Werbung
In Anbetracht der aktuellen Diskussion über den Datenmitschnitt einiger Geheimdienste, allen voran in den USA, rückt auch Software in den Vordergrund, die sich mit der sicheren Ablage der Daten beschäftigt. Um dem Wust von Accounts, Anmeldenamen und Passwörtern Herr zur werden, hat sich hier vor allem Agilebits mit 1Password hervorgetan. Derzeit arbeitet man im kanadischen Entwicklerstudio an der vierten Version für OS X. Diese konnten wir uns nun in einer recht frühen Beta-Version etwas genauer anschauen.
Welches Problem geht 1Password an? Viele von uns haben unzählige Benutzerkonten auf allen möglichen Webseiten. Hinzu kommen E-Mail-Accounts, Kreditkartendaten, Bankkonten und vieles andere, was sich entweder schön sortiert in der Ablage oder aber kreuz und quer auf irgendwelchen Notizzetteln oder dem Posteingang befindet. 1Password will all diese Daten sicher und übersichtlich in einer Software anbieten. Dazu stellt man Versionen für OS X, Windows, iOS und Android zur Verfügung, zwischen denen per Dropbox und teilweise auch über die iCloud synchronisiert werden kann. Etwas verwirrend ist allerdings die Versionsbezeichnung, denn während aktuell die Version 4 für OS X getestet wird, verwendet die iOS-Version diese Versionsnummer bereits. Windows und Android arbeiten noch auf Versionsnummer 1.x, was aber nicht heißen muss, dass in Sachen Funktionsumfang und Sicherheit ältere Standards verwendet werden. Dies sind einzig interne Versionsbezeichnungen, die allerdings nicht sonderlich eingängig im Vergleich sind.
[figure image=images/stories/galleries/reviews/2013/1password4/1password4-1-rs.png link=images/stories/galleries/reviews/2013/1password4/1password4-1.png alt=1Password 4]1Password 4 Beta[/figure]
[h3]Agile Keychain Design[/h3]
Ein Thema wollen wir gleich zu Beginn behandeln: Die Sicherheit. 1Password speichert seine Daten lokal auf dem System in einem verschlüsselten Bundle. Aktuell verwendet 1Password eine 128 Bit oder 256 Bit AES-Verschlüsselung. Entwickelt wird diese aus einer Kombination aus OpenSSL und CommonCrypto. Unter Windows wird eine andere Verschlüsselungs-Bibliothek verwendet, aber in jedem Fall hält sich 1Password an die FIPS 140-1 und FIPS 140-2 Standards.
Wie schwierig es ist, eine solche Verschlüsselung zu knacken, lässt sich recht leicht darstellen. Eine Methode, eine solche Verschlüsselung zu knacken ist durch simples ausprobieren der verschiedenen Keys. Dies wird so auch für das Knacken anderer Krypto-Mechanismen angewendet. Vorausgesetzt ein System würde 255 Keys pro Sekunde ausprobieren können, dann würde es dennoch 149 Billionen Jahre dauern, einen 128 Bit AES-Key zu entschlüsseln - eine Billion ist eine Eins, auf die 12 Nullen folgen. Ohne, dass das Passwort zur Entschlüsselung bekannt ist, ist es also nicht möglich ein solch gesichertes Bundle zu lesen.
Nun gibt der Nutzer aber keinen 128 Bit langen Key ein, sondern erstellt diesen über ein eigenes Master Passwort. Dies ist ein entscheidender Faktor für eine sichere Verschlüsselung. Agilebits verwendet dazu die PBKDF2 (Password-Based Key Derivation Function). Diese generiert aus einem beliebigen Kennwort den 128-Bit-Key. Damit aber nicht jedes Kennwort auch den gleichen 128-Bit-Key erzeugt, werden mehrere tausend Iterationen verwendet. Wichtig ist einzig und alleine sich ein sicheres und komplexes Kennwort auszudenken. Aus diesem wird der 128 Bit AES-Key erstellt und der Zugriff auf die Passwörter ist über dieses eine Master-Kennwort sichergestellt.
[h3]Kryptografie in der Cloud[/h3]
Wer 1Password allerdings auf mehreren Systemen verwendet, der möchte die Daten sicherlich gerne automatisch auf alle Geräte synchronisieren. 1Password bietet dazu grundsätzlich zwei Wege: Dropbox und iCloud. Die iOS-Version bietet beide Möglichkeiten. Unter OS X wird mit 1Password 4 nur noch die iCloud unterstützt und dies wird sich vermutlich dann auch auf die iOS-Version auswirken. Egal wo die Daten auch abgelegt werden, die Verschlüsselung findet statt, bevor der Upload angegangen wird. Somit sind weder Dropbox, noch Apple auf der iCloud in der Lage die abgelegten Daten zu entschlüsseln. Auch Agilebits selbst besitzt keinen Master Key für seine Bibliotheken. Möglichst offen stellt man dies per OpenSSL und CommonCrypto dar.
Kommen wir nun aber zu den Neuheiten von 1Password 4 für OS X:
[figure image=images/stories/galleries/reviews/2013/1password4/1password4-2-rs.png link=images/stories/galleries/reviews/2013/1password4/1password4-2.png alt=1Password 4]1Password 4 Beta[/figure]
Nach der Eingabe des Master Kennworts öffnet sich 1Password und präsentiert in der vierten Version ein neues Design. Deutlich sind die Anlehnungen zur aktuellen iOS-Version zu sehen und es ist auch davon auszugehen, dass sich die Software für iOS und OS X weiter annähern wird.
[figure image=images/stories/galleries/reviews/2013/1password4/1password4-3-rs.png link=images/stories/galleries/reviews/2013/1password4/1password4-3.png alt=1Password 4]1Password 4 Beta[/figure]
Über die linke Navigationsleiste kann zwischen den verschiedenen Kategorien gewählt werden. 1Password bietet hier bestimmte Vorgaben, teilt diese aber noch in Unterkategorien auf. Im obigen Beispiel sind die gespeicherten Logins zu sehen. Mit Klick auf den jeweiligen Login werden die Details angezeigt. Passwörter werden allerdings nicht direkt im Klartext dargestellt, sondern erst auf Wunsch des Nutzers. Sie können aber auch ohne Anzeige direkt in die Zwischenablage kopiert werden.
Wird ein neuer Account angelegt, bietet 1Password auch gleich die Möglichkeit ein Passwort zu erstellen. Von einem ist im Zusammenhang mit Zugangsdaten abzuraten: Immer das gleiche Passwort zu verwenden. Aber der Nutzer ist häufig zu bequem und wählt daher zu kurze und zu einfache Passwörter. 1Password 4 erstellt Passwörter mit einer beliebigen Zeichenlänge aus Klein- und Großbuchstaben sowie Zahlen und Sonderzeichen.
[figure image=images/stories/galleries/reviews/2013/1password4/1password4-4-rs.png link=images/stories/galleries/reviews/2013/1password4/1password4-4.png alt=1Password 4]1Password 4 Beta[/figure]
Ein weiteres Beispiel für Daten die häufiger gebraucht, aber nicht immer direkt zur Hand sind, sind Kreditkarteninformationen. Auch diese können in der entsprechenden Kategorie abgelegt werden. Zur Sicherheit blendet 1Password aber schon die Kreditkarten-Nummer in der Vorschau aus.
Der Nutzer hat nun entweder die Möglichkeit die einzelnen Daten per Hand zu kopieren und im Formular einzufügen oder aber ein Browser-Plugin zu installieren, das dies selbstständig erledigt.
[figure image=images/stories/galleries/reviews/2013/1password4/1password4-5-rs.png link=images/stories/galleries/reviews/2013/1password4/1password4-5.png alt=1Password 4]1Password 4 Beta[/figure]
Ein letztes Beispiel sollen Softwarelizenzen sein. Nicht immer sind diese an einen Account im Mac App Store oder bei Steam gebunden und somit zentral verfügbar. 1Password soll die Verwaltung alle erdenklichen Daten ermöglichen - somit auch der Softwarelizenzen.
[h3]Mini-Version in der Menüleiste[/h3]
[figure image=images/stories/galleries/reviews/2013/1password4/1password4-6-rs.jpg link=images/stories/galleries/reviews/2013/1password4/1password4-6.jpg alt=1Password 4]1Password 4 Mini Beta[/figure]
Für den schnellen Zugriff auf die eigenen Benutzerdaten und Passwörter bietet 1Password eine Mini-Version, die sich in der Menüleiste versteckt. Per Klick und Eingabe des Master-Kennwortes ist hier ebenfalls der Zugriff auf alle hinterlegten Daten möglich.
[figure image=images/stories/galleries/reviews/2013/1password4/1password4-7-rs.jpg link=images/stories/galleries/reviews/2013/1password4/1password4-7.jpg alt=1Password 4]1Password 4 Mini Beta[/figure]
Die Ansicht ist natürlich eine andere, allerdings gelangt der Nutzer recht schnell über die Untermenüs zu den gewünschten Informationen.
[figure image=images/stories/galleries/reviews/2013/1password4/1password4-8-rs.jpg link=images/stories/galleries/reviews/2013/1password4/1password4-8.jpg alt=1Password 4]1Password 4 Mini Beta[/figure]
Wer möchte kann in der Mini-Version auch gleich ein neues Kennwort erstellen lassen. Agilebits versucht einen möglichst großen Funktionsumfang in der Menüleiste zu bieten und in den ersten Tagen mit 1Password 4 blieb das große Programm-Fenster in den meisten Fällen auch im Hintergrund und wurde gar nicht erst genutzt.
[h3]Fazit[/h3]
1Password bietet für iOS seit der Aktualisierung im Dezember 2012 ein neues Design, die Möglichkeit Favoriten anzulegen und in den hinterlegten Daten zu suchen sowie Anlagen hinzuzufügen. Der Sync über die iCloud war bisher natürlich nur zwischen iOS-Geräten, also zwischen iPhones und iPads möglich. Wer zusätzlich noch 1Password unter OS X, Windows oder Android verwendet, muss auf den Dropbox-Sync vertrauen. Spätestens mit der 4. Version für OS X bietet Agilebits dann aber auch die Synchronisation per iCloud auf dem Desktop. In den ersten Testtagen konnten wir keinerlei Probleme mit dem Datenabgleich feststellen. Sowohl unter iOS wie auch OS X zeigten sich Änderungen oder hinzugefügte Daten innerhalb weniger Sekunden oder Minuten.
Auf die sichere Ablage der Benutzernamen und Passwörter sowie weiterer Daten sind wir hinlänglich zu Beginn eingegangen. Für die eigene kleine Sicherheit am heimischen Schreibtisch sorgt die Möglichkeit die Passwörter zu verstecken und in der Zwischenablage befindliche Daten nach einer beliebigen Zeitspanne zu löschen. Zusätzlich lässt sich der verschlüsselte Container nach einer beliebigen Zeitspanne wieder schließen und verlangt daher eine erneute Eingabe des Master-Kennwortes. Wer möchte kann sich ein Browser-Plugin installieren und lässt sich entsprechende Formulare automatisch ausfüllen.
Bisher hat Agilebits noch keinen Termin für 1Password 4 für OS X veröffentlicht. Lediglich "später diesen Jahres" wird angegeben. Wer die aktuelle Version in Design und Feature-Umfang bereits heute unter iOS verwenden möchte, findet die iPhone- und iPad-Version im App Store für 15,99 Euro. 1Password für OS X und Windows kostet in einer Einzelnutzer-Lizenz im Mac App Store 44,99 Euro. Angeboten wird sie aber auch direkt über die Webseite in verschiedenen Bundels. Die Version 4 wird aber vermutlich wegen des iCloud-Synchs nur noch im Mac App Store zu finden sein.
Mit OS X 10.9 Mavericks wird Apple die iCloud Keychain anbieten. Darin sollen Nutzer ihre Benutzerdaten und Kennwörter hinterlegen können. Auch Daten wie Kreditkarteninformationen soll man der iCloud Keychain anvertrauen können. Bei Agilebits dürfte die Ankündigung für Aufsehen gesorgt haben. Was wir aber bisher von der iCloud Keychain gesehen haben, dürfte die Ängste beim Anbieter von 1Password weitestgehend wieder beseitigt haben, denn der Funktionsumfang ist gegenüber der dedizierten Software aus Kanada deutlich reduziert.
[h3]Persönliche Meinung[/h3]
Ich gehöre zu den eher bequemen Menschen, die früher nur ein einziges, maximal aber zwei oder drei Passwörter für sämtliche Dienste und Logins verwendet hat. Bequem bin ich geblieben, aber dank Software wie 1Password fühle ich mich trotz gespeicherter Passwörter auf der sicheren Seite. Kryptografie ist schwierig, ebenso wie eine funktionierende Synchronisation. Die Verschlüsselung basiert auf einem gewissen Grundvertrauen des Nutzers - ich gebe Agilebits aber aufgrund der Offenlegung aller Mechanismen einen gewissen Vertrauensvorschuss. Mit der aktuellen Beta-Version bin ich soweit zufrieden. Abstürze kamen mir nicht unter und die Synchronisation zwischen iOS und OS X funktioniert bereits jetzt. (Andreas Schilling)