Hallo Forum
ich trage mich mit dem Gedanken, mir Onepassword zuzulegen. Leider finde ich dazu hier keine Infos aktuelleren Datums, somit muss ich einen neuen Thread eröffnen.
Es gibt so viele verschiedene Preis-Modelle, dass ich nicht weiß, was ich mir denn nun holen soll. Da ist einmal von 10,99€ die Rede, dann 40,99€, dann wieder 69,99€. Extrem verwirrend.
Ich möchte gerne Passwörter, Kreditkarten-Daten, Notizen auf iPhone, iPad und Mac verwalten und natürlich auch synchronisieren.
Kann mir jemand mal sagen, welches Produkt ich denn nun kaufen muss/soll?
Danke für Eure Hilfe...
Oli

Hallo,

Tipp von mir: Safe +, der Passwort- und Foto-Safe für iPhone, iPad und Mac

Kosten >> Mac: 19.99 Euro >>
Kosten >> iOS: 2,99 Euro + (Zusatz max. 4 x 1,09 Euro)


Sync per Wifi, benutze ich schon seit mehreren Jahren auf Mac und iOS. Deutscher Entwickler, regelmäßige Updates und Top Qualität. Was will man mehr ... 👍

Ich verwende 1Password ebenso, aber da dort immer wieder von jährlichen Gebühren gesprochen wird, also einem Abo Modell, würde ich selber heute nicht mehr darauf setzen und es auch nicht mehr empfehlen.

Promac hat ja schon eine Empfehlung abgegeben.
Eine Alternative wäre eventuell noch Enpass , das habe ich zwar installiert aber noch nicht ausführlich getestet.

Ich teste gerade Enpass, und bislang bin ich recht angetan.

Die Bedienung läuft nicht ganz so rund wie bei 1Password, dafür ist die Synchronisation über eigene Server um Längen einfacher (ich verwende einen eigenen WebDAV-Server, es funktionieren aber auch diverse Cloud-Lösungen), und vor allem sowohl auf macOS als auch auf iOS über die gleichen Methoden möglich.

Enpass bietet keine eigene Cloud und kein Abomodell. Die iOS-Applikation kostet 10 Euro, macOS nichts - wer also nur zwischen Macs synchronisieren will, kommt gratis davon.

Ich habe 1Password jahrelang im Einsatz gehabt und war bis auf die Schwächen bei der Synchronisation generell sehr zufrieden damit. Abomodell und Cloud-Drängen seitens AgileBits haben mich allerdings verstärkt nach Alternativen suchen lassen, und nachdem man bei AgileBits auch noch kategorisch jede zukünftige Unterstützung von WebDAV ausgeschlossen hat (mit sehr fadenscheinigen bzw. eher nicht vorhandenen Argumenten) war die Schmerzgrenze erreicht.

Enpass kann übrigens die Formate fast aller anderen Password-Safes importieren. Lief absolut reibungslos.

Ich würde heute aus den obengenannten Gründen für 1Password keine Empfehlung mehr abgeben.

Bei 1Password wird das Abo verwendet um Daten mit mehreren Personen auszutauschen (Familie oder beruflich). Als Einzelperson ist das nicht notwendig.

Was isr eigentlich der Vorteil gegenüber dem Schlüsselbund von iOS und macOS?

Apple Notizen lassen sich übrigens auch schützen mit einem Passwort. Wenn das passiert, wird die Notiz auch verschlüsselt auf der Festplatte geschrieben.

Du verwechselst "Abo" und "Cloud".

Das Abomodell hat 1Password zwar zusammen mit der Teamsynchronisation eingeführt, es dürfte aber auch zukünftig der einzige Weg werden, 1Password zu synchronisieren. AgileBits drückt sich jedenfalls auf die Frage, ob es weiterhin eine Kaufversion geben wird, recht vage aus und vermarktet diese auch nicht mehr aktiv.

Ihre hauseigene Cloud-Synchronisation propagieren sie seit einiger Zeit als die Synchronisationslösung der Wahl. Andere Synchronisationsvarianten werden eher stiefmütterlich oder gleich gar nicht (WebDAV ) unterstützt, und auch da hält sich AgileBits bedeckt, was die Zukunft angeht.

Synchronisation zwischen iOS und macOS ist bislang entweder per Cloud oder per WLAN-Synchronisation möglich, aber auch da hält sich AgileBits die Option offen, zukünftig nur noch die Cloud-Lösung anzubieten. Die Synchronisation ohne public Cloud war aus meiner Sicht immer ein Schwachpunkt von 1Password. Es ging, aber nur mit ein wenig Hackerei.

Es gibt hierzu einige Diskussionen in den AgileBits-Foren, z.B. . Mein Eindruck ist, daß sich AgileBits einen Teufel um die Bedenken von Leuten schert, die ihre Paßwörter eben nicht in der Cloud haben und Software lieber kaufen als mieten wollen. Das ist ihre Freiheit als Unternehmen, und es ist die Freiheit des Kunden, es nicht mitzumachen und woandershin zu gehen.

Ich hatte jahrelang den "Pastor" von Markus Mehlau , habe dann wechseln wollen (weil Pastor Zeichenbeschränkung und keine interne Suchmöglichkeit hat) und dabei auch 1passwort gestreift. Es ist letztendlich an der Importmöglichkeit gescheitert. Hier hat Enpass ganz klar gepunktet. Die Daten liessen sich nicht nur sehr gut aus dem Pastor importieren, auch beim Strukturieren hat mir Enpass gut gefallen. Die Abgleichmöglichkeit über eine "eigene" Server-Lösung war dann letztendlich für mich ausschlaggebend.
Rein subjektiv kommt Enpass auch nicht so "wichtig" daher, hier hat mich das Gesülze von 1passwort doch ziemlich abgetörnt. Im Vordergrund deren Kommunikation scheint das Abo-Modell zu stehen. Bei Enpass hingegen ein zwar eher technischer, aber aus meiner Sicht erfreulich fundierter Ansatz im Vordergrund. Letztendlich waren es diese technischen Argumente, die mich seit rund einem Jahr sehr glücklich mit Enpass wurden lassen.

Ich würde an deiner Stelle vor jeder Kaufentscheidung erst mal einen Datenimport machen. Da trennt sich dann die Spreu vom Weizen!

Die Frage stelle ich mir auch immer, wenn ich von einem der Tools lese...ich glaube ich übersehe da irgendwas

Stell dir vor:
Ich breche bei dir ein und klau deinen Mac.
Rootpassword resetten.
Dein Accountpasswort über root Resetten.
Jetzt habe ich deinen Schlüsselbund.

Der Schlüsselbund ist aus meiner Sicht eine recht archaisch konzipierte Lösung. Ich kann da nicht nach meinen Wünschen Struktur reinbringen, zusätzliche Dokumente integrieren und er macht jedes mal Ärger, wenn ich über den Migrationsassi gegangen bin. Die Passwörter in Mail z.B. klappen dann nicht mehr und wollen sich auch nicht aktualisieren lassen. Ich bin deshalb dazu übergegangen, den Schlüsselbund nach jeder Migration komplett neu aufzubauen. Und bis auf ganz wenige Ausnahmen (iTunes, Screensharing) kommen da auch keine Passwörter mehr rein, die ich online nutze.

Gut, ganz so einfach ist es nicht - aber ich kann dann in Ruhe einen brute force machen.

Anderes Beispiel:
Wenn man auf einer Seite mehrere Hundert Accounts hat (nein, nicht MTN, aber z. B. google webmastertools), wird das mit Schlüsselbund schnell unübersichtlich...

Ich habe in 1Password mehr als nur die Passwörter liegen, zB. Seriennummern von Programmen etc. Und es ist aus meiner Sicht auch besser verwaltbar.

Aber schön wenn man mit den Bordmitteln auskommt, so spart man Geld.

Oliver Ramroth

Vom Funktionsumfang her ist 1password wirklich gut. Leider hat es bei zwei Geräten immer wieder Probleme gemacht. Dann habe ich mal Dashlane getestet. Nach einer kurzen Testphase habe ich dann gewechselt und bin total begeistert.

Ich bin mit SafeInCloud sehr zufrieden.

Auszug der Beschreibung von :
[...]
Synchronisiert werden kann auch hier untereinander, der Entwickler stellt neben Dropbox, Google Drive und OneDrive auch WebDAV zur Verfügung, sodass der eigene Server genutzt werden kann. Verschlüsselt wird die Datenbank dabei mit 256 AES. Der Entwickler stellt neben den Desktop-Apps auch Browser-Erweiterungen zur Verfügung. Für iOS-Nutzer schon einmal der Hinweis: eine rundum optisch erneuerte Version ist im Kommen. Wer den Spaß ausprobieren will: Auf dem Desktop ist SafeInCloud kostenlos und bietet Import- und Export-Funktionen.

Vielen Dank für die tollen Beiträge bisher. Ich denke, ich werde mir als erstes mal Enpass ansehen aber die anderen Tipps im Hinterkopf behalten.

Der Grund, warum ich weg vom Schlüsselbund will ist zum einen die von ratz-fatz angesprochene Instabilität des Schlüsselbunds. Nach einem MLB-Tausch oder einer Migration sprengt der sich selbst in die Luft. Dass er nicht Brute-Force resistent ist, kann ich dagegen vernachlässigen. Dafür kann ich mittels FileVault und Firmware-Kennwort noch ein paar Barrieren davor einbauen.
Aber dass ich schon nahezu gezwungen bin, den iCloud Schlüsselbund zu verwenden (und siehe meine Anmerkungen zu den letzten Find-my-Mac Angriffen, die iCloud ist auch nicht 100%ig sicher) wenn ich einen Schlüsselbund haben möchte, der bessere Überlebenschancen hat, ließ mich nach einer Alternative suchen.

Ansonsten möchte ich eben auch die von aqua01 besprochenen Inhalte wie Seriennummern und Aktivierungsschlüssel mit sichern und da ist mir die Kombination aus Schlüsselbund, Notizen und sicheren Notizen bisher ein Graus.

Ich würde mich freuen, wenn die Diskussion hier noch ein wenig weiter lebt, dann bisher waren viele gute Ratschläge und Nachfragen dabei, die ich vielleicht bisher auch noch übersehen habe. Und ich lerne auch immer gerne dazu

Lässt sich kaum vergleichen. 1Password ist für mich ein Tresor. Da kommen auch Dokumente rein, Lizenzen usw. Alles was man in der Zusammenarbeit und unterwegs beim Kunden braucht.

Du verwechselst Tatsache und düstere Prognose.
Bisher und im Moment ist es so wie ich sage. Ich kann auch nicht feststellen, dass der Sync über iCloud oder andere Dienste stiefmütterlich behandelt wird.

Ja, 1Pasword ist teuer. Sowohl im Einzelkauf als auch als Abo. Dafür wir einiges geboten. Der Support ist spitze und ständig kommen Updates, nicht nur mit Fehlerbehebungen sondern mit neuen Features, viele davon auf Kundenwunsch.
Wer nur ein paar Passwörter sichern will hat doch auch genügend Alternativen.

Ich möchte noch einen Vorschlag ergänzen: roboform.com. Kann man auf einem Gerät kostenlos verwenden; wenn man synchronisieren will, kostet es 19,95$ im Jahr. Ich habe es abonniert und bin sehr zufrieden, zumal es auch Browser-Plugins für die verschiedenen Browser beinhaltet.

So einfach ist das natürlich NICHT!
Beim Zurücksetzen des Benutzer Kennwortes wird das Kennwort vom Schlüsselbund natürlich NICHT zurück gesetzt. Heißt: Ich komme war an die Beutzerdokumente an sich heran (Wenn denn FileVault nicht aktiviert ist) aber um an den Inhalt im Schlüsselbund heran zu kommen, brauche ich nach wie vor das Kennwort. Habe ich das nicht, komme ich auch nicht an den Inhalt.

Klar kannst du den einen Bruteforce ausführen, wenn du die Schlüsselbund Datei hast, aber die ist im Falle von iCloud-Schlüsselbund mit einer 256-Bit-AES-Verschlüsselung gesichert.
1Password setzt ebenfalls auf eine 256-Bit-AES-Verschlüsselung und auch diese Datei könnte man mittels Brutforce angreifen.

Von daher sehe ich da am Mac OS Schlüsselbund keinen Nachteil.

Vom Funktionsumfang können anderen Tools natürlich deutlich mehr ...

Ich habe mir eben mal roboform angeschaut. Da ist eine Art Keylogger mit drin und der Anbieter schaltet die Software nur nach Registrierung frei. In den AGB steht dann, dass man sich mit regelmäßigen Infos per Mail einverstanden erklärt. Ich würde für meinen Teil so etwas nur ungern bei mir auf dem Rechner laufen haben. Andere Meinungen?

Enpass

Kaum ein Unterschied zu 1Password.
Wir nutzen beides ...

Da auch beim Logo kaum ein Unterschied zu 1Password ist, hatte ich ja den Verdacht es kommt aus China ...
Kommt aus Indien.

Das mache ich seit Jahren:
Mittels Festplatten-Dienstprogramm ein verschlüsseltes Image (sparse.image) erstellen.
Dort alles reinpacken (Seriennumern, Fotos von Seriennumern, Key-Files, total wichtige Notizen,... was auch immer).

Image kann man in die Cloud sichern und so synchron halten + ausserdem lokal auf einem USB-Stick am Schlüsselbund oder auf dem iPod.

Vorteil: image kann alles speichern, kann auf jedem Rechner entpackt/entsschlüsselt werden, braucht keine Software
Nachteil: image kann nicht auf einem iOS-Gerät entpackt werden

Weitere Nachteile: man kann nicht darin suchen, man kann nichts ausfüllen ...
Ich kenne auch Leute die schreiben ihre Passwörter in ein Word-Dokument und sind glücklich damit. Das ist doch eine Frage der Anforderung.

Natürlich kann man mit Spotlight ein Image durchsuchen, zwar nur wenn es offen ist, aber man kann.
Und da man in ein Image jede Art von Datei legen kann, kannst Du auch irgendwas zum "ausfüllen" haben, wenn es denn sein soll.
Vielleicht ist es ansatzweise paranoid, wenn ich meine wichtigsten Passwörter und Banksachen nicht irgendeiner Software anvertrauen möchte, auch wenn mir der Hersteller hoch und heilig versichert, dass nichts davon seine "nutshell" verlässt.
Aber alleine, wenn ich mir das allgemeine Wehklagen um das nun eingeführte Abo-Modell bei Onepasswort ansehe, hat die Image-Lösung doch wieder einen gewissen Charme...
Egal, war ja nur ein Vorschlag an Oliver.

Vorschläge sind immer gut!
Ich wollte nur ein paar mehr Nachteile gegenüber dem angefragt 1Password aufzählen und die bleiben trotz Deiner Argumente bestehen:
- Spotlight, sofern verfügbar, ist nicht so leistungsstark wie die interne 1Password-Suche
- Ausfüllen im Sinne von automatischem befüllen von Passwortfeldern

Und bitte nicht jeden Mist wiederkäuen: das Abo-Modell von 1Password ist nicht zwingend und wird auch nicht von jedem benötigt. Als einzelne Lösung mit iCloud-Sync ist das eine sichere und "günstige" Lösung.

@Peter Eckel:
Letztens gabs dazu ne Antwort:

Das sind immerhin mal gute Nachrichten. Da hat es dann wohl doch geholfen, daß ziemlich viele Leute im Forum ihrem Unmut Ausdruck verliehen haben.

Ändert allerdings leider nichts daran, daß die Synchronisation bei Enpass leistungsfähiger ist, und daß sich AgileBits in Sachen "Zukunft des WLAN-Sync" bedeckt hält und WebDAV kategorisch ablehnt. Ich fand den Preis für 1Password immer dem Funktionsumfang angemessen und war auch vom Support angetan, aber letztlich werde ich wohl dauerhaft zu Enpass wechseln, weil mir 1Password in Sachen Synchronisation auf eigenen Systemen verglichen mit Enpass zu viele Steine in den Weg legt.

Den WLAN-Sync haben sie schon einmal wegprogrammiert und heftige Prügel dafür bekommen. Ich glaube nicht dass sie das noch einmal ausprobieren werden.

Schon allein die Trennung von "allgemeinen" Passwörtern (firmenweit) und privaten Passwörtern ist ein Ding der Fastunmöglichkeit.

Auch wenn ich mich hier als Fan von Enpass positioniert habe. Ich bin über das Wochenende auf "Safeincloud" umgeschwenkt.

Gründe:

Strukturierbarkeit der Datenbankeinträge. Enpass ermöglicht zwar, neue Datenfelder nachträglich dem Datensatz zuzufügen. Aber Safeincloud ermöglicht auch die nachträgliche Sortierung. (Falls das auch bei Enpass geht, habe ich diese Funktion nicht finden können).

Visualisierung der Datenbankeinträge. Enpass geht sehr großzügig mit dem "Screen-Estate" um, Safeincloud ist da wesentlich sparsamer. Enpass kann den Einträgen Symbole zuordnen, Safeincloud geht da einen Schritt weiter und übernimmt die Favicons der jeweiligen Website. Das macht es übersichtlicher.

Bearbeitung der Datenbankeinträge. Enpass ermöglicht nur einen geöffneten Datensatz (im separaten Fenster). Safeincloud ermöglicht hingegen mehrere (beliebig viele?) gleichzeitig geöffnete Datenbankeinträge und erleichtert das nachträgliche Zusammenlegen von mehreren Datensätzen in einen gemeinsamen Datensatz per Copy/Paste.

Import/Export. Nur Safeincloud kann offenbar eine "saubere" Exportdatei in "plain Text", bei der alle Umbrüche erhalten bleiben und auch die Umlaute und Akzente fehlerfrei sind. Man sollte meinen, das sei selbstverständlich. Ich habe diese Funktion bei allen anderen (von mir ausprobierten) PW-Managern nicht finden können. CSV ist eine Krücke! Mag sein, dass damit jemand hier klar kommt – ich jedenfalls nicht. An- und Abführungen, Umlaute, Akzente, Umbrüche: Alles ein Krampf im Arxxx.
Hinzu kommt bei Safeincloud die Exportmöglichkeit nach XML. Das habe ich zwar noch nicht ausprobiert, ist aber aus meiner Sicht ein weiterer Schritt in die Richtung, mit der Datenbank für die Zukunft gerüstet zu sein. Selbst wenn der smarte Russe irgendwann mal den Support für Safeincloud einstellen sollte – ich kann dann mit den Daten (über TEXT oder XML) wohin ich will.

Allgemeine Überlegungen zur Passwortverwaltung (meine Sicht auf die Dinge):
Schlüsselbund: Nehme. Ich. Nur. Für. Systemdienste.
LastPass: Hat aus meiner Sicht die beste Browser-Integration. Verwaltet deshalb alles im Web, speziell die Foren und andere Kommunikationsportale. Aber. Keine. Zugänge. Zu. Finanzportalen.
Safeincloud: Da kommt alles rein. Aber. Alles. Nur. Lokal. Ohne. Browser-Integration.

Diese Funktion befindet sich im dem Eintrag Bearbeiten Feld "Felder neu anordnen"

Meine Hauptgründe für Enpass: Der Preis ist fair (nur Mobilversionen kosten Geld) und es beherrscht WebDAV. So kann ich die verschlüsselte Datenbank über SSL auf meiner eigenen NAS hosten.
1Password hatte ich auch mal gekauft (für iOS und macOS). Die UI und Integration gefiel mir etwas besser als bei Enpass. Jedoch konnte es damals kein WebDAV (kann es das heute eigentlich?). Auch war es mir zu teuer mir alle Nase lang neue Versionen für alle 4 Betriebssysteme auf denen ich es verwende kaufen zu müssen (nutze Enpass auf ~10 Client-Systemen).

Nein, ist in meinen Augen aber auch nicht notwendig. Die Datei selbst ist verschlüsselt und bei gut gewähltem Masterpasswort kannst Du die Datei auch öffentlich ablegen.Dafür gibt es ja das Abo. Egal welche und wieviele Geräte - ein Preis.

Stimmt, eine gewisse Lernfähigkeit kann man den Jungs nicht absprechen.

Dennoch bleibt die Synchronisation die große Crux bei 1Password: Zwischen Macs nur über Krücken (Folder Sync auf geteilter Folder, mit gelegentlichen Konflikten), zwischen macOS und iOS nur über WLAN-Sync. Das können andere viel besser, und die AgileBits-"Lösung" (nimm die Cloud, dann wird alles gut) ist für mich keine.

Aber ich will 1Password wirklich nicht schlechtreden. Vom Synchronisationsthema abgesehen und wenn man die Zukunftsperspektiven außer Acht läßt, ist 1Password der beste Password-Manager, den ich bislang genutzt habe.

Akzeptiere ich, ist aber eine persönliche Einstellung und mM nach keine begründbare. Die Datei ist wie gesagt verschlüsselt und hält man sich an die Empfehlungen (gutes Masterpasswort und Inhalt öfters ändern) ist es völlig egal, wo sie liegt und wer sie in die Hände bekommt.

Ich will mir nicht extra einen Server dafür mieten. Dropbox & Co. mag ich überhaupt nicht (aus vielen Gründen) und mein iCloud-Laufwerk ist der im Durchschnitt unzuverlässigste Online-Speicher den ich je genutzt habe. Dagegen ist sogar mein selbst-gehostetes WebDAV-Laufwerk auf der NAS weitaus stabiler (zudem ich selbst bei Totalausfall auf ein Ersatzsystem ausweichen kann), Backups werden dort auch erstellt. Und nichts außer Enpass hat Zugriff auf das Laufwerk.
41 Euro pro Jahr! Das ist ein Vielfaches vom Preis von Enpass. Und wenn Apple oder die Entwickler den Preis erhöhen, wird es wieder teurer.

Ich synchronisiere den 1Password-Tresor über mein NAS zwischen Mac und Mac Book. Das geht über "EinstellungenSnchronisierung" und dann "Synchronisiere Tresor mit Ordner". Dieser Ordner liegt auf dem NAS und kann von beiden Rechnern gelesen werden. Klappt ohne Probleme und auf einem der beiden Rechner neu angelegte oder geänderte Passwörter sind im Nu auf dem anderen Rechner aktualisiert.

Die Synchronisierung mit dem iPhone/iPad über "EinstellungenWLAN-Server" ist da leider weniger komfortabel aber durchaus nutzbar.

@ratzfatz:
Benutze Roboform seit vielen Jahren, schon unter (un-)seligen Windoofszeiten und bin sehr zufrieden,
Da man zum Einloggen auf eine gespeicherte und gesicherte website ein selbst gewähltes Masterpasswort benötigt, ist die Absicherung m.E. sehr gut.
Zusatznutzen: Beim Klicken auf eine gespeicherte Webadresse wird auch gleich die Anmeldung ausgeführt - d.h., ich muss nicht noch extra meine Zugangsdaten eingeben.
Notizen lassen sich ebenfalls einfügen.

@ratzfatz:
Benutze Roboform seit vielen Jahren, schon unter (un-)seligen Windoofszeiten und bin sehr zufrieden,
Da man zum Einloggen auf eine gespeicherte und gesicherte website ein selbst gewähltes Masterpasswort benötigt, ist die Absicherung m.E. sehr gut.
Zusatznutzen: Beim Klicken auf eine gespeicherte Webadresse wird auch gleich die Anmeldung ausgeführt - d.h., ich muss nicht noch extra meine Zugangsdaten eingeben.
Notizen lassen sich ebenfalls einfügen.

Da möchte ich mich kurz anhängen. Genau aus dem Grunde habe ich mich nun für Dashlane entschieden. Die Lösung liegt gesichert in der Cloud. Ich gehe davon aus, dass die Experten von Dashlane viel mehr von Sicherheit verstehen als ich. Alle meine Geräte funktionieren damit einwandfrei und sind immer topaktuell. Für den Preis bekomme ich eine sehr gute Lösung.

Ich nutze es seit es möglich ist mit 1Password und hatte noch nie Probleme. Wenn Apple nicht gerade einen Totalausfall der iCloud hat ist ein Passwort, das am Mac angelegt wurde sofort auf dem iPhone oder iPad.
Selbst wenn man die vermutlich eh vorhandene iCloud oder kostenlose Dropbox für sonst nichts nutzt, dafür ist es allemal gut.

Ich hatte andere Erfahrungen mit der iCloud.
War allerdings dann eh obsolet als ich den Passwortmanager auch unter Windows nutzen wollte. Bei Dropbox wurden 2012 meine Benutzerdaten geleakt. Seitdem meide ich den Laden.

Ich habe mal den Testmonat aktiviert. Habe das über iOS gemacht.
Jetzt kostet das danach 4.49 Euro im Monat. 2.99 $ wären aber was weniger...

Hab mir heute mal eine Testumgebung mit Enpass und Webdav eingerichtet, gefällt mir gut, mal sehen wie lange ich noch bei 1Password bleibe

Auhauerha ... "keine begründbare" Einstellung ist weit ausgeholt.

Die Einstellung ist selbstverständlich sehr wohl begründbar, und das auch sehr einfach: Zum einen sind die Schutzmechanismen von 1Password auf dem Papier zwar schön anzuschauen, aber da es sich nicht um ein Open Source-Produkt handelt nicht verifizierbar. Dem kann man mehr oder weniger Wert beimessen, klar.

Das einzige, was bei einer public Cloud-Lösung also zwischen meinen gesammelten Paßwörtern (es sind einige hundert, teils ziemlich kritisch) und der Veröffentlichung steht, ist ein nicht verifizierbares Verschlüsselungsverfahren und die Sicherheit der betreffenden Cloud-Lösung. Daß letztere ggf. nicht überschätzt werden sollte, haben ja nun diverse Zwischenfälle mit verschiedenen Cloud-Providern in den letzten Jahren gezeigt. Von den Durchlässigkeiten, von denen wir nichts wissen (NSA und Co. unter anderem, da gibt es aber noch ein paar mehr Kandidaten), mal ganz abgesehen. "Cloud" ist nur ein euphemistischer Name für Rechner, die man nicht im entferntesten unter Kontrolle hat.

Und genau diesen Risikofaktor kann ich ausschalten. Vollständig. Ein internes System im eigenen Rechnerraum, das keinerlei Verbindung zum Internet hat, ziehe ich eindeutig jeder externen Cloud-Lösung vor. Daß das ganze zusätzlich zur eingeschränkten Zugänglichkeit auch ansonsten nach dem Stand der Technik abgesichert ist, ist selbstverständlich.

Das ist kein diffuses "so mag ich das aber lieber", sondern die simple Ausschaltung einer Risikokomponente.

Das scheitert an verschiedenen Punkten.

Das mit dem Einbrechen geht sogar noch einfacher, ich bin oft mit dem Ding unterwegs. Dafür muß man sich die Finger nicht schmutzig machen.

Aber dann fängt der Ärger an:

Dazu mußt Du erstmal das Firmware-Paßwort und die Plattenverschlüsselung überwinden. Das wird schon mal eine Weile dauern.

Geht, bringt Dich aber nicht viel weiter - das Paßwort für den Schlüsselbund mußt Du separat umstellen, also ist Brute Force angesagt. Da ich meine Paßwörter kenne, hoffe ich, daß Du viel Geduld hast. Ich versuche das manchmal zum Spaß selbst. Bislang immer ohne Erfolg.

Aber auch da ist wieder alles, was zwischen einem Schlüsselbund in der Cloud und einem potentiellen Dieb steht, die Sicherheit der Schlüsselbund-Verschlüsselung (unverifizierbar) und die Sicherheit der Cloud (siehe oben).

Laß die Cloud weg, und das System wird sicherer. Nur daß mir im Fall des macOS-Schlüsselbundes gerade keine Möglichkeit in den Sinn kommt, diesen ohne iCloud zu synchronisieren.

Ich möchte mich mal kurz in diese Diskussion einklinken.
Hat schon mal jemand Erfahrung zum passman der Nextcloud?

Peter Eckel

Du sprichst im Zusammenhag mit Cloud-Lösungen von NSA & Co. und gleichzeitig von absoluter Sicherheit in Deinen Räumen ... arbeitest Du im Atombunker?
'tschuldigung, ich beiße gerade in den Teppich vor lachen. Das sind für mich keine belastbaren Argumente. Wer sich von Geheimdiensten verfolg fühlt sollte überhaupt keine Passwörter auf ein elektronisches Gerät speichern.
Für alle andere gilt, eine verschlüsselte Datei muss A erst mal gestohlen werden und B entschlüsselt. Selbst mit großer Rechenleistung sollte das ein bisschen dauern. Hält man sich an die Vorgaben (unter anderem) von 1Password, sind die Inhalte bis dahin ungültig.
Wenn Du allerdings von Lücken ausgehst, gibt es mM nach überhaupt keine Argumente für oder wider das eine oder andere System. Gerade im OpenSorce-Bereich sind in letzter Zeit immer wieder Lücken aufgetreten, von denen keiner weiß, wie lange sie schon ausgenutzt wurden. Hier muss jeder für sich entscheiden und keiner kann behaupten die bessere Wahl getroffen zu haben. Ich fühle mich z.B. bei einem kanadischen Unternehmen besser aufgehoben als bei einem indischen und bei einem schweizer besser als bei einem russischen. Vorurteile? Mag sein, auf jeden Fall nicht mehr als Bauchgefühl.

Nein, das tue ich nicht. Verdreh mir bitte nicht die Worte im Munde. Danke.

Ich habe im Gegenteil sogar explizit geschrieben, daß ich mit den Ausführungen eben nicht primär auf dieses Thema abziele. Dachte ich jedenfalls, kam wohl nicht so an. Die realen Risiken der Cloud-Lösungen fangen auf viel trivialerem Boden an.

Es gibt natürlich für und wider beide Systeme reichlich Argumente. Du willst oder kannst sie nur anscheinend nicht zur Kenntnis nehmen.

Ich sprach nie von einer kompletten Eliminierung jeglichen Risikos. Ich habe lediglich Risikofaktoren ausgeschaltet, die sich leicht ausschalten lassen und die vollkommen unnötig sind: Nämlich die "Cloud". Und ich habe diese für mich nicht kontrollierbaren Risikofaktoren durch für mich kontrollierbare ersetzt.

Daß gezielte Angriffe eines wo auch immer beheimateten Geheimdienstes auf diese Weise nicht abzuwehren sind, dürfte offensichtlich sein, wenn man sich mit dem Thema auch nur ein wenig beschäftigt hat. Aber globale Abschnorcheleien von Cloud-Diensten sind damit schon mal erledigt. Ebenso böser Wille von Angestellten oder Auftragnehmern besagter Cloud-Dienste, oder schlicht Dummheit/Nachlässigkeit der Betreiber selbst. Gibt es alles nicht? Träum weiter, wenn Du mit Lachen fertig bist.

Ja, im Open Source-Bereich sind Lücken aufgedeckt worden und werden auch immer wieder welche aufgedeckt werden, das ist einer der Vorteile von Open Source. Wer glaubt, fehlerfreie Programme schreiben zu können, ist sicherlich noch nicht weit über "Hello World" hinausgekommen.

Und ja, es hat in einigen Fällen auch verdammt lange gedauert - das indiziert Verbesserungsbedarf, keine Frage. Aber glaubst Du wirklich, daß die Damen und Herren Programmierer nicht quelloffener Software solche Fehler nicht produzieren? Ich wäre da skeptisch. Entdeckt werden sie allerdings seltener ... das finde ich jetzt nicht so beruhigend.

Zusammengenommen läßt es allerdings die Idee, sich wirklich nur noch auf eine einzelne Softwarekomponente verlassen zu wollen, um seine Paßwortsammlung vor Zugriffen zu schützen, noch weniger sinnvoll erscheinen. Wenn Deine Paßwörter nur von einem einzelnen Algorithmus geschützt auf einem ansonsten nicht vertrauenswürdigen Server liegen, dann bist Du genau einen Bug vom GAU entfernt.

Nö, vermutlich durchaus nicht unberechtigt. Ich finde euröpäische Provider (solange sie nicht in England sitzen ) ja auch vertrauenswürdiger als amerikanische. Und da, wo man einen Provider braucht, fällt die Wahl dann auch entsprechend.

Aber da, wo ich keinen brauche, ist kein Provider auch besser als ein schweizer oder isländischer Provider. Das ist eben der Punkt: Die Cloud ist unnötig für die Synchronisation von Paßwörtern, also kann sie aus dem Konzept entfernt werden. Klar kann ich meine Daten mit zig Mechanismen absichern, bevor ich sie in die Cloud lade. Aber sie sind dann immer noch irgendwo außerhalb meines Kontrollbereichs, und bei mir sind sie es eben nicht.

Ich stimme Dir dahingehend zu, daß das Betreiben eigener Infrastruktur sicher nichts ist, was jeder mal eben so macht - Paket installieren und gut, alles sicher, hab' ja Linux ... nope. So einfach ist die Nummer (leider) nicht. Aber ich kann Dir versichern, daß ich nach ein paar Jahren in dem Geschäft meine eigenen Konzepte schon ganz gut in Bezug auf ihr Sicherheitsniveau einschätzen kann.

Ich stimme Dir auch darin zu, daß ein guter Cloud-Dienst (verbunden mit einer realistischen Abwägung, was man nun in die Cloud laden will und was lieber nicht) in mancher Hinsicht sicherer ist als ein dilettantisch verwaltetes und gepflegtes eigenes System.

Aber Paßwörter? Wenn irgendetwas meines Erachtens nicht in die Cloud gehört, dann sind das Paßwörter. Egal, wie sie verschlüsselt sind. Das wäre von allen Daten so ziemlich das letzte, was ich aus der Hand gäbe.

Es ist eben eine Frage der Bequemlichkeit und anschließend der Abwägung, über welche Kanäle man seine Daten synchronisiert. Ich habe mich für eine Cloud-Lösung entschieden, sehe aber bei meinen eigenen Passwörtern den Wert der Daten dahinter nicht so hoch an.

Anders ist das bei Kundenpasswörtern und Dokumentationen. Die liegen nicht in der Cloud sondern ausschließlich lokal und wenn die das Haus verlassen, dann nur verschlüsselt. Und die Zugangsdaten zu diesen Servern würde ich auch nicht in die/egal welche Cloud laden. Das würde im Falle eines Datendiebstahls nicht einfach zu argumentieren sein

Ansonsten habe ich jetzt seit ein paar Tagen Enpass im Einsatz, nachdem ich zuvor mit der Free-Variante von OnePassword gearbeitet habe. Die hier aufgezählten Kritikpunkte kann ich nachvollziehen, rechtfertigen für mich aber nicht den wesentlich höheren Preis.

Safeincloud habe ich noch als weiteres Testobjekt im Hinterkopf. Mal sehen, was dann letzten Endes mein persönlicher Favorit wird.