![\"Sicherheit\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2014\/03\/Sicherheit.jpg\" "\\"Sicherheit\\"")
Viele Nutzer haben ja das Problem, sich nicht zig Kennw\u00f6rter f\u00fcr diverse Konten merken zu k\u00f6nnen. Ein Password-Manager (bzw. Password-Safe) k\u00f6nnte da weiter helfen. Wer vorhat, die App 1Password zu verwenden, sollte das aktuell nochmals \u00fcberdenken. So wie es ausschaut, scheint da etwas der Wurm drin zu sein. Zumindest macht das Tool nicht immer das, was man landl\u00e4ufig (und ohne detailliertes Studium der Dokument) als normaler Anwender erwartet.<\/p>\n
<\/p>\n
Vorab: Ich gestehe, ich setze 1Password nicht ein, und habe also keine praktische Erfahrung mit. Aber ich surfe so mit offenen Augen durch dieses Internetz und bin da, quasi abseits des Weges, auf etwas gesto\u00dfen, was meine Aufmerksamkeit erregte. Ich musste zwar erst recherchieren, um was es genau geht \u2013 aber nun bilde ich mir ein, verstanden zu haben, was Sache ist. Hier daher ein kurzer Abriss \u2013 wenn's ein Sturm im Wasserglas wird, ok, war ein Versuch wert. Aber ihr sollt nicht dumm sterben und am Ende das Tages sagen m\u00fcssen \"oh, das habe ich nicht gewusst\".<\/p>\n
Ok, genug der Pr\u00e4liminarien. Bei 1Passwort handelt es sich um eine L\u00f6sung zur Verwaltung von Kennw\u00f6rtern f\u00fcr Online-Konten. Das Programm bzw. die App kann aber noch mehr. Laut Webseite des Herstellers<\/a> ist das die eierlegende Wolfsmilchsau:<\/p>\n 1Password gives you the security you need in today's online world without slowing you down. 1Password makes you more productive while simultaneously increasing your security with strong, unique passwords for all your accounts and keeps all of your important information encrypted and secure.<\/p>\n Download 1Password now for your Mac<\/a>, Windows<\/a>, iPhone and iPad<\/a>, or Android<\/a> devices.<\/p><\/blockquote>\n Die L\u00f6sung steht f\u00fcr faktisch alle relevanten Betriebssysteme zur Verf\u00fcgung (ob Windows Phone relevant ist, dar\u00fcber erlaube ich mir hier kein Urteil).<\/p>\n Und vor ein paar Tagen hat der Anbieter die iOS-App gratis<\/a> gestellt \u2013 Caschy, TechCrunch, Chip<\/a> und ein paar weitere Medien haben da gro\u00df dr\u00fcber berichtet. Da ist ja erst auch einmal nichts gegen einzuwenden. Klasse, wenn man von solchen Seiten einen Tipp bekommt, wo es eine App Gratis abzustauben gilt \u2013 speziell, da dieses neue iOS 8 ja gerade einschl\u00e4gt.<\/p>\n Falls euch diese Frage umtreibt: Ich habe kein Problem, denn ich setze die App bzw. diese L\u00f6sung nicht ein \u2013 habe ja auch gar kein iPhone, wo ich das testen k\u00f6nnen t\u00e4t.<\/p>\n Hat im Grunde auch nichts mit dem iPhone oder iOS 8 zu tun \u2013 aber das sind momentan nun mal die Trigger-Begriffe, wo alle Welt wie der Pawlow'sche Hund drauf anspringt.<\/p><\/blockquote>\n Aber mein Verst\u00e4ndnis ist, dass so ein Tool dann die Verschl\u00fcsselung auch durchg\u00e4ngig verwendet, so dass privates auch privat bleibt. So kann man mit 1Password, laut folgender Beschreibung<\/a>, auch Kurznotizen absichern.<\/p>\n So was k\u00f6nnte mich schon begeistern, wenn ich die App einsetzen w\u00fcrde. Aber jetzt zum Beef: Eine solche Funktion sollte dann aber auch wirklich sicher sein und Unbefugten den Zugriff auf die Insides verweigern.<\/p>\n Und da bin ich dann abseits des Weges bei Google+ auf eine Diskussion vom 18.9.2014 gesto\u00dfen. Nutzer Herbert H. hat einen kurzen Test mit 1Password gemacht und eine \"Secure Note\" mit 1Password unter Windows verfasst. Diese Notiz hat er \u00fcber Dropbox mit seinem iPad synchronisieren lassen und sich anschlie\u00dfend auf dem iPad den Quellcode der synchronisierten Notiz angeschaut. Herbert schreibt:<\/p>\n Aber bei meinen Tests hat sich gezeigt, dass die ja gar nicht ihre gesamt Datenbank verschl\u00fcsseln – Teile liegen ganz offen im Klartext (!) herum. Beispiel: habe unter Windows \"Security Notiz\" erstellt und via Dropbox gesynct. Auf dem iPad konnte ich – ohne vorher 1Password zu starten – einfach auf dem Dropbox-Pfad die \u00dcberschriften meiner Notizen lesen.<\/p><\/blockquote>\n Den obigen Screenshot hat er als Beleg mit gepostet (ich habe mir mal erlaubt, dieses Bild im Blog zu verlinken). Es zeigt, dass Teile der \"Security Notiz\", die vertrauliche Infos enth\u00e4lt, im Klartext gespeichert und \u00fcber die Ger\u00e4te synchronisiert werden. Wer also glaubt, seine \"sichere Notiz\" mit vertraulichen oder brisanten Daten sei \"sicher\", hat mit Zitronen gehandelt. Und wenn solche Infos aus der Notiz im Klartext vorliegen, haben Forensiker nat\u00fcrlich auch einen prima Ansatzpunkt, um die verschl\u00fcsselten Inhalte zu knacken. Herbert hat im Nachgang noch das folgende Bild in Evernote hochgeladen.<\/p>\n Da f\u00e4llt mir nur ein: Ein Bild sagt mehr als 1.000 Worte. In der Google+-Diskussion stellte sich heraus, dass dies alles den Entwicklern l\u00e4ngst bekannt ist, wie dieser Forenbeitrag<\/a> aus 2013 zeigt. Die sagen ganz klar, dass nicht alle Informationen verschl\u00fcsselt werden und geben an, dass das auch in der Nutzerdokumentation stehe. Und hier gibt es eine Seite<\/a>, wo die \u00c4nderungen in 1Password aufgelistet werden.<\/p>\n Zum Abschluss nur so viel: 1Password scheint bez\u00fcglich der Verschl\u00fcsselung von Kennw\u00f6rtern das zu tun, was es soll. Kritisch ist aber der Ansatz, dass in Dokumenten Pfade und ggf. Titel von Notizen etc. im Klartext ausgetauscht werden. Das ist seit 2013 bekannt und wird auch in diesem Blog-Beitrag<\/a> thematisiert. Der Betreffende ist von 1Password zu KeePass gewechselt \u2013 interessant fand ich f\u00fcr mich die Diskussion im Blog-Beitrag. So, nun habt ihr die Information und zieht eure Schl\u00fcsse draus \u2013 f\u00fcr den gesch\u00e4ftlichen Einsatz w\u00fcrde ich jedenfalls postulieren: Finger weg.<\/p>\n","protected":false},"excerpt":{"rendered":" Viele Nutzer haben ja das Problem, sich nicht zig Kennw\u00f6rter f\u00fcr diverse Konten merken zu k\u00f6nnen. Ein Password-Manager (bzw. Password-Safe) k\u00f6nnte da weiter helfen. Wer vorhat, die App 1Password zu verwenden, sollte das aktuell nochmals \u00fcberdenken. So wie es ausschaut, … Weiterlesen \n
Simple, Convenient Security<\/h4>\n
![](\"https:\/\/i.imgur.com\/verWrEo.jpg\")
(Quelle<\/a>)<\/p>\nBorn, wo liegt dein Problem?<\/h3>\n
![](\"https:\/\/i.imgur.com\/IZTcBgm.jpg\")
\n(Quelle<\/a>)<\/p>\n![](\"https:\/\/i.imgur.com\/0SWYjqr.jpg\")
\n(Quelle)<\/p>\n![](\"https:\/\/i.imgur.com\/Qq8vLD4.jpg\")
\n(Quelle)<\/p>\n