1Password 6 für Windows veröffentlicht, erfordert Abo
Seit Juni gibt es 1Password 6 für Windows in einer Beta-Version, die finale Geschichte sollte ursprünglich mal im August erscheinen. Nun haben wir Mitte Oktober und 1Password 6 für Windows ist da. leichte Verzögerung, aber es sollte sich für alle lohnen, die darauf gewartet haben. Die neue Version wurde von Grund auf neu gestaltet, sie funktioniert allerdings auch nur, wenn man ein 1Password-Abo hat, mit einer normalen Lizenz lässt sich die neue Version vorerst nicht nutzen. Für den ein oder anderen vielleicht eine gute Gelegenheit, um auf das neue Lizenzmodell umzusteigen – oder sich komplett von 1Password zu verabschieden.
Während die neue Version sich auch optisch von den Vorgängern unterscheidet, wurde auch technisch viel verbessert und auch die Browser-Erweiterung ist vorhanden. Technisch kommt zum Beispiel ein „Account Key“ zum Einsatz. Das bedeutet: Selbst wenn man ein schwaches Master-Passwort nutzt, wird es durch den 128bit-Schlüssel so gesichert, dass man es nicht bruteforcen kann. Der Account Key wird für jeden Nutzer einzeln generiert und verlässt das Gerät nicht, landet also auch nicht auf den Servern von AgileBits.
Verbessert wurde auch die Sortierung von einzelnen Einträgen in verschiedenen Vaults. Admins von Teams können neue Vaults und entsprechende Berechtigungen anlegen, sie erscheinen dann automatisch auf allen Geräten. Man kann aber nicht nur mehrere Vaults anlegen, sondern 1Password auch mit mehreren Accounts nutzen.
Account Recovery ist ebenfalls eine interessante Neuerung. Bisher war es so, dass man schlichtweg Pech hatte, wenn man das Master-Passwort vergessen hat. Weder AgileBits, noch man selbst, konnte das Master-Passwort zurücksetzen. Das ändert sich nun. AgileBits kann es immer noch nicht, aber Team-Admins können das Master-Passwort einzelener Nutzer zurücksetzen, sodass man wieder Zugriff auf alle gespeicherten Einträge hat. Auch gibt es eine Historie, mit der einzelne Löschungen bei Bedarf rückgängig gemacht werden können.
Wer noch kein Abo hat, dieses aber vor dem 31. Oktober abschließt, bekommt quasi als Bonus den Pro-Plan zum Preis des Standard-Plans. Ob sich das für den Einzelnen lohnt, muss man natürlich wissen, die Geschichte richtet sich ja doch eher an Gruppen und/oder Familien. Alle Infos dazu findet Ihr auch in diesem Post von AgileBits.
Wer eine Alternative zu 1Password sucht, wird sich schwer tun, eine zu finden, die sich genauso bequem nutzen lässt. Wer in dieser Hinsicht aber bereit ist Abstriche zu machen, kann sich zum Beispiel auch Keepass anschauen, ein bei unseren Lesern sehr beliebter Passwortmanager.
das ding is aus der beta, braucht n abo und kann net mal anhänge? WTF?
Ich habe mir damals auch mal 1Password 4 für Windows gekauft. Welche Möglichkeiten habe ich jetzt auf Version 6 umzusteigen?
und vor Allem was haben OTPs in nem Passwort Safe zu suchen?
damit legt man das ganze Konzept der sicherheit von 2FA dass man 2 GETRENNTE Faktoren (Wissen UND besitz) hat, komplett in die Tonne.
Nicht zu vergessen dass viele der Schwächen die PWs haben, bei PWDBs noch schlimmer werden, hauptsächlich da die DB offline gespeichert werden kann und eben 1 Passwort für Alles genutzt wird.
bei Enpass habe ich mich vor ner weile darüber ausgelassen (englisch):
https://discussion.enpass.io/index.php?/topic/116-totp-integration-decreases-security/#comment-629
während auf seiten ohne 2FA ne PWDB sinnvoll sein kann für die Aluhut-Passwörter die sich kein Mensch merken kann, aber wenn 2FA ins spiel kommt und man eh von online auth redet, ist es sinnvoller ein schwächeres PW zu nehmen dass man sich MERKEN kann, anstelle PW und TOTP an der selben stelle zu speichern denn so kann man 2FA auch gleich sein lassen.
Ich finde das Abo-Modell zwar nicht gerade prickelnd aber bei Evernote und Feedly zahle ich auch. Was mich aber ein wenig stört dass bei 1Password gleich mal jährlich abgebucht wird. Das stört mich schon bei Adobe extrem und gefällt mir hier noch weniger…
Gibt es da auch eine preisgünstigere Alternative?
@my1
Danke für Deinen beiden Kommentare.
Zunächst hierzu:
> das ding is aus der beta, braucht n abo
> und kann net mal anhänge? WTF?
Ja. Wir haben bereits grundlegende Unterstützung für Anhänge und Dokumente in 1Password 6 für Windows aber die Implementierung ist noch nicht abgeschlossen. Glaub‘ mir, wir arbeiten so schnell wie möglich daran.
> und vor Allem was haben OTPs in nem Passwort
> Safe zu suchen? damit legt man das ganze Konzept
> der sicherheit von 2FA dass man 2 GETRENNTE
> Faktoren (Wissen UND besitz) hat, komplett in die Tonne.
Da stimme ich und alle bei AgileBits dir völlig zu. Unser Sicherheitsexperte Jeff Goldberg hat mehrfach darüber geschrieben, zuletzt hier: https://blog.agilebits.com/2015/01/26/totp-for-1password-users/
Um tatsächlich eine Zwei- oder Mehrfaktorauthentifizierung durchzuführen, müssen der erste und der zweite (dritte, …) Faktor nicht auf dem selben Gerät gespeichert sein und der zusätzliche Faktor darf auch nicht synchronisiert werden.
Allerdings ist der Bedarf für strikte 2FA nur für einen sehr kleinen Nutzerkreis kritisch oder tatsächlich empfehlenswert. Insofern ist kann von einer Speicherung in einem 1Password-Konto/Tresor oder einem anderen Passwortmanager nicht kategorisch abgeraten werden.
> Nicht zu vergessen dass viele der Schwächen die
> PWs haben, bei PWDBs noch schlimmer werden,
> hauptsächlich da die DB offline gespeichert werden
> kann und eben 1 Passwort für Alles genutzt wird.
Ich hoffe ich habe Dich hier richtig verstanden. Die Nutzung eines schwachen Master-Passwort für einen Passwortmanager verschlimmert theoretisch die Sicherheitslage, wenn ein Angreifer Zugriff auf den Tresor bekommt.
Das ist aus unserer Sicht soweit richtig und wir haben bei Nutzung von lokalen Tresoren grundsätzlich immer gesagt, dass die Sicherheit des Tresors von der Stärke des Master-Passworts abhängt.
Hier sind zufällig generierte Wortlistenpasswörter allerdings eine verdammt gute Wahl. Sie sind einfach zu merken, werden schnell lang genug, um einen hohen Grad an Entropie zu gewährleisten.
Bei 1Password.com-Konten ist die Situation aufgrund der Existenz des Account Keys eine andere. Hier muss der Angreifer Zugriff auf ein bereits autorisiertes Endgerät bekommen, und dass Master-Passwort kennen, um überhaupt auf die Daten eines Nutzers zugreifen zu können.
– – –
@Florian P.
Monatliche Abbuchung ist gar ein Problem. Steht auch hier: https://support.1password.com/subscription-billing/
– – –
Ich hoffe die Informationen helfen euch weiter. Falls ihr weitere Fragen habt, immer her damit.
Grüße,
Alex
– – –
Bearded Vulcan Support Technician @AgileBits
Webseite: https://agilebits.com
Forum: https://discussions.agilebits.com
@mangochutney
„Hier sind zufällig generierte Wortlistenpasswörter allerdings eine verdammt gute Wahl. Sie sind einfach zu merken, werden schnell lang genug, um einen hohen Grad an Entropie zu gewährleisten.“
true, sofern die liste der wörter lang genug ist.
„Bei 1Password.com-Konten ist die Situation aufgrund der Existenz des Account Keys eine andere. Hier muss der Angreifer Zugriff auf ein bereits autorisiertes Endgerät bekommen, und dass Master-Passwort kennen, um überhaupt auf die Daten eines Nutzers zugreifen zu können.“
nur solange der safe zu ist.
wenn n virus, zero day exploit oder was auch immer
spoiler kommt und der safe ist offen, viel spaß das zu sichern
spoiler:
das wird nicht gehen,
zumindest ohne 1pw komplett zu isolieren (also müsste der user 1pw auf nem extra gerät nutzen, am besten offline) und selbst tippen.
solange die maschine an das pw ohne userinteraktion rankommen muss, kommt ein virus genauso einfach ran.
Hey @My1
> true, sofern die liste der wörter lang genug ist.
Richtig. Wir aktualisieren die Wortlisten auch regelmäßig und achten bei der Generierung auf Vermeidung häufig vorkommender Kombinationen und abgesehen davon auf zufällige Generierung.
> nur solange der safe zu ist.
> wenn n virus, zero day exploit oder was auch
> immer spoiler kommt und der safe ist offen,
> viel spaß das zu sichern
Das ist insofern wahr, wenn die Malware in der Lage ist den Inhalt des RAM zu lesen. 1Password entschlüsselt Daten immer nur nach Bedarf und nicht die ganze Datenbank Nur ein aktive genutztes Objekt liegt unverschlüsselt im RAM. Insofern würde es einem Angreifer auch nichts bringen die aktive Datenbank zu kopieren, die ist weiterhin verschlüsselt.
Aber hier liegt auch die Krux an diesem Scenario:
Es handelt sich um eine völlig andere Bedrohungssituation, als die bisher angesprochenen.
Ein infiziertes Gerät darf nicht mehr als das eigene Gerät wahrgenommen werden. Sich gegen bereits präsente Schadsoftware zu schützen ist so gut wie unmöglich, da nicht klar ist gegen was. Wenn Malware genug Rechte besitzt den RAM auszulesen, ist Hopfen und Malz verloren, völlig egal auf welchem System und bei welcher Software.
Ich denke da kannst Du mir zustimmen. Wir nutzen zwar alle verfügbaren Technologien, um Schadsoftware und Angreifern den Zugriff auf die lokalen Daten zu verhindern oder unökonomisch zu machen, aber wie unser Sicherheitsexperte Jeff Goldberg schon zitiert hat: „Once an attacker has broken into your computer […], it is no longer your computer.“
Grüße und einen guten Start in die neue Woche!
Alex
– – –
Bearded Vulcan Support Technician @AgileBits
Webseite: https://agilebits.com
Forum: https://discussions.agilebits.com
selbst wenn nur das aktive objekt unverschlüsselt im ram liegt sind aber weiterhin genug daten (der eigentliche db schlüssel) im RAM um di db zu entschlüsseln, immerhin muss dies ja passieren ohne dass der user wieder sein PW eingibt.
egal ob etwas verschlüsselt ist oder nicht sobald die software eigenständig es entschlüsseln kann ist es für einen angreifer auch möglich, selbst wenn es nicht mehr ganz so straightforward ist wie wenn es gleich rumliegt.
„Ein infiziertes Gerät darf nicht mehr als das eigene Gerät wahrgenommen werden“
stimmt, auch, dazu muss man aber erstmal wissen dass es infiziert ist.
„Wenn Malware genug Rechte besitzt den RAM auszulesen, ist Hopfen und Malz verloren, völlig egal auf welchem System und bei welcher Software.“
das stimmt auch und deswegen ist ja auch dass passwort der „ich weiß“ faktor, und nicht der „ich speicher den irgendwo mit inklusive sync“ faktor.
deswegen habe ich auf den seiten wo 2FA geht lieber n nicht ganz so schweres pw dass ich in der birne habe (und schnell eingeben kann) und damit richtiges 2FA.
(das einzige was ich schade finde ist dass sich U2F viel zu langsam verbreitet, denn U2F ist mMn das beste 2FA was man haben kann, es ist einfach (U2F stick rein und fertig) sicher, (es gibt keine shared secrets und die secrets vom stick kann man nicht runterkopieren, zumindest bei WEITEM nicht so einfach wie bei android wo n einfacher rootzugriff reicht.)