1Password: Höherer Finderlohn für gemeldete Sicherheitslücken
von caschy | 17 Kommentare
Die Macher des Passwortmanagers 1Password erhöhen den Finderlohn für gefundene und gemeldete kritische Sicherheitslücken. Man hat die Bug-Bounty-Belohnung mit Bugcrowd auf bis zu 1 Million US-Dollar erhöht.
Seit 2017 arbeitet 1Password mit Bugcrowd zusammen, um Forscher zu belohnen, die potenzielle Sicherheitslücken identifizieren.
Einfach ausgedrückt: Wenn ein Forscher etwas findet, das die Entwickler übersehen haben, wird er entsprechend entlohnt. Bugcrowd fungiert als zusätzliche Kontrollebene zu den bestehenden Sicherheitsprüfungen und laufenden internen Bewertungen.
Bis heute habe man 103.000 Dollar an Bugcrowd-Forscher ausgezahlt, im Durchschnitt 900 Dollar pro Belohnung. Obwohl alle entdeckten Fehler geringfügig waren und keine Bedrohung für sensible Kundendaten darstellten, konnte man sie schnell beheben und das Risiko von Angriffen verringern, so die Entwickler.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Klingt gut und rechtfertigt wohl zusätzlich die Abokosten.
Wollt genau das gleiche schreiben. Da zahl ich gerne für einen monatlichen Beitrag.
Noch ein Grund mehr, genau nicht auf 1P zu setzen. Es gibt genügend Open Source Derivate, die das alles wunderbar (und bequem) abdecken können und nebenher auch noch von der Community sowohl (weiter)entwickelt als auch ständig überwacht werden.
Die Begründung verstehe ich nicht. Das wäre allenfalls ein Grund für eine der Alternativen, aber nicht gegen 1P.
Ganz einfach es gibt Programme wie 1PW wo nur eine einmal Zahlung fällig ist und es trotzdem weiterentwickelt wird.
Kann jemand was zu Sticky Password sagen,gerade im Vergleich zu 1password?
Habe Lifetime Lizenz von Sticky Password,aber irgendwie werde ich damit nicht so richtig warm.
Sticky finde ich prima. Vor allem, wenn man eine Alternative zu Abosoftware sucht. Das wäre wahrscheinlich das Programm meiner Wahl, nur setze ich seit einiger Zeit auf 1Password, weil damit meine Familie besser zurechtkommt und ich die Tresore besser verwalten kann.
Vielen Dank für deine Antwort .
Dann werde ich mir Sticky Password nochmal genauer ansehen.
„(…) Open Source (…) von der Community sowohl (weiter)entwickelt als auch ständig überwacht werden.“
Wenn das wirklich der Fall ist, dann ist es perfekt. Aber wie kann man das überprüfen?
Was ist mit der „Log4j-Lücke“? Da hat sich niemand auch nur einen Deut darum gekümmert oder gar Geld dagelassen.
Das Große kümmert sich schon darum … ich weiß nicht, ob man sich da immer so drauf verlassen kann.
Auch bei TrueCrypt gab es doch jahrelang eine Sicherheitslücke bzw. Backdoor, die auch die Community nie entdeckt hat. Erst als die Entwicklung eingestellt wurde, wurde es nach einiger Zeit erst Publik.
Sehr gute Sache.
Zahie sehr gerne für 1password.
Viele mögen keine Abos bei Software. Ich im Grunde auch nicht; gerade, wenn man die Software nicht permanent benutzt. Aber es gibt ausnahmen, wo ich gerne zahle wie bei sinnvollen Dingen, bei denen ich auch unbedingt will, dass sie gut finanziert und damit die Software auch gepflegt wird. Ein Passwort-Manager ist so etwas, wo man ruhig ein Abo in Anspruch nehmen kann.
Klar gibt es auch freie Software mit offenem Code (Open Source), aber dort garantiert niemand, dass der Code auch wirklich überprüft wird nach dem Motto „toll, ein anderer macht es schon“.
Und da es um meine Passwörter geht, vertraue ich auf so etwas gerne. Auch das hauseigene Forum ist super und damit der Support. Dort werden auch gerne komplexere Fragen zum Thema Sicherheit erläutert.
Für mich macht 1Password sehr sehr viel richtig und ich zahle hierbei gerne!
Und der Wechsel zu Electron habe ich effektiv bei Windows und iOS nie negativ merken können. Es ist sehr gut umgesetzt und nicht so ein Schrott wie bei bspw. bei MS Teams.
Für andere Software habe ich kein Abo.
So eine Nachricht, dass man den Findern von Sicherheitslücken aber eine Belohnung zahlt, finde ich sehr gut! Daran sollten sich viel mehr Unternehmen orientieren.
Oder vielleicht sogar dreister: Unternehmen sollten für Sicherheitslücken haftbar gemacht werden, finde ich!
@Mario: Verstehe die Argumentation nicht. Bei einem sicherheitsrelevanten Bereich wird gerne bezahlt, aber für jeglichen Rest von Software mit Mehrwert nicht. Wie meint man dann, werden die Entwicklungskosten und Bereitstellungskosten der Daten von anderen Apps bezahlt? Wenn nicht mit dem persönlichen Geld, dann mit Analytics/Daten. Keiner hat was zu verschenken. Wer will schon umsonst arbeiten?
Ist dann wohl falsch rübergekommen oder so. Ich meinte damit schon, dass man gerne für Software zahlen sollte, die einem einen Mehrwert bieten und ein Abo ok ist, wenn man wirklich die Software oft nutzt. Bei mir kommt es aber nicht vor, dass ich für mehr wirklich zahlen muss.
Bezahlen ja Abo nein.
Bei iOS kannst du den Wechsel nicht bemerken, weil Electron auf iOS nicht genutzt werden kann. Bei macOS kannst du den Wechsel dann merken, wenn die Version 8 da ist, es sei denn du bist jetzt schon in der Beta. (Merkst du auch an dem Wegfall lokaler Vaults)
Ich kann nur empfehlen, nach einer Alternative zu suchen, der Hersteller bewegt sich immer mehr weg von einem Passwortmanager hin zu irgendeiner Business-Security-Suite mit einer Menge nutzlosem Zeug drin.
Zahlt ihr alle für 1Password?
Ich habe es vor Ewigkeiten als Einmalkauf für iOS erworben und seitdem nichts mehr zahlen müssen. Oder hat sich woanders was geändert?
Gibt gerade wieder 1 Jahr Family Abo kostenlos.