1Password - Mein Erfahrungsbericht

Sicher ist Sicher?

In diesem Beitrag versuche ich meine Erfahrung mit 1Password und generell das Thema Passwort Manager näherzubringen. Generell sei erst einmal gesagt, dass Du für jeden Account, den Du hast, ein separates Kennwort haben solltest. Als Beispiel sollten sich Deine Kennwörter für Amazon, Paypal, Online-Banking, Email-Account etc. alle voneinander unterscheiden.

Nun ist die Herausforderung, sich diese Passwörter auch zu merken. Klar, man kann diese im Klartext in eine Textdatei oder auf dem Handy in den Notizen speichern. Mit dieser Methode läufst Du aber Gefahr, dass diese Kennwörter von jemand drittes gelesen werden können. Die Lösung hier heißt ganz klar Passwort Manager.

Funktion

Der Gedanke hinter einem Passwort-Manager wie z.B. 1Password ist, einen Zugriff auf möglichst viele verschiedene Kennwörter mit nur einem „Master“-Kennwort zu haben. Dieses Master-Kennwort kann entweder ein Kennwort sein, ein Zertifikat, PIN, biometrisch oder eine Hardware-Lösung (Karte, Token, etc.) Die Kennwörter, oder auch Kreditkarten, Identitäten, Notizen und sonstige Zugänge (Internetprovider, Lizenzen), werden in einer verschlüsselten Datenbank oder Datei gespeichert. Die Daten werden entweder lokal auf den Geräten oder in einer gesicherten Cloud des Anbieters gespeichert. Zugänge, die dort hinterlegt sind, können nur durch die Eingabe des Master-Kennworts entschlüsselt und ausgelesen werden. Die Verschlüsselung bei den meisten Anbietern basiert auf AES mit einer Schlüssellänge von 256 Bit, somit nach derzeitigem Stand der Technik nicht nachzuberechnen.

In den Passwort-Managern werden nicht nur die Kennwörter verschlüsselt gespeichert, sondern auch die Benutzernamen, E-Mail, Zugangsnummern, etc. Das heißt, alles, was ich zum Beispiel bei der Registrierung eines Accounts auf einer Webseite eingebe, kann in dem Passwort-Manager gespeichert werden.

Der Sinn dahinter ist auch, nicht nur verschiedenste Kennwörter zu speichern bzw. zu verwenden, sondern auch verschiedene Benutzernamen und im besten Fall sogar unterschiedliche E-Mail-Adressen. Denn wenn ein Account einer Webseite kompromittiert werden sollte, haben Angreifer im besten Fall zwar nicht das Kennwort, jedoch Benutzernamen und E-Mail-Adresse deines Accounts. Und mit diesen Informationen lassen sich unter Umständen auch die E-Mail-Konten angreifen.

Information

An dieser Stelle möchte ich dir noch kurz den Online-Dienst „Have i been Pwned“ empfehlen. Hier kannst du durch einfache Angabe deiner E-Mail-Adressen oder auch Kennwörter prüfen, ob und wie deine Daten in die Hand Dritter geraten sind. Die Seite ist absolut seriös, deine Angaben werden über den Browser nicht versendet, nur ein Hashwert der generiert wird. Über diesen lässt sich nachvollziehen, ob und in welcher Form deine Daten „geklaut“ wurden.

1Password Have i been pwned — Have i been pwned?

Vorteile

Wie im oberen Abschnitt schon beschrieben, lassen sich mit einem Passwort-Manager diverse Logins, Accounts, Lizenzen, Notizen, usw. in einer Anwendung abspeichern. Schön ist hier auch die Cross-Plattform Fähigkeit der meisten Programme. Das heißt, du hast das Tool sowohl auf dem mobilen Endgerät (egal ob Smartphone [Android oder iOS], Tablet, Laptop, etc.) und deinen PCs. Aber auch in anderen Anwendungen selbst, kannst du auf die Passwort-Manager zurückgreifen. So bieten die Entwickler oft auch eine Browsererweiterung (auch für den Brave Browser, da dieser auf Chromium aufbaut) mit an, die den Nutzen im Web nochmal vereinfacht.

Beim Login auf einer Webseite, als Beispiel Amazon, werden dir Vorschläge gemacht, welche gespeicherten Logindaten für diese Domain passen. Dies ist ein großer Vorteil, so musst du keine Logins suchen, sondern werden dir direkt vorgeblendet. Du musst dann nur noch den Login anklicken und schon werden deine Anmeldedaten eingetragen.

Schutz

Diese Funktion ist auch ein Schutz gegenüber Phishing-Seiten. Wenn du nun aus Versehen oder per Mail auf eine Webseite geleitet wirst, die vorgibt zum Beispiel Amazon zu sein, jedoch unter einer anderen Domain betrieben wird (amaz0n.co oder ähnlichem). Kann es passieren, dass dir das vielleicht nicht direkt auffällt und du dich einloggen möchtest? Hier wird dir dann zum Beispiel 1Password keine Login-Daten anbieten und dies sollte dich dann stutzig machen.

Aber auch bei einer Registrierung auf einer Internetseite selbst unterstützten Passwort-Manager wie 1Password dich. So kannst du deine Identität dort abspeichern und wird dann vorgeblendet (diese musst du dann natürlich nicht verwenden). Auch bei der Eingabe bzw. beim Finden eines geeigneten Kennworts und dessen Komplexität können, dir solche Programme helfen.

Hilfmittel

In den meisten Anwendungen findest du einen Passwort-Generator. Der dir beim Finden eines starken Passworts helfen kann. So kannst du einstellen wie lang das Kennwort sein soll, welche Zeichen verwendet werden sollen. Diese generierten Passwörter musst du dir dann nicht mehr merken, das macht das Programm dann für dich.

1Password Passwort Generator — Passwort Generator von 1Password

Zusätzliche Unterstützung

Zudem ist in unserem Beispiel 1Password ein Partner von „Have i been pwned“ und hat diese Datenbank bei sich in der Anwendung mit verknüpft. So kann dir 1Password sagen, ob von einer Seite auf der du ein Konto hast (die durch einen bekannt gewordenen Hack betroffen ist) Benutzerdaten abgeflossen sind und du somit deine Daten ändern solltest. Falls 1Password ein Login findet, auf diesen es zutrifft, erscheint folgende Meldung:

vbulletin kompremettiert — Hinweis auf gehacktes Konto

Weiterführend prüfen solche Programme auch, ob das Passwort „stark“ also komplex genug ist und ob die eigentliche Anmeldung bzw. Registrierung über eine verschlüsselte Verbindung https (SSL) erfolgte oder nicht:

Zwei-Faktor-Authentifizierung (2FA)

Die Zwei-Faktor-Authentifizierung bedeutet das man zum Login eine weitere Sicherungsschicht einbaut. Benutzername/E-Mail und Kennwort reichen nicht mehr aus. Man muss zusätzlich noch eine Zahlenfolge eingeben. Diese Zahlenfolge wird wiederum durch eine weitere Anwendung generiert, zum Beispiel mit dem Google Authenticator. Aber auch manche der Passwort-Manager selbst verfügen über diese Möglichkeit.

Durch die 2FA lässt sich die Sicherheit eines Accounts nochmal verbessern. Da der Angreifer selbst nicht mehr nur Benutzernamen und Kennwort benötigt, sondern auch die generierte Zahlenfolge. Die er aber nur generieren kann, wenn er Zugriff auf die Anwendung hat, die zu meist auf dem mobilen Endgerät installiert ist.

Synchronisation

Die meisten Passwort-Tools haben auch eine Möglichkeit zur Synchronisation des Passwort-Vaults. So kann man seine Kennwörter und kompletten Zugänge immer mit sich führen. Die Synchronisation läuft oft über den Anbieter selbst. Hier stellt der Hersteller oder Anbieter der Software eine abgesicherte Cloud zur Verfügung. In Zeiten der DSGVO sollte es zudem möglich sein seinen Speicherort der Daten aussuchen zu können. Dies bedeutet, der Anbieter sollte die Funktion haben, das Vault auf EU Servern zu speichern. Einige Entwickler bieten zudem noch die Möglichkeit andere Cloud-Anbieter mit einzubinden. Am Beispiel mit Dropbox und Box. Mir persönlich würde es nicht gefallen meine Daten bei Dropbox abzulegen, jedoch vielleicht auf meiner eigenen Hardware und Own- bzw. NextCloud? Genau dies ist z.B. mit 1Password auch machbar, so liegen die Daten auf euren Systemen (mit 1Password X hingegen landen die Daten in der Cloud bei 1Password).

Bedenken

Nachteile eines Passwort-Managers sind mir so nicht bekannt. Es gibt natürlich ein paar Dinge zu beachten. Ich Zitiere hierfür einmal den Eintrag vom BSI:

Beim Vergessen des Masterpassworts sind im schlechtesten Fall alle Daten verloren: Das bedeutet oftmals viel Arbeit, da die einzelnen Zugänge zu den Konten individuell wiederhergestellt werden müssen.
Alle Passwörter können auf einmal gestohlen werden, sollte ein Cyber-Angriff auf einen Passwort-Manager erfolgreich sein.
Bei cloudbasierten Diensten vertrauen Sie den Zugang zu all Ihren sensiblen Daten in der Regel einem Unternehmen an. Hier lohnt sich ein Blick in die AGB und Datenschutzerklärungen des jeweiligen Herstellers. Die Informationen über den Standort des Cloud-Dienste-Anbieters und der Server geben Auskunft darüber, welchem Datenschutzrecht die Daten unterworfen sind.

In diesen Fällen ist es Ratsam das Masterkennwort und in unserem Beispiel 1Passwords Secret-Key auszudrucken und idealerweise in einen Tresor zu legen. Wenn kein Tresor zur Hand ist – gut verstecken.

Das alle Kennwörter auf einmal gestohlen werden ist recht unwahrscheinlich. Hierzu müsste der Computer des Anwenders kompromittiert sein und selbst dann hat er noch keinen Zugriff auf die Vault des Programms. Die meisten Programme sollten einen Keylogger Schutz haben (so wie 1Password), der verhindert, das dein Masterkennwort durch Schnüffel-Software mitgelesen werden kann. Aber das dies ist nicht der ausreichende Schutz, dafür sollte ein guter Virenscanner auf dem Gerät installiert sein.

Beim letzten Punkt muss darauf geachtet werden das die Server, auf dem dein Vault liegt, innerhalb der EU ist. Natürlich sollten die AGBs und die Datenschutzerklärung gut durchgelesen werden.

Erfahrungen mit 1Password

Meine Erfahrungen mit 1Password reichen inzwischen über 10 Jahre zurück. Am 30.11.2009 habe ich mir Version 2.2.1 aus dem Apple AppStore geladen. Im April 2010 kaufte ich die Vollversion welche ich fortan sowohl auf dem iPhone, MacBook und meinem Heim-PC nutzte. Später kamen noch ein paar Geräte, wie iPads und iMac, hinzu. Nach nun mehr als einer Dekade kann ich nur positives über 1Password berichten. Positiv ist vielleicht falsch, eher nichts Negatives. Es macht was es soll, es läuft rund und es gab keine Probleme bisher.

Mit der Entwicklung der Anwendung bin ich so weit auch zufrieden. Die App wurde Anfangs nur für iOS und Mac OS entwickelt. Inzwischen ist diese auf jedem gängigen OS verfügbar, sowohl Windows wie auch Linux und Android. Browser Extensions für Firefox und Browser mit Chromium (also auch Edge und Brave) sind auch verfügbar und funktionieren ohne zicken.

Auch schlechte News über Sicherheitslecks oder Hacks bei 1Password sind mir nicht bekannt (Sollte ich falsch liegen, bitte korrigiere mich). Dies ist leider bei anderen Anbietern leider schon vorgekommen, auch wenn keine Passwörter gestohlen wurden, waren dennoch Daten kompromittiert. So geschehen mit LastPass 2015 (Quelle).

Inzwischen habe ich über 500 Accounts in meiner 1Passwort Vault, sicherlich einige inaktive, aber dennoch habe ich die Daten noch. Ich möchte 1Password nicht mehr missen – was nicht heißen soll, andere Anbieter wären schlechter. Ich nutze lediglich 1Password, da es außer vielleicht den Preis, keinen Grund gäbe zum Wechseln.

Im nächsten Abschnitt bringe ich Dir ein paar Alternativen zu 1Password näher und gebe auch ein paar Empfehlungen ab.

Alternativen zu 1Password

Alternativen gibt es inzwischen einige auf dem Markt. Darunter wären zu einem Firmen die sich auf Passwort-Manager spezialisiert haben. Aber auch Antiviren-Hersteller, die entweder eine eigene App entwickelt haben (McAfee) oder einen Passwort-Manager integriert haben (wie z.B. Bitdefender). Als Auszug hier eine Auflistung:

Kaspersky Password Manager
Avira Password Manager
F-Secure Key Premium
Steganos Passwort-Manager
Bitdefender Passwort-Manager
MacAfee – True Key

Ein Auszug der Firmen die sich darauf spezialisiert haben:

LastPass
1Passwort
KeePass
Dashlane
Keeper
Enpass

Folgend habe ich einmal kurz ein paar Programme gegenüber gestellt. Diese sind nicht alle aber um einen Überblick zu erhalten, sollte es hoffentlich ausreichen:

Überblick
Hersteller	LogMeIn	AgileBits	Dominik Reichl	McAfee	Dashlane	Keeper Security
Programm	LastPass	1Password	KeePass	True Key	Dashlane	Keeper
Verschlüsselung	AES256	AES256	AES256	AES256	AES256	AES256
Multi-Plattform	Ja	Ja	Ja	Ja/Browser	Ja	Ja
autom. Synchronisation	Ja	Ja	Nein	Ja	Ja	Ja
Passwortgenerator	Ja	Ja	Ja	Ja	Ja	Ja
Sichere Notizen	Ja	Ja	Ja	Ja	Ja	Ja
Sicherheitswarnungen*	teils	Ja	teils mit Plugin	Nein	Ja	Ja
2F-Authentifizierung	Ja	Ja	Ja mit Plugin	Nein	Ja	Ja
Authenticator	Ja	Ja	Ja mit Plugin	Nein	Ja	Ja
Browser-Erweiterung	Ja	Ja	Ja mit Plugin	Ja	Ja	Ja
Passwort-Import/Export	Ja/Ja	Ja/Ja	Ja/Ja	Ja/Ja	Ja/Ja	Ja/Ja
Einsatzgebiet	Privat/Business	Privat/Business	Privat/Business	Privat	Privat/Business	Business/Privat
Preis pro Jahr	39,00 Euro	38,00 Euro	Kostenlos	19,95 Euro	39,96 Euro	29,99 Euro
Download	Herstellerseite	Herstellerseite	Herstellerseite	Herstellerseite	Herstellerseite	Herstellerseite

*Sicherheitswarnungen: Damit ist die Prüfung gemeint, ob ein von Dir genutzter Account eventuell durch einen Datendiebstahl (Hack) betroffen ist. Oder auch ob das genutzte Kennwort zu einfach ist. Hier gehen die Anbieter verschiedene Wege, manche setzten auf die Prüfung im Darknet, das heißt, es wird geprüft, ob Dein Login auf einschlägigen Darknet Webseiten zu finden ist oder aber auch wie 1Password zusätzlich noch die Datenbank von „Have i been pwned“ abfragt.

Empfehlung

Eine klare Empfehlung kann ich so nicht machen, da es natürlich auf den Einsatzzweck ankommt. Ich möchte nur empfehlen, kauf dir nicht direkt die Anwendung selbst. Alle Hersteller bieten einen Testzeitraum an oder gar eine Kostenlose Version die etwas abgespeckter ist. Nutze diese zum Testen und um Sie kennenzulernen. Wenn Du eine Anwendung suchst, die möglichst Modular ist, empfehle ich dir KeePass. Es ist kostenlos und hat einen Haufen an Plugins. Dort findest du denke ich für jeden Anwendungsfall etwas.

Falls dieses modulare nichts für dich sein sollte, du etwas haben möchtest was in sich rund ist und einfach funktioniert, kann ich nur eine dieser drei Anwendungen empfehlen:

1Pasword
Keeper
Dashlane

Im direkten Vergleich der drei Anwendungen, wird man feststellen, alle drei können das Gleiche. Sie unterscheiden sich minimal. Und genau deswegen ist hier Keeper der Preis-/Leistungs-Sieger.

Fazit

Mein Fazit fällt entsprechend kurz aus. Ich hoffe einfach, das Thema Passwort-Manager bringt dich etwas weiter und dein Interesse daran ist gestiegen. Denn Passwort-Manager sind inzwischen unverzichtbar, bin ich von überzeugt. Du brauchst unterschiedliche Kennwörter! 39 % aller Erwachsenen benutzen dasselbe oder ähnliche Kennwort für alle Onlineangebote. Und das ist grob Fahrlässig…
Vielleicht hat dich dieser Artikel auch dazu gebracht, was auszuprobieren, schreib mir einfach in die Kommentare würde mich freuen.

Name	Almi.wtf Cookie
Anbieter	Eigentümer dieser Website, Impressum
Zweck	Speichert die Einstellungen der Besucher, die in der Cookie Box ausgewählt wurden.
Cookie Name	almi-cookie
Cookie Laufzeit	1 Jahr

Akzeptieren	Google Analytics
Name	Google Analytics
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Cookie von Google für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt.
Datenschutzerklärung	https://policies.google.com/privacy?hl=de
Cookie Name	_ga,_gat,_gid
Cookie Laufzeit	2 Jahre

Akzeptieren	Vimeo
Name	Vimeo
Anbieter	Vimeo Inc., 555 West 18th Street, New York, New York 10011, USA
Zweck	Wird verwendet, um Vimeo-Inhalte zu entsperren.
Datenschutzerklärung	https://vimeo.com/privacy
Host(s)	player.vimeo.com
Cookie Name	vuid
Cookie Laufzeit	2 Jahre

1Password – Mein Erfahrungsbericht