Hallo zusammen,

ich nutze 1Password, wie sicherlich so einige hier. Mich würde interessieren, wie ihr eure Passwörter zwischen Mac und iDevices synchronisiert? Ist euch der Sync über iCloud sicher genug? Klar, ist über Wlan noch sicherer, aber der Komfort über iCloud ist schon ein angenehmer Vorteil.

Danke schon mal für Eure Antworten.

LG

Ich hab nur drei Antworten, die Du hundertpro nicht hören willst

1. Fehler: Bei der Betrachtung von "Sicherheit" anstatt auf Expertise auf Publikumsjoker bzw. Umfrage setzen

2. Fehler: "Klar, ist über Wlan noch sicherer". Stimmt nicht, wenn der Container vorher stark verschlüsselt wurde und der Schlüssel bei Dir liegt, dann sind beide Verfahren als identisch sicher anzusehen (das Problem mit iCloud und den normalen Appleschen Diensten ist hingegen: Apple nutzt starke Kryptopgrahie. Aber die Schlüssel liegen neben den verschlüsselten Daten, d.h. wer Zugriff auf den Server hat, hat mit bisserl Aufwand auch Zugriff auf die Daten)

3. Fehler: iDevices, grad mit GSM/3G-Technik an Bord: Die können heutzutage nicht als sicher angesehen werden (weil per Definition unsicher. Geheimdienstbefugnisse schon in den technischen Standards zementiert, Basebandprozessor mit Zugriff auf den Hauptspeicher, Keylogger unbemerkt möglich, Screencapture unbemerkt möglich, etc. pp.). Wer da drauf einen Kryptocontainer ablegt, hat schon verloren. Leider.

zu 3)
das stimmt sicher so, allerdings wird der Dateizugriff durch das mit DRM verschlüsselte Dateisystem doch stark erschwert.

Ich bevorzuge WLAN oder Kabel für den Sync sensibler Daten, auch wenn diese schon gut verschlüsselt sind und würde 1Password Daten niemals auf einem Server ablegen, egal wo, denn das ist mit Sicherheit leichter knackbar als bei mir lokal oder auf dem iPhone.

Hi Thomas,

du kennst dich ja gut aus. Danke für die ausführliche Antwort!

Was ich jetzt mache, weiß ich nicht. Ein Passwort-Programm nutzen, ist, wie Du erklärst, alles andere als sicher. Aber was ist die Alternative? Alles aufschreiben? Ich benutze einfach zu oft 1Password unterwegs, da hätte ich ein Problem, wenn ich die Daten nicht griffbereit hätte.

Vielleicht muss man den Kompromiss (leider) eingehen. Komfort, aber keine 100% Sicherheit.

Auf jeden Fall Danke für die Antwort.

Wenn mal jemand Deinen Dropbox Account hackt, dann hat er auch all Deine Passwörter.
Soll alles schon vorgekommen sein.

Die Datei, die 1Password in der Dropbox ablegt, enthält sämliche Passwörter im Klartext.

Viel Glück!

Ach so, von Dropbox war gar nicht die Rede.

Egal, dann wurde das am Rande wenigstens erwähnt.

Ich synce jetzt per Wlan. Aber das kann doch nicht sein, dass die Daten bei Dropbox offen liegen. Irgendwie kann ich mir das nicht vorstellen. Bist du da sicher?

Doch, iwie hatte ich das nur nicht erwähnt, gehört aber trotzdem zum Thema. Danke für die Info. Fände echt krass, wenn das wirklich so ist.

Laut meiner Recherche werden die Daten immer verschlüsselt, bevor sie auf einen Server gehen.

Ich nehme meine Aussage zurück.
Hab's gerade ausprobiert.

Auf jeden Fall war das früher so!

Da mir das Laden meiner sensiblen Daten in eine Wolke zu heikel ist (auch wenn ich glaube, dass niemand sie hacken würde - bloß wer weiß das schon), gehe ich den leicht aufwändigeren Weg und mach den Sync über Wlan. Die 2 Minuten sollte man doch schon aufbringen können und man ist letztlich auch auf der sichereren Seite.

Yep, gibt bei denen auch diverse FAQ-Einträge dazu:

Kurz wieder mal aus der Reihe "Aussagen, die niemand hören will":

Was bedeutet es denn, dass alles an Daten verschlüsselt wird, bevor es zu einem Cloud-Anbieter in den USA übertragen wird? In erster Linie, dass Du als User gar nicht weißt, was für Daten übertragen werden. Du mußt dem Hersteller der Software vertrauen. Und das witzigerweise obwohl der an dortiges Recht gebunden ist, d.h. zu Stillschweigen und Kooperation durch Erpressung/NSL gezwungen oder Bestechung überredet wurde. Wir schreiben 2014, wissen, dass genau das immer und immer wieder passiert und können das nicht mehr dümmlich lachend als Verschwörungstheorien abtun.

Wenn Du irgendeine Form von Cloud-Sync aktivierst (sei's Apple, sei's DropBox, Microsoft, Adobe, whatever), die automatisiert Daten auf Deinem Rechner mit der Cloud synchron halten soll, dann kommt noch was dazu: Auf Deinem Rechner läuft ein Hintergrund-Dienst, der sich meist direkt an Apples FSEvents-Mechanismus dranklemmt (also permanent gemeldet bekommt, wenn sich irgendwo auf Deinem Rechner eine Datei ändert), oft noch als root läuft (also sowieso mit Allmacht ausgestattet) und dem selbstverständlich gestattet ist, mit den (im Einflußbereich US-amerikanischer Gesetze respektive Geheimdienstpraktiken stehender) Server zu übertragen.

Ein Dienst, der mit hohen Privilegien läuft, sich an Deine Dateisystemaktivitäten direkt dranklemmt und vor Dir selbst verschlüsselt Daten mit Servern am anderen Ende der Welt austauscht. Das bedeutet die Nutzung von Cloud-Sync. Nicht mehr und nicht weniger.

Mein Alternative ist diese: Ich schreibe die paar Passwords, die ich auf dem iPhone wirklich brauche, in Secrets mobile. Da wird nix synchronisiert, und das ist in diesem Fall = verbesserte Sicherheit.

@ Thomas: Verwendest du dann überhaupt keine Cloud-Dienste?

@ Teorema: keine schlechte Idee. Nachdem ich meine Daten aber nicht mehr in der Wolke lagere, ist das Handhabe nahezu identisch. Denke, du willst damit ausdrücken, dass du es auch nicht über einen Cloud-Dienst machen würdest.

Die Handhabe meinte ich...

Und jetzt mal bitte in Klartext von Herrn Kaiser:
Unter welchen Umständen sind meine Passwörter denn mal sicher?
Wann kann ich davon ausgehen, dass keiner mein OnlineBanking Passwort mitlesen kann, wenn ich mich gerade mit meiner Bank verbinde?
Wann kann ich davon ausgehen, dass mein Customer-Account nicht mitgelesen wird, wenn ich mich bei Online-Versandhandel XY einlogge?
Wann kann ich davon ausgehen, dass meine Exchange-Logindaten wirklich sicher sind, wenn ich mich mit meinem Firmen Exchangekonto verbinde?

Und anschließend bitte die Antwort, warum ich überhaupt Onlinedienste nutze, wenn diese sowieso alle gehackt werden können.

Ich denke, dass wir heutzutage das Problem haben, dass wir in der Onlinewelt der Normalsterblichen das Problem haben, dass fast alles kompromitiert werden kann, und wir uns überlegen müssen welche Dienste wir online nutzen. Da es meiner Meinung nach keine 100% Sicherheit gibt, solange wir uns online bewegen. Und bei den meisten Anwendungen beruht unsere Gefahr darauf, dass Krimineller XY in genau dem Moment den Server überwacht in den wir uns dort anmelden.

Das alles jetzt natürlich von eingefangenen Trojaner abgesehen. Wer es schafft sich so ein Ding einzufangen, der schiebt den Jungs natürlich sämtliche Daten zu.

"Verwenden" eigentlich nur, wenn ich sicherstellen kann, dass ich die Kontrolle über die Verschlüsselung (und die Schlüssel) habe und dass ich die Kontrolle über das habe, was in die Cloud übertragen wird.

Jegliches Cloud-Gesynce von Adreß- und Kundendaten kann man sich auf Basis der aktuellen Erkenntnisse schenken, wenn man -- wie wir als Firma -- an hiesige Datenschutz- und -weiterverarbeitungsrichtlinien gebunden ist. Folge: Von 100 GByte-Speicher alleine bei Adobe, die im CC-Abo dabei sind, sind bei mir 0 Byte genutzt. Mei...

Gute Frage. Aber warum sollte ich Dir das für Deine Paßwörter beantworten können?

Äh, dass SSL/TLS grad als ziemlich im Arsch betrachtet werden kann, sollte klar sein. Ich versteh nur leider nicht ganz den Zusammenhang zu meinem Geschreibsel, da Du mich ja direkt ansprichst.

Ich mein, Onlinebanking schön und gut. Aber eine als root (bzw. unter Windows als Admin) laufende Software auf dem eigenen Rechner, die andauernd verschlüsselt Daten mit irgendwelchen Servern, die nicht unter der eigenen Kontrolle stehen, austauscht... was ist das? Das kann die Backdoor-Komponente eines Botnetzes, einer kriminellen Vereinigung (wahlweise pervertierter Geheimdienst) oder der Endpunkt eines Cloud-Sync-Gedöns sein. Für den Anwender völlig intransparent bzw. nicht unterscheidbar.

Und Cloud-Dienste, die den Gesetzen bzw. im Zweifel ungesetzlichen Praktiken eines Systems unterliegen, das sämtliche Nicht-Staatsbürger per se zu Menschen zweiter Klasse, die sowas wie Menschenrechte bzw. irgendwelche Rechte pauschal verwirkt haben, stempelt... von denen will ich weder Software auf dem eigenen Rechner, schon gar keine, die privilegiert bzw. als root läuft, erst recht keine, die an die zentrale Schnittstelle andockt, an der alle Dateisystem-Aktivitäten gemeldet werden und erst recht nicht eine, die völlig unkontrolliert Daten Richtung Cloud-Anbieter (oder wohin auch immer) überträgt bzw. im klassischen Botnetz-Stil evtl. auch noch Befehle empfängt.

Das Schicke an so einer Software ist ja, dass sie der Anwender bei vollem Bewußtsein installiert, ihr die Allmacht verschafft, auf dem Rechner alles zu tun (auch wenn's 99,9% nicht mal bemerken, weil "keine Details bitte!") und auch noch die Erlaubnis erteilt, einen verschlüsselten Datenkanal ins Internet zu irgendwelchen Servern aufzubauen. Weil sonst funktioniert der Cloud-Sync ja gar nicht. D.h. sowas ggf. auch nur temporär zu mißbrauchen, ist extrem simpel, wenn man beim Anbieter des Cloud-Service andocken kann (sei's als Admin, sei's als jemand, der mit 'nem NSL herumwedelt). Irgendwelchen klassischen Obfuscation-Quatsch wie bei gewöhnlichen C&C-Strukturen kann man sich schenken, weil der gesicherte und vor dem User verschlüsselte Übertragungskanal "im Willen des Users" installiert wurde.

Perfekte Fernzugriff-Lösung (und von recht mehr schrieb ich eigentlich im letzten Beitrag gar nicht?) Meines Erachtens ist das was, über das man mal in aller Ruhe nachdenken sollte, grad als ITler. Und nicht unbedingt diese "Fernzugriff auf eigenen Rechner"-Thematik mit plumpen Frage-Antwort-Katalogen bzgl. "Sicherheit allgemein" "abwehren"... kann aber auch gut sein, dass ich Deine Intention komplett falsch verstanden habe

Ja, Dateien und Passwords gehen nicht über die Cloud. Für Kontakte, Termine, Erinnerungen und Notizen nutze ich iCloud, weil ich bei diesen Daten nicht der Meinung bin, sie besonders sichern zu müssen.

Also nie!
Oder schreibst du deine Cloud-Dienste incl der Verschlüsselung selbst ?
Oder prüfst du vorher den Quelltext ?

Mir geht es darum anzuregen darüber nachzudenken, dass die totale Sicherheit die jeder haben will, gar nicht realisierbar ist.
Und dass wir akzeptieren müssen, dass das leider so ist.

Um zur Ursprungsfrage zu kommen:
1. Ich nutze nur den Apple-Schlüsselbund für die Kennwörter die ich aus Komfort gespeichert habe.
2. diese werden NICHT per iCloud mit dem iPhone synchronisiert.

Würde ich 1Password und die Synchronisation nutzen wollen, so würde ich es per WLAN machen, damit es zumindest in meinem eigenen Netzwerk bleibt. Das ist auch nicht 100% sicher, aber besser als wenn die Daten durchs Netz geschickt und dort gespeichert werden.

Wie sicher würdet ihr denn 1Password generell bewerten?

Bisher nutze ich die Schlüsselbundverwaltung. Aber diese ist ja über das Mac Passwort erreichbar. Bin mir nicht sicher, ob da nicht 1Password die bessere Alternative wäre.

Cyco

natürlich sollte man nicht blind allem Vertrauen. Aber dann immer gleich mit der total verbuggten, unperformanten und schlechten Owncloud um sich zu werfen als Allzweckwaffe schafft nur noch mehr falsche Sicherheit als die Daten bei Google abzulegen!

bjoernt73:
Ich kann hier natürlich nicht für Thomas antworten, aber seine Überlegungen und meine Ansprüche an die Sicherheit meiner Daten decken sich mit den meinen weitestgehend, soweit ich das sehe. Entsprechend scheinen auch meine Lösungsansätze den seinen zumindest verwandt zu sein.

1. Keine Synchronisation von Passwörtern und anderen Zugangsdaten über irgendeine externe Lösung. Nie. Weder über iCloud, noch über einen privat gehosteten Server in irgendeinem Rechenzentrum außerhalb meiner eigenen vier Wände, weder in den USA noch in der EU noch sonstwo.

Mein Sync-Server für derlei ist nur von innen erreichbar, wird für nichts anderen genutzt und hat auch nur genau zwei offene Ports nach innen: 22 und 443. Ach ja, und unter Mac OS X läuft er auch nicht.

2. Hosting von Kalendern, Adressen, Mail etc. ausschließlich auf eigenen Servern, ebenfalls im Haus. Die sind aber natürlich zwangsläufig nach außen geöffnet, allerdings ausschließlich per SSL (was im Moment nicht unbedingt ein Riesen-Sicherheitsvorteil ist, auch wenn sämtliche Serversoftware gepatcht und sämtliche Zertifikate und Schlüssel ausgetauscht und natürlich alle Paßwörter geändert sind - war eine Sch...woche).

Mail ist möglichst zusätzlich verschlüsselt, bei kritischen Inhalten grundsätzlich - und in einigen Fällen auch nicht per S/MIME, sondern per GPG. Die Transportverschlüsselung ist fein und nützlich, aber nur die halbe Miete und, wie sich letzte Woche zeigte, kann sie sich auch schlicht als wertlos erweisen.

3. Repositories für Source Code, externe Webseiten und anderes relativ unkritisches Material, an das ich nicht alleine drankommen muß, das ich gern in Kopie off site habe, oder das schlicht und einfach ordentlich Bandbreite braucht, die ich hier nicht habe, befinden sich auf gehosteten Root-Servern, je nach dem auf verschlüsselten oder unverschlüsselten Filesystemen. Das Zeug könnte man teilweise auch in die 'Cloud' packen, aber ich wüßte nicht warum, zumal Root-Server nicht die Welt kosten und dann voll unter eigener Kontrolle stehen, soweit man das außerhalb des eigenen Kellers sagen kann.

4. Soweit möglich, nutze ich auch sonst keine Cloud-Services. Die derzeit einzige Ausnahme ist 'Find my iPhone|Mac' per iCloud, da die Funktionalität (insbesondere Fernsperrung/-Löschung von Geräten) nicht ohne weiteres anderweitig zur Verfügung steht. Den Rest kann Apple von mir aus behalten. Zudem: Kein Facebook, kein Twitter, kein Google+ (bzw. gar keine Google-Services - ich habe seit der Abschaffung der privaten Accounts dort nicht mal mehr einen Acocunt), kein WhatsApp ... tracken kann ich mich alleine.

Dazu kommen dann noch einige Maßnahmen in Sachen Firewall, Paketfilter, Proxies, SSL-Konfiguration auf Serverseite, abgeschaltete Plugins ... das würde sicherlich zu weit führen, zudem muß man ja nicht allen alles auf die Nase binden. Aber eines ist auf jeden Fall sicher: Es geht nicht ganz ohne Cloud-Services, aber fast.

Frowin:Eine gute (und schwierige) Frage.

Daß man einen Paßwort-Manager braucht, dürfte schwer zu bestreiten sein. Das Problem der Authentifizierung bei x verschiedenen Diensten ist leider ein bis auf weiteres nicht mit einer besseren Lösung übergreifend gelöstes, es bleibt mal wieder der kleinste gemeinsame Nenner - das Paßwort. Bei mir sind es nach Zählung der letzten Tage so um die 320, fast alle (behaupte ich mal) sehr sicher, und alle verschieden. Davon merkt man sich nichtmal eines, geschweige denn alle.

Ich habe mir seinerzeit verschiedene Lösungen angesehen und bin letztlich bei 1Password hängengeblieben, weil mir das Konzept und die Synchronisationsmöglichkeiten zusagen. Man muß sich allerdings immer darüber klar sein, daß man damit letztlich alles an einen einzelnen Nagel hängt, egal wie gut die Verschlüsselung ist und egal wie sorgsam man damit umgeht. Ein Fehler und es knallt - mächtig.

Für mich ist das gleichbedeutend damit, daß man, wenn man schon dieses Risiko eingeht, zumindest darumherum größtmögliche Sicherheit herstellt. Will sagen: Die Wege, auf denen der Datenblock mit den Paßwörtern sich von einem Gerät zum anderen bewegt, befinden sich komplett und ausschließlich unter meiner Kontrolle. Also keine iCloud, keine Dropbox, nichts derart. Zwischen Rechnern wird per OmniPresence und einen rein internen DAV-Server per SSL verschlüsselt kommuniziert, zu IOS-Devices nur über WLAN - und das auch nicht über öffentliche.

Was die Sicherheit der 1Password-Daten auf IOS-Geräten betrifft, ist ja auch schon einiges sinnvolle gesagt worden, unter anderem (mal wieder) von Thomas. Letztlich bleibt es eine Abwägung von Sicherheit und Bequemlichkeit, ob und ggf. was man zwischen stationären Rechnern und IOS-Devices synchronisieren will. 1Password unterstützt mehrere sogenannte 'Vaults' und synchronisiert derzeit nur den primären Vault mit IOS, das ist immerhin schon mal ein Weg, allzu kritische Paßwörter von IOS fernzuhalten. Aber meines Erachtens ist IOS derzeit das schwächste Glied in der Kette.

Die Frage ist doch eher, was kann der einfache Anwender tun um möglichst sicher zu sein, ohne Informatik, Kryptografie oder ähnliches studiert zu haben und nicht Monatelang Netzwerktraffik usw zu analysieren.

Nein ich rede hier nicht von Firmen und selbst der CCC war nicht in der Lage alle seine Server aktuell zu haben.

Doch, wenn ich vorher ein verschlüsseltes Archiv oder auch ein Disk-Image bzw. SparseBundle (besonders praktisch, weil man das am Mac wie ein Laufwerk mounten kann, irgendwas drin ändern, sich aber soz. "extern" nur ein paar "Bänder" ändern, die dann abgeglichen werden müssen) mit starker Kryptographie erzeuge, dann schiebe ich sowas auch mal auf irgendwelche Cloud- respektive Server-Storage im Netz ("Cloud" ist abseits irgendwelcher APIs, die direkten Zugriff auf den Storage ermöglichen, und wenn man traditionelle unter eigener Kontrolle stattfindende Transfermethoden wie scp/SFTP oder HTTP put/get/post nutzt, nix weiter als "Speicher irgendwo im Netz"). Schon quasi immer übrigens, das hat mit diesem ganzen Cloud-Quatsch auch gar nichts zu tun.

Aha, anhand der Reaktion kann man sich ja weitere Details vollständig sparen.

Fällt eigentlich immer noch kein Groschen, inwiefern es ein Unterschied ist, ob ich einem x-beliebigen Cloud-Anbieter das Äquivalent zu einer "Backdoor deluxe" einrichte (privilegierter Dienst, der an meine Daten darf und die Erlaubnis hat, vor mir verschlüsselt mit mir nicht bekannten Servern im Internet, deren Betreiber nicht an hiesige Gesetzte gebunden sind, zu kommunizieren bzw. im Zweifelsfall irgendwas, von dem der ahnungslose User vor dem Rechner nicht den Hauch einer Ahnung hat, anzustellen) oder wie früher auch schon irgendwelchen Storage im Netz nutze?

Ich reite die ganze Zeit nur auf diesem einen Punkt rum und darauf, dass man iGadgets schon mal per se nicht trauen kann (weshalb sie nicht die beste Aufbewahrungsvariante für sowas Sensitives wie einen Krypto-Container sind, vor allem, wenn der dort genutzt wird... weil: Keylogger, Screencapture, RAM zugänglich von "OS unterhalb OS", dem Baseband-Prozessor). Aber die beiden Punkte kann man natürlich gerne "verwässern" bzw. auf Sicherheits-Fatalismus machen.

Owncloud hab ich noch nie benutzt (wozu auch?) und hier im Thread bist Du der erste, der das Wort erwähnt. Um was geht's eigentlich?

Peter Eckel

ich hoffe du hast keine Android-Geräte in deinem Netz, denn die haben bis vor kurzen noch das WLAN-PW unverschlüsselt lokal abgelegt und auch unverschlüsselt zu Google übertragen.

Nur mal so als Beispiel

Evtl. verwechselst Du mich, ich habe noch nie jemandem OwnCloud empfohlen.
Ich habe mich gegen die Synchronisation von Passwörtern ausgesprochen.
Und ich habe darauf hingewiesen, dass man als "Normalanwender" nie eine 100% Sicherheit bekommt, da man auch entsprechend auf die Sicherheit der Anbieter angewiesen ist, die man selber weder überprüfen noch verbessern kann.
Und selbst eigene Dienste in den eigenen Räumen sind nicht 100% sicher. Denn ich kenne niemanden der in der Lage ist(oder den Aufwand betreiben möchte), jede Software die er einsetzt auf ihre 100% Sicherheit zu überprüfen.

In vielen Bereichen können wir uns nur darauf verlassen, dass die Programmierer sauber gearbeitet haben.
Zumindest können wir ein wenig die Sicherheit verbessern indem wir darauf achten, wo wir unsere Software her holen. Was bedeutet, nach Möglichkeit immer vom Hersteller und nicht von irgendeiner Drittanbieter-Downloadseite. Immer darauf achten, wann und wo wir unsere Passwörter angeben, und bei geringen Zweifel, lieber erstmal abwarten und prüfen.

Thomas Kaiser

das zeigt aber auch das es ein erheblichen Aufwand bedeutet sich sicher zu fühlen und dann kommt der nächste SSL-Fehler oder dergleichen!

Sicherheit ist wichtig. Nicht per se allem vertrauen, auch Apple nicht, ist wichtig!
Aber man muss auch die Kirche im Dorf lassen mit dem Aufwand den man treibt und sich in einer Sicherheiz zu wähnen die es definitiv NICHT gibt!

Cyco

nein ich verwechsle da niemanden
Aber ich habe es in letzter Zeit hier und in anderen Foren/Blogs so oft gelesen das OwnCloud alle Probleme löst das es einem schlecht wird... sorry wenn das falsch rüber kam.

Kein Thema

Und ja, das habe ich in letzter Zeit auch so oft gelesen, dass es mir zu den Ohren raus kommt.
Es wird Normalanwendern empfohlen sich Zuhause OwnCloud einzurichten inkl. Portfreigaben um von außerhalb darauf zu zugreifen.
Und ich bezweifel, dass der Großteil der Normalanwender wirklich weiß was er da macht, und durch Consumer-Hardware eine Sicherheitslücke in sein Netzwerk reisst.
Dann kommen Dings hinzu wie die Faulheit Standard-Passwörter zu ändern, oder im gesamten Netzwerk das gleiche Admin-Passwort zu verwenden.
Da kann es schnell dazu kommen, dass iCloud eigentlich sicherer gewesen wäre, als sich als Laie einen eigenen Serverdienst aufzubauen.

bjoernt73:Das größtmögliche Maß an Datensparsamkeit üben.

Sorry, das ist die einzige Antwort, die man wirklich guten Gewissens geben kann. Daten, die man nicht durchs Netz schiebt oder am besten gar nicht erst erzeugt, können auch nicht kompromittiert werden. Und das gilt um so mehr für diejenigen, die sich nicht selbst um die Sicherheit ihrer Daten kümmern können oder wollen: Entweder sie geben ihre Daten in die Hände dritter (und das sollten dann so wenige wir möglich sein), oder sie verzichten auf Bequemlichkeit.

Genau deswegen halte ich 1Password bei allen oben geäußerten Bedenken auch für eine brauchbare - nicht perfekte - Lösung zur Paßwortverwaltung: Man muß nicht synchronisieren, bzw. wenn man das will, geht es ohne Cloud. Nicht so bequem, aber es geht.

Auch wenn es da sicherlich Widerspruch gibt: Paßwörter haben absolut nichts in irgendeiner externen Cloud zu suchen, egal wie gesichert und egal was das Marketing an Sicherheit verspricht.

Cyco:Ja. Nein.

Ich habe selbst mehrfach OwnCloud als eine mögliche Lösung zur Synchronisation von Adreßdaten und Kalendern im Netz als bessere Alternative zur Synchronisation über iTunes und Kabel (Stichwort: Mehr als zwei Devices) empfohlen, und diese Empfehlung halte ich absolut aufrecht. Mac OS X Server tut es auch, wenn man das will.

Auf der anderen Seite würde ich niemandem, der nicht wirklich weiß, was er tut, empfehlen, irgendwelche Serverdienste für den Zugang von außen zu öffnen. Das ist grober Unfug und Leichtsinn, da gebe ich Dir hundertprozentig recht.

Aber es ist auch, und das ist der eigentliche Punkt, vollkommen unnötig. USB-Synchronisierung ging auch nur, wenn man daheim war, und das gleiche kann ruhig für eine interne serverbasierte Lösung gelten. Die Kalender sind ja nicht weg, wenn man nicht daheim ist - nur nicht unmittelbar synchronisiert. Eine leicht zu verschmerzende Einschränkung, wie ich finde.

Das trifft den Nagel auf den Kopf.

bjoernt73:Nein, habe ich nicht. Ich fasse sowieso nichts an, was von Google kommt, aus verschiedenen Gründen. Abgesehen davon gibt es andere Möglichkeiten, ein WLAN abzusichern als ein Paßwort, schau mal unter 802.1x nach (unter Mac OS als WPA2-Enterprise zu finden).

Und, übrigens: Blackberry hat da auch ein sehr originelles track record:

Hä? Um sich sicher zu fühlen, reicht's eigentlich, schon einigermaßen naiv zu sein?

Schön, ich bin dann raus, weil noch konsequenter kann man wohl nicht aneinander vorbeischreiben.

Letzte Wortmeldung in diesem Deinem Kontext:

Jemand, der sich Boxcryptor zulegt, fühlt sich voll sicher, weil er ja jetzt Dropbox mit eigener Verschlüsselung betreibt. An der Tatsache, dass jeder, der sich Dropbox inkl. automatischem Sync-Gedöns installiert, eine potentielle als root laufende Backdoor installiert, ändert das aber nichts.

Aber da sich diesem Aspekt, nämlich welche Dienste laufen auf meinem Rechner und kommunizieren verschlüsselt mit wem (also den verdammten Fokus mal wieder nahe auf die eigene Kiste legen und nicht auf das, was irgendwo in welcher Cloud auch immer liegt), wohl niemand nähern will... Endstation.

Ich hab hier zu keinem Zeitpunkt irgendwas Konkretes empfohlen (wie auch als ITler, der automatisch betriebsblind ist?) sondern nur paar technische Sachverhalte nebst gesellschaftspolitischer Randbedingungen als Gedankenanstoß reingeworfen. Völlig vergebens offensichtlich...

Willkommen in der Welt der Enduser.
Gelockt durch leere Versprechen mit tollen Angaben die ein Enduser nicht versteht.
- SSL
- 256Bit
- xyz
- alles sicher
- 500 Bekannte haben mir das empfohlen, und die kennen sich besser aus als ich selber.

Das sind die Dinge die sich in den Köpfen einbrennen, und wenn Du jemandem erklären möchtest, dass DropBox eine Hintertür ins System ist, musst Du erst einmal diese Gedanken mit der Brechstange entfernen.
Das ist auch der Punkt an dem wir IT´ler Betriebsblind sind. Für uns ist der technische Hintergrund bekannt, aber der Normalanwender tickt da etwas anders. Entsprechend ist es da nicht getan einem Normalanwender Dinge wie "BackDoor" nebenher zu erwähnen.

bjoernt73:Naja, SSL ist eigentlich ein sowieso extrem schlechtes Beispiel. So traurig das ist, die SSL-PKI-Infrastruktur konnte man auch vor Heartbleed nur als 'ziemlich kaputt' bezeichnen.

Viele der CAs befinden sich in Amerika und unterliegen damit amerikanischem Recht. Wenn die NSA, das FBI oder die CIA kommen und sagen, sie hätten gern ein Zertifikat von xyz.com, dann bekommen sie eines.

In jeder der CAs arbeiten X Leute. Selbst wenn wir annehmen, daß davon kein einziger korrupt ist, dann machen Menschen Fehler, und selbst eine kleine Wahrscheinlichkeit dafür steigt mit der Anzahl der Probanden schnell zur Gewißheit.

CAs können auch Unterzertifikate zur Zertifikatssignierung an Dritte ausstellen (und tun es auch), und was dann mit denen passiert, wissen nicht mal mehr die CAs selbst.

Ich habe irgendwann mal von einem Fehler in der Software eines hier nicht vollkommen unbekannten Herstellers gehört, die die Verifikation der Zertifikate praktischerweise gleich ganz aushebelte. Welcher war das noch ... auch solche Fehler passieren.

Seit Heartbleed sind mit an Sicherheit grenzender Wahrscheinlichkeit zig, wenn nicht zigtausend private Schlüssel und dazu passende Zertifikate in den Händen von Leuten, die sie eigentlich nicht haben sollten. Komischerweise ist die Anzahl der Certifikate Revocations aber nicht extrem gestiegen: .

Künstler wie die Jungs und Mädels bei StartSSL tun dann noch ihren Teil dazu, indem sie sich weigern, Zertifikate außer der Reihe unbürokratisch gratis zurückzurufen. Wie wahrscheinlich ist es, daß Leute, die sich ein Gratiszertifikat holen, das dann für 25 Dollar revoken lassen?

Überhaupt ... Revocations. Was macht das durchschnittliche Betriebssystem oder der freundliche Browser an der Ecke, wenn es oder er eine CRL nicht abrufen oder nicht mit dem OCSP-Server sprechen kann, per default? Weitermachen als wäre nichts gewesen. Ups.

Und wenn dann immer noch eine Zertifikatswarnung kommt, dann kommt Layer 8 ins Spiel ... "das drücken wir weg, sonst geht's nicht weiter". Dank den ganzen selbstsignierten Zertifikaten, die in der Wildbahn herumschwirren, ist man es ja auch so gewöhnt, und wie man z.B. auf sieht, gibt es tatsächlich auch von Leuten, von denen man erwarten sollte, daß sie es besser wissen, genau diesen Ratschlag:Ohne Bedenken. Genau. Bloß nicht denken!

SSL ist trotz allem ein Weg, die Sicherheit zu erhöhen, ohne Frage. Aber es ist nicht alein ausreichend, dessen sollte man sich bewußt sein. Sorglosigkeit ist jedenfalls nicht angezeigt, und nur weil eine Verbindung SSL-verschlüsselt ist heißt es nicht, daß ich alle meine Geheimnisse darüberschicken würde.

Thomas Kaiser: YMMD