Mit 1Password 4 hat die Passwortverwaltung ein großes Update erhalten

Im Oktober dieses Jahres ist die vierte Version der bekannten Passwortverwaltung 1Password erschienen und hat zahlreiche neue Funktionen an Board, die das Leben erleichtern. In diesem Artikel werde ich einige dieser nützlichen Funktionen vorstellen.

Interface

Auffälligste Neuerung dürfte das überarbeitete GUI (Graphical User Interface) sein, das sich deutlich von der Version 3 unterscheidet.

Die Entwickler sind dabei einen ähnlichen Weg wie in den vorigen Versionen gegangen und orientieren sich zum einen am bekannten Aussehen (Look and feel) von OS X, verleihen ihrem Programm aber einen eigenen Charme durch zahlreiche nützliche Erweiterungen. Dadurch kommt man auch als neuer Benutzer von 1Password schnell zurecht und muss sich nicht lang einarbeiten.

Ein gutes Beispiel dafür ist der Sperrbildschirm der Anwendung, der erscheint, wenn der Container gesperrt wurde (siehe unten). Anstatt eines einfachen Eingabedialogs besteht dieser aus einem aufwendig gestalteten Schloss mit angenehmer Animation bei richtiger Passworteingabe.

Containerverwaltung

Neben der neuen Oberfläche ist auch die Möglichkeit hinzugekommen, mehrere Container verwalten zu können. Das ist nützlich, wenn man zum Beispiel private von geschäftlichen Daten trennen möchte oder auch, wenn mehrere Benutzer mit dem selben Mac-Account 1Password nutzen.

Der Container kann in der Anwendung über ein Symbol neben den Fensterbuttons gewechselt werden. Auch in 1Password Mini (siehe unten) kann man den aktuellen Container sehen und wechseln.

Um einen neuen Container zu erstellen, wählt man 1Password > Neuer Tresor. Dort vergibt man einen Namen, einen Passworthinweis und das Masterkennwort. Es ist an dieser Stelle auch möglich, eine Farbe und ein Symbol, zum Beispiel ein Foto, zu vergeben.

Ein Doppelklick auf das Bild oben rechts neben der Farbe öffnet den von anderen Stellen bekannte Dialog zur Auswahl eines Bildes, dort kann man wie gewohnt ein Bild mit der FaceTime Kamera oder einer anderen Webcam aufnehmen, eines der Standardbilder oder ein bereits benutztes Bild auswählen.

Einträge teilen

Hin und wieder kommt es vor, dass man bestimmte Einträge aus seinem Tresor mit anderen Teilen möchte, den gesamten Container zu teilen, ist dabei definitiv nicht die optimale Lösung.

Zum Teilen kann man diese via E-Mail oder iMessage zu jemandem schicken. Klingt dies erst einmal nicht sonderlich spannend, hat sich AgileBits etwas interessantes ausgedacht; ändert die Person, an die man einen Eintrag geschickt hat, diesen bei sich und teilt ihn zurück, wird er automatisch von 1Password 4 auf den neuesten Stand gebracht.

Die Sicherheit bleibt natürlich nicht außen vor, die gesamte Kommunikation ist verschlüsselt.

Synchronisieren

Mit 1Password 4 kommen auch Möglichkeiten zur Synchronisierung, was besonders bei mehreren Geräten sehr nützlich ist.

Anstatt auf ein eigenes Synchronisierungssystem über die AgileBits-Server zu setzen, bietet man drei wirklich tolle Möglichkeiten an:

• iCloud, der Synchronisierungsstandard der Apple-Welt.
• Dropbox, eine der bekanntesten Cloud-Storage-Services auf dem Markt
• WiFi, also das lokale WLAN

Bei allen drei wird der 1Password-Container natürlich verschlüsselt übertragen, ohne das Masterpasswort ist also kein Zugriff aud die Daten möglich.

Benutzt man 1Password auch auf Windows bzw. Windows Phone, fällt iCloud natürlich weg, dafür kann man entweder Dropbox oder WLAN benutzen.

Möchte man ganz sicher gehen und seinen Container nicht über fremde Server senden, dann wird die Wahl auf die WiFi-Möglichkeit fallen. Dazu startet man die Synchronisierung an dem jeweiligen Gerät und gibt das angezeigte Passwort ein, die Daten werden übertragen und sind auch auf dem anderen Gerät verfügbar.

Container sperren

Hat man 1Password geöffnet, ist die Frage interessant, wie es wieder gesperrt werden kann. Dazu gibt es mehrere Möglichkeiten.

In den Optionen, die wie gewohnt über 1Password > Voreinstellungen oder mit der Tastenkombination ⌘, geöffnet werden, kann man im Reiter Allgemeines die Tastenkombinationen dafür festlegen.

Interessanter dürften die optionen sein, die unter dem Reiter Sicherheit zu finden sind, denn dort wird das Verhalten der Anwendung gesteuert.

Man kann dort einstellen, dass 1Password sich sperrt, sobald der Mac sich schlafen legt, sobald der Bildschirmschoner aktiviert oder das 1Password-Fenster geschlossen wird oder auch, dass dies automatisch nach einer bestimmten Zeit passiert. Man sollte dort nicht zu zimperlich sein, vor allem nicht, wenn man viel mobil ist.

Auch die Einstellung, dass kopierte Passwörter nach einer bestimmten Zeit wieder aus der Zwischenablage gelöscht werden, ist nicht zu unterschätzen.

Passwortsicherheit

Wie viele andere Programme, zeigt auch 1Password die Sicherheit von Passwörtern beim Erstellen mit einem farbigen Balken an. Je grüner der Balken, desto besser. Darüber hinaus gibt es unten links eine Übersicht über unsichere, alte und doppelte Passwörter.

Es ist nützlich, dort hin und wieder mal einen Blick hinein zu werfen und ggf. ein paar Passwörter zu ändern.

Sicherheit intern

Auch unter der Haube hat 1Password mit der Version 4 viele Verbesserungen erhalten und natürlich wurde auch an der Sicherheit gedreht. Der AES (Advanced Encryption Standard), ein zertifiziertes Verschlüsselungssystem, wird nun mit einer Schlüssellänge von 256 Bit verwendet^[1]. Das mag dem einen oder anderen jetzt nicht viel sagen, daher hier ein kurzes Zitat aus einem Papier des NIST (National Institute of Standards and Technology), einer Bundsbehörde der Vereinigten Staaten:

(6) The design and strength of all key lengths of the AES algorithm (i.e., 128, 192 and 256) are sufficient to protect classified information up to the SECRET level. TOP SECRET information will require use of either the 192 or 256 key lengths.

Das heißt: Die Methoden, die 1Password4 zum Verschlüsseln des Tresors benutzt, werden von den amerikanischen Regierungsbehörden für klassifizierte Dokumente der höchsten Geheimhaltungsstufe benutzt^[2].

Zu AES gesellen sich die kryptischen Abkürzungen SHA512 und PBKDF2. Mit ersterem, dem sogenannten Secure Hash Algorithm, wird eine Prüfsumme, Hash im Englischen, errechnet. Ein Hash ist ein verschlüsselter Text – hier das Masterkennwort für 1Password. Ein Hash hat die Eigenschaft, dass er nicht wieder entschlüsselt werden kann, die einzige Möglichkeit, aus diesem das Masterkennwort zu bekommen, ist ausprobieren.

Damit Angreifern das Ausprobieren möglichst erschwert wird, wird PBKDF2 benutzt, dieser verschlüsselt den Hash wieder mit einem mathematischen Verfahren. 1Password4 verwendet dabei 10.000 Iterationen, also wird das Kennwort für den Container 10.000 mal verschlüsselt; das automatisierte Raten von Kennwörtern wird damit höchst ineffizient.^[3]

1Password Mini

Nach dem Ausflug ins Innere der Anwendung wieder zurück zur Oberfläche und zu einer Neuerung, die wirklich sehr nützlich ist: 1Password Mini. Dabei handelt es sich um die Integration in die Menüleiste (und auch in den Browser, siehe dazu weiter unten).

Hat man 1Password Mini aktiviert, erscheint ein Symbol in der Menüleiste und man hat von überall Zugriff auf seine Passwörter und anderen in 1Password 4 gespeicherten Daten. Ist 1Password gesperrt, muss man auch an dieser Stelle erst einmal das Passwort eingeben.

Mit Mini kann man den Container durchsuchen oder geziehlt Einträge anwählen. Klickt man auf einen Teil eines Eintrags, werden die entsprechenden Einträge kopiert, also zum Beispiel das Passwort oder der URL einer Webseite. Das lässt sich sehr gut mit Desktopanwendungen nutzen, die einen Login benötigen.

Neben dem Zugriff auf seine Daten, integriert 1Password Mini auch einen Passwortgenerator, mit dem kinderleicht neue Kennwörter erzeugen und kopieren kann. Man hat dort wie in der Applikation selber zahlreiche Optionen zum Herumspielen.

Über das Symbol des aktuellen Containers oben rechts kann man einen anderen Tresor öffnen. Dort befinden sich auch ein paar Schnelleinstellungen, darunter die nützliche Möglichkeit, in Kombination mit dem Browserplugin, sich bei Webseiten einzuloggen. Klickt man auf den Login einer Webseite, bei dem ein URL hinterlegt wurde, wird die Webseite im Standardbrowser geöffnet, das Loginformular ausgefüllt und automatisch abgesendet.

Webbrowser

Für diese Login-Funktion wird das 1Password-Browserplugin benötigt, das nun neben Safari, Chrome und Firefox auch Opera unterstützt.^[4]

Der große Vorteil: Logins können automatisch getätigt werden, für neue Accounts kann man bequem Passwörter generieren und noch nicht gespeicherte Passworter können mit nur einem Klick hinzugefügt werden. Das Interface sieht dabei wie 1Password Mini aus – was übrigens auch dafür aktiviert sein muss.

Hat man schon einen Login für eine Webseite gespeichert, sieht man den Eintrag direkt oben im Menü, ein Klick darauf füllt automatisch den Login und sendet diesen ab.

Befinden sich viele Eingabefelder auf einer Webseite, ist es nützlich, das Benutzerfeld zu aktivieren, damit 1Password weiß, wo der Benutzername hingehört; das Passwortfeld wird in der Regel zuverlässig erkannt.

Organisieren

1Password 4 hat neue Möglichkeiten zum Organisieren von Passwörtern und anderen Informationen bekommen. Diese machen es möglich, auch bei einer großen Anzahl von Einträgen schnell und sicher zum gewünschen Ziel zu finden.

Immer einer der ersten Punkte in Listen: Favoriten. Um schnell auf bestimmte Einräge zugreifen zu können, kann man sie favorisieren, dann sind sie in allen Menüs jeweils schnell erreichbar.

Auch Ordner haben es in die Applikation geschafft, dabei wird zwischen einfachen Ordnern und Smart folders unterschieden. Letztere funktionieren wie Suchordner in Mail oder Finder; nach festgelegten Kriterien zeigen sie bestimmte Einträge an.

Darüber hinaus gibt es nun auch Tags. Die Schlagwörter können einfach vergeben werden und sind in der Seitenleiste links unten erreichbar. Ein Klick auf einen Tag zeigt dann alle Einträge an, die das Schlagwort erhalten haben.

Fazit

1Password bietet noch mehr, als hier bisher genannt wurde. Da wären verschiedene Typen von Einträgen wie Logins, Serverzugänge, Identitäten, Notizen und mehr, das automatische Herunterladen von Favicons (Icons von Webseiten), automatische Backups, ein guter Passwortgenerator in der App und das Zusammenarbeiten mit iOS – dazu wird noch ein Artikel folgen.

1Password 4 ist eine wunderbare Anwendung, um seine Passwörter, Notizen und ähnliches sicher zu verwalten. Bequemlichkeit und Sicherheit schließen sich mit dieser App nicht mehr aus! Ob zu Hause, im Büro oder unterwegs – one Password to rule them all. Schon nach kurzer Zeit möchte man diese App nicht mehr missen und schnell gehört sie zum persönlichen Standardwerkzeug.

Du möchtest noch mehr erfahren? Besuche die 1Password Webseite.

[appbox appstore id443987910]

Hier geht es zu Teil 2…

Quellen

1. http://learn.agilebits.com/1Password4/Security/1P4-security-changes.html#bit-encryption-keys; Stand 08.11.2013
2. http://csrc.nist.gov/groups/ST/toolkit/documents/aes/CNSS15FS.pdf; Seite 2, Absatz 6; Stand 08.11.2013
3. „What about increasing PBKDF2 iterations?“ http://blog.agilebits.com/2013/04/16/1password-hashcat-strong-master-passwords/; Stand 08.11.2013
4. https://agilebits.com/onepassword/mac#goandfill; Stand 08.11.2013