App entfernt sich von Privatnutzern
1Password: Telemetrie eingebaut, Klassik-Erweiterung abgeschaltet
Die Entwickler des Passwort-Managers 1Password haben aus ihrem Produkt für individuelle Mac-Nutzer in den vergangenen Jahren ein Werkzeug für Unternehmen und Geschäftskunden gemacht und setzen diesen Umbau konsequent weiter fort.
Klassik-Erweiterung wird abgeschaltet
Einzige Neuerung in der jüngsten Version 7.9.10 von 1Password 7: Eine neu integrierte Warnmeldung erinnert an die bevorstehende Einstellung der klassischen 1Password-Erweiterung für Webbrowser wie Googles Chrome, Firefox, Edge und Brave.
Dies bedeutet für betroffene Anwender, die derzeit noch einen lokalen Passwort-Tresor mit 1Password 7 verwalten: Das Upgrade auf 1Password 8 und der Wechsel in einen der Abo-Tarife des Unternehmens steht an, wenn sich für die Passwort-Verwaltung weiterhin auf 1Password verlassen werden und nicht gleich zu alternativen Tools wie etwa Enpass gewechselt werden soll.
Fortan mit statistischer Fernmessung
Und damit nicht genug: Wie die Macher des Passwort-Managers aktuell in ihrem Hausblog berichten, wird die Desktop-Anwendung von 1Password um Möglichkeiten zur statistischen Fernmessung ihrer Nutzung erweitert. Anders formuliert: 1Password telefoniert zukünftig nach Hause, um über den Einsatz der App zu informieren.
Für die Messungen sollen einzelne Nutzerkonten zufällig ausgewählt werden. Nach der Übertragung würden die Daten dann „de-identifiziert“ und nur in aggregierter Form verarbeitet.
1Password entfernt sich von Privatnutzern
Auch wir haben die liebevoll gestaltete Mac-Anwendung 1Password über Jahre hinweg lokal genutzt und gerne empfohlen. Inzwischen ist der Download nur noch im Abo zu haben, zwingt zur Erstellung eines Nutzer-Accounts, verwaltet den persönlichen Passwort-Tresor nur noch online, hat seine native Mac-App gegen einen Electron-Download ausgewechselt und beginnt nun mit dem Tracking der zahlenden Kunden.
Wir sind inzwischen komplett auf Enpass umgezogen, vermissen hier aber die Liebe zum Detail und die Stabilität, die wir von 1Password gewohnt waren.
Bin von 1Password zu Enpass und weiter zu Bitwarden, Lokal betrieben auf einem RaspberryPi und somit weitestgehend unabhängig. bis jetzt seht zufrieden, und das Bitwarden nicht so schick ist wie 1Password, na ja, darauf kann ich verzichten, die Stabilität reicht mir.
Meine Empfehlung für alle, die nicht ein Abo bei 1password haben wollen/können:
Benutzt Keepass. Das ist OpenSource und dessen Code kann man theoretisch deshalb problemlos überprüfen. Seit iOS oder iPadOS 12 (oder später) ist für Passwortmanager von Dritten eine API eingebaut, die natürlich auch 1password nutzen muss. Wenn man also die App Strongbox ( https://strongboxsafe.com/ – gibt es für macOS, iOS und iPadOS als Universal Binary), muss man sich nur darum kümmern, wo der Keepass-Tresor (nicht nur Passwortdatenbank, da man dort auch irgendwelche Dateien verschlüsselt abspeichern kann) abgespeichert werden soll (am Besten in ein Webspeicher für Synchronisation wie man es von 1password gewohnt ist bei Nutzung der seit vielen Jahren normalen Version („Cloud-Version“)). Der große Vorteil – was leider auch ein Nachteil sein kann, wenn zu schlechte, schwache und schlecht konfigurierte Optionen gewählt wurde – ist, dass man auswählen kann, welche Verschlüsselung, welche „key derivation“ Funktion und wie viele Male „transform rounds“ man wählt. Dadurch ist eine Verschlüsselung wählbar, die evtl. sogar sicher gegen Quantencomputer ist. 1password Version 8 nutzt AES-256 (siehe https://1password.com/de/product/ ). Dies soll momentan auch eine einigermaßen akzeptable Sicherheit vor den ersten Quantencomputern bieten. Wie lange dies vermutlich so ist, ist natürlich nicht vorhersehbar.
Empfehlung für Sicherheit: Erstellt auch eine Schlüsseldatei, damit die Sicherheit höher ist unabhängig vom gewählten Passwort (was ich zur Sicherheit auch lang wählen würde – zum Entsperren kann man dann Face/Touch ID nutzen und sich somit die ständige mühsame lange Eingabe des Passworts ersparen. Diese Schlüsseldatei muss natürlich in die Passwortapp wie Strongbox importiert werden. Da empfehle ich das iOS-Gerät mit Kabel an den Rechner mit iTunes anzuschließen, um über iTunes lokal die Schlüsseldatei in die App zu importieren, denn sie sollte nie in Clouds (außer selbst verschlüsselt) oder woanders gelagert sein, worauf jemand anderes unkontrolliert Zugriff haben kann. Wenn man dies aus Bequemlichkeit macht, ist eine Schlüsseldatei nahezu nutzlos (ja, es fordert weiterhin etwas die Sicherheit, aber die Hürde, die es für Cracker darstellt, ist nur noch minimal). Dass man die Tresordatenbank immer nur lokal hat, ist sehr viel unbequemer und fördert kaum die Sicherheit. Es reicht aus, dass der Computer durch einen Trojaner komprimittiert wird. Schon kann die Datenbank problemlos kopiert werden (abgesehen davon, dass die rechtmäßig entsperrte Datenbank vom Trojaner unverschlüsselt kopiert und zum Cracker übertragen werden kann). Aus den Leaks durch Snowden wurde ja auch bekannt, dass wie schon vorher gewusst man Mathematik nicht betrügen kann und somit beweisbar sichere Verschlüsselungen nicht plötzlich gebrochen werden können. So sagte die NSA auch zu TOR „TOR stinks!“.
Mögliches Setup: Zur Synchronisation des Tresors/verschlüsselten Datenbank muss man sich lediglich einen Onlinespeicher aussuchen, der lokal auf dem Computer gespeichert werden kann. Z.B. in macOS kann man einen WebDAV-Server von Telekom nutzen, zu dem der Client von Nextcloud ( https://nextcloud.com/ ) genutzt werden kann. Wenn man Strongbox nutzt, muss man sich um lokale Synchronisation nicht kümmern, da dies die App selbst macht (zudem vorteilhaft: wenn kein Internet, hat es eine lokale zuletzt synchronisierte Version, was am Anfang leider nicht war, aber eingebaut wurde, als ich die App kaufte – steht somit 1password in nichts mehr nach, da auch mehrere Links für einen Eintrag möglich sind). Strongbox reicht aus, wenn man Safari als Browser nutzt. Wenn man Firefox nutzt, muss man leider noch einen anderen Client nutzen (ich verwende KeepassXC https://keepassxc.org/ ). Man kann beide Apps bei gleichem Tresor gleichzeitig nutzen. Wenn einer einen Eintrag lscht, ändert oder hinzufügt, erfährt dies die andere App.
Mögliche Unsicherheit bei 1password mit Cloud-Funktion: Theoretisch ist es sehr sicher, aber praktisch ist immer der Argwohn, ob die nötige Extension in Safari/AddOn in Firefox nicht evtl. doch (aus welchen Gründen auch immer) die geheime Passphrase (wie Schlüsseldatei bei Keepass) und das Hauptpasswort nicht doch irgendwoanders hin geschickt wird. Agile Bits, die 1password produziert, ist letztendlich eine kanadische Firma und Kanada gehört zu den Five Eyes. Deshalb gibt es immer eine gewisse Befürchtung, auch wenn die praktisch höchstwahrscheinlich nicht der Fall ist.
Vorsicht: Dass ich Keepass empfehle, bedeutet nicht, dass Enpass, Bitwarden oder andere schlecht sind. Diese scheinen bequemer zu sein, aber evtl. etwas unsicherer als Keepass mit gut gewählten Einstellungen. Allerdings muss man sich dort weniger darum kümmern gute Einstellungen zu suchen und zu finden. Das Addon von Bitwarden für Firefox soll manchen „Sicherheitsforschern“ nicht sehr sicher sein, aber sicher weiß ich das selbst nicht und evtl. wurde die gefundenen Unsicherheiten bereits beseitigt. Ich rate lediglich nicht Lastpass zu nutzen wegen mittlerweile vielen Einbrüchen. In den Medien kam allerdings nicht offensichtlich heraus, dass Anwender von diesen Lücken Nachteile erfahren haben. Evtl. wurde dies auch zu sehr in den Medien betont. Wer bei LastPass ist, dem rate ich zu einer Alternative (sogar 1password scheint sicherer als LastPass zu sein).
Ein Blogpost als Kommentar? Kann man machen. Cool :-)
Bin auf Bitwarden mit eigenem verwalteten Tresor (NAS) umgestiegen und bin glücklich.
Klingt interessant. Gibt es denn eine Möglichkeit einen Datensatz von 1Password 7 zu importieren?
https://bitwarden.com/help/import-from-1password/
Ich lese hier oft von negativen Berichten zu Electron.
Meine 1P app läuft auf allen devices stabil.
Was genau ist denn das Problem?
Auch in Artikel wird ja die vermisste Stabilität genannt.
Nenn es „Sippenhaft“: es gibt Beispiele, in denen eine Electron-App gut umgesetzt wurde und stabil läuft, 1Password gehört anscheinend dazu (Visual Studio Code z.B. auch). Dafür aber auch Beispiele, die problembehaftet, ressourcenhungrig und/oder instabil sind. Teams (ist mittlerweile nativ?) ist so ein Beispiel, das lief wirklich gruselig. Generell halte ich es für fragwürdig, immer eine eigene Chrome-Instanz für eine Webapp laufen zu lassen, aber jeder wie er mag. Ich bin mittlerweile bei Strongbox als Keepass-Aufsatz gelandet – es fehlt noch an ein paar Kleinigkeiten unter macOS, unter iOS sehe ich den Unterschied nicht
Danke dir cxli!
Ressourcenhunger ist das eine, die fehlende konsistente UX (speziell bei Verhalten von Tastenkombinationen etc) ist das andere.
Ja klar – oder auch die Probleme, wenn deine App „hardware-nah“ arbeiten soll (z.B. Bluetooth-Geräte wie Kopfhörer ansprechen). Immer wieder eine Quelle großer „Freude“. Ich würde auch eher zu einer nativen App greifen, wenn ich die Wahl habe. Aber das gilt eben nicht pauschal, es gibt auch Electron-Apps, die gut umgesetzt sind und ihren Zweck erfüllen.
Das würde mich auch brennend interessieren.
Bitwarden oder Keepass. Andere gehen wahrscheinlich auch bei Bitwarden und Keepass sind aber Audit und analysiert Daten vorhanden.
Einfach Keychain von Apple nutzen. Kostenlos und eingebaut. Auch auf Windows nutzbar
Leider halt nicht auf windows ohne Admin (Geschäft PC) und auch nicht auf Linux
Hab nun ein keepass file in nextcloud in Kombination mit keepassium auf dem iPhone
Auf linux hab ich keepassXC
Die Keychain verfügt nicht einmal über 20 Prozent der Features, die ich mit 1P nutze. Alleine schon die integrierte 2FA über alle Geräte hinweg ist gold wert.
2FA ist im Schlüsselbund doch kein Problem. Läuft gut.
2FA gibt es inzw doch bei allen bekannteren Pwd-Managern, oder?
Es ist schon traurig. Auch ich habe 1Password damals noch als Einmalkauf erworben und habe es für seine Funktionen und schöne geordnete Oberfläche geschätzt.
Als dann irgendwann die Abos eingeführt wurden, habe ich so lange gewartet, wie es geht, musste dann aber 2 Jahre widerwillig zahlen, zwischenzeitlich probierte ich 4-5 Alternativen, aber keine kam da ran.
Letztes Jahr habe ich dann nochmal einen Versuch mit Bitwarden gestartet und mich intensiver damit beschäftigt. Ich bin dabei geblieben und muss sagen, mir persönlich fehlt es an nichts, aber das Wichtigste: alle Daten liegen bei mir.
Zur Sicherheit behielt ich den icloud 1Password Tresor, aber ich musste nie darauf zurückgreifen. Ich kann es nun endgültig löschen.
Gleiches Szenario, nur bin ich bei EnPass geblieben. Bisher alles schick. Nicht lokal, aber über OneDrive im Sync. Für mich auch ok.
Zucke immer zusammen, wenn ich hier Posts über meine Must-Have Apps oder Prozesse sehe.
„Was kommt jetzt wieder …? “
Siehe Sonos, Hue, EnPass, Spotify, etc.
Nervt mich langsam kolossal.
Immer der Schleudersitz im Nacken ;-(
Fühle mit Dir. Noch bin Ich bei „gekauftem“ 1password und sehr happy. Allerdings auch gestresst, weil Ich auf absehbare Zeit umziehen muss. Mich nervt das auch kolossal. Ich habe genug anderes zu tun, so dass ich mich nicht immer wieder darum kümmern möchte, wie ich grundsätzlich eine Herausforderung löse. Viele Sachen müssen einfach funktionieren. Wenn Ich neue Herausforderungen löse, schaue ich zuerst, was die opensource community bietet. Und zweitens, pb es lokal geht. Abhängig sein führt zwangsläufig in Probleme.
Ich kann die Entscheidungen von 1P in jedem einzelnen Fall nachvollziehen und bleibe der App treu.
Dito. Man muss nicht immer alles schwarz sehen. Ich nutze die Cloud seit Jahren und es funktioniert einfach. Server wollen bezahlt werden. Deren Service war bisher immer einwandfrei. Die Apps laufen tadellos und performant.
Über Statistiken etc. kann man sich jetzt streiten. Grundlegend wollen die Entwickler eben wissen wozu die App genutzt, welche Features ankommen und welche nicht und optimieren. Lieber so als eine App zu entwickeln die einfach jeden Mist mitschleift, weil 3 Nutzer es brauchen.
sehe ich auch so – für das Abo erhalte ich einen sehr Stabilen service, immer neueste Features. Das ist mir die paar Kröten im Monat wert!
Bei Sicherheit gibt es eigentlich keine Kompromisse, deshalb bleibt es bei aktuellen Stand 1Password. Finde den Weg der eingeschlagen wurde in diesem Fall auch komplett richtig. Gutes stabiles Produkt seit Jahren, was auch entsprechend finanziert wird/ist und damit auch garantiert, dass konsequent daran gearbeitet wird.
EWallet!
Das klappt wenigstens der Sync über wlan noch und ich muss nicht zwangsweise auf eine Cloud ablegen. Egal wie verschlüsselt es ist, es macht keinen die den Tresor dort abzulegen wenn man es auch lokal handhaben kann.
Eine cloud bringt vor allem Örtliche Redundanz, also zb bei stromausfall in der Region deines servers hast du deinen Sync verloren, bei ner cloud nicht, da die dann auch noch andere Standorte haben.
Das gleiche gilt auch bei Hardware defekts.
Mit inteligenter dezentralisierung wo jeder client auch host ist, also so mesh artig, wären diese Probleme natürlich auch lösbar
Also hinsichtlich der Stabilität von Enpass habe ich keine negativen Erfahrungen. Einzig die Synchronisierung mit der iCloud muss ich ab und zu neu autorisieren.
Enpass mit lokalem Tresor über NAS und WebDav synchronisiert funktioniert ohne Probleme.
+1
+1
Für die iCloud Synchronisation gibt es irgend einen Trick, damit sie gespeichert bleibt. Irgendwo ein Häkchen setzen. Google mal. Funktioniert bei mir nun seit 2 Monaten ohne Re-Login.
In dem Blogpost heißt es klar, dass die Telemetrie vorerst nur intern getestet und für Kunden nicht freigeschaltet wird. Außerdem soll es nach Aktivierung für Kunden auch die Möglichkeit zum Opt-Out geben. Das hätte im Artikel gerne Erwähnung finden können.
Genau. Das klingt hier zu sehr nach Panikmache. Schade.
Danke für diese Information!
Aktuell noch bei Einmalkauf mit 1PW in der Version 7.8.7. Und mit Little Snitch meinem Freund und Helfer ist nicht mit nach Hause telefonieren angesagt. Bitwarden lokal habe ich mir angeschaut. Es ist nicht schlecht, aber ich kann mich aktuell von 1PW noch nicht trennen.
+1
Lediglich das abschalten von Browser Plugins wird äußerst schmerzhaft.
Bis jetzt funktioniert es noch. Wenn das kommen sollte, werde ich wohl wechseln.
Und wenn man erst einmal einfach nicht aktualisiert?
Ich sehe jetzt kein Problem. Ich brauche geteilte Tresore, Windows Unterstützung etc. das bietet mir 1PW out of the box. Kein Gefrickel und ob meine lokal gespeicherten Daten wirklich sicherer sind, sei auch mal dahingestellt.
Frage von einem Unwissenden:
reicht die Apple-eigene Passwort-Verwaltung in macOS Monterey nicht aus? Die wurde doch von OS zu OS auch immer weiter entwickelt, oder seh ich das falsch?
Für vieles wird es ausreichen. Aber was ich mich frage: kann man Passwörter/Zugänge teilen? Also ein Shared Vault einrichten? Ich befürchte nicht. Die meisten die nicht Single sind, wird sowas vermutlich brauchen.
Ja man kann Passwörter teilen. Das geht. Nur brauch ich persönlich sowas nicht. Außer die Funktion fürs Teilen von WLAN Passwörtern.
Apple hat seine Passwort-„Verwaltung“ in den Einstellungen weit unten vergraben. Würde Apple eine App zur Verwaltung zufügen, wäre das für sehr viele ausreichend. Solange die Passwörter problemlos eingefügt werden, alles fein. Es kam aber schon oft vor, dass erstelle Passwörter anschließend nirgends zu finden waren und man in wiederholte „Passwort vergessen“ Schleifen gezwungen wurde. Oder das Passwort wird gesichert, aber ohne Benutzernamen, weshalb der transparente Login fehlschlägt. Zuletzt sind bei einem Diebstahl des iPhone mit ausspioniertem Zugangscode alle Passwörter für den Dieb offen.
Meine Hoffnung: Passkeys machen die vielen Passwörter irgendwann unnötig.
Diese Frage kommt auch mindestens einmal unter jedem Artikel über irgendeinen Passwortmanager. 1Password, Enpass usw. bieten deutlich mehr, als der Schlüsselbund von Apple. Das müsste einem auch sofort auffallen, wenn man sich mal Screenshots von z.B. 1Password ansieht.
Ein PW Manager bietet um Welten mehr als es Apple macht. Logins speichern auch für Programme die nicht Web-Basiert sind, Speichern von Server Zugangsdaten, Keys, Softwarelizenzen, wichtige Dokumente, PINs für KReditkarten, Versicherungspolicen und und und alles schön in einer App die nur dafür gemacht ist. Apples variante ist da nur rudimentär. Weiterhin kannst du – wegen der Cloud – das von Apple zu Windows zu Linux zu Mac zu Android syncen oder direkt über die Webseite darauf zugreifen.
Zum Glück habe ich mich schon vor Jahren von dem Produkt entfernt und nutze KeepassXC. In Verbindung mit syncthing auf allen Geräten.
+1
„Nach der Übertragung würden die Daten dann ‚de-identifiziert'“
Da fragt man sich doch, warum das erst nach der Übertragung passiert bzw. warum die Nutzeridentifikation überhaupt übermittelt wird.
Naja, Aggregation geht nicht mit Einzeldaten, also erst auf dem Server. Und Nutzeridentifikation ist auch über IP-Adresse o.ä. möglich, dass kann man frühestens serverseitig wegwerfen. Ist also nur eine ehrliche Aussage, die nunmal die notwendigen Gegebenheiten beschreibt.
Ich nutze noch das damals als Einmalkauf erhältliche 1Password 7 in Ver. 7.10.2 und bin aktuell damit noch sehr zufrieden. Funktioniert und synchronisiert auf allen Devices (iPhone, iPad, Watch und Mac) ohne Abo.
Ich verwende es seit ganz ganz vielen Jahren ohne Probleme. Seit dem Familienkonto für alle im Haushalt. Ich erkenne bis heute keinen sachlichen Grund zum Wechsel.
Nutzt jemand Sticky Password?
Die Kritiken sind nicht schlecht.
Bin mit SafeInCloud sehr zufrieden. Bietet vieles von 1Password. Und Felder lassen sich manuell zufügen oder löschen.
Meine Kunden und ich nutzen „Password Wallet“ von https://www.selznick.com, Einmalkauf, iOS, Android, Mac, Windows. 448Bit Verschlüsselung, seit über 20 Jahren am Markt. Einfach, aber sicher, so mag ich es.
Bei so kleiner Software bin ich mir persönlich immer unsicher wie gut die implementiert wurde und gleichzeitig wird die halt von keinem Sicherheitsforscher beachtet. Security Whitepaper gibt’s hier nicht, die Android-App wurde zuletzt vor 4 Jahren aktualisiert. Ich weiß nicht.
Witzig. Ich dachte damals schon, dass es genau in diese Richtung geht. Somit habe ich auch die Versionen von 1Password nicht mehr erhöht und bin noch beim Einmalkauf in der Version 4.6.xx geblieben. Funktioniert immer nochtadellos. Aber EnPass ist trotzdem noch eine alternative Absicherung. :D
Ganz allgemein, bin ich etwas skeptisch dem gegenüber, was man hier noch so für alternative Namen liest. Bin mir nicht sicher, ob die auch wriklich sicher sind. Ob sich die Leute vorher anschauen, wie die Software die Passwörter sichert? :/
Meine Daten haben nichts auf einem fremden Server verloren
Na, hoffentlich bist du dann auch nicht im Internet :D
If you use Safari and 1Password 7 for Mac, upgrade to 1Password 8 and get 1Password for Safari. If you can’t upgrade to 1Password 8 because your Mac has an older version of macOS, you can keep using the browser extension for Safari that’s included with 1Password 7 for Mac.
Also wenn die Safari Unterstützung bleib reicht es mir !
Ich finde die Umstellung seit 1Password 7 schrecklich.
Bin daher vor Jahren bei 1Password 6.9 stehen geblieben. Das läuft auch noch sauber ohne Kontozwang Lokal oder mit iCloud-Sync.
Stolz darauf? Sie nutzen damit lediglich eine tickende Zeitbombe. Wenn sie Glück haben, überlebt die iOS-/iPadOS- oder macOS-App die nächsten iOS-/iPadOS- oder macOS-Upgrades. Wenn nicht, können sie damit nicht mehr darauf zugreifen (also plötzlich alles unlesbar auf dem Gerät – evtl. lesbar auf einem anderen Gerät, falls sie daran gedacht haben). Und irgendwann werden die gravierenden Sicherheitslücken so gravierend oder zahlreich, dass jemand einbricht. Der/Die kann dann alles leserlich kopieren und löscht evtl. alles (auch die automatischen Backups der 1password-Apps). Was machen sie dann, wenn alles weg ist und evtl. sogar noch erpresst werden von dem/der Cracker (-in)? Stolz auf ihr eingegangenes Risiko zu sein, zeugt eher von Fahrlässigkeit. Deshalb empfehle ich schleunigst eine gute Alternative zu suchen und zu nutzen.
Es geht hier nicht um Stolz, sonder Praktikabilität und nicht jeden Trend der Hersteller mitzugehen.
Wir habe als Nutzer die freie Wahl was wir nutzen.
Die iOS App habe ich natürlich auch gekauft und da habe ich immer die aktuelle Version.
Insofern sehe ich da kein Risiko. Der Tresor ist damit nach dem neuesten Standard.
Es müsste also jemand Zugriff auf meinen mac haben, um dort die „alte“, nach Ihren Aussagen „unsichere“ App, anzugreifen.
Bin eigentlich sehr zufrieden gewesen mit 1Password 8. Allerdings finde ich Telemetrie in einem Passwort-Manager sehr unpassend. Schade. Ich teste gerade Bitwarden und werde mir auch mal Proton Pass anschauen, sobald das verfügbar ist. Beides Open Source, das sind schon mal gute Voraussetzungen, und Proton immerhin auch europäisch.