[Startseite1]

Anknüpfend an den Thread zu Passwortmanagern würde ich gerne zum Sicherheitsaspekt diskutieren. Generell besteht, denke ich, Einigkeit darüber, dass lokal gehaltene Daten auf einem "sicheren", also virengeschützen PC mit Firewall, am besten aufgehoben sind und eine Synchronisation auf iPhone und Co. günstigerweise via WiFi erfolgt.
Wie sieht es aber aus, wenn man die im Betreff genannten Wege vergleicht.
Wenn ich es richtig verstehe, werden in beiden Fällen die Daten lokal entweder von 1Password oder von Lastpass verschlüsselt und landen dann zur Synchronisation in der jeweiligen Cloud. Kann man hier Aussagen zur Sicherheit machen, ist der eine oder andere Weg empfehlenswerter? Ist der einen oder anderen Verschlüsselung der Vorzug zu geben?

[Tronic]

Für das Thema scheint sich wohl leider niemand zu interessieren. Könnte auch daran liegen, dass die allermeisten wohl kein Problem damit haben ihre Daten unverschlüsselt auf Dropbox abzulegen.

Zumindest schließe ich aus vielen Beiträgen hier und anderswo, dass wohl fast jeder, der ein iPhone hat auch Dropbox nutzt. Ich überlege zwar derzeit auch, ob ich irgendwelche Daten irgendwo in der Cloud ablege, aber ich habe noch nichts gefunden womit ich wirklich zufrieden wäre. Jeder Dienst, der gerade hinsichtlich der Verschlüsselung besser ist, hat irgendwelche anderen Einschränkungen für mich - zumeist gibt es entweder keinen Linux-Client oder kein iPhone-App.

Zumindest für Passwörter möchte ich eine lokale Verschlüsselung haben und nicht nur eine verschlüsselte Verbindung zum Cloud-Storage wie bei Dropbox. Dieses Minimum an Sicherheit bietet ja eigentlich jeder Anbieter.

[Startseite1]

Naja, für die meisten User ist das Thema Sicherheit ist ja nicht gerade aufregend, zumindest nicht, wenn alles funktioniert. Es muss dann halt erst etwas passieren, dass etwas passiert.
Vielleicht greift in einem solchen Fall jemand das Thema wieder auf. :helpsmilie:

[Xenia]

Bei 1Password muss man das Backup ja nicht zwingend in der Cloud ablegen, sondern kann es auch lokal auf dem Rechner belassen.
Sichert man regelmäßig lokal, ist auch das Backup gesichert.

Nutzt man parallel die App auf dem iDevice, muss man halt mit dem Rechner syncen um alle Geräte synchron zu halten.
Wie gesagt, es ist nicht zwingend erforderlich, eine Cloud in 1Password einzubinden.

[Tronic]

Ich hätte ja nun gar nix gegen einen Sync zwischen iPhone und Rechner, aber ...

1. Es gibt für 1Password keinen Linux-Client und somit fällt der Sync mit meinem Hauprechner zu Hause aus.
   
2. Der Sync zwischen einem Rechner und ein paar iDevices zu Hause mag ja noch einigermaßen vernünftig klappen, aber wenn man mehrere Rechner an versch. Standorten hat, dann geht das nicht mehr vernünftig!
   

Daher sollte ein Cloud-Sync auch entsprechend sicher sein, wenn man ihn schon braucht. Am liebsten wäre mir ein TeamDrive-Server auf meinem eigenen Root-Server (oder ähnliches) inkl. Sync über openVPN, aber dafür gibt es leider kein iPhone-App.

Kennt jemand vielleicht etwas vergleichbares, das ich auf MEINEM Server installieren und danach mit Linux, Windows und iPhone syncen kann?

Gruß Tom

[Wildsau]

... ihre Daten unverschlüsselt auf Dropbox abzulegen ...

Was genau verstehst Du im Zusammenhang mit 1Password und Dropbox unter "unverschlüsselt"?

[Tronic]

** unnötiges Zitat entfernt **

Dass bei Dropbox die Daten zumindest lokal auf den Rechnern unverschlüsselt abgelegt werden.

[Wildsau]

Na dann sag mir mal, was Du aus den beiliegenden "unverschlüsselt lokal abgelegten Dateien" herauslesen kannst.
Es handelt sich hierbei um das komplette Datenverzeichnis von 1Password (Test-Keychain).

Ich bin gerne bereit meinen Wissensstand bezüglich Sicherheitslücken zu erweitern.

[Tronic]

Naja, ich kann dir zumindest sagen, dass dies sicher keine komplette Keychain von 1Password ist, denn es handelt sich nur um ein Password für eine Beispielseite http://www.location.local und das war es dann auch schon.
Dies war so weit relativ einfach. Ich habe mir nun auch keinen großen Aufwand mehr gemacht die Datei zu cracken.

Allerdings hättest Du mal richtig lesen sollen, denn ich habe davon geschrieben, dass die Daten in der Dropbox nicht verschlüsselt sind.
Das heißt ja nicht, dass 1Password oder ein anderes Programm seine Daten nicht selbst verschlüsselt lokal ablegen kann - wie bei der Keychain. Wenn ich es richtig verstanden habe, dann muss man die Keychain aber erst aktivieren, oder?

Somit würde ich auch sagen, dass 1Password mit Keychain auch in der Dropbox sicher liegt.

Ich finde bei LastPass einfach besser, dass ich dort nicht erst einen zusätzlichen Dienst für den Sync brauchen, sondern dort automatisch eine Verschlüsselte Kopie lokal auf dem Rechner oder iDevice abgelegt wird.

[gado]

Verstehe das Problem nicht wirklich. 1Password hat entschieden den Ort nicht zu verschlüsseln, da es relativ unwichtig ist.

http://www.application-systems.de/1passw...esign.html

Da könnte man sich jetzt streiten, ob einem wichtig ist, dass man nicht sieht, auf welcher Seite man Logins hat. Aber der Rest ist verschlüsselt.

Ich habe mir nun auch keinen großen Aufwand mehr gemacht die Datei zu cracken.

Klingt so, als wäre das mit etwas mehr Aufwand möglich gewesen. Das ist bei einem 128Bit AES Schlüssel aber nicht der Fall. Ist auch nicht mal eben Brute-Forced, siehe Seite oben. Falls es mal wichtig sein wird, wird einfach auf 256Bit umgestellt.

Das heißt, dass der Schlüsselbund verschlüsselt auf der Platte liegt und nicht im Klartext. Außerdem kann man 1Password auch über WLAN syncen und muss nicht über Dropbox gehen. Dropbox bräuchte man nur, wenn man unterwegs viele Passwörter ändert und die auch sofort auf allen anderen Geräten haben will. Den meisten sollte auch der lokale Sync reichen.

[Wildsau]

Neben einem Login und einem Passwort steht auch noch etwas in der Notiz des Eintrages.
In der Tat handelt es sich nur um einen einzigen Eintrag, das Verzeichnis ist somit komplett.
Bei aller Liebe, aber meine produktive Keychain wollte ich nun doch nicht eben mal so ans schwarze Brett nageln.

Ich will auch nicht päpstlicher als der Papst sein.
Mir persönlich reicht das Verschlüsseln der Dateien.
Ich habe 3 Geräte, und deren Synchronisation will ich automatisiert wissen, ist eben mein Anspruch an solch ein Programm.
Selbst bei verschlüsselter Übertragung mag der Schutz etwas höher sein, jedoch auch da keine 100%. Auch nicht im heimischen WLAN.
Und welche Passwörter ich in diesem Programm ablege, entscheide ich ja noch selbst.

[gado]

Neben einem Login und einem Passwort steht auch noch etwas in der Notiz des Eintrages.

Verstehe nicht was du ansprichst. Die Notizen, auch bei Weblogins sind verschlüsselt.

Bei aller Liebe, aber meine produktive Keychain wollte ich nun doch nicht eben mal so ans schwarze Brett nageln.

Wieso ans schwarze Brett?

Allerdings hättest Du mal richtig lesen sollen, denn ich habe davon geschrieben, dass die Daten in der Dropbox nicht verschlüsselt sind.

Lokal wird es nicht verschlüsselt, aber die Übertragung zu Dropbox und Dropbox selbst ist verschlüsselt. Die Mitarbeiter haben keinen Zugriff auf deine Daten, nur Zugriff auf deine Metadaten, wie z.B Dateinamen. Der Speicher selbst liegt bei Amazon S3. Dein Passwort ist auch gleich der Key zum entschlüsseln. Klar hier ist wieder Vertrauen nötig.

Verstehe nicht wo das Problem ist, wenn sie lokal über 1Password verschlüsselt werden.

Selbst bei verschlüsselter Übertragung mag der Schutz etwas höher sein, jedoch auch da keine 100%.

Wer regelmäßig sein WLAN Passwort ändert und auf WPA2 setzt ist auch hier sicher. Keine 100% da immer alles gebruteforced werden kann, aber da stellst du die Verschlüsselung an sich in Frage.

Kann auch sein, dass wir aneinander vorbeireden. Habe gerade irgendwie das Gefühl.

Und welche Passwörter ich in diesem Programm ablege, entscheide ich ja noch selbst.

Ich meine, hat ja keiner bestritten.


Wie läuft der Sync denn bei Lastpass ab? Die nutzen eigene Server? Da kann man dann wieder streiten, was sicherer ist.

[submariner]

Neben einem Login und einem Passwort steht auch noch etwas in der Notiz des Eintrages.

Verstehe nicht was du ansprichst. Die Notizen, auch bei Weblogins sind verschlüsselt.

Ich glaube, er bezog sich auf Tronic's Aussage, dass die bereitgestellte Datei keine komplette Keychain sei, sondern nur ein Passwort für eine Beispielseite beinhalte.

Und mit dem schwarzen Brett meinte er die hiesige Öffentlichkeit…

Alle Angaben ohne Gewähr, aber ich hatte auch das Gefühl, dass ihr aneinander vorbeiredet.

[gado]

Ich glaube, er bezog sich auf Tronic's Aussage, dass die bereitgestellte Datei keine komplette Keychain sei, sondern nur ein Passwort für eine Beispielseite beinhalte.

Hmm.

Und mit dem schwarzen Brett meinte er die hiesige Öffentlichkeit…

Schon klar, aber, den Keychain bei Dropbox abzuspeichern, ist nicht ans schwarze Brett hängen. Naja, wir werden es sehen.

[Tronic]

Also, eines mal vorab:
Ich glaube auch, dass wir hier zumindest teilweise aneinander vorbei reden. Zum einen habe ich nicht die Sicherheit von 1Password in Frage gestellt, sondern die von Dropbox. Was auch noch nicht heisst, dass ich behaupte Dropbox wäre total unsicher, aber man wird es ja mal hinterfragen dürfen

Verstehe das Problem nicht wirklich. 1Password hat entschieden den Ort nicht zu verschlüsseln, da es relativ unwichtig ist.

Ich sehe darin auch kein großes Problem. Es würde nur einen Angreifer die Arbeit ein wenig erleichtern, wenn er die Keychain in die Hand bekommt, da er dann wüsste welche Seiten er versuchen müsste zu attackieren.
Was ich aber auch für eher unwahrscheinlich halte.

Klingt so, als wäre das mit etwas mehr Aufwand möglich gewesen. Das ist bei einem 128Bit AES Schlüssel aber nicht der Fall. Ist auch nicht mal eben Brute-Forced, siehe Seite oben. Falls es mal wichtig sein wird, wird einfach auf 256Bit umgestellt.

Ich weiß auch, dass selbst ein 128-Bit-Schlüssel nicht mit Brute-Force-Attacken zu knacken ist, wenn das zur Verschlüsselung verwendete Passwort stark genug ist und auch nur dann.
Daher beschränkte sich mein Aufwand darauf die Dateien mit einem Editor zu öffnen.

Das heißt, dass der Schlüsselbund verschlüsselt auf der Platte liegt und nicht im Klartext. Außerdem kann man 1Password auch über WLAN syncen und muss nicht über Dropbox gehen. Dropbox bräuchte man nur, wenn man unterwegs viele Passwörter ändert und die auch sofort auf allen anderen Geräten haben will. Den meisten sollte auch der lokale Sync reichen.

Naja, ich brauche eben irgendwas im Internet, da zwischen meinem Büro und daheim keine WLAN-Verbindung besteht. Allerdings gibt es versch. Möglichkeiten einen Dienst in der Cloud zu nutzen oder - was mir lieber wäre - einen eigenen Storage auf meinem Server.

Lokal wird es nicht verschlüsselt, aber die Übertragung zu Dropbox und Dropbox selbst ist verschlüsselt. Die Mitarbeiter haben keinen Zugriff auf deine Daten, nur Zugriff auf deine Metadaten, wie z.B Dateinamen. Der Speicher selbst liegt bei Amazon S3. Dein Passwort ist auch gleich der Key zum entschlüsseln. Klar hier ist wieder Vertrauen nötig.

Klar ist hier Vertrauen notwendig und wenn man das nicht hat, dann zieht man so einen Dienst auch nicht in Erwägung. Es geht mir auch weniger um die Daten auf dem Server in der Cloud, denn hier verschlüsseln alle mir bekannten Dienste die Daten und (fast) alle sogar mit 256-Bit.
Es geht mir eher darum falls das Gerät auf dem die Daten liegen mal verloren geht oder gestohlen wird. Wenn dann die Daten unverschlüsselt auf der Platte liegen, dann bringt mir die ganze Verschlüsselung auf dem Server auch nichts. Klar, ich könnte auch die Platte an sich verschlüsseln, aber beim iPhone wüsste ich nicht, ob und wie das geht.

Wer regelmäßig sein WLAN Passwort ändert und auf WPA2 setzt ist auch hier sicher. Keine 100% da immer alles gebruteforced werden kann, aber da stellst du die Verschlüsselung an sich in Frage.

Richtig, eine 100%ige Sicherheit gibt es nicht, denn letztlich kann jede Sicherheitsvorrichtung umgangen werden - es ist immer nur eine Frage des Aufwandes und des Ertrags. WPA2 wird meines Wissens nach mit 256-Bit verschlüsselt und ist somit per Bruteforce nur zu knacken, wenn man ein sehr schwaches, kurzes Passwort dafür hat.

Wie läuft der Sync denn bei Lastpass ab? Die nutzen eigene Server? Da kann man dann wieder streiten, was sicherer ist.

LastPass nutzt eigene Server und garantiert wie die anderen Dienste auch, dass die Daten dort verschlüsselt abgelegt werden, die Mitarbeiter darauf keinen Zugriff haben und man die Daten nur mit seinem Master-Passwort erfolgen kann.
Der meiner Meinung nach entscheidende Unterschied zur Kombi 1Password und Dropbox ist aber, dass die Daten komplett verschlüsselt auf meinen Geräten liegen, und damit schon verschlüsselt in die Cloud übertragen werden.
Bei Dropbox (nicht 1Password) werden die Daten erst nach der der Übertragung auf dem Server verschlüsselt und die Übertragung selbst erfolgt unverschlüsselt durch einen SSL-Tunnel. Der SSL-Tunnel ist zwar auch verschlüsselt, aber wenn beispielsweise ein Trojaner oder ähnliches auf dem Rechner wäre, dann könnte dieser den Verkehr zwischen Gerät und Cloud mitschneiden. Sicher, er könnte dann evtl. noch viel mehr auf dem Rechner tun.

Ich glaube, er bezog sich auf Tronic's Aussage, dass die bereitgestellte Datei keine komplette Keychain sei, sondern nur ein Passwort für eine Beispielseite beinhalte.

Und mit dem schwarzen Brett meinte er die hiesige Öffentlichkeit…

So habe ich das auch verstanden.

Noch ein kleines Fazit am Schluss:
Trotz der kleinen Schwäche mit den Seiten im Klartext, halte ich auch 1Password für sicher. Für mich war der entscheidende Faktor allerdings eh die fehlende Linux-Unterstützung, denn 1Password Anywhere sehe ich nicht wirklich als Alternative.

[Wildsau]

Na dann muss ich auch eingestehen diesen Thread anfangs falsch verstanden zu haben.
Für 1Password habe ich mich u. a. gerade wegen der zusätzlichen PC-Applikation und dem nahezu vollautomatischen Synchen mittels Dropbox entschieden.
Und dank der Pro-Version auch auf dem iPad.

Ich muss aber auch sagen, dass ich mir seit 1Password vom integrierten Passwort-Generator neue Passwörter vorschlagen lasse.
In Summe reicht mir diese Sicherheit zumindest für meine Daten aus.

[gado]

Klar, ich könnte auch die Platte an sich verschlüsseln, aber beim iPhone wüsste ich nicht, ob und wie das geht.

Das iPhone nutzt eine 256Bit AES Verschlüsselung für alle Dateien. Diese Hardwareverschlüsslung ist mindestens seit dem 3GS vorhanden. Da kommt man wirklich nur noch rein, wenn man den PIN und den Key, die man eingestellt hat kennt. Per Fingereingabe bruteforcen, halte ich mal für unmöglich.

Auf dem iPhone kann man dann einen kürzeren Key einstellen, der nicht so lang wie der Originale ist. Der richtige Key wird in irgend einem Sicherheitsspeicher abgelegt, wo man kein Zugriff hat. Was das jetzt genau darstellen soll, weiß ich nicht. Auf jeden Fall wäre die ganze Sache schon alleine mit einem iPhone Code sicher, der ja nicht nur aus Ziffern bestehen muss. Das ist jetzt aber die Frage, wie sicher man das selbst haben will. Mehr Sicherheit, heißt meistens, weniger Komfort. Wenn man will, kommt da keiner ran. Zumindest in absehbarer Zeit nicht. Wenn ich mein iPhone verlieren würde, dann würde ich ehe alle Passwörter ändern.

Bei Dropbox (nicht 1Password) werden die Daten erst nach der der Übertragung auf dem Server verschlüsselt und die Übertragung selbst erfolgt unverschlüsselt durch einen SSL-Tunnel.

Ja, aber ist ja auch egal, da sie ja schon von 1Password selbst sehr gut verschlüsselt sind. Wozu eine Sache x-mal verschlüsseln, wenn einmal verschlüsseln mit einem starken Passwort reicht?

Allerdings gibt es versch. Möglichkeiten einen Dienst in der Cloud zu nutzen oder - was mir lieber wäre - einen eigenen Storage auf meinem Server.

Dropbox oder Server, fängt auch wieder das Vertrauen an. Bei Dropbox wäre es rechtlich nicht ok, wenn sie reingucken, da sie dir falsche Versprechen gemacht haben, was eine Täuschung wäre. Bei einem Server in einem Datencenter, könnte der Hoster reingucken, was er wegen dem Datenschutz nicht darf.

Homeserver wäre was, aber da muss man sich auch überlegen, ob man selber kompetenter ist als ein Team, was sich darauf spezialisiert hat.

Bei vielen Sachen gehst du auch immer von einem schlechten Passwort aus.

Also mein Schlüsselbund Passwort ist ein sehr sicheres, alles andere wäre ja auch Quatsch, dann könnte ich das gleich lassen.

Ich gehe jetzt von einem Passwort aus, was gut ist und in nächster Zeit nicht mal eben zu knacken ist.

Der SSL-Tunnel ist zwar auch verschlüsselt, aber wenn beispielsweise ein Trojaner oder ähnliches auf dem Rechner wäre, dann könnte dieser den Verkehr zwischen Gerät und Cloud mitschneiden.

Haste ja schon selber gesehen. Ein Trojaner, der alles aus der Zwischenablage zuschickt oder der die Daten irgendwie anders ausliest. Irgendwann müssen sie im Klartext im Speicher liegen.

Aber zumindest verstehe ich jetzt, was du meinst.

Ja soll jeder für sich entscheiden, was er nimmt. Klar, wenn ich Linux nutze und 1Password bietet es nicht an, dann braucht man da nicht lange überlegen.

[Hausl]

Hi Leute,

Ich Grab den Thread mal wieder raus.

Vertraut ihr 1password auch eure Kreditkartendaten und EC Karten Daten an?
Da bin ich noch etwas skeptisch

[Stefan]

Dann lass es halt sein. Also den PIN meiner Kreitkarte und den der EC Karte kann ich mir auch so merken.