Permalink

20

1Password mit Klartext statt Verschlüsselung

von M. Steiger | 13. Februar 2010

Nach einem harzigen Start mit 1Password begann ich, mich an den Komfort von 1Password zu gewöhnen – kleineren Macken zum Trotz. Dabei ging ich immer davon aus, dass alle Daten, die ich in 1Password speicherte, verschlüsselt würden. Leider zeigte ein Blick in den 1Password-Schlüsselbund (1Password.agilekeychain), dass meine Annahme falsch war …

… obiger Screenshot stellt den 1Password-Eintrag für die WordPress-Administration von MacMacken dar, wie er im Texteditor dargestellt wird. Demnach werden insbesondere der Eintragstitel («MacMacken / Administration») und die gespeicherte Internet-Adresse («http://macmacken.com/wp-login.php») nicht verschlüsselt, sondern im Klartext gespeichert! :roll:

Bei der Nutzung von 1Password und auch auf der offiziellen Hilfeseite «How Secure Is 1Password?» wird man auf diesen Umstand nicht hingewiesen. Die meisten Benutzer dürften folglich annehmen, dass 1Password alle Daten verschlüsselt.

Die Erklärung für das teilweise Fehlen der Datenverschlüsselung findet sich aber immerhin auf der offiziellen Hilfeseite «Agile Keychain Design» unter «Individual Entry Contents»:

The Agile Keychain is nearly identical to the OS X keychain in terms of what is kept encrypted and what is left open in plain text. The distinction is an important trade-off between security and convenience. The more that is encrypted, the less a would-be thief can access, but it is also necessary to leave enough open to allow applications to freely access certain items without needing to decrypt every single entry each time. The OS X keychain nicely balances security and convenience, so the Agile Keychain follows suit.

Dito NetFixer.

Im Fazit gilt, dass Benutzer, die ihre vertraulichen Daten in einem umfassend geschützten Schlüsselbund ablegen möchten, 1Password und den Mac OS X-Schlüsselbund nicht beziehungsweise nur mit entsprechender Zurückhaltung verwenden sollten. Eine mögliche Alternative ist das freie KeePassX, das – soweit ich beurteilen kann – alle gespeicherten Daten verschlüsselt und darüber hinaus die Vorteile bietet, dass es im Quelltext vorliegt, auf allen gängigen Betriebssystemen verfügbar ist und standardmässig 256 Bit-Verschlüsselung nutzt.

Ich bitte Sie um eine Bewertung dieses Artikels

Es gibt noch keine Bewertungen

20 Kommentare

  1. Ich muss zugeben, dass mich das auch extrem stört, zumal Dropbox eigentlich der einzig wirklich “out of the box” funktionierende Sync-Weg ist… :-(

    • Ob man darin eine Gefahr oder Unsicherheit sieht, ist individuell – die meisten 1Password-Benutzer dürften aber davon ausgehen, dass alle gespeicherten Daten verschlüsselt werden … ausserdem gibt es Fälle, wo bereits der Titel und URL vertraulich sein können. Ob dem so ist, muss jeder selbst entscheiden.

    • Naja, wäre sicherlich schon irgendwie unangenehm, dass nicht verschleiert werden würde, wenn man einen Account bei thai-goat-porn.com oder ähnlichem hat — auch wenn das Passwort nicht offen einsehbar ist… ;)

  2. dass das ganze nur deshalb funktioniert, weil man die option “benutzernamen automatisch in anmeldetitel aufnehmen” nicht aktiviert. wenn doch, dann stehen in dem file nämlich schon url und username…

  3. Ist KeePassX auch in Deutsch?

    “den Mac OS X-Schlüsselbund nicht beziehungsweise nur mit entsprechender Zurückhaltung verwenden” – Kannst Du das erläutern?

    • Ist KeePassX auch in Deutsch?

      Vermutlich nicht … ausserdem ist KeePassX für aktuelle Benutzer von 1Password kein vollwertiger Ersatz.

      “den Mac OS X-Schlüsselbund nicht beziehungsweise nur mit entsprechender Zurückhaltung verwenden” – Kannst Du das erläutern?

      Beim Mac OS X-Schlüsselbund besteht das gleiche Problem, das heisst es werden ebenfalls nicht alle Inhalte verschlüsselt.

  4. Für mich ist und bleibt KeePassX das Programm der Wahl (ja, gibt es auch auf Deutsch).

    Plattformübergreifend benutze ich es unter Mac und Linux und KeePass1.# zur Not auch unter Win ;) Zum Glück habe ich einen US-Apple-Account, so dass iKeePass auch auf meinem Touch läuft. Und alles wird via Dropbox synchronisiert.

    Das einzige,was ich mir noch wünschen würde in KeePassX, wäre eine vereinfachte TAN-Eingabe-Option wie mit KeePass2.# unter Win, aber das ist eher jammern auf hohem Niveau.

  5. KeePass ist und bleibt in der Tat das beste Programm für diesen Ansatz.
    Die Entwicklung für Mobile Geräte ist etwas unzufriedenstellend, da sie mehr als schleppent voran geht, doch wenn ich bedenke, das ich nichts ausser ein paar Euros dafür gespendet habe verlange ich auch nicht, das mir die (oder der?) Entwickler die Sterne vom Himmel holt. Für lau :-)
    Wäre aber dennoch schön.
    Im Moment versuche ich mich mit 1Password, wg. der einfachen WiFi-Sync Funktion. Zeitgleich nutze ich MyKeePass aus dem iStore oder wie der online Schuppen von Apple heisst. 1Password ist natürlich deutlich komfortabler, als die günstigen Varianten. Auch KeePassX ist nicht wirklich umwerfend, was die optik/handhabung angeht. Für Win nutze ich noch KeePass v1, weil diese portable ist und nicht auf dem jämmerlichen MS.Framework (Namen vergessen, gottseidank,hehe) aufbaut.
    Alles schön und gut und Einfachheit und Usebility hin&her, letztendlich geht es mir eh nur darum, alle Passwörter “dabei” zu haben. Ob sie mir nu automatisch irgendwo eingetragen werden, ist nett, aber nicht zwingend notwendig. Geht ja nicht immer nur um Passwörter von Websites…

  6. hallo,
    gibt es eigentlich eine offizielle stellungsnahme zu deiner aussage von den 1password entwicklern? oder schweigen sie es tot?

  7. Hallo,

    1password ist für mich _das_ Programm der Wahl, weil es sehr gut funktioniert. Da ich nix in der Cloud speichere und auch nicht zwischen Windows, Linux und OS X wechseln muss.

    Außerdem ist es sicher besser, alles in 1password zu speichern als einfach so irgendwie auf dem Rechner.

    Aber mal angenommen, ich bekomme meine Zugagsdaten per Email zugeschickt, dass passiert das i.d.R. unverschlüsselt, _da_ sehe ich viel mehr Risiken, als ob jemand sehen kann, dass ich einen http://www.kiss-the-bri.de Account habe.

    Just my 2 cents.

    Heinz

    Übrigens: Clemens schreibt: “… mehr als schleppend …” –
    das müsste doch “weniger als schleppend” heissen, oder?

    • 1password ist für mich _das_ Programm der Wahl, weil es sehr gut funktioniert. Da ich nix in der Cloud speichere und auch nicht zwischen Windows, Linux und OS X wechseln muss.

      Ich empfinde die Benutzeroberfläche von 1Password als gewöhnungsbedürftig, aber das ist Geschmackssache.

      Außerdem ist es sicher besser, alles in 1password zu speichern als einfach so irgendwie auf dem Rechner.

      Standardmässig dient auf dem Mac der Mac OS X-Schlüsselbund zum Speichern von Kennwörtern und sonstigen Benutzerdaten. 1Password war ja ursprünglich auch bloss eine Benutzeroberfläche für die Schlüsselbundverwaltung von Mac OS X, erst seit der Notwendigkeit zur Synchronisation zwischen mehreren Geräten nutzt 1Password ein eigenes Speicherformat.

      Leider verschlüsselt auch der Mac OS X-Schlüsselbund nicht alle Daten:

      http://www.macmacken.com/2010/02/18/1password-vs-mac-os-x-schluesselbund/

      Aber mal angenommen, ich bekomme meine Zugagsdaten per Email zugeschickt, dass passiert das i.d.R. unverschlüsselt, _da_ sehe ich viel mehr Risiken, als ob jemand sehen kann, dass ich einen http://www.stroica.com/fehlerhafte-links/ Account habe.

      Jeder muss seine eigenen Prioritäten setzen. Ich bin aber überzeugt, dass die meisten 1Password-Benutzer davon ausgehen, all ihre Daten würden verschlüsselt abgespeichert und nicht bloss ausgewählte – zumal das Verschlüsseln aller Daten bei vergleichbaren Anwendungen wie beispielsweise KeePassX selbstverständlich ist.

      (Dito im Bezug auf den Mac OS X-Schlüsselbund, wie oben schon erwähnt und verlinkt.)

      Just my 2 cents.

      Andere Meinungen sind bei MacMacken jederzeit willkommen – gerade etwas ausführlichere Kommentare werden gerne gelesen.

      Übrigens: Clemens schreibt: «… mehr als schleppend …» –
      das müsste doch «weniger als schleppend» heissen, oder?

      Nein – schleppend verstehe ich als Synonym für sehr langsam, «mehr als schleppend» ist damit noch etwas langsamer, während «weniger als schleppend» weniger langsam beziehungsweise schneller wäre.

    • Hmm, so unterschiedlich verstehen Menschen Texte.

      Bei mir erzeugt das Wort “schleppend” den Eindruck von langsam, “mehr als schleppend” ist “schneller schleppend” (vgl. “mehr als laut” ist “lauter”), ergo ist “weniger als schleppend” “langsamer schleppend”, quasi kurz vor “Stillstand”…

      Aber nicht alles was hinkt ist ein Vergleich ;-)

      Damit soll es diesbezüglich auch gut sein.

      Aber es soll ja auch Leute geben, die haben eine 360 Grad Wendung gemacht, gemeint ist aber in der Regel 180 Grad.

      Gruß
      Heinz

Hinterlasse eine Antwort

Pflichtfelder sind mit * markiert.