ifun.de — Apple News seit 2001. 23 657 Artikel
Pwned Passwords

Kennwort-Manager 1Password durchsucht Hack-Datenbank

Artikel auf Google Plus teilen.
35 Kommentare 35

Der Passwort-Manager 1Password wird die von euch gesicherten Passwörter zukünftig mit der Online-Datenbank Pwned Passwords abgleichen, in der über 500 Millionen Kunden-Kennwörter hinterlegt sind, die nach vergangenen Hacker-Angriffen auf Yahoo, Adobe, MySpace und LinkedIn im Netz auftauchten.

Schwachstelle

Die Funktion wird vorerst ausschließlich im Online-Portal der 1Password-Macher angebotenen (und setzt zum Zugriff hier einen entsprechenden Abo-Account voraus), soll langfristig allerdings auch in die nativen Anwendungen des Unternehmens integriert werden.

If your password is found, it doesn’t necessarily mean that your account was breached. Someone else could have been using the same password. Either way, we recommend you change your password. In future releases we’ll be adding this to Watchtower within the 1Password apps, so you can see your pwned passwords right in the 1Password app you use every day.

Die Datenbank-Abfrage ergänzt die bereits jetzt erhältliche WatchTower-Funktion der 1Password-App, die über öffentlich gewordene Schwachstellen bei den von euch eingesetzten Online-Diensten informiert und hier zur Änderung des hinterlegten Kennwortes auffordert.

Freitag, 23. Feb 2018, 16:17 Uhr — Nicolas
35 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
Rede mit!
  • Hoffe, das kann deaktiviert werden. Meine Passwörter brauchen nicht an irgendwelche Drittanbieter zur Prüfung und evtl. Speicherung weitergeleitet werden, vielen Dank.

    • So funktioniert das nicht.
      Dein Passwort wird zu keinem Zeitpunkt irgendwo hin gesendet.

      Ein sogenannter Hash deines Passwortes wird erstellt und danach sieht 1Password nach ob es den selben Hash auch in der Datenbank gibt.

      Der Hash alleine hilft niemanden in deine Accounts zu kommen, denn nur wenn man das Passwort kennt und nicht den Hash kann man sich irgendwo einloggen.

      • Es wird auch kein hash gesendet, schließlich kann 1Password gar nicht wissen welcher Algorithmus von dem jeweiligen Dienst genutzt wird geschweige denn wieviel Durchgänge durchgeführt werden und welcher Salt und Pepper hinzugefügt werden. Es wird nur der Benutzername (also meist die E-Mail Adresse) abgeglichen.

      • Es werden nur die ersten 5 Stellen vom Hash genutzt.

  • Na hoffentlich ist das abschaltbar. Nicht das der Onlinedienst die Anfragen in ein Logfile schreibt… Für nen bruteforce Angriff wäre dass ja dann das beste dictionary von allen aktuell existierenden Password Kombinationen ne Liste mit „aktiven“ Passwörtern zu haben

  • SuperToaster888

    Wird man das auch ausschalten können?

  • Ich glaube das ganze ist schlecht erklärt. 1pw benutzt die Datenbank. Lädt diese lokal herunter. Bzw. Vergleich wenn ihr einen online vault habt. Selbes Ergebnis nur der Prozess funktioniert denke ich andersrum.

  • Ist das ein verfrühter Aprilscherz? Ohne Einwilligung wär das ein Fall fürs Gericht! Fängt jetzt die ganze Welt zu spinnen an oder was ist los?

  • Die Kommentare hier sind…priceless…

  • Oh man Leute, ganz ruhig. Eure Passwörter werden nicht übermittelt. Es gibt Verfahren das abzugleichen ohne das eigentliche Passwort dafür zu verwenden.

  • Im zweifel verzichte ich lieber auf PW-Manager

  • Puh Leute, entspannt euch alle mal, die Macher von 1Password werden sich schon etwas bei der ganzen Sache gedacht haben. Es läuft folgendermaßen ab:
    Die Datenbank von Pwned Passwords hat alle bekannten Passwörter mit SHA1 gehasht.
    1Password erstellt nun den SHA1 Hash vom eigenen Passwort und sendet nur die ersten 5 Stellen (von 40) des Hashs an die Datenbank. Die Datenbank sucht nun nach allen Passworthashs die mit diesen 5 Zeichen anfangen und sendet alle zurück an 1Password. Nun vergleicht 1Password LOKAL den gesamten Hash mit den empfangenen Hashes und wenn ein Treffer dabei ist wird eine Warnung ausgegeben (das heißt allerdings noch nicht, dass das eigenen Konto wirklich gehackt wurde).
    Es muss also an keiner Stelle das Passwort über das Internet übertragen werden.

    • Das ist ja soweit schon mal schlau gedacht. Aber nun kann es ja sein, dass nur wenige Hashes nur mit den ersten 5 Stellen meines Hashes übereinstimmen. Oder im Extremfall nur ein einziger. Mein Passwort könnte also durchaus serverseitig offenbart werden (wo alle „gehackten“ Passwörter und ihre Hashes bekannt sind).

      • Naja wenn das so ist dann hast du ja einen Treffer und wirst sicherlich das Passwort in 1PW abändern. Also ich halte diese Funktion für sehr sinnvoll, denn es reduziert die Wahrscheinlichkeit für einen erfolgreichen „Wörterbuch“ Angriff.

    • Die ersteh fünf werte von dem Hash deines Passworts? Was ist das den für ein Mega Blödsinn.

      Ich habe mal gelernt, dass sich der hash wertet dem ändert bei den geringsten Änderungen.

      Von daher ist das für mich purer Blödsinn.

      Ich werde gleich zu keepass wechseln um irgendwelche Online API’s für mein Passwortmanager zu umgehen. Und verzichte dann lieber ganz auf ein Manager für mein Handy.

      Spitzen Idee 1passwort !!!!

    • Was ich hier lese „deutsche Mentalität nicht zu vertrauen“ absolut lächerlich.
      Ich werde nicht freiwillig zum gläsernen Bürger. So dumm muss man erstmal sein. Facebook arbeitet auch an einem Passwort Manager oder so ähnlich. Könnt ja das dann nutzen wenn raus ist.

      Also wenns um meine Passwörter und Zugänge geht möchte ich auf keinen Fall, dass jemand diese auf egal welche Weise abgleicht. Wir sind doch nicht in Amerika

      • @el_mari 1password ist schon viele Jahre im Geschäft und Datensicherheit ist schon immer deren oberste Prio, die beschäftigen sich intensiv mit Verschlüsselungsalgorithmen und veröffentlichen regelmäßig dazu Studien und whitepapers. Und jetzt hälst du die für geistig Beschränkt weil sie angeblich amateurhaft dein Passwort durch die Gegend schicken? Du hast es nicht einfach verstanden was und wie sie diesen abgleich machen

    • visse hat das exakt so erklärt, wie es auch bei Agilebits beschrieben ist (auf Englisch). Wenn ihr das nicht glaubt, dann überprüft bitte euer ungesundes Halbwissen.

  • Es wird immer schlimmer. Und damit meine ich nicht 1Password, sondern die Anwender.

    • … und hier bei ifun sind ja noch Leute, die sich im Ansatz etwas auskennen sollten. Bei uns in der Firma, haben die Kunden Angst, dass ihre E-Mail Adresse verkauft werden könnte und die Kollegen verstehen teilweise gar nicht, dass sie sich von der IT einen Einlauf abholen dürfen, weil sie Kettenbriefe untereinander verschicken. [Kopfschüttel]

      • Alina, und genau das scheint hier immer weniger der Fall zu sein. Die Zeiten, in denen sich hier überwiegend Leute bewegten, für die Apple und Computer nicht nur Lifestyle waren, scheinen allmählich vorbei. Das Gefühl unter Gleichgesinnten (auf gleichem Wissensniveau) zu sein, habe ich immer weniger. Und ich lerne weiß Gott auch noch immer was dazu, aber ein gewisses Level erwarte ich von den Lesern hier eigentlich schon.

  • Da steht nirgendwo, dass die eure Daten übertragen

    • Jenau.
      Es muss aber erstmal gejammert werden, weil alles so schlimm und die von AgileBilts gehen so sorglos mit unseren Passwörtern um.
      Ich denke, das (Jammern, erstmal nur das Schlechte sehen) gehört auch etwas zur deutschen Mentalität.

  • Ja aber ohne diesen Abgleich gäbe es doch gar keinen Bezug zu mir
    und meinem Passwort. Nur auf Grundlage des Passwortvergleichs
    würde ich doch dann ungewollt in das Visier eventueller Hacker
    geraden die rein zufällig an die ominöse Passwortdatenbank geraden
    sein könnten.

  • Was geht denn da ab? Erst ändert 1Password sein Vertragsmodell, sodass ich meine Passwörter aus der Hand geben muss und jetzt sollen die Passwörter auch noch mit irgendwelchen Datenbanken abgeglichen werden? Geht’s noch? Auf die Passwörter sollte eine einzige Person Zugriff haben, nämlich der Nutzer, der den Safe angelegt hat. Niemand sonst!!! Offensichtlich ist dies bei 1Password nicht mehr gegeben, sobald die Umstellung aufs neue Vertragsmodell erfolgt ist.

  • Super Sache :)

    Lustig, wie sich manche aufregen können weil sie den technischen Ablauf offensichtlich nicht nachvollziehen können…
    Ich bin und bleibe überzeugt von 1Password. Enpass mal kurz ausprobiert – aber nein Danke… 1Password ist das Geld wert.

  • Mein Güte Leute – regt euch mal ab…
    Bevor hier sinn freie Kommentare gepostet werden macht euch doch erst einmal schlau wie 1Password eure Daten schützt und wie das mit dem Abgleich überhaupt funktioniert.
    Bei den ganzen Kommentaren hier kommt man aus dem Kopf schütteln ja gar nicht mehr raus. Glaubt ihr wirklich die geben eure Kennwörter einfach so irgendwie weiter??
    Für mich ist und bleibt 1Password der beste Kennwortmanager den ich nach vielen Tests gefunden habe!

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 23657 Artikel in den vergangenen 6085 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2018 aketo GmbH   ·   Impressum   ·   Datenschutz   ·   Auf dieser Seite werben aketo GmbH Powered by SysEleven