Das ist ein Punkt. Ein weiterer ist, dass man bspw. alternative Mailprogramme nutzen kann (wie Mailbox bspw)., die es erfordern, dass man dem Anbieter Nutzername und Kennwort für Zugriffe auf iCloud übermitteln muss, ohne dass man denen tatsächlich das "Masterpassword" überlässt.

So ganz verstehe ich das noch nicht! Die Vergabe mehrerer Passwörter macht erst dann Sinn, wenn ich Apps von Drittanbietern benutze, die Zugriff auf die Cloud benötigen!?
Wenn ich nur Apps von Apple nutze also z.b. Kontakte, Fotos, Termine usw. in der cloud macht es keinen Sinn, dort verschiedene Passwörter zu vergeben?

Und wer merkt sich 25 Passwörter?

Apple hat eh Zugriff. Also geht es im Prinzip darum, bösen Drittanbietern nicht das Hauptkennwort zu überlassen. Wobei es mich schon wundert das Apple die Kennwort Eingabe nicht kapselt und so die Drittanbieter Apps nie das Kennwort bekommen, sondern nur den Zugriff. Sehr verwirrend.

Hab grade mal ein Passwort erstellt. Man kann es leider nicht selber festlegen, sondern es wird von Apple vorgegeben. Man kann lediglich ein Label fürs Passwort vergeben, damit man noch weiß wofür es ist.

25 bei iCloud und weitere 500 auf andere Portale.

Früher genügte es wenn man die Festnetznummer auswendig wusste, heute muss man hunderte Passwörter kennen.

Das ist bei Google auch so und auch sinnvoll um zu vermieden, dass jemand sein normales Passwort erst mit angehängter 1, dann 2 etc. nutzt.
Zweitens sind das ja Passwörter zur einmaligen Verwendung. Man kann sich normal nur 1 mal damit einloggen, dann wird für dieses Programm ein Token erstellt.

@Ikso
Die muss man nicht kennen. Dafür gibt es z.B. 1 Password und andere.

Oder ein Stück Papier reicht auch aus.

Was macht 1 Password eigentlich? Hab am Mac durch die eingebaute Schlüsselbundverwaltung nie einen Bedarf nach einer weiteren Software gehabt. Was mache ich falsch?

MetallSnake: Ist die Frage wirklich ernst gemeint?

Im Gegensatz zur Schlüsselbundverwaltung unterstützt 1Password auch systemfremde Browser, also nicht nur Apples Safari, sondern auch Google Chrome oder Mozilla Firefox.

Die Sicherheit von Passwörtern, das Alter, identische!!! Passwörter (und vieles mehr) kann mit Hilfe von SmartGroups überwacht werden, so dass man dies jederzeit im Überblick hat.

Mit Hilfe eines externen Dienstes (WatchTower) kann man außerdem auf Webseiten hingewiesen werden, bei denen in der Vergangenheit eine Sicherheitslücke vorhanden war / ausgenutzt wurde, so dass man eine Warnmeldung erhält und die Passwörter bei solchen Webseiten aktualisiert.



1Password ist nicht "OS X / iOS only", sondern auch für Windows sowie Android erhältlich.

Und nicht zuletzt existiert die Möglichkeit einer Synchronisierung zwischen verschiedenen Geräten nicht erst seit gestern, sondern schon seit Jahren (und bei Bedarf auch "ohne" Cloud-Service direkt im eigenen WLan).

Aber das steht auch alles hier (leider aber nur englisch):

Und: it just works.

Ohne 1Passwort wäre ich definitiv aufgeschmissen ...

Der Artikel ist etwas missverständlich formuliert.
Zuerst mal brauch man die Passwörter nur wenn die App die zweistufige Anmeldung nicht unterstützt. Dann gibt man so ein Passwort ein. Normalerweise Merk sich die App dann das Passwort dass heißt man muss es nicht nochmal eingeben. Falls die App das Passwort trotzdem noch mal braucht erstellt man einfach ein Neues.

Ja.

Chrome und Firefox unterstützen doch die Systeminterne Schlüsselbundverwaltung. Grad nochmal extra ausprobiert. Es ist eine API die von den Entwicklern eingebaut werden muss.

Also werden die Passwörter bei 1Password nicht einweg-verschlüsselt?

Das ist in der Tat praktisch, aber so eine Software könnte auch die Schlüsselbundverwaltung nutzen.

Passwörter synchronisieren? Dann kann ich die ja gleich als Zettel am Monitor kleben haben.

Unter iOS kann das ganze aber auch nicht funktionieren oder?

Alle meine Passwörter sind super lang, super komplex und werden öfters mal getauscht. Warum? Weil ich sie mir nicht merken muss. Die Passwörter für Webseiten verwaltet LastPass bei mir (Anmeldung mit Two Factor Autorisierung, Zugriff auf deutsche IP Adressen beschränkt, Zugriff aus TOR Netzwerk gar nicht möglich) und die Passwörter im System stehen in der Keychain. Faktisch muss ich also diese Passwörter nie eingeben und muss mir nur mein LastPass bzw. mein System Passwort merken und ansonsten diese beiden Passwörter nur einmal nach einem Rechnerstart/-sleep eingeben bzw. nach Beenden der Browsers, weil ich das so eingestellt habe.

Alle meine Passwörter? Nein. Nicht alle. Eines nicht. Das von meinen Apple Account. Warum? Weil ich es dauernd eingeben muss!!! In iTunes, um Account Einstellungen zu ändern oder was zu kaufen, im Mac App Store, um Apps zu kaufen oder woanders gekaufte herunter zu laden (manchmal auch beim Aktualisieren glaube ich), auf iOS Geräten, um Software zu kaufen und für in App Purchases, usw. Und weil es nervt dieses Passwort ständig nachzuschauen oder ewige Sequenzen zu tippen, muss es kurz, einfach, leicht zu merken sein und wird so selten wie möglich erneuert. Lediglich auf den Webseiten ist es egal, weil da füllt LastPass das Feld für mich. Copy&Paste ist nicht immer möglich, manche Passwortfelder erlauben kein Einfügen und das Passwort durch das Pasteboard zu schleusen, wo jede App jederzeit Zugriff drauf hat, ist auch nicht wirklich sicher. Und selbst wenn es ginge, unter iOS wäre das supernervig.

Mit anderen Worten: Der Zwang das Passwort so oft einzugeben unterwandert die Sicherheit dieses Passwort. Die meisten Nutzer tendieren dazu ein umso sicheres Passwörter zu wählen je seltener sie es jemals händisch eingeben müssen.

Warum können iTunes und AppStore sich das Passwort nicht wie jede OS X App aus der Keychain (Schlüsselbund) holen? Ja, da ist ein gewisses Risiko dabei. Und? Ich habe andere Apps mit denen man viel leichter viel größeren Schaden anrichten kann und da steht das Passwort auch in der Keychain. Und warum kann man das Passwort auf iOS Geräten nicht fest hinterlegen und statt es immer wieder einzugeben muss man dann einfach nur das Gerät unlocken (mit dem PIN oder Unlock Code)?

Was ziemlich sicher wäre. Denn in 99,99% alles Fälle wo irgend ein Account von irgend jemanden gehacked wurde, hatte der Hacker nie physikalischen Zugriff auf Zettel an dem Monitor dieser Person. Zettel am Monitor sind nur dann unsicher, wenn die Person, vor der du dich schützen willst, auch Zugang zu deinem Monitor haben (Kollegen, Familie, etc.)

Selbst um sich vor der NSA zu schützen ist ein Zettel am Monitor sicherer als ein Passwort auf deiner Festplatte, egal wie oft es womit auch immer verschlüsselt ist, denn an dieses Passwort kommt die NSA im Zweifelsfall ran (über Sicherheitslücken in deinem Router/Browser/System) und hat dann ewig Zeit es zu knacken. Dass die NSA in deine Wohnung einbricht, um an die Zettel an deinen Monitor zu kommen, ist fast utopisch, außer vielleicht du bist ein Diktator im nahen Osten oder ein Terrorist auf der ganz, ganz schwarzen Liste.

Ich habe das gleiche, nur die Begründung ist eine andere. Passwörter die ich selbst nicht kenne und nur durch einen extra Dienst gespeichert sind, sind für mich ein no-go. Ich habe alle Passwörter im Kopf. Anfangs dauerts ein wenig, aber nach ein paar mal eingeben passiert das schon wie automatisch, die Finger bewegen sich irgendwie über die Tastatur und plötzlich bin ich eingeloggt.

Bei mir sind es lediglich sechs Passwörter, welche ich tatsächlich nur in meinem Kopf habe (die also weder auf Zetteln noch in Passwort-Verwaltungstools existieren):

1. mein Administrator-Account-Passwort
2. mein Standard-User-Passwort (für die tägliche Arbeit)
3. mein GPG-Passwort
4. mein 1Password-Passwort
5. mein Apple-ID/iCloud/AppStore/Developer-ID-Passwort
6. mein FV2-Passwort für externe Medien/Backup-Medien

Alle anderen sind per 1Password generierte, 50-stellige, welche ich mir unmöglich merken kann.

Und alle werden regelmäßig geändert (inkl. der 5 oben erwähnten).

aber sich die Passworte alle zu merken oder noch schlimmer sich die in einem Programm zu sichern - ist auch nicht DIE Lösung..

aber rotiere auch und so, aber habe mir da was ausgedacht wie.
Optimal ist aber anders. Und 2Wege- Auth ist doof für sowas, das ist einfach unpraktisch zumal der empfang von SMS hier sehr schlecht ist. Dazu muss ich immer an eine bestimmte Stelle gehen..

Übrigens glaube ich ebenfalls dass die meisten Hacks die sind, die eben die PWs herausfinden. Das ist meist ein Beutezug, ich zB bin noch heute Opfer der Adobe-Hacks, seit dem bekomme ich 50% mehr Spam und immer dieser Art wo 2 Absätze und dann ein Link zu sehen ist, meist für Businesskasperkram - aber immer gleiches Schema. Dafür in Massen.
Das wird leider immer passieren, und da ist es ja nur die Email, nicht PWs.
Aber das PW von oder bei Adobe haben sie. Sicher. Natürlich geändert danach - aber..
passiert wieder.