Passwortmanager im Test: 1Password, LastPass, iCloud Schlüsselbund und SafeInCloud

Komfort und Sicherheit sind im Internet oftmals schwer in Einklang zu bringen – vor allem, was Passwörter angeht. Während Nutzer durch ihre Login-Daten auf Webseiten maximalen Schutz vor Fremdzugriff erwarten, sollen die Passwörter darüber hinaus aber auch möglichst leicht zu merken und tippen sein. Aus Bequemlichkeit verwenden diverse User sogar nur ein Kennwort für praktisch all ihre Online-Accounts.

Passwortmanager bieten eine praktische Lösung für dieses Dilemma, da sie Komfort und Sicherheit miteinander vereinen. Anwender brauchen sich nur noch ein Master-Passwort zu merken, den Rest erledigt die Passwort-App – so zumindest das Werbeversprechen viele Anbieter. Wie sieht es aber in der Praxis aus?

MacTechNews.de hat sich die vier Passwortlösungen 1Password, LastPass, iCloud-Schlüsselbund und SafeInCloud genauer angeschaut und verrät, auf welche App sich der Nutzer wirklich verlassen kann und wo Schwachstellen lauern.

Kommentare

Mecki
Mecki06.08.15 16:09
wobei die Täter zeitweise Zugriff auf bestimmte Nutzerkonten hatten.
Das ist sehr ungünstig formuliert, da man so den Eindruck bekommt, die Täter hätten eben vollen Zugriff auf diese Konten gehabt. Kein Täter hatte jemals Zugriff auf die gespeicherten Passwörter. Zugriff hatten die Täter auf eine Datenbank, wo E-Mail Adressen, Password Reminder und sehr sicherer Hashes gespeichert waren, die sich aus der E-Mail Adresse, eines zufälligen Salts und dem eigentlichen Passwort errechnen, dass dann in einem aufwendigen Verfahren 100'000 hintereinanderen gehashed wird. Warum so oft? Damit Angreifer sehr viel Rechenzeit aufwenden müssen, um auch nur einen einzigen Hash davon theoretisch knacken können. Aus dieser Datenbank konnten die Täter eben ein paar Einträge abgreifen (die genau Zahl ist nicht bekannt, man weiß nur wie viel MB es in etwa waren). Wenn es ihnen jetzt gelingt das Passwort zu erraten, indem sie eben zufällige Passwörter hashen (Salt und E-Mail Adresse haben sie ja, das Verfahren ist auch kein Geheimnis, jetzt müssen sie nur noch irgend in Passwort finden, dass mit dem Verfahren am Ende den Hash ergibt, den sie ja auch aus der Datenbank haben), dann könnten sich sich mit diesem (jetzt bekannten) Passwort auch die eigentlichen Passwortdaten holen (die sie ja bisher noch nicht haben, nicht einmal in verschlüsselter Form) und diese dann auch damit entschlüsseln. Wenn aber das Passwort halbwegs sicher ist, dann dauert so ein Brute Force Angriff auch mit einem sehr schnellen Computer Wochen um nur eine einziges Passwort zu bekommen. Und hat der Nutzer bis dahin sein Passwort geändert, dann war die ganze Arbeit völlig umsonst, weil dann bekommt man gar nichts mit diesem Passwort. Das ist auch der Grund, warum LastPass sofort alle Nutzer angeschrieben hat und gesagt hat, ändert bitte eure Passwörter.
0
Black Mac
Black Mac06.08.15 16:26
Schöner Vergleich, danke. SafeInCloud kannte ich noch nicht.

Was auch noch ein Kriterium ist: Wie zuverlässig werden Eingabefelder erkannt und ausgefüllt? Da würde ich gefühlt behaupten:

Platz 1: LastPass
Platz 2: 1Password
Platz 3: iCloud-Schlüssebund

Aber genau genommen ist der Artikel nur für Einsteiger interessant. Ich habe in 1Password zurzeit 213 Log-Ins. Automatische Übernahme zu LastPass funktioniert natürlich nicht. Und der manuelle Transfer führt zu einem Arbeitsaufwand, für den ich einfach zu faul bin.
P.S.: Apple kann keine Dienste.
0
Ronald Hofmann06.08.15 16:29
Ich kann mir nicht vorstellen einem russischen Programmierer die Kontrolle über meinen Passwort Pool zu übertragen. Wäre allerdings eine äusserst trickreiche Variante an meine Daten zu kommen.

Ich leide nicht unter Paranoia, aber ein Szenario, in dem mein Mac morgens um 3 Uhr urplötzlich erwacht um meine sensiblen Daten nach Moskau zu übertragen, scheint mir denkbar. Ich habe da leider einschlägige Erfahrungen gemacht. Und auch noch gratis soll das sein! Mit Speck fängt man Mäuse
0
CH
CH06.08.15 16:33
Für Paranoide bietet sich noch KeePass bzw. MiniKeePass für iOS an.

Arbeitet gut, Synchronisation im Zweifelsfall manuell, arbeitet auch mit WebDAV (z.B. Owncloud) und ist für nahezu jedes OS verfügbar.

Ch
0
donw
donw06.08.15 16:53
Gute Übersicht. Könnte man auch mal eine Umfrage daraus machen.
SplashID vermisse ich (obwohl es einmal genannt wurde)
0
maybeapreacher
maybeapreacher06.08.15 16:55
Derzeit bin ich mit Enpass richtig zufrieden. Ebenfalls AES256, sie benutzen den überprüften Algorithmus von SQLite. Unterstützt wird neben iCloud und Dropbox-Sync auch der Sync über einen eigenen Owncloud-Server. Außerdem: Mac, Windows, Linux, Android, iOS, WinPhone, ...

Ansonsten die KeePass-Familie, auch für alle Systeme verfügbar!
The day Microsoft makes something that doesn't suck is probably the day they start making vacuum cleaners. - Jan Ernst Plugge
0
darkov
darkov06.08.15 16:55
Black Mac
👍Lastpass hat noch zusätzlich Zwei-Faktor-Authentifizierung.
0
Black Mac
Black Mac06.08.15 17:16
darkov
Black Mac
👍Lastpass hat noch zusätzlich Zwei-Faktor-Authentifizierung.
Aber das braucht es ja auch nur, weil sich die ganze Sache bei LastPass im Browser abspielt, oder? Bei Dropbox ist der Client ja immer lokal. Oder habe ich etwas falsch verstanden?
P.S.: Apple kann keine Dienste.
0
Schweizer
Schweizer06.08.15 17:21
CH
Für Paranoide bietet sich noch KeePass bzw. MiniKeePass für iOS an.

Arbeitet gut, Synchronisation im Zweifelsfall manuell, arbeitet auch mit WebDAV (z.B. Owncloud) und ist für nahezu jedes OS verfügbar.

Ch

Ich nutzte auch KeyPass (OpenSource und MultiPlattform).
0
macmuckel
macmuckel06.08.15 17:33
Ronald Hofmann

Einem russischen Anbieter vertraue ich zumindest eher, als einem amerikanischen.
0
MacMichael06.08.15 17:43
Ich kann auch Wallet noch empfehlen, gibt es für OSX und iOS
0
darkov
darkov06.08.15 17:52
Black Mac
Dropbox? Die Daten sind auf einem externen Server. Hat aber auch zwei-Faktor-.....
0
Macsign
Macsign06.08.15 18:00
mSecure ist auch ein guter Passwort-Manager - sehr zuverlässig.
0
Black Mac
Black Mac06.08.15 18:09
MacMichael
Ich kann auch Wallet noch empfehlen, gibt es für OSX und iOS
Auf gar keinen Fall, das ist Abandonware! Die Apps wurden vor drei Jahren zum letzten Mal aktualisiert, genauso wie der Blog des Entwicklers. Ich finde es eine Frechheit, dass die iOS-App immer noch für 10.– und die OS-X-Version für 20.– verschachert wird.
P.S.: Apple kann keine Dienste.
0
yehtfs
yehtfs06.08.15 18:39
Hat jemand Erfahrungen mit PasswordWallet für Mac und iOS?
0
ratti06.08.15 20:06
Ronald Hofmann
Ich kann mir nicht vorstellen einem russischen Programmierer die Kontrolle über meinen Passwort Pool zu übertragen.

Russen stehlen Passwörter. Deutsche nicht. Oder weniger. Oder sind zumindest im Prinzip ehrlicher?

Wegen so einem bodenlosen Unfug brennen gerade Flüchtlingsunterkünfte! Weil die da draussen ja schlechtere Menschen sind.

Deswegen haben die Deutschen ja auch 27 Millionen tote Russen zu verantworten, wir guten, ehrlichen, deutschen Menschen.
0
Black Mac
Black Mac06.08.15 20:54
ratti
Ronald Hofmann
Ich kann mir nicht vorstellen einem russischen Programmierer die Kontrolle über meinen Passwort Pool zu übertragen.

Russen stehlen Passwörter. Deutsche nicht. Oder weniger. Oder sind zumindest im Prinzip ehrlicher?

Wegen so einem bodenlosen Unfug brennen gerade Flüchtlingsunterkünfte! Weil die da draussen ja schlechtere Menschen sind.

Deswegen haben die Deutschen ja auch 27 Millionen tote Russen zu verantworten, wir guten, ehrlichen, deutschen Menschen.
Was immer du auch für Medikamente nimmst: Setze sie ab, bevor sich dein Gehirn verflüssigt! Und packe deine verstaubte Nazi-Keule ein.

Ich traue auch keinen russischen und erst recht keinen chinesischen Programmierern. Das ist mein gutes Recht, und auch das von Ronald Hofmann und jedem anderen – und dafür muss sich auch niemand rechtfertigen.

Herrje!
P.S.: Apple kann keine Dienste.
0
Olivier
Olivier06.08.15 21:26
Kann ich auch empfehlen. Synch ohne Cloud möglich (Share auf NAS) zwischen mehreren Mac's.
Macsign
mSecure ist auch ein guter Passwort-Manager - sehr zuverlässig.
0
teorema67
teorema6706.08.15 23:35
Ronald Hofmann
Ich kann mir nicht vorstellen einem russischen Programmierer die Kontrolle über meinen Passwort Pool zu übertragen.
Tust du auch nicht, denn das AES256-Zeugs bekäme er nur mit großem Aufwand auf, außer du gibst ihm das Password. Und sein Ruf wäre ruiniert.

Ich vertraue russischen Programmierern, auch denen von Telegram. Auch denen, die sich nicht offen gegen Putin positionieren, wie es Andrei Shcherbatov tut.


Black Mac
Was immer du auch für Medikamente nimmst ... Ich traue auch keinen russischen und erst recht keinen chinesischen Programmierern. Das ist mein gutes Recht ...
Ist dein gutes und offensichtlich xenophobes Recht, aber da du die Kiste mit den Medikamenten ausgegraben hast, kann ich mir die Bemerkung nicht verkneifen, dass ratti sie absetzen und dir geben sollte
Printer Margins for the Homeless
0
Bart S.
Bart S.07.08.15 00:21
Ich habe sogar 2 Passworte laufen und komme immer durcheinander, da ich grundsätzlich immer das falsche Password erst eingebe. Das andere, welches für den Dienst, die Seite gerade nicht passt.
Please take care of our planet. It's the only one with chocolate.
0
CH
CH07.08.15 08:03
maybeapreacher

Enpass klingt auch richtig interessant. Danke für den Hinweis. Werde ich mir mal ansehen.
0
Ronald Hofmann07.08.15 09:55
Interessant auf welche Ideen Sie da kommen. Leider kann ich das nicht ernst nehmen.
Bei dem Unsinn den Sie schreiben kann ich gut verstehen, dass Sie Ihren richtigen Namen nicht angeben wollen.

MTN sollte dazu übergehen Klartextnamen zur Pflicht zu machen um solche Anwürfe einzudämmen.
ratti
Ronald Hofmann
Ich kann mir nicht vorstellen einem russischen Programmierer die Kontrolle über meinen Passwort Pool zu übertragen.

Russen stehlen Passwörter. Deutsche nicht. Oder weniger. Oder sind zumindest im Prinzip ehrlicher?

Wegen so einem bodenlosen Unfug brennen gerade Flüchtlingsunterkünfte! Weil die da draussen ja schlechtere Menschen sind.

Deswegen haben die Deutschen ja auch 27 Millionen tote Russen zu verantworten, wir guten, ehrlichen, deutschen Menschen.
0
Cupertimo07.08.15 10:59
Ich nutze seit Jahren mSecure und bin bis heute zufrieden damit.
0
ratti07.08.15 21:18
Black Mac
Ich traue auch keinen russischen und erst recht keinen chinesischen Programmierern. Das ist mein gutes Recht, und auch das von Ronald Hofmann und jedem anderen – und dafür muss sich auch niemand rechtfertigen.
Nicht nur, dass das nicht dein Recht ist. Es ist sogar Rassismus und Volksverhetzung. Nazikeule trifft Nazi.
0
ratti07.08.15 21:30
Ronald Hofmann
Interessant auf welche Ideen Sie da kommen. Leider kann ich das nicht ernst nehmen.
Bei dem Unsinn den Sie schreiben kann ich gut verstehen, dass Sie Ihren richtigen Namen nicht angeben wollen.
Da oben schriebst Du ganz klar, dass man einem russischen Programmierer nicht vertrauen könnte.

Wer hat also jetzt Unsinn geschrieben?

Ich arbeite seit Jahren mit Software-Entwicklern aus aller Herren Länder zusammen: Baltikum, Russland, Ukraine, Jordanien, Iran, Weissrussland, USA, Schweiz. Oftmals im Zusammenhang mit Payment-Funktionen oder dem Handling privater Daten. Schäm dich. Schäm dich einfach für den Unfug, den Du da von dir gegeben hast.
0
techie
techie12.08.15 12:06
Hallo,

was ist mit Dashlane? Das ist sicher einen Test wert, oder?
Hat jemand Erfahrungen?
0
JoMac
JoMac13.08.15 13:36

iPIN sieht auch interessant aus.
0
ibprivat16.10.15 14:37
@techie ich benutze Dashlane und 1Password, beide sehr gut aber dann auch teuer, werde mal Enpass probieren, weil mir die Idee gut gefällt...und an die "Nationalisten" und "hinter jeder Ecke lauert jemand"...die kommen aus Indien...mal sehen, was es dagegen zu sagen gäbe
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen