1Password 6 für Windows veröffentlicht, erfordert Abo

artikel_1passwordSeit Juni gibt es 1Password 6 für Windows in einer Beta-Version, die finale Geschichte sollte ursprünglich mal im August erscheinen. Nun haben wir Mitte Oktober und 1Password 6 für Windows ist da. leichte Verzögerung, aber es sollte sich für alle lohnen, die darauf gewartet haben. Die neue Version wurde von Grund auf neu gestaltet, sie funktioniert allerdings auch nur, wenn man ein 1Password-Abo hat, mit einer normalen Lizenz lässt sich die neue Version vorerst nicht nutzen. Für den ein oder anderen vielleicht eine gute Gelegenheit, um auf das neue Lizenzmodell umzusteigen – oder sich komplett von 1Password zu verabschieden.

1pw_browser

Während die neue Version sich auch optisch von den Vorgängern unterscheidet, wurde auch technisch viel verbessert und auch die Browser-Erweiterung ist vorhanden. Technisch kommt zum Beispiel ein „Account Key“ zum Einsatz. Das bedeutet: Selbst wenn man ein schwaches Master-Passwort nutzt, wird es durch den 128bit-Schlüssel so gesichert, dass man es nicht bruteforcen kann. Der Account Key wird für jeden Nutzer einzeln generiert und verlässt das Gerät nicht, landet also auch nicht auf den Servern von AgileBits.

Verbessert wurde auch die Sortierung von einzelnen Einträgen in verschiedenen Vaults. Admins von Teams können neue Vaults und entsprechende Berechtigungen anlegen, sie erscheinen dann automatisch auf allen Geräten. Man kann aber nicht nur mehrere Vaults anlegen, sondern 1Password auch mit mehreren Accounts nutzen.

1pw_recovery

Account Recovery ist ebenfalls eine interessante Neuerung. Bisher war es so, dass man schlichtweg Pech hatte, wenn man das Master-Passwort vergessen hat. Weder AgileBits, noch man selbst, konnte das Master-Passwort zurücksetzen. Das ändert sich nun. AgileBits kann es immer noch nicht, aber Team-Admins können das Master-Passwort einzelener Nutzer zurücksetzen, sodass man wieder Zugriff auf alle gespeicherten Einträge hat. Auch gibt es eine Historie, mit der einzelne Löschungen bei Bedarf rückgängig gemacht werden können.

Wer noch kein Abo hat, dieses aber vor dem 31. Oktober abschließt, bekommt quasi als Bonus den Pro-Plan zum Preis des Standard-Plans. Ob sich das für den Einzelnen lohnt, muss man natürlich wissen, die Geschichte richtet sich ja doch eher an Gruppen und/oder Familien. Alle Infos dazu findet Ihr auch in diesem Post von AgileBits.

Wer eine Alternative zu 1Password sucht, wird sich schwer tun, eine zu finden, die sich genauso bequem nutzen lässt. Wer in dieser Hinsicht aber bereit ist Abstriche zu machen, kann sich zum Beispiel auch Keepass anschauen, ein bei unseren Lesern sehr beliebter Passwortmanager.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

29 Kommentare

  1. Na dann bleibt halt die alte Version installiert.

  2. Hallo ENPASS (http://enpass.io) ich komme.
    Das Preismodell von 1Password war bisher schon teuer genug, aber mit dem Wechsel zum Abomodell sage ich ganz klar goodbye.

  3. nutze 1password aber halte sync und daten strikt getrennt. alle daten in einer einzigen hand vermeide ich bewusst. siehe lastpass-desaster.

  4. Schade, mit Abo wird 1Password für mich leider uninteressant, dann nutze ich meine jetzige Version, solange es geht. Hab zwar nen Mac und die Sotware ern gekauft, aber hier und da ein Abo??? Nein danke.

  5. Weiß jemand, ob bei bestehenden Lizenzen der Dropbox-Sync weiterhin gehen wird? Finde dazu nichts bei AgileBits..

  6. David Teare, leitender Entwickler bei AgileBits, schreibt in einem Kommentar zum oben verlinkten Artikel, dass in einer zukünftigen 1P6Win-version die Funktionalität der ormalen Lizenzen wieder implementiert werden soll und solche User bis dahin 1P4 weiter verwenden sollen.

    „Dave Teare
    October 13, 2016 at 12:00 pm
    Hello again I wanted to add a P.S. to my post and thought being the first commenter the best way to achieve that.

    As great as this release is, I know many Windows users will want to know why we are only supporting our hosted services in this release – after all, I’ve stated publicly many times that we will continue to support individual licenses. So why do we not support licenses in this release?

    The reason is simply one of timing. When we started development on 1Password Teams we made the brave decision to start from scratch and rewrite everything using Microsoft’s latest and greatest technologies. This was both exciting and terrifying. It was exciting because it enabled us to leverage all the modern libraries and create a solid base to grow from for the next decade. And it was also terrifying as there is a lot of code that needed to written and tons of features to bring over.

    Long story short, we simply didn’t have enough time to include everything in our initial 6.0 release so we decided to focus on Teams (Families as well as our new individual service are also supported). In the future we will extend what’s possible, so if subscriptions are not your kettle of fish or if you have corporate or regional restrictions that require you to use WLAN Sync, stay on 1Password 4 for now until we have a chance to port these features over. If you’re free of these restrictions, give our hosted service a spin and take advantage of our launch special.

    We’re continuing our Windows journey and I can’t wait to share more updates with you (including support for standalone licenses) once they’re ready.

    Cheers!

    ++dave;“

  7. @Thomas_U Danke, dass Du den Kommentar mit der Erläuterung von Dave verlinkt hast.

    @Frederik Ganz klar ja! Dropbox Sync geht bei 1Password 4 nirgendwohin. Auch in 1Password 6 is Dropbox bereits nutzbar, aber die lokalen Tresore (.agilekeychain, .opvault) sind derzeit nur im Lesemodus verfügbar, es können keine Änderungen daran gemacht werden.

    Für weitere Fragen stehe ich gerne zur Verfügung.

    Grüße,

    Alex
    – – –
    Bearded Vulcan Support Technician @AgileBits

    Webseite: https://1password.com
    Forum: https://discussions.agilebits.com
    E-Mail: support@agilebits.com

  8. Wir laufen als User da in eine selbstgegrabene Grube. Über die Jahre war alles immer irgendwie kostenlos zu haben und daran haben wir uns so gewöhnt, dass selbst erfolgreiche Firmen mittlerweile Probleme haben, genug Geld für das laufende Geschäft zu erwirtschaften.

    Ich werfe 1Password keineswegs Geldgier vor. Sie haben allerdings ganz ähnlich zu Evernote einfach mal die Karten auf den Tisch gelegt und über Umwege zugegeben, dass der Betrieb über die Einmallizenzen anscheinend nicht zu finanzieren ist. Deshalb die Forcierung der Abos, deshalb die hohen Preise für die Einmallizenzen.

    Ich bin persönlich von 1Password zu Enpass umgezogen. Nicht unbedingt aus Geldnot, sondern weil Enpass die besseren Windows und Android Clients bot. Unter OS X und iOS hingegen ist 1Password nahezu perfekt.

    Bedenklich finde ich im allgemeinen, dass viele User nicht einmal bereit sind, für das Wichtigste zu bezahlen, was es gibt: Sicherheit. Wenn man im Stillen mal aufzählt, was alles passieren kann, wenn unsichere Passwörter verwendet werden oder die App schlampig programmiert wird, sind fünf Euro im Monat ein Witz. Trotzdem zahle ich sie selber auch nicht.

    Schon komisch.

  9. NanoPolymer says:

    @XYZ1 das Abo Model ist doch sehr viel Preisgünstiger als die einzelnen Lizenzen, außerdem fallen auch etwaige Upgradekosten weg. Für den Entwickler ist das auch sehr viel Überschaubarer. Ich finde das in vielen Bereichen durchaus fair.

    @GeeGee Enpass ist ganz nett und war durchaus auch kurz in meinen Fokus gerückt. Aber es ist von den Funktionen und Komfort halt weit hinter 1P. Vor allen bei 1P schätze ich die Funktion der Vaults. Das war für mich ein Grund gegen Enpass und die fehlende Möglichkeit Anhänge hinzufügen zu können. Die Optik tut dann ihren Rest.

    Als Mac User kann man 1P aktuell auch mit Abo so nutzen das man jeden Vault via Dropbox synchronisiert. So muss man seine Daten nicht bei 1P lagern. Kehrseite: unter Windows kann man keine Daten ändern und man braucht zwingend einen Mac für das vorgehen.

    Die Daten direkt in das 1P Konto zu legen ist sicher eine einfache Sache, aber ich traue dem ganzen nach wie vor nicht. Vor allen das mit dem Account-Key stimmt nicht. Man kann ja im Konto das Emergencykit erstellen und dort ist der Code drin, also muss der ja bei denen aufn Server liegen. Heißt die haben durchaus die realistische Möglichkeit meine Passwörter zu lesen wenn ich das dort hochlade.

  10. Ich nutze zur Zeit Keepass, auch als Passwortverwaltung für Website Logins (in Firefox und Chrome). Was mir da fehlt ist, dass ich keine User anlegen kann. In der Firma muss ich mich an vielen Webservices per Domainuser anmelden. Wenn ich dann dessen Passwort ändere, muss ich in Keepass für alle betreffenden Logins das Passwort einzeln ändern. Schöner wäre es, wenn man für den Usernamen das Passwort zentral ändern könnte und in den entsprechenden Einträgen in Keepass das geänderte Passwort übernommen wird. Gibt’s das in anderen Passwortmanagern oder ein Plugin für Keepass?

  11. @Oliver
    Danke für diesen tollen Kommentar und Deine Kritik.
    Ich würde gerne auf einige der Punkte, die Du machst eingehen.

    > Ich werfe 1Password keineswegs Geldgier vor.
    > Sie haben allerdings ganz ähnlich zu Evernote
    > einfach mal die Karten auf den Tisch gelegt und
    > über Umwege zugegeben, dass der Betrieb über
    > die Einmallizenzen anscheinend nicht zu finanzieren ist.

    Abo-Modelle haben Vor- und Nachteile für die Unternehmensfinanzierung. AgileBits ist vollständig eigenfinanziert. Es gab zu keinem Zeitpunkt externe Investitionen und wir arbeiten daran, dass dies auch so bleibt. Bisher sind wir mit dem Lizenzmodell gut gefahren und wir werden es auch nicht aufgeben, solange Nutzer Lizenzen kaufen wollen. Mit dem Abo-Modell kommt einfach eine Einnahmequelle hinzu.

    > Deshalb die Forcierung der Abos, deshalb die
    > hohen Preise für die Einmallizenzen.

    Wir haben nicht vor Nutzer zum Umschwung auf ein Abo zu zwingen. Der erhöhte Preis für die Einzellizenz für macOS und Windows ist vorrangig dem Umstand geschuldet, dass die kombinierte macOS+Windows-Lizenz von allen Lizenzen am häufigsten verkauft wurde und ein Großteil unserer Nutzer 1Password auf beiden Desktopbetriebssystemen nutzen will.

    Ich will überhaupt nicht leugnen, dass wir hoffen, dass in Zukunft viele Nutzer ein 1Password.com-Konto nutzen werden. Das hat natürlich die eben schon angesprochenen finanziellen Gründe, aber die Hauptmotivation ist eine andere:

    Bei 1Password.com-Konten kontrollieren wir die gesamte Plattform: Von den Servern, zur Datenübertragung, zu den Programmen. Das erlaubt uns sowohl einen höheren Grad an Sicherheit zu ermöglichen, als auch Methoden zur Sicherung der Datenintegrität und Datenverfügbarkeit zu bieten, die bei der Nutzung von externen Synchronisierungsdienstleistern schlichtweg nicht möglich sind.

    > Ich bin persönlich von 1Password zu Enpass
    > umgezogen. Nicht unbedingt aus Geldnot, sondern
    > weil Enpass die besseren Windows und Android Clients
    > bot. Unter OS X und iOS hingegen ist 1Password nahezu
    > perfekt.

    Ich möchte dich einladen 1Password 6 für Windows und die aktuelle Version von 1Password für Android auszuprobieren, falls Interesse besteht.

    Bei Fragen, kannst Du Dich gerne an mich persönlich wenden. Dazu einfach eine E-Mail an support@agilebits.com und ein „attn. AlexH“ in den Betreff.

    – – –

    @NanoPolymer

    > Die Daten direkt in das 1P Konto zu legen ist sicher
    > eine einfache Sache, aber ich traue dem ganzen
    > nach wie vor nicht. Vor allen das mit dem Account-Key
    > stimmt nicht. Man kann ja im Konto das Emergencykit
    > erstellen und dort ist der Code drin, also muss der ja bei
    > denen aufn Server liegen. Heißt die haben durchaus
    > die realistische Möglichkeit meine Passwörter zu lesen
    > wenn ich das dort hochlade.

    Wenn Du erlaubst, erläutere ich das hier etwas genauer, denn AgileBits kann technisch keinen Zugriff auf deinen Account Key bekommen. Das ist ganz absichtlich nicht möglich.

    Bei der Erstellung eines Kontos wird der Account Key lokal auf deinem Mac oder PC generiert. Nach der Erstellung des Kontos und der Vergabe eines Master-Passworts, wird der Account Key innerhalb Deines 1Password.com-Kontos gespeichert, also bereits hinter der Verschlüsselung. Deswegen weist Dich die Webseite bei der Erstellung auch darauf hin den Account Key zu notieren.

    Das Security White Paper, dass Du unter https://1password.com/security/ finden kannst, erklärt das sehr genau.

    Noch viel netter ist aber, dass ein 1Password.com-Konto sehr viel sicherer ist, als jede andere Lösung, mit Online-Synchronisierung. Da nur bereits mit dem Account Key, Deinen Anmeldedaten und Deinem Master-Passwort autorisierte Geräte Zugriff auf Dein 1Password.com-Konto haben, ist ein Zugriff von außen quasi ausgeschlossen. Entsprechend sind auch die Daten die auf unserem Server liegen für potentielle Angreifer völlig nutzlos. 1Password.com ist eine Zero-Knowledge-Cloud-Lösung, die explizit so konzipiert ist, dass weder Angreifer von außen, noch theoretische Angreifer von innerhalb der Firma die geringste Chance haben auf Daten in einem Konto zuzugreifen.

    Grüße,

    Alex
    – – –
    Bearded Vulcan Support Technician @AgileBits

    Webseite: https://agilebits.com
    Forum: https://discussions.agilebits.com

  12. Gute-Website says:

    So benutzt Ihr 1Password weiterhin günstig:

    * Die Android App kaufen und mit eurer Windows Installation von 1Password4 syncen.
    * Wenn das Limit von, glaube, 40 Passwörtern auf dem Desktop Client erreicht ist dann die neuen Passwörter einfach auf dem Android Gerät anlegen und zum Desktop syncen.

    Läuft 🙂

  13. Hi @Gute-Webseite!

    Ohne Dir von dieser Nutzungsweise abraten zu wollen, die Limitierung der Einträge nach 30 Tagen Testphase sind 20 Objekte in 1Password 4 für Windows. Das ist schon von Anbeginn an so.

    Für weitere Fragen stehe ich gerne zur Verfügung.

    Grüße,

    Alex
    – – –
    Bearded Vulcan Support Technician @AgileBits

    Webseite: https://agilebits.com
    Forum: https://discussions.agilebits.com

  14. Habe hier insgesamt 6 Lizenzen im Einsatz und nutze 1Password recht gerne. Die extrem gute Browserunterstützung hat mich immer bleiben lassen.

    Was ich überhaupt nicht verstehe ist, warum das Lizenz- bzw- Bezahlmodel etwas damit zu tun haben soll/muss welche Version der Software (4 vs. 6) ich nutzen kann.Leuchtet mir null ein. Was bitte haben die genannten neuen Microsoft Techniken und Bibliotheken etc. damit zu tun wie ich die Lizenz für die Software erworben habe?

  15. Ich habe „1pw“ und „abo“ gelesen, sonst nichts: Tja, bye bye 🙂 bleibt die alte Version.

  16. @mangochutney: ich bin selbst 1Password-Nutzer seit Ewigkeiten (wann kam noch mal das erste weisse MacBook raus?) und kann verstehen, dass Abos (bin selber Abonnent) zu angemessenen Preisen die Zukunft der Finanzierung sind und die ganzen Kostenlos-Lösungen entweder verschwinden, oder nicht mehr supported werden.

    ABER: Was mich gewaltig an 1Password (und anderen Cross-Plattform-Anbietern) stört, ist, wie sehr die Android-Version der iOS-Version hinterherhinkt. Ich sage nur Scannen von QR-Codes für 2FA. Es dauert einfach viel zu lange, bis sich da was tut und das ärgert.

  17. Welche Version für Windows bekomme ich denn, wenn ich es heute unter https://agilebits.com/store kaufen würde?

  18. @derlinzer
    genau das stört mich auch gewaltig. Ich nutze 1P unter macos, ios, Windows und Android und da fällt es extrem auf wie weit die Androidversion hinten nach ist.
    – bei Nutzung eines 1P-Kontos werden auf dem Mac oder iPhone die Dateianhänge gesondert gesichert, unter Android werden die nicht synchronisiert und verschwinden gleich komplett
    – opvault hat ewig gedauert
    – Fingerabdruck und Material Design haben ewig gebraucht
    – mehrere Vaults gibt es immer noch nicht
    – oder ganz einfache Dinge, bei Sync mittels Dropbox werden die Icons auf jedes Gerät gesynct und aktualisiert, unter Android passiert da gar nichts

    Man darf zwar im Forum für irgendwelche Features voten, teilweise darf man das aber schon seit Jahren (zb Sync der eigenen Icons).

  19. @mangochutney: Ich habe mir vor einiger Zeit mal eine Mac + Win Edu-Lizenz gekauft. In meinem Kundenkonto bei Agilebits finde ich deshalb aktuell eine Lizenz für 1Password 6 for Mac und eine für 1Password 4 for Windows. Ebenfalls besitze ich die Pro Variante der iOS App. Wie du siehst habe ich also bisher schon ein wenig für Umsatz gesorgt. 😉 Heißt die 1Password 4 for Windows Lizenz in meinem Kundenkonto jetzt, dass ich niemals ohne zu zahlen oder auf das Abo Modell umzusteigen in den Genuss der 6er Version für Windows kommen werde? Oder kann ich das von Thomas_U kopierte Posting von Dave Teare so verstehen, dass ich irgendwann auch (kostenlos) updaten darf?

  20. Guten Morgen @Tebald

    > Was ich überhaupt nicht verstehe ist, warum
    > das Lizenz- bzw- Bezahlmodel etwas damit
    > zu tun haben soll/muss welche Version der
    > Software (4 vs. 6) ich nutzen kann. Leuchtet mir
    > null ein. Was bitte haben die genannten neuen
    > Microsoft Techniken und Bibliotheken etc. damit
    > zu tun wie ich die Lizenz für die Software erworben habe?

    Du hast völlig Recht, die Technologien haben nichts damit zu tun. Es war schlichtweg eine Sache von Zeit, die zur Entscheidung geführt hat, 1Password 6 zunächst mit Fokus auf 1Password.com-Konten zu veröffentlichen.

    1Password 6 ist eine vollständige Neuentwicklung und mit der Zeit werden wir die bekannten Funktionen nachreichen. Das schließt das Lizenzmodell ebenso ein, wie weitere Synchronisierungsmöglichkeiten für lokale Tresore und WLAN-Synchronisierung.

    – – –

    @derlinzer @extra

    Danke für Eure Kritik. Ich nutze derzeit selbst kein Android-basiertes Gerät, würde mich aber freuen Eure Kommentare direkt an die Entwickler weiterzureichen.

    Wir streben größtmögliche Funktionsgleichheit über alle Plattformen hinweg an. Sowohl bei Android als auch bei Windows sind wir hier meiner Meinung nach auf dem besten Weg. Stellenweise könne wir unter Android und Windows sogar Funktionen bieten, die es unter macOS und iOS nicht gibt.

    Ich möchte Euch bitten eine E-Mail an support+android@agilebits.com zu schicken und dem Betreff „attn. AlexH“ (ohne Anführungszeichen) hinzuzufügen. Ich werde mich dann schnellstmöglich darum kümmern.

    – – –

    @Patrick H.

    > Welche Version für Windows bekomme ich denn,
    > wenn ich es heute unter https://agilebits.com/store
    > kaufen würde?

    Über die Webseite kannst Du 1Password 4 beziehen.

    – – –

    @Fabian Orth

    So gerne ich Dir eine endgültige Antwort auf Deine Frage geben würde, habe ich dazu leider noch keine Informationen. Das, was ich Dir und anderen Interessierten versichern kann, ist, dass wir immer darauf achten, dass Bestandskunden im Falle eines kostenpflichtigen Upgrades gute Angebote bekommen.

    Lasst mich wissen, wenn ihr mehr Kommentare oder Fragen habt.

    Grüße,

    Alex
    – – –
    Bearded Vulcan Support Technician @AgileBits

    Webseite: https://agilebits.com
    Forum: https://discussions.agilebits.com

  21. das ding is aus der beta, braucht n abo und kann net mal anhänge? WTF?

  22. Ich habe mir damals auch mal 1Password 4 für Windows gekauft. Welche Möglichkeiten habe ich jetzt auf Version 6 umzusteigen?

  23. und vor Allem was haben OTPs in nem Passwort Safe zu suchen?
    damit legt man das ganze Konzept der sicherheit von 2FA dass man 2 GETRENNTE Faktoren (Wissen UND besitz) hat, komplett in die Tonne.

    Nicht zu vergessen dass viele der Schwächen die PWs haben, bei PWDBs noch schlimmer werden, hauptsächlich da die DB offline gespeichert werden kann und eben 1 Passwort für Alles genutzt wird.

    bei Enpass habe ich mich vor ner weile darüber ausgelassen (englisch):
    https://discussion.enpass.io/index.php?/topic/116-totp-integration-decreases-security/#comment-629

    während auf seiten ohne 2FA ne PWDB sinnvoll sein kann für die Aluhut-Passwörter die sich kein Mensch merken kann, aber wenn 2FA ins spiel kommt und man eh von online auth redet, ist es sinnvoller ein schwächeres PW zu nehmen dass man sich MERKEN kann, anstelle PW und TOTP an der selben stelle zu speichern denn so kann man 2FA auch gleich sein lassen.

  24. Ich finde das Abo-Modell zwar nicht gerade prickelnd aber bei Evernote und Feedly zahle ich auch. Was mich aber ein wenig stört dass bei 1Password gleich mal jährlich abgebucht wird. Das stört mich schon bei Adobe extrem und gefällt mir hier noch weniger…

  25. Gibt es da auch eine preisgünstigere Alternative?

  26. @my1

    Danke für Deinen beiden Kommentare.

    Zunächst hierzu:

    > das ding is aus der beta, braucht n abo
    > und kann net mal anhänge? WTF?

    Ja. Wir haben bereits grundlegende Unterstützung für Anhänge und Dokumente in 1Password 6 für Windows aber die Implementierung ist noch nicht abgeschlossen. Glaub‘ mir, wir arbeiten so schnell wie möglich daran.

    > und vor Allem was haben OTPs in nem Passwort
    > Safe zu suchen? damit legt man das ganze Konzept
    > der sicherheit von 2FA dass man 2 GETRENNTE
    > Faktoren (Wissen UND besitz) hat, komplett in die Tonne.

    Da stimme ich und alle bei AgileBits dir völlig zu. Unser Sicherheitsexperte Jeff Goldberg hat mehrfach darüber geschrieben, zuletzt hier: https://blog.agilebits.com/2015/01/26/totp-for-1password-users/

    Um tatsächlich eine Zwei- oder Mehrfaktorauthentifizierung durchzuführen, müssen der erste und der zweite (dritte, …) Faktor nicht auf dem selben Gerät gespeichert sein und der zusätzliche Faktor darf auch nicht synchronisiert werden.

    Allerdings ist der Bedarf für strikte 2FA nur für einen sehr kleinen Nutzerkreis kritisch oder tatsächlich empfehlenswert. Insofern ist kann von einer Speicherung in einem 1Password-Konto/Tresor oder einem anderen Passwortmanager nicht kategorisch abgeraten werden.

    > Nicht zu vergessen dass viele der Schwächen die
    > PWs haben, bei PWDBs noch schlimmer werden,
    > hauptsächlich da die DB offline gespeichert werden
    > kann und eben 1 Passwort für Alles genutzt wird.

    Ich hoffe ich habe Dich hier richtig verstanden. Die Nutzung eines schwachen Master-Passwort für einen Passwortmanager verschlimmert theoretisch die Sicherheitslage, wenn ein Angreifer Zugriff auf den Tresor bekommt.
    Das ist aus unserer Sicht soweit richtig und wir haben bei Nutzung von lokalen Tresoren grundsätzlich immer gesagt, dass die Sicherheit des Tresors von der Stärke des Master-Passworts abhängt.

    Hier sind zufällig generierte Wortlistenpasswörter allerdings eine verdammt gute Wahl. Sie sind einfach zu merken, werden schnell lang genug, um einen hohen Grad an Entropie zu gewährleisten.

    Bei 1Password.com-Konten ist die Situation aufgrund der Existenz des Account Keys eine andere. Hier muss der Angreifer Zugriff auf ein bereits autorisiertes Endgerät bekommen, und dass Master-Passwort kennen, um überhaupt auf die Daten eines Nutzers zugreifen zu können.

    – – –

    @Florian P.

    Monatliche Abbuchung ist gar ein Problem. Steht auch hier: https://support.1password.com/subscription-billing/

    – – –

    Ich hoffe die Informationen helfen euch weiter. Falls ihr weitere Fragen habt, immer her damit.

    Grüße,

    Alex
    – – –
    Bearded Vulcan Support Technician @AgileBits

    Webseite: https://agilebits.com
    Forum: https://discussions.agilebits.com

  27. @mangochutney
    „Hier sind zufällig generierte Wortlistenpasswörter allerdings eine verdammt gute Wahl. Sie sind einfach zu merken, werden schnell lang genug, um einen hohen Grad an Entropie zu gewährleisten.“
    true, sofern die liste der wörter lang genug ist.

    „Bei 1Password.com-Konten ist die Situation aufgrund der Existenz des Account Keys eine andere. Hier muss der Angreifer Zugriff auf ein bereits autorisiertes Endgerät bekommen, und dass Master-Passwort kennen, um überhaupt auf die Daten eines Nutzers zugreifen zu können.“
    nur solange der safe zu ist.
    wenn n virus, zero day exploit oder was auch immer
    spoiler kommt und der safe ist offen, viel spaß das zu sichern

    spoiler:
    das wird nicht gehen,

    zumindest ohne 1pw komplett zu isolieren (also müsste der user 1pw auf nem extra gerät nutzen, am besten offline) und selbst tippen.

    solange die maschine an das pw ohne userinteraktion rankommen muss, kommt ein virus genauso einfach ran.

  28. Hey @My1

    > true, sofern die liste der wörter lang genug ist.

    Richtig. Wir aktualisieren die Wortlisten auch regelmäßig und achten bei der Generierung auf Vermeidung häufig vorkommender Kombinationen und abgesehen davon auf zufällige Generierung.

    > nur solange der safe zu ist.
    > wenn n virus, zero day exploit oder was auch
    > immer spoiler kommt und der safe ist offen,
    > viel spaß das zu sichern

    Das ist insofern wahr, wenn die Malware in der Lage ist den Inhalt des RAM zu lesen. 1Password entschlüsselt Daten immer nur nach Bedarf und nicht die ganze Datenbank Nur ein aktive genutztes Objekt liegt unverschlüsselt im RAM. Insofern würde es einem Angreifer auch nichts bringen die aktive Datenbank zu kopieren, die ist weiterhin verschlüsselt.

    Aber hier liegt auch die Krux an diesem Scenario:

    Es handelt sich um eine völlig andere Bedrohungssituation, als die bisher angesprochenen.
    Ein infiziertes Gerät darf nicht mehr als das eigene Gerät wahrgenommen werden. Sich gegen bereits präsente Schadsoftware zu schützen ist so gut wie unmöglich, da nicht klar ist gegen was. Wenn Malware genug Rechte besitzt den RAM auszulesen, ist Hopfen und Malz verloren, völlig egal auf welchem System und bei welcher Software.

    Ich denke da kannst Du mir zustimmen. Wir nutzen zwar alle verfügbaren Technologien, um Schadsoftware und Angreifern den Zugriff auf die lokalen Daten zu verhindern oder unökonomisch zu machen, aber wie unser Sicherheitsexperte Jeff Goldberg schon zitiert hat: „Once an attacker has broken into your computer […], it is no longer your computer.“

    Grüße und einen guten Start in die neue Woche!

    Alex
    – – –
    Bearded Vulcan Support Technician @AgileBits

    Webseite: https://agilebits.com
    Forum: https://discussions.agilebits.com

  29. selbst wenn nur das aktive objekt unverschlüsselt im ram liegt sind aber weiterhin genug daten (der eigentliche db schlüssel) im RAM um di db zu entschlüsseln, immerhin muss dies ja passieren ohne dass der user wieder sein PW eingibt.

    egal ob etwas verschlüsselt ist oder nicht sobald die software eigenständig es entschlüsseln kann ist es für einen angreifer auch möglich, selbst wenn es nicht mehr ganz so straightforward ist wie wenn es gleich rumliegt.

    „Ein infiziertes Gerät darf nicht mehr als das eigene Gerät wahrgenommen werden“
    stimmt, auch, dazu muss man aber erstmal wissen dass es infiziert ist.

    „Wenn Malware genug Rechte besitzt den RAM auszulesen, ist Hopfen und Malz verloren, völlig egal auf welchem System und bei welcher Software.“
    das stimmt auch und deswegen ist ja auch dass passwort der „ich weiß“ faktor, und nicht der „ich speicher den irgendwo mit inklusive sync“ faktor.

    deswegen habe ich auf den seiten wo 2FA geht lieber n nicht ganz so schweres pw dass ich in der birne habe (und schnell eingeben kann) und damit richtiges 2FA.

    (das einzige was ich schade finde ist dass sich U2F viel zu langsam verbreitet, denn U2F ist mMn das beste 2FA was man haben kann, es ist einfach (U2F stick rein und fertig) sicher, (es gibt keine shared secrets und die secrets vom stick kann man nicht runterkopieren, zumindest bei WEITEM nicht so einfach wie bei android wo n einfacher rootzugriff reicht.)