1Password 6 für Android erschienen
von caschy | 21 Kommentare
Da draußen wuseln viele Passwortmanager herum. Für fast jeden ist etwas dabei – von kostenlosen Lösungen wie KeePass über günstige Anbieter wie LastPass oder Enpass – und dann findet man auch 1Password. Die bieten kein Abomodell an, die Software muss bezahlt werden. Die Desktop-Software generell, die mobilen Apps setzen auf ein Freemium-Modell. Irgendwann gelangte ich durch eine Preis-Promo zu 1Password und war ganz angetan, die App lief wirklich gut auf OS X und iOS, doch es sind auch Clients für Android und Windows zu haben. Zu letzterem kann ich nichts sagen, wohl aber zur Android-Ausgabe, da ich diese auf meinem Nexus 6P seit der Beta einsetze.
Der letzte große Betatest ist aber nun vorbei und 1Password 6 ist als finale Version für Android da. Wer vorher nicht die Beta nutzte, der wird Augen machen, denn die App kommt im Material Design daher und unterscheidet sich schon einmal optisch recht deutlich vom Vorgänger. Hört sich hochtrabend an, wirkt letzten Endes halt nur einen Ticken frischer, die App als solches ist ja eher minimal.
Viel wichtiger finde ich aber persönlich die Möglichkeit, meinen Tresor mittels Fingerabdruck zu entsperren. Nun ist es so, dass noch nicht viele Geräte einen Fingerabdruckleser haben, für mich und mein Nexus 6P ist es aber wesentlich entspannender, den Fingerabdruck statt des Passwortes zu nutzen. Aber: dieser Fingerabdruck ist nur Ersatz für das Master-Passwort, nicht die optional nutzbare Kurz-PIN, die beim App-Wechsel auf Wunsch abgefragt wird. Weiterer Kritikpunkt einiger Nutzer: Eine Synchronisierung via Google Drive ist bislang nicht möglich. Hier könntet ihr auf Dropbox oder WiFi-Sync setzen. Das komplette Changelog findet ihr übrigens hier.
[appbox googleplay com.agilebits.onepassword]
Wird geladen ...
Unlock per Fingerabdruck erst ab Android 6 oder?
Nutze 1password auf nem S6, heute abend mal ausprobieren.
Wer kennt eine Lösung für folgendes Problem mit der Deskoplösung, genauer dem Browser-Plugin:
Wenn man sich auf einer Seite neu registriert und dabei ein Passwort festlegt, speichert 1Password das ab.
Leider speichert es weitere Formularfelder mit ab und erkennt dann bei einem späteren echten Login das „Anmelden-Formular“ nicht, da es ja auf das Registrieren-Formular geeicht ist.
Mein Workaround ist es, das Passwort beim ersten Mal – der Registrierung – nicht zu speichern, sondern erst beim Login.
Das ist nervig, wenn man ein Zufallspasswort mit dem Generator erstellt hat und es nur für einige Sekunden in der Zwischenablage bleibt…
Ja ist nervig. Wenn ich das feststelle, such ich mir im Nachgang die Login-Url und editieren den Eintrag in 1Password.
@G Ich mache das ganz ähnlich wie du, bei der Registrierung verwende ich ein Standardpasswort und lass den Account nicht speichern. Nach der Registrierung melde ich mich erneut an, lasse dabei den Login speichern und ändere dann gleich das Passwort, dann sind die richtigen Daten in 1Password hinterlegt und mit dem nächst Login gibt es keine Probleme.
Fehlt nur noch das Update auf Windows und in der Tat ein paar Cloud Anbieter mehr. Allein schon die Dropbox AGBs machen mir Kopfschmerzen.
Schade, dass man darin keine kdbx (Keepass) Dateien öffnen kann. Darauf setze ich bisher und habe schon eine große Datenbank. Aufm Handy (Auch 6P) entsperren mit Imprint wäre das einzige, was ich mir von Keepass noch wünschen würde. Muss ich wohl weiterhin noch warten.
„dieser Fingerabdruck ist nur Ersatz für das Master-Passwort, nicht die optional nutzbare Kurz-PIN“
Bei Enpass (Android) ist es genau umgekehrt. Da muss ich am Anfang immer das lange Masterpasswort eingeben. Und als Pin Ersatz darf ich den Fingerabdrucksensor nutzen. Der Hersteller hat mir auf Anfrage geschrieben, dass für das Masterpasswort der Fingerscanner nicht genutzt werden kann, da in Android kein sicherer Ablageort dafür existiert (nicht so für für Apple Touch ID). Deswegen wundert mich jetzt dein Beitrag.
@Jonas Ein Import sollte funktionieren, vielleicht hilft dir das… https://support.1password.com/import/
Mir gefällt SafeInCloud besser und hier kann ich immer mittels Fingerabdruck den Passwortmanager aufrufen.
@Jonas
> Bei Enpass (Android) ist es genau umgekehrt.
Großes Lob dafür an Enpass, bei AgileBits kann man sich den Mund fusselig reden, daß die jetzige Implementierung überhaupt nicht zu ihren bisherigen Sicherheitsansprüchen paßt!
@Jonas
> Bei Enpass (Android) ist es genau umgekehrt.
Wie hast Du das denn eingestellt? Ich habe den Fingerabdruck aktiviert und jetzt verhält es sich wie bei 1PW, also auch beim „Kaltstart“ reicht der Fingerabdruck und nicht nur als Ersatz für die Kurzzeit PIN.
Nebenbei habe ich ein Fehler gefunden. Wenn man nach der Aktivierung der Fingerabdrucks sein Masterpasswort ändert, bekommt man zwar die Bestätigung, daß der Abdruck erkannt wurde, aber man sieht im Hintergrund, daß der Unlock nicht geht, weil er wohl noch das alte Passwort beim Fingerabdruck hinterlegt hat.
@Jonas
> Bei Enpass (Android) ist es genau umgekehrt.
Laut dem Blogeintrag vom 4.11. (s.u.) haben sie das in den aktuellen Versionen geändert.
Schade, daß auch die Enpass Entwickler nicht verstanden haben, daß das sichere Speichern des Abdrucks nur ein Teilproblem darstellt und das Hautproblem biometrischer Verfahren bestehen bleibt, konkret: wer Zugriff auf das Telefon hat, egal ob gestohlen oder gefunden, findet auch ganz viele Fingerabdrücke vom Besitzer darauf, die er zum Herstellen eines gefälschten Fingerabdrucks nutzen kann.
Wenn er ihn bei einem zufälligen 1 zu 50.000 Matching (Angabe von Apple zur TouchID) überhaupt benötigt, dann in Berlin wären das immerhin 70 Leute, die nichts tun müßten, außer das Telefon in die Hand zu nehmen, um den Passwortmanager über den Fingerabruckscanner zu entsperren.
https://www.enpass.io/blog/enpass-updated-for-android-marshmallow-with-fingerprint-support-and-more/
But there’s one thing you need to keep in mind that unlike iOS you have to type the master password every time when Enpass is freshly started or restarted, either by you or OS.
Soon by end of this month we will update Enpass to remember unlocking by Fingerprint always using the Android keystore (introduced in Android 6.0). Just stay connected with us as there is more to come on this.
@Sparbrötchen
Die 1 : 50.000 kommt zustande weil es eine „mathematische Representation“ des Fingerabdrucks ist (mehr oder weniger ein Hash), und dass beim Scan ein Teilabdruck reicht (man muss quasi nicht genau den Daumen zentrieren sondern es reicht auch die rechte Hälfte wenn man den Daumen schief hält). Dann kommt dazu dass nach 5 erfolglosen Scans Ende ist und man nur noch mit dem Passcode weiterkommt. Ein False Positive wäre also in etwa so wahrscheinlich wie ein Lottogewinn.
Und was alle Smartphones mit Fingerabdruckscanner betrifft: bis jetzt hat auch keiner erfolgreich einen Fingerabdruck von einem Telefon selbst abgenommen sondern es wurde unter Laborbedingungen ein sauberer Abdruck von einer gesäuberten Glasplatte genommen. Der Besitzer muss also vorher mit Absicht seinen Fingerabdruck fein säuberlich hinterlassen damit es funktioniert.
Es sollte jedem klar sein, dass ein Fingerabdruck nur eine Krücke ist, aber eben eine sehr bequeme. Das Problem bei Passwortmanagern ist gerade mobil, dass ich nicht erst ein zehnstelliges Passwort mit Sonderzeichen eingeben will, um mich auf einer Webseite einzuloggen. Das will keiner. Ebenso ist ein komplexes Passwort für den Zugriff auf das Smartphone selbst zwar wünschenswert, aber überhaupt nicht realistisch und komfortabel.
Apple hat das frühzeitig erkannt und egal wie unsicher TouchID bei einem professionellen Angriff sein mag, es ist die beste Lösung für den Jedermann-Anwender, also den, der im Zweifel den Zugriffsschutz komplett ausschaltet, weil er zu faul ist, ein Passwort einzutippen.
Wenn die Androiden hier nun nachziehen und ähnlich komfortable Systeme anbieten, ist das trotz aller Bedenken zu begrüßen. Einzig muss man Apple allerdings lassen, dass sie TouchID durchdacht entwickelt haben. Sensor und Smartphone gehen nicht ohne einander, was bei den Reparaturen durch Drittanbieter ja vor ein paar Tagen für Unmut gesorgt hat. Der Schlüssel liegt in einem geschützten Speicherbereich und nachdem, was man weiß, verlässt er das Smartphone nicht und wurde bisher auch nicht kompromittiert.
@Kalle
> Ein False Positive wäre also in etwa so wahrscheinlich wie ein Lottogewinn.
5 Richtige: 1 zu 60.223 und es gibt jede Woche Gewinner
Zu TouchID schreibt Apple:
With one finger enrolled, the chance of a random match with someone else is 1 in 50,000
https://www.apple.com/euro/privacy/d/generic/docs/iOS_Security_Guide.pdf Seite 8, 2. Absatz
Und wenn Du jetzt noch mehrere Finger gespeichert hast, ich z.B. rechts Zeige- und Mittelfinger sowie links Zeigefinger, dann ist es nur noch 1 zu 16.666
> sauberer Abdruck von einer gesäuberten Glasplatte genommen
nein, siehe hier ab 30 Min 20 Sekunden
https://media.ccc.de/v/31c3_-_6450_-_de_-_saal_1_-_201412272030_-_ich_sehe_also_bin_ich_du_-_starbug#video
Das ist alles eine Abwägungssache. Ich habe weniger ein Problem mit irgendwelchen Forenlogins, hätte aber gerne meine PayPal und Bankdaten Daten sicherer verwahrt.
Mit einem Fingerprint Gültigkeitszeitfenster von X Minuten könnte ich leben, aber als alleiniger Zugang bleibt Fingerprint Unlock leider aus.
Ich denke, daß auch AgileBits das weiß, und rein hipster-/umsatzorientiert handelt und wohl davon ausgeht, daß alles schon gut gehen wird.
Ich bin mir jetzt schon sicher, dass mittelfristig auch Dropbox rausfliegen wird und komplett auf einen eigenen – wohl kostenpflichtigen – Sync-Service (der, der ja jetzt schon für die Teams-Lösung im Einsatz ist) gesetzt wird.
Das macht Dashlane jetzt auch schon so und ist im Grunde die einzige Möglichkeit für den Entwickler, erfolgreich ein Abo-Modell durchzudrücken.
@ Sparbrötchen
Mit 1:50000 wird nicht ausgedrückt dass in Berlin bei 3,5M Einwohnern theoretisch 70 Leute rumrennen die ein fremdes iPhone entsperren können. Die Angabe ist ein Mittelwert aus der Wahrscheinlichkeitsrechnung (Binomialverteilung). Ein false Positive könnte beim ersten mal auftreten oder garnicht.
Ausserdem nimmt die Angabe an dass die Variablen (mathematische Representation des Fingerabdrucks) gleichmassig verteilt sind. Das sind sie aber nicht.
Ich denke Apple hat da nur einen Standardwert aus der Sensorindustrie übernommen. Viele andere Hersteller werben mit dem selben Wert.
Als Variable kommt noch dazu dass der Scanner nach 5 Fehlversuchen dicht macht und den Passcode verlangt. Das Gleiche nach Neustart (Akku leer) und wenn das Gerät 48 Stunden lang nicht entsperrt wurde (hier würde ich mir ne Nutzereinstellung für den wünschen).
Über iCloud kann man das Telefon auch sperren, vorausgesetzt man bemerkt Verlust/Diebstahl rechtzeitig.
1Password will übrigens nach 2 Fehlversuchen mit Touch ID das Master-Passwort.
@derlinzer
Denke ich nicht. Agile Bits hat nach erheblichen Nutzerprotesten den Sync per WiFi und Kabel wieder eingeführt. Preise für die Apps sind relativ hoch und manchmal kosten auch Major Upgrades. Über Abo-Model würde ich mir keine Sorgen machen. Ich denke nicht dass das mal kommt.
@derlinzer
Was ich noch vergessen hab: vor kurzem kam auch iCloud Sync zwischen allen Mac-Versionen dazu (App Store und Agile Bits Store).
@Kalle
[ ] Du hast verstanden, daß es um das Prinzip geht
Und da keine neues Aspekte in die Diskussion eingeführt werden, brauchen wir den Rest damit nicht zu langweilen, die scrollen einfach hoch und entscheiden dann ganz individuell wieviel Sicherheit sie für ihre Bequemlichkeit opfern wollen, solange alles noch optional abschaltbar ist.
Haha, eher nicht. Prinzip =/= Denkfehler.