1Password für iOS: Update bringt Passcode-Unlock und mehr mit
von Olli | 30 Kommentare
1Password ist schon seit einer Ewigkeit auf meinen Geräten zu Hause und hilft mir, bei all den Accounts, Passwörtern und anderen wichtigen Daten den Überblick zu behalten. Die iOS-App des Passwort-Managers hat jetzt ein Update erhalten, mit dem Nutzer eines Gerätes mit Touch ID nun Zugriff auf eine weitere Entsperrmethode der App bekommen. Dort ist zukünftig nämlich auch die Möglichkeit gegeben, die App mit dem Passcode des iPhones / iPads zu entsperren. Wie ihr das aktiviert, erklärt man auf einer separaten Hilfeseite.
Weiterhin gibt es eine Menge Verbesserungen und Fixes mit der neuen Version. Unter anderem seht ihr jetzt Vaults von Familien-Mitgliedern in der Manage-Accounts-Sicht, die auch vom Layout her überarbeitet wurde. Das Update lohnt sich auf jeden Fall. Schaut doch mal im App Store vorbei.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Warum brauchen die „Bitwarden ist besser und OSS“ und „Wie kann man nur seine Passworte beim eine Online-Dienst speichern?“-Kommentare heute so lange? Seid Ihr alle im Urlaub?
Fragt sich der überzeugte 1Password-Nutzer
1Password ist halt closed source und hatte schon mehrere Breaches, da kann jeder selbst entscheiden.
Also gab es Passwort-Leaks der Nutzer in Klartext oder was möchtest du uns mitteilen? Hast du dafür Quellen?
Uppsi das war dann LastPass, der Kritikpunkt nonFOSS bleibt leider trotzdem.
„While 1Password has never been breached we’ve prepared for that worst case scenario..“
„1Password has reported no security breaches for its password manager“
„No, 1Password wasn’t hacked – here’s what really happened“
Link? Bisher ist mir nicht bekannt das dem so wäre. Und selbst wenn sollten die Daten per Design nutzlos sein.
Natürlich kann man sich berechtigter Weise fragen wenn die an der Stelle patzen wo noch und ist wirklich alles richtig verschlüsselt.
Aber bisher ist mir eine derartige Meldung zu 1Passwort nicht bekannt.
Ich bin mit 1Passwort auch absolut zufrieden und ist auch mein einziges Software-Abo. Hier sehe ich auch den Nutzen darin, dass man die Sicherheit aufrecht erhält und daran arbeitet, alles sicher zu halten.
Open Source, schön und gut, aber wenn sich da niemand drum kümmert, ist es maximal blöd.
Ernst gemeinte Frage: Wieso brauch man sowas bzw.. wo ist der Vorteil zu bspw. dem Schlüsselbund von Apple (Was man ja bspw. im Edge auch einbinden kann unter Windows)?
1Password hat schon sehr viele Features und somit seine Daseinsberechtigung. Aber mit der kommenden macOS Version Sonoma ist es nun endlich so weit: die Passwortverwaltung in den Systemeinstellungen ist gut genug für 90% aller User. Ich habe schon umgestellt, weg von 1Password, auch weg vom zwischenzeitlichen Vaultwarden, weil die Vorteile bei Apple mittlerweile überwiegen:
– man kann jetzt die Passwörter endlich benennen, also statt http://www.amazon.com kann man die Bezeichnung nun ändern auf was man möchte, z.B. Amazon. Wichtig bei der Sortierung und macht das auffinden viel leichter. Bis einschließlich Ventura konnte man das nicht, das war für mich der Haupthinderungsgrund es nicht zu verwenden.
– Man kann Passwörter nun mit der Familie teilen
– Man muss sich keine Gedanken über andere Devices wie iPhone, iPad machen, nix installieren, funktioniert automatisch
– Passwortgenerierung
– Passkeys
– Sicherheitsempfehlung
– es gibt ein Chrome Plugin um die Passwörter in jedem Chrom-basierten Browser zu verwenden, z.B. Vivaldi, Opera, Edge etc. Also nicht mehr nur Safari.
– iCloud ist seit Ende letzten Jahres end-to-end verschlüsselt, wenn man es möchte und aktiviert.
Zusammen mit Apple Notes, das mittlerweile auch Verschlüsselung zulässt (entweder Fingerprint oder auch selbstgewähltes separates Passwort nur für die Notizen) kommt man am Ende schon sehr sehr weit. 1Passwort mag für Poweruser trotzdem die erste Wahl sein, aber die Hauptzielgruppe von 1Passwort sind nun eher Firmen, für die meisten normalen User reicht mMn die kostenlose Apple Lösung. Ich habe vor 2 Monaten umgestellt wund bin zufrieden. Eine Software weniger um die man sich kümmern oder updaten muss, weil alles nun im Betriebssystem von Apple automatisch integriert ist. Die Abogebühren für 1Password kann man sich natürlich nun auch sparen. Für mich ist jedenfalls das Problem des Passwortmanagers seit 1Password auf Abo umgestellt hat endgültig gelöst. Das selbstgehostete Vaultwarden auf der Dickstation nehme ich nur noch als Backup her.
Wenn deine AppleID gestohlen wird (oder halt übernommen) sind alle Passwörter auch gleich weg.
So sind wenigstens alle Passwörter noch „sicher“ falls die AppleID nicht mehr verfügbar ist. Darum sollte man auch so selten wie möglich diese „sign in with“ benutzen meiner Meinung nach.
Hierfür muss der Angreifer das Passwort für deine Apple ID kennen UND Zugriff auf ein vertrauenswürdiges Endgerät bzw. zweiten Faktor haben.
Seit den letzten Updates von Apple für den Schlüsselbund ist die Frage durchaus berechtigt. Da muss man das schon für sich entscheiden ob die Funktionen wo sich 1Password noch abhebt für einen wichtig sind. Vor allen da es ja regelmäßig Geld kostet.
Was ist immer so toll daran wenn apps die Möglichkeit bekommen Biometrie Statt einem klassischen Passworts zu nutzen? Denn wenn das Mobiltelefon gestohlen wurde hat der Dieb, egal wie aufwändig es ist, jede Menge zeit den Fingerabdruck, der ja logischerweise auf dem Gerät zu finden ist, zu kopieren und so das Phone zu öffnen. Also ist der Fingerabdruck am ende nur eine Bequemere Methode um sich irgendwo einzuloggen.
Denn als nebeneffekt kann, Streng genommen, der Fingerabdruck als Sicherheitsmaßnahme nirgendwo mehr eingesetzt werden, weil hier davon ausgegangen werden kann dass er im Schwarzmarkt weitergegeben wird. Und so bleibt dann nur als Sicherheitsmaßnahme Biometrie bei sämtlichen verwendeten Diensten abzuschalten und besser auf 2FA oder U2F.
Da kann dann auch 1Password so gut sein wie es will.
Wie oft soll das denn bereits vorgekommen sein?
Warum hat er Dieb jede Menge Zeit, wenn er Mobilfunk/WLAN nicht deaktivieren kann und man das Gerät als remote sperrt? Bei Aus/Einschalten wird ja erst recht wieder PW verlangt.
Wie soll dein Szenario mit Face-ID funktionieren?
Du malst da einen Teufel a die Wand, der so nicht existiert, bzw. praktisch keine Bedrohung darzustellen scheint.
„Wie oft soll das denn bereits vorgekommen sein?“
Weis ich natürlich nicht. Damit wollte ich nur den worst case aufzeigen, Denn vor allem bei Unternehmensdaten geht´s ja um einiges wenn ein unberechtigter zugriff bekommen würde.
Und nur weil wir es nicht wissen, heist es nicht unbedingt das so was noch nicht vorgekommen ist. Das wäre negative presse und so was wird ungern an die große Glocke gehängt.
„Warum hat er Dieb jede Menge Zeit, wenn er Mobilfunk/WLAN nicht deaktivieren kann und man das Gerät als remote sperrt?“
Ich denke dabei an Leute die kein „Sperren per remote“ aktiviert haben, oder der Hersteller diese Möglichkeit gar nicht erst eingebaut hat.
„Bei Aus/Einschalten wird ja erst recht wieder PW verlangt.“
Das Shast du natürlich recht. Wenn das Ding aber an einem Ladegerät gehängt wird, kann dem potentiellen Angreifer ein PW nach ein/Ausschalten egal sein, weil es ja an bleibt.
„Wie soll dein Szenario mit Face-ID funktionieren?“
Face-ID bräuchte einen Timer der dieses nach einer bestimmten voreingestellten Zeit deaktiviert. Wird das Gerät in dieser zeit mittels Face-ID entsperrt, startet der timer von neuem.
Szenario: Timer ist auf 1 Stunde eingestellt. Dieb klaut Handy nach 15 Minuten und freut sich weil das ding einen entsprechenden Fingersensor hat und der aktiv ist. Er bastelt sich einen entsprechenden Dummy aus Silikon, Leim oder was auch immer. Das dauert sagen wir mal 1 Stunde, nur um dann fest zu stellen das der Scanner automatisch deaktiviert wurde. Also war die Arbeit dann um sonst.
„Du malst da einen Teufel a die Wand, der so nicht existiert, bzw. praktisch keine Bedrohung darzustellen scheint.“
Wie oben beschrieben wollte ich damit den Worst case aufzeigen, was passieren könnte.
“Er bastelt sich einen entsprechenden Dummy aus Silikon, Leim oder was auch immer. Das dauert sagen wir mal 1 Stunde.”
Und wovon soll er diesen Dummy erstellen? Von den ganzen verschmierten Teilabdrücken auf dem Handy selbst? Und du meinst, dass selbst jemand fähiger es schafft, auch nur einen einzigen brauchbaren Dummy innerhalb einer Stunde herzustellen? Woher soll Angreifer wissen, welchen vom Gerät angenommenen Fingerprint er überhaupt rekonstruieren soll? Soll er etwa alle nachmachen?
Sorry, du fantasierst dann irgendwas daher. Und die Erklärung, was dieser Dummy bei Face-ID Geräten bringen soll, funktioniert ja auch hinten und vorne nicht.
Nie und nimmer rekonstruiert jemand alle
Weder ein Fingerabdruck, noch ein Gesicht werden auf dem iPhone irgendwie als verwertbare Daten gespeichert.
Das Stimmt. Aber ein Prüfsumme davon schon.
„Die Fingerabdrücke werden im Gerät nicht originär, sondern dauerhaft nur in Form einer Prüfsumme hinterlegt. Diese wird mittels einer Hashfunktion gewonnen und im iPhone gespeichert.[3] Mit der Freischaltung können auch weitergehende, benutzerbezogene Onlinedienste genutzt werden.[4]
Der Sensor in allen Touch-ID-unterstützenden Geräten hat eine Auflösung von 88 × 88 Pixel, was einer Pixeldichte von 500 ppi entspricht. Die Oberfläche des Sensors besteht aus Saphirglas, um ihn robust und widerstandsfähig gegen Kratzer und Abnutzung zu machen. Beim Entsperren wird der Scan des Fingerabdrucks an den Prozessor übertragen, in Vektoren umgerechnet und mit den gespeicherten Abdrücken verglichen. Der gescannte Abdruck wird danach wieder gelöscht.[5]
Mit der Veröffentlichung von iOS 8 können neben der Nutzung von Touch ID zum Entsperren des Geräts und zum Tätigen von Einkäufen im iTunes- und App Store auch Drittanbieter-Apps den Touch-ID-Sensor nutzen, so dass selbst bei entsperrtem Gerät beim Öffnen bestimmter Apps wieder ein Fingerabdruck nötig wird, um die App zu nutzen. So kann auch via Apple Pay bezahlt werden. Der Fingerabdrucksensor dient dabei als Schlüssel.
Bei Tests des iPhone 5s wurde der zuverlässig funktionierende Touch-ID-Sensor gelobt.[6]
Quelle: Wikipedia, Link: https://de.wikipedia.org/wiki/Touch_ID
Irgendwie muss das gerät schließlich den Besitzer erkennen, ob Fingerabdruck oder Gesicht, erkennen. Wenn dann der Dummy gut gemacht ist, passt das auch zur Prüfsumme.
Nochmal, wovon willst du einen Dummy denn überhaupt machen? Von den ganzen verschmierten Abdrücken am Gerät? Viel Spass dabei, vielleicht einen brauchbaren zu finden. Alle Zeit der Welt, wie du ursprünglich meintest, hat der Angreifer auch nicht, da nach zehn erfolglosen Versuchen alle Daten am Gerät gelöscht werden.
Und bei Face ID klappt dein Dummy ja erst recht nicht.
Informiere dich mal über Fingerabdruckscanner und Gesichtsscanner, bzw Face/Touch ID. Beides wird nicht auf dem Gerät gespeichert bzw kann nicht aus den Daten herausgelesen werden.
Fingerabdruck oder Gesicht direkt nicht. Aber hashes bzw. ein muster. Und mit der richtigen Technik, was dem ccc nebenbei bemerkt auch schon gelungen ist. Die haben nichts irgendwo ausgelesen, sondern einen korrekten Dummy des Fingerabdrucks gebastelt.
Das haben die nur geschafft weil, aus Platzgründen häufig Sensoren verbaut werden die nicht zwischen lebenden und totem Finger unterscheiden.
Geht ja easy und ist zefix binnen 1h erledigt, nicht?
„Zuerst wird der Fingerabdruck eines Benutzers mit einer Auflösung von 2400 dpi fotographiert. Das Foto wird dann am Computer bereinigt, invertiert und per Laserdrucker auf eine Transparenzfolie gedruckt. Dabei sollte eine Auflösung von 1200 dpi bei maximaler Druckstärke nicht unterschritten werden. Auf das Druckbild wird dann hautfarbene Latexmilch oder weißer Holzleim aufgetragen. Durch die Drucklinien entsteht ein Fingerabdruckbild in dem aufgetragenen Material. Nach dem Trocknen kann der gefälschte Finger abgenommen werden. Diesen feuchtet man leicht an, indem man ihn anhaucht. Dann kann man das iPhone damit entsperren.“
Hab ja auch nie geschrieben das es einfach wäre, nur das es mit dem richtigen know-how, Ressourcen und Zeit möglich ist.
So genug schlechte Laune drüber verbreitet 😉 das war hier nie meine Absicht, sondern nur meine Meinung. Aber interessante Diskussion.
Im Endeffekt entscheidet ja sowieso jeder selber ob Biometrie genutzt wird oder nicht.
Du gehst leider nirgends weiter darauf ein, wovon Dummy erstellt werden, noch wie das bei Face ID funktionieren soll.
Alleine deshalb lässt sich dein Worst Case Szenario durch nichts erhärten.
Dummy erstellen? Na von den Fingerabdrücken selbstverständlich. Oder was meinst du.
Face-ID ist da natürlich ne andere Nummer. Wenn du das mit einem normalen Foto versuchst lacht sich das IPhone höchstens schlapp. Da bräuchte man schon n kompletten 3d-Druck des Gesichtes der Zielperson, oder n Zwilling. Beides unwarscheinlich zu haben, aber in der Theorie trotzdem möglich.
Hier zum beispiel ging das mal:
https://www.notebookcheck.com/Face-ID-am-iPhone-X-Und-es-laesst-sich-doch-mit-Maske-austricksen.263608.0.html
OK, der Artikel ist schon n paar Jahre alt, zeigt aber das selbst Face-ID nicht unfehlbar ist. Auch wenn dieser Aufwand bestimmt nur bei Personen betrieben würde bei dehnen es sich lohnt.
Noch mal: von welchen Fingerabdrücken, bzw von welchen “Negativen”?
Siehe deine Antwort vom 27. Juli 2023 um 16:26 Uhr
Geht ja easy und ist zefix binnen 1h erledigt, nicht?
„Zuerst wird der Fingerabdruck eines Benutzers mit einer Auflösung von 2400 dpi fotographiert. Das Foto wird dann am Computer bereinigt, invertiert und per Laserdrucker auf eine Transparenzfolie gedruckt. Dabei sollte eine Auflösung von 1200 dpi bei maximaler Druckstärke nicht unterschritten werden. Auf das Druckbild wird dann hautfarbene Latexmilch oder weißer Holzleim aufgetragen. Durch die Drucklinien entsteht ein Fingerabdruckbild in dem aufgetragenen Material. Nach dem Trocknen kann der gefälschte Finger abgenommen werden. Diesen feuchtet man leicht an, indem man ihn anhaucht. Dann kann man das iPhone damit entsperren.“
Wenn ein Brauchbare FINGERABDRUCK AUF DEM GERÄT gefunden ist, dann könnte nach dieser Anleitung ein Dummy (abformer) des Abdrucks erstellt werden. Was verstehst du da nicht?
„Wenn ein Brauchbare FINGERABDRUCK AUF DEM GERÄT gefunden ist, dann könnte nach dieser Anleitung ein Dummy (abformer) des Abdrucks erstellt werden. Was verstehst du da nicht?„
Doch doch, das habe ich schon verstanden. Unter den ganzen verwischten Teilabdrücken auf dem Gerät ist es halt so extrem unwahrscheinlich, den richtigen in ausreichender Qualität zu finden und nachbilden zu können, dass ein Lottogewinn wahrscheinlicher ist und ich das gar nicht erst ernsthaft Erwägung gezogen habe.
Bin mit dem zunehmenden Cloud zwang bei 1 Password nun raus und zu KeePassiumPro gewechselt – die iOS Version ist einfach sehr gut. Für den Mac ist die Integration in Browsern noch nicht ganz rund aber reicht mir. Besser als seine Passwörter einem Dienstleister anzuvertrauen… als Softwareentwickler im deutschen Finanzbereich sag ich nur, das gerade die, bei denen man denkt die müssten Verantwortungsvoll mit Daten umgehen es bei weitem am fahrlässigsten machen … ein Offenlegungszwang der Verarbeitungslogik und Prozessen von solchen Daten würde wahrscheinlich überall GDPR Höchststrafen auslösen …
@derlinzer
„Doch doch, das habe ich schon verstanden. Unter den ganzen verwischten Teilabdrücken auf dem Gerät ist es halt so extrem unwahrscheinlich, den richtigen in ausreichender Qualität zu finden und nachbilden zu können, dass ein Lottogewinn wahrscheinlicher ist und ich das gar nicht erst ernsthaft Erwägung gezogen habe.“
———————
Glück gehört natürlich dazu.
p.s. Kann irgendwie nicht direkt auf deinen letzten Post Antworten.