”, die vertrauliche Infos enthält, im Klartext gespeichert und über die Geräte synchronisiert werden. Wer also glaubt, seine “sichere Notiz” mit vertraulichen oder brisanten Daten sei “sicher”, hat mit Zitronen gehandelt. Und wenn solche Infos aus der Notiz im Klartext vorliegen, haben Forensiker natürlich auch einen prima Ansatzpunkt, um die verschlüsselten Inhalte zu knacken. Herbert hat im Nachgang noch das folgende Bild in Evernote hochgeladen.


(Quelle)

Da fällt mir nur ein: Ein Bild sagt mehr als 1.000 Worte. In der Google+-Diskussion stellte sich heraus, dass dies alles den Entwicklern längst bekannt ist, wie dieser Forenbeitrag aus 2013 zeigt. Die sagen ganz klar, dass nicht alle Informationen verschlüsselt werden und geben an, dass das auch in der Nutzerdokumentation stehe. Und hier gibt es eine Seite, wo die Änderungen in 1Password aufgelistet werden.

Zum Abschluss nur so viel: 1Password scheint bezüglich der Verschlüsselung von Kennwörtern das zu tun, was es soll. Kritisch ist aber der Ansatz, dass in Dokumenten Pfade und ggf. Titel von Notizen etc. im Klartext ausgetauscht werden. Das ist seit 2013 bekannt und wird auch in diesem Blog-Beitrag thematisiert. Der Betreffende ist von 1Password zu KeePass gewechselt – interessant fand ich für mich die Diskussion im Blog-Beitrag. So, nun habt ihr die Information und zieht eure Schlüsse draus – für den geschäftlichen Einsatz würde ich jedenfalls postulieren: Finger weg.


Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Vorsicht bei 1Password


  1. Anzeige
  2. Thomas sagt:

    Ich benutze seid Jahren Lastpass. Ich speichere also meine Passwörter auf amerikanischen Servern und habe dummerweise noch ein gutes Gefühl dabei. Die automatische Anmeldung ist auch zu bequem und die vielen Passwörter auf über 100 Seiten kann sich wohl keiner mehr merken.

  3. Steffen sagt:

    Ich setze seit Jahren am PC auf KeePass Password Safe (http://keepass.info), bei Android auf Keepass2Android (https://play.google.com/store/apps/details?id=keepass2android.keepass2android&hl=de) und habe absolut kein schlechtes Gefühl dabei.
    Alles andere kommt mir nicht auf meine Systeme!

  4. Anzeige

  5. McLane sagt:

    Tja, Thomas (2 Posts höher),
    dann hast Du ja bestimmt auch schon folgende Meldung gelesen:
    http://www.ifun.de/kennwort-manager-lastpass-wurde-offenbar-gehackt-78085/

    Aber das passt zu Deiner Einstellung:
    Hauptsache einfach und Passwörter wie Fotos und Posts bei Facebook & Co. behandeln… selbst schuld!

    @Steffen: dem ist nichts hinzuzufügen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.