iOS 8: 1Password kann mittels TouchID entsperrt werden
von caschy | 21 Kommentare
Kurz notiert: 1Password, auf der iOS-, Windows, OS X- und ganz aktuell auch auf der Android-Plattform verfügbarer Passwort-Manager, wird gerade kräftig als Betaversion getestet. Während die Android-Katze bereits aus dem Sack ist und kostenlos von allen auf Herz und Nieren geprüft werden kann, wird bereits ordentlich an der Iteration der iOS-Version gefeilt. Hier sind aktuell Neuerungen eingeflossen, die die zukünftigen Nutzer von iOS 8 sicherlich erfreuen werden. So können Passwort-Container mittels Apples TouchID entsperrt werden, zudem gibt eine Erweiterung, über die Safari Passwörter für einzelne Dienste abfragen kann. Bislang nur nutzbar, sofern ihr Betatester seid, zudem im Betaprogramm von 1Password seid. (danke Daniel!)
Wird geladen ...
zwei funktionen auf die ich sehnlichst warte. aber gerade jetzt wo 1passwort richtig an funktionalität hinzugewinnt, kommt ein mächtiger konkurrent… der icloud schlüsselbund. ich bleibe trotzdem bei 1password, weil man dort auf viele notizen, passwörter und pin-nummern hinterlegen kann, die man offline benötigt (geldautomat, etc)
iCloud hat einen gewaltigen Nachteil Ingegration in andere Systeme 😉
Android, Windows etc.
Gott, na endlich. Viel zu lange drauf gewartet. 🙂
Ein beweis, wie unsicher das Ganze ist. Hoffentlich landen bald alle 1Password-Daten im Netz, damit die Leute aufwachen. Wenn es mit Touch-ID zu entsperren ist, bedeutet das, dass das Master Password auf dem Gerät abgelegt werden muss. Mit Verschlüsselung hat das nichts mehr zu tun.
Nicht unbedingt, es können auch beide Möglichkeiten als Masterpasswort definiert werden.
@bachsau
du scheinst wenig ahnung von iOS zu haben
Träume werden wahr… TouchID und Safari-Extension sind genau die zwei Dinge, die dem Tool unter iOS noch fehlen. Can’t wait 🙂
@HO: Wie kommst du denn da drauf? Wahrscheinlich habe ich einfach nur mehr Ahnung von der Materie als du.
@Jochen: Nein. Der Fingerabdruck kann keine Daten entschlüsseln. Der Chip kann lediglich bestätigen oder dementieren, dass der aufgelegte Finger dem gespeicherten entspricht. iOS kann diese Information an eine App weiter geben. Das liefert ihr aber noch keinen Schlüssel. Sofern die Daten überhaupt verschlüsselt abgelegt sind, muss der Schlüssel also zumindest im Arbeitsspeicher vorgehalten werden, nachdem er einmal eingegeben wurde. Was glaubst du, warum das iPhone 5S nach einem Neustart zwingend eine Passworteingabe verlangt? Er wird zwingend benötigt, um die Daten zu entschlüsseln und verbleibt dann im Speicher, solange das System läuft.
@bachsau
gut, wenn du mehr ahnung hast, dann gucke bitte für mich den entsprechenden vortrag auf der wwdc an und erkläre es mir danach bitte. einen developer zugang wirst du ja wohl auch haben…
https://developer.apple.com/videos/wwdc/2014/
@bachsau
Das beweist überhaupt nichts (ausser dass du trollst). Mit dem 4-stelligen PIN-Code komme ich auch kurzfristig in die App, ohne neu das Masterpasswort einzugeben mit dem die Daten entschlüsselt werden.
@HO
Zum entschlüsseln braucht man schon das Masterpasswort, das steht bei 1Password „über allem“ und lässt sich nicht durch Touch ID ersetzen. Aber wie gesagt, lösbar ist es. 1Password funktioniert jetzt schon ähnlich wie iOS. App startet neu: Masterpasswort zum Entschlüsseln. App läuft im Hintergrund und ein gewisses Zeitfenster ist nicht überschritten: kurzer PIN-Code zum Zugriff. Das könnte man auch mit Touch ID ersetzen.
Tatsache bleibt @HO und @Kalle, dass der Schlüssel im Speicher abgelegt werden muss, um das möglich zu machen. Worauf HO wohl anspielt ist die Komplexität des Sicherheitssystems (Ich habe mir den Beitrag angesehen). Allerdings widerlegt das in keiner Weise was ich geschrieben habe. So toll sich dieses „Security Enclave“-Modul auch anhört, entscheidet es doch nur über die Freigabe der iOS-Keychain-Daten, und wird diese erteilen, wenn das Gerät entsperrt ist. Und in dieser Keychain muss 1Password den Schlüssel ablegen, wenn es Touch-ID verwendet. Alles was dabei nach der Übergabe an securityd passiert, liegt völlig außerhalb des Einflussbereichs und der Kontrolle der betreffenden App. Erklär mir doch bitte was ich daran falsch verstanden haben soll, HO: Wenn Touch-ID genutzt werden soll, um Daten zu entschlüsseln, MUSS der Schlüssel in irgendeiner Form auf dem Gerät gespeichert werden. Egal wie durchdacht das Sicherheitskonzept letztlich ist.
Der/die Schlüssel sind sowieso im Speicher, die sind nötig um die Daten on-the-fly zu entschlüsseln. Oder meinst du das Masterpasswort? Nur mit dem kommt man an die Daten.
Das Masterpasswort wird mit Sicherheit nirgendwo abgelegt werden. Man kann aber die Daten mit dem Masterpasswort einmal entschlüsseln (manuelle Eingabe) und dann den Zugriff darauf per Touch ID gewähren (in einem gewissen Zeitfenster). Genau so funktioniert die Methode mit den PIN-Code jetzt. Im Titel steht: „1Password kann mittels TouchID entsperrt werden“, nicht „1Password kann mittels TouchID entschlüsseln“. Kleiner aber feiner Unterschied.
Frühere Versionen haben das Masterpasswort noch in der iOS Keychain abgelegt (nicht verwechseln mit iCloud Keychain). Das war sicher und es ging wegen der Synchronisation nicht anders, aber davon ist man abgekommen.
Interessanter als das Apple-Video ist in diesem Zusammenhang das hier: http://learn2.agilebits.com/1Password4/Security/keychain-design.html
Dann braucht die App einen neuen Namen. Wie wärs mit OneDaumen?
@streit_um_die_schlüssel_fraktion: Ihr diskutiert über das falsche wenn es um touchid und 1password geht… viel wichtiger ist die tatsache dass touchid von jedem leicht ausgetrickst werden kann indem man euren fingerabdruck einfach nachmacht und dann an alle daten rankommt! beim iphone ansich benutz ich auch touchid weil es recht bequem ist, aber bei 1password werde ich die funktion sicher nicht nutzen gerade aus diesem grund.
Biometrische Daten (Fingerabdruck, Augenscan etc.) sind nunmal nur Benutzernamen und keine Passwörter. Sie sind, vermutlich bis ans Lebensende, mit der eigenen Perrson verknüpft, lassen sich nicht ändern und geben nur Auskunft darüber, wer man ist.
Da ich ein fauler Trottel bin, werd ich es aber trotzdem irgendwie benutzen ^^“
@dark
das ist doch kompletter unsinn.
touch id ist besser und sicherer als die eingabe eines pin-codes!
die chance dass dich jemand unter androhung von gewalt zwingt deine pin zu nennen ist wesentlich größer, als dass jemand 1. dein iphone klaut und du einen halben tag davon nix merkst 2. dir ein perfekter fingerbabdruck abgenommen wird 3. die person für 30 euro im baumarkt einkaufen geht 4.die person 5-9 stunden zeit investiert um mit den baumarkt-untensilien einen fingerabdruck-dummy zu bauen.
es gab in den letzten 8 monaten keinen einzigen bericht darüber dass jemand über touch id zugang zu einem fremden iphone erlangt hat. damit meine ich nicht die „labor-versuche“ mit dem eigenen iphone.
bisher haben 50% der leute gar keine pin im handy eingerichtet und viele notieren sich ihre ec-karten pin auf einem zettel, der im portmonee aufbewahrt wird…. da ist touch id und die keychain oder 1password ein großer großer sicherheitsgewinn…. in der praxis eine zu 99,999% sichere sache.
@bachsau
egal wie das technisch nun gelöst ist. wichtig ist doch nur…. in den letzten 10 monaten ist es noch niemanden gelungen das zu hacken. sollte es in zukunft gelingen, dann sind ja nicht plötzlich millionen von passwörtern unsicher, sondern es können einzelne geräte gehackt werden, die im besitz des hackers sind und die dann das (wohl schnell erscheinende) sicherheitsupdate nicht installiert haben.
@HO
Also wenn man mit Gewalt zur Herausgabe des PINs gezwungen wird, glaub ich kaum, dass derjenige dann davor zurückschrecken würde einfach deine Hand zu packen und den Daumen draufzudrücken.
Oder die Hardcorevariante: den Daumen abhacken
Natürlich geht die Chance, dass sowas passiert gegen Null, aber der Vergleich mit dem PIN hinkt an dieser Stelle nunmal.
@nanjara
du hast es nicht verstanden