Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

1Password mit Sicherheitsproblem

Schon seit sieben Jahren weist die Kennwortverwaltung 1Password ein Sicherheitsprobleme auf, durch das wichtige Informationen zu Webseiten, Banken und andere Notizen in falsche Hände gelangen können. Schuld ist demnach die mangelhafte Verschlüsselung im "Agile Keychain"-Dateiformat, welches nur die Kennwörter absichert, während Bezeichnungen und zugeordnete Web-Adressen trotz potenziell sensibler Informationen wie zum Beispiel den Porno-Anbieter, einen Benutzernamen oder Kontonummern enthalten kann.

Das "Agile Keychain"-Dateiformat lässt sich unter anderem für Web-Browser bereitstellen und würde in diesem Fall unter Umständen über Suchmaschinen wie Google auffindbar sein. Software-Entwickler wie Dale Myers könnten so das Nutzungsverhalten von 1Password-Nutzern analysieren. Entwickler Agile Bits sieht darin kein Sicherheitsproblem und begründet die fehlende Verschlüsselung der Meta-Daten mit den Leistungsdefiziten älterer iOS-Geräte, wodurch eine Vollverschlüsselung nicht praktikabel sei.

Dennoch hat der Entwickler im Zusammenhang mit dem Sync über iCloud bereits ein neues vollverschlüsseltes Sync-Format eingeführt, welches aber bislang nur unter iOS zur Verfügung steht und dort auch nur bei iCloud Verwendung findet. Über andere Dienste wie Dropbox sind die sogenannten Meta-Daten, wie Web-Adresse und Bezeichnung, noch unverschlüsselt. Demnächst will das Unternehmen aber offenbar nur noch auf das neue OPVault-Format setzen. Ein Zeitrahmen wurde aber nicht genannt, womit unklar ist, ob mit der Vollverschlüsselung noch in diesem Jahr zu rechnen ist.

1Password kostet je nach Plattform im vollen Funktionsumfang zwischen 5,99 Euro und 29,99 Euro. Mindestvoraussetzung für die aktuellen Versionen für Apple-Geräte sind iOS 9.0 und OS X 10.10 Yosemite.

Weiterführende Links:
Apple zieht iPadOS 18.0 für das iPad Pro M4 zurück
Apple zieht iPadOS 18.0 für das iPad Pro M4 zur...
Apples Eskalationskurs und Gebühren-Wirrwarr
Apples Eskalationskurs und Gebühren-Wirrwarr
Apples interne Einschätzung: Zwei Jahre Rückstand zur KI-Konkurrenz
Apples interne Einschätzung: Zwei Jahre Rücksta...
macOS 15 Sequoia ist da – Apple hat den Startschuss gegeben
macOS 15 Sequoia ist da – Apple hat den Startsc...
Das iPhone 16
Das iPhone 16
iOS 18 und iPadOS 18 lassen sich ab sofort laden
iOS 18 und iPadOS 18 lassen sich ab sofort laden
Vor 15 Jahren: Als der iMac riesig wurde
Vor 15 Jahren: Als der iMac riesig wurde
Kurz: Schon wieder neue AirPods-Firmware +++ Severance Staffel 2: Trailer erschienen
Kurz: Schon wieder neue AirPods-Firmware +++ Se...

Kommentare

olly_odd20.10.15 15:26
Hab ich das richtig verstanden, dass es nur die Synchronisierung betrifft?
Das heißt wenn ich die Daten über eine WLan-Verbindung synchronisiere geht alles in Ordnung?
0
sb20.10.15 15:30
olly_odd
Das geht aus der Erklärung von Agile Bits nicht eindeutig hervor. Zumindest im Fall von Android ist der Wi-Fi-Sync vollverschlüsselt.
🎐 Sie werden häuslichen Frieden, finanzielle Sicherheit und gute Gesundheit genießen.
0
hausfreund20.10.15 15:47
egal - meine frau hat eh meine kontonummern
0
elBohu
elBohu20.10.15 16:03
na, das ist aber blöd!
Wenn man Windows benutz, bleibt einem ja gar nichts anderes als Dropbox.
Dabei ist das Produkt sonst sehr schön.
wyrd bið ful aræd
0
herzfleisch20.10.15 16:34
1Password ist wirklich ein schönes Produkt, aber andererseits macht es einem das Teil auch leicht, auf eigene Gedächtnisleistung zu verzichten. Mit anderen Worten: zwar bequem, aber einmal mehr auch bezahlt mit einer Kompetenzeinbuße.

Besser wäre es, sich ein grundsätzliches System für die Passwortvergabe auszudenken und das dann so zu variieren, dass man sich vergessene Passworte rekonstruieren kann.
0
Peter Eckel20.10.15 16:55
olly_odd
Hab ich das richtig verstanden, dass es nur die Synchronisierung betrifft?
Das heißt wenn ich die Daten über eine WLan-Verbindung synchronisiere geht alles in Ordnung?
Etwas allgemeiner gefaßt: Solange Du sicherstellen kannst, daß niemand an Deine Paßwortdatei herankommt (lokal auf den Rechnern, Telefonen etc. und im Transfer sowie, wenn das unbedingt sein muß, in irgendeiner 'Cloud'), sind auch die Metadaten sicher. Wenn nicht, nicht.
elBohu
na, das ist aber blöd!
Wenn man Windows benutz, bleibt einem ja gar nichts anderes als Dropbox.
Dabei ist das Produkt sonst sehr schön.
Boxcryptor gibt es auch für Windows, Android etc. pp. Diese oder eine ähnliche Sicherheitsmaßnahme eh die Mindestanforderung sein, wenn man schon private Daten auf fremden Rechnern (a.k.a. 'Cloud') ablegt.
herzfleisch
Besser wäre es, sich ein grundsätzliches System für die Passwortvergabe auszudenken und das dann so zu variieren, dass man sich vergessene Passworte rekonstruieren kann.
Unbestritten, aber das System müßte in meinem Fall extrem leistungsfähig sein: Ich habe ca. 500 verschiedene Paßwörter in meinem Safe, die teilweise regelmäßig geändert werden müssen und die obendrein auch noch zum guten Teil irgendwelchen hirnrissigen Restriktionen (nur bestimmte Sonderzeichen, Maximallänge, Minimallänge ...) unterliegen.

Es gibt einfach Situationen, in denen um einen Paßwortafe kein Weg herumführt.
Ceterum censeo librum facierum esse delendum.
0
Peter Eckel20.10.15 17:01
Abgesehen davon ist nur die alte Version des Datenformats betroffen, wenn ich den Blog-Eintrag bei AgileBits richtig interpretiere. Wer schon auf die neue Version umgestellt hat (was bei iCloud-Synchronisation und bei iOS und Mac OS X automatisch passierte, nur halt bei Android, Windows und Dropbox-Synchronisation nicht) ist auch nicht betroffen.

Korrektur: Automatisch ging das nicht
Ceterum censeo librum facierum esse delendum.
0
herzfleisch20.10.15 17:05
Peter Eckel
Abgesehen davon ist nur die alte Version des Datenformats betroffen, wenn ich den Blog-Eintrag bei AgileBits richtig interpretiere. Wer schon auf die neue Version umgestellt hat (was bei iCloud-Synchronisation und bei iOS und Mac OS X automatisch passierte, nur halt bei Android, Windows und Dropbox-Synchronisation nicht) ist auch nicht betroffen.
Das trifft dann aber auch alle, die schon früh 1Passwort lizensiert haben, bevor die iCloud-Synchronisation eingebaut wurde und die somit auf Dropbox setzen; denn um iCloud zu nutzen, wäre eine neue Lizenz fällig gewesen, da der Kauf via App-Store hierfür notwenig ist.
0
Peter Eckel20.10.15 17:12
herzfleisch
Das trifft dann aber auch alle, die schon früh 1Passwort lizensiert haben, bevor die iCloud-Synchronisation eingebaut wurde und die somit auf Dropbox setzen; denn um iCloud zu nutzen, wäre eine neue Lizenz fällig gewesen, da der Kauf via App-Store hierfür notwenig ist.
Ah, interessant, das wußte ich nicht. Aber wie ja schon erwähnt, kann man Dropbox auch mit dem neuen Format nutzen, wenn man es aktiv umstellt. Man muß also nicht zwingend auf iCloud umsteigen, um das OPVault-Format zu verwenden:

Mich betrifft es nicht so, weil ich eh keine Daten in die Cloud packe, sondern einen meiner eigenen, entsprechend abgesicherten Server dafür verwende, der auch nicht aus dem Internet erreichbar ist. Aber nach dem Artikel hier habe ich immerhin endlich mal die Umstellung gemacht, insofern war er schon mal sehr nützlich.
Ceterum censeo librum facierum esse delendum.
0
michimaier20.10.15 19:23
"...Informationen wie zum Beispiel den Porno-Anbieter, einen Benutzern..."
schönes Beispiel
0
MOTIVHIMMEL
MOTIVHIMMEL20.10.15 19:37
Ich muss ja immer wieder schmunzeln wenn ich lese, das Leute ihre 1Password-Datei wirklich in eine Cloud jagen damit alles schön synchron bleibt. Aber wundern wenn andere auf den Container zugriff bekommen könnten / ihn auslesen können.
Ein Glück das es den WLAN Sync gibt. Der tut auch nicht weh und funktioniert nicht weniger bequem als ein Sync via Cloud.
0
Peter Eckel20.10.15 20:54
MOTIVHIMMEL
Ein Glück das es den WLAN Sync gibt. Der tut auch nicht weh und funktioniert nicht weniger bequem als ein Sync via Cloud.
... sofern man nur einen Mac hat.

Bei mehreren Macs ist der Aufwand höher, aber eine Cloud braucht man immer noch nicht. Ein gemeinsam genutzter oder anderweitig synchronisierter (z.B. per OmniPresence) Ordner tut's auch. Ganz ohne NSA und BKA.
Ceterum censeo librum facierum esse delendum.
0
Tobias_Conrad
Tobias_Conrad20.10.15 21:21
Danke für den Hinweis.
Ich nutze Android 1Password und sync über die Dropbox.
Vorsicht OPVault kann 1Password unter Android nicht syncronisieren!
Wlan Sync geht.

Kann mir jemand helfen wie der Wlan Sync nach dem Erstsync angestossen werden kann?
Alle sync Menüeinträge in der App sind verschwunden.

Gelöst: Die App einmal beenden und neu öffnen. Sync beim Öffnen und der Synchronisieren Menüeintrag ist auch wieder da. Prima.
0
nx-2000
nx-200020.10.15 23:07
Jeder der die Dokumente bei AgileBits durchgelesen hat weis um dieses sogenannte Sicherheitsproblem.
0
Stefab
Stefab20.10.15 23:26
herzfleisch
1Password ist wirklich ein schönes Produkt, aber andererseits macht es einem das Teil auch leicht, auf eigene Gedächtnisleistung zu verzichten. Mit anderen Worten: zwar bequem, aber einmal mehr auch bezahlt mit einer Kompetenzeinbuße.

Besser wäre es, sich ein grundsätzliches System für die Passwortvergabe auszudenken und das dann so zu variieren, dass man sich vergessene Passworte rekonstruieren kann.
Oder man trägt sie sich in einen Notizblock o.ä. per Bleistift ein. Wenn man dann eines vergisst, kann man darin nachschauen und den Block kann garantiert niemand hacken. Falls öfters Besuch kommt, kann man den ja verstecken oder tarnen, oder irgendwo einsperren.
Oder man nimmt unsichtbare Tinte
0
Hot Mac
Hot Mac21.10.15 12:30
Wer zahlt denn für Pornos?
Da kann man sich doch gleich 'ne „Echte“ „kommen lassen“!

Ich greife täglich x-mal auf 1Password zu ...
Man kann sich auf nichts mehr verlassen!
0
void
void21.10.15 14:59
nx-2000
Jeder der die Dokumente bei AgileBits durchgelesen hat weis um dieses sogenannte Sicherheitsproblem.

+1

Man muss noch nichtmal die Verschlüsselung reverse engineeren, ein Öffnen mit nem Texteditor reicht aus. Mir war das lange bewusst. Warum etwas so offensichtliches jetzt _plötzlich_ eine Sicherheitslücke sein soll, versteh ich nicht. Agilebits hat nie mehr versprochen, als die echten Keychain-Inhalte zu verschlüsseln.
Developer of the Day 11. Februar 2013
0
Dekator
Dekator27.09.16 08:54
herzfleisch
1Password ist wirklich ein schönes Produkt, aber andererseits macht es einem das Teil auch leicht, auf eigene Gedächtnisleistung zu verzichten. Mit anderen Worten: zwar bequem, aber einmal mehr auch bezahlt mit einer Kompetenzeinbuße.

Besser wäre es, sich ein grundsätzliches System für die Passwortvergabe auszudenken und das dann so zu variieren, dass man sich vergessene Passworte rekonstruieren kann.

Bei mir funktioniert 1PW durchaus nicht immer. Für mich eher eine Software um Passwörter zu hinterlegen und zu generieren. Habe trotzdem ca. ein Dutzend Passwörter im Kopf... zudem über ein Ditzend Sprachen, da wird das Gedächtnis schin fein geübt
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.