Seit vielen Jahren plädiere ich für sichere Passwörter. Nicht nur hier im Blog, auch drüben im #GeekTalk Podcast. Genauso regelmässig, wie ich Hinweise auf Backups mache. Hier im Blog habe ich vor einigen Jahren schon mal einen kleinen Beitrag dazu geschrieben. Da ich viel über 1Password spreche und schreibe, suchen die Hörer vom Podcast und auch die Leser hier im Blog auch nach einem ausführlichen Testbericht. Diesen möchte ich mit dem Beitrag hier jetzt nachreichen.
Dieser Testbericht gilt all denjenigen, die sich mehr mit ihren eigenen Passwörtern beschäftigen möchten. Im speziellen aber auch allen die meinen ihr Facebook/Instagram, whatever Account sei gehackt worden, dabei haben sie nur ein zu schwaches Passwort genutzt.
Aus sicherheitstechnischen Gründen verwende ich hier im Beitrag ausnahmsweise meistens die Pressefotos und keine eigenen.
Wählt sichere Passwörter mit einem Passwort-Manager
Inhaltsverzeichnis
Kategorie | Entwickler | Software Version |
---|---|---|
Sicherheit | AgileBits | 1Password 7.7 |
Ich habe viele Passwort-Manager Tools ausprobiert, bei 1Password bin ich seit dem Start mit dabei und ich bin nie weggekommen. Auch das neue Abomodell hat mich schlussendlich gekriegt, denn die Alternativen passen für meine Einsatzgebiete einfach nicht. Dazu kommt, dass ich, wie so jeder Mensch auch, ein Gewohnheitstier bin und bei 1Password fühle ich mich einfach zu Hause.
Grundsätzlich gibt es drei unterschiedliche Arten von 1Password. Die Version für Privatnutzer, dann die Teams und die Business-Version. Je nach Stufen kosten diese unterschiedlich viel und haben unterschiedliche Funktionen.
Über viele Jahre war ich privater Anwender und sehr glücklich damit. Im Dezember des letzten Jahres hab ich über die Firma die Business-Version gewählt. Damit hab ich jetzt als angestellter eine kostenlose Familienversion. Das angenehme, es schlägt genauso fest im Portemonnaie auf wie vorher.
Bevor ihr mit 1Password startet
Es lohnt sich auf jeden Fall, sich erst einmal Gedanken darüberzumachen, was ihr alles für Passwörter habt. Auch solltet ihr euch wirklich Zeit nehmen beim einpflegen der einzelnen Passwörter. Natürlich könnt ihr Passwörter einfach und schnell eintraten und diese dann auch damit verwalten.
Wenn ihr beim einpflegen sauber die Tags vergebt, die URLs einpflegt und weitere Notizen hinterlegt habt ihr später weniger zu tun.
Am besten wählt ihr hier, ab sofort, immer die vollen 100 Zeichen, welche euch 1Password generieren kann. Natürlich würden auch schon 30 Zeichen mit Gross- und Kleinbuchstaben, Sonderzeichen und Zahlen ausreichen. Doch wenn man es schon kann, dann sollte man auch aus dem Vollen schöpfen.
Die Tresore
Der Passwort-Manager ist auf Tresore aufgebaut. Ihr könnt private Tresore für euch erstellen, Tresore mit euren Familienmitgliedern teilen oder auch mit aussenstehenden, die gewissen Logins von euch mit verwenden können. Einen neuen Tresor habt ihr mit wenigen Klicks erstellt. Dabei müsst ihr nur einen Titel vergeben, optional eine Beschreibung hinzufügen und wenn ihr mögt noch aus einem, der zahlreichen hinterlegten Icons auswählen. Alternativ könnt ihr auch ein Logo oder Foto von euren Familienmitgliedern hinterlegen. Das funktioniert einfach und schnell per Drag-and-drop.
Ich habe für alle Familienmitglieder einen Ordner erstellt, zusätzlich einen Familien-Ordner und einen für meine Frau und mich.
Den einzelnen Tresoren könnt ihr dann auch verwalten und an verschiedene Familienmitglieder freigeben. Das Gleiche gilt natürlich auch im Firmenumfeld und in der Business-Version. Im Familien-Tresor haben wir zum Beispiel Passwörter für Netflix, Sky Show, der Netatmo Wetterstation oder auch von VPN-Dienst unserer Wahl etc.
Passwortverwaltung
In diesen Tresoren speichert ihr dann eure Passwörter ab, so wie sie hineinpassen. Wichtig zu wissen, ein jedes Login, ein jede sichere Notiz und auch eure Kreditkarten-Daten werden verschlüsselt in den Tresoren abgelegt.
In diesen Schliessfach sind eure Daten sicher verwahrt und ihr könnt starke Passwörter wählen.
Logins
Ein neues Login anzulegen, ist erdenklich einfach. Ihr klickt auf das „+“ und wählt aus der langen Liste der Möglichkeiten das Login aus. Nun gebt ihr dem ganzen erst einmal einen Titel. Ich habe mir angewöhnt immer zuerst den Dienst zu nennen und anschliessend den Nutzernamen. Als Beispiel hier mal drei meiner zahlreichen Twitter Konten, damit ihr euch ein Bild davon machen könnt:
- Twitter – Pokipsie
- Twitter – PokipsieBlog
- Twitter – #GeekTalk
So habt ihr, bei alphabetischer Reihenfolge immer alle Dienste in der richtigen Reihenfolge aufgelistet. Das ist auch ganz praktisch bei den ganzen Familien-Konten, wie die der iCloud, Microsoft, Google etc.
Anschliessend tragt ihr die E-Mail-Adresse ein, beim Feld vom Benutzernamen und dann natürlich das Passwort. Meine Empfehlung, wenn ihr ein neues Login eintragt, ändert gleich das Passwort von dem Dienst. Dazu verwendet ihr am besten gleich das den 1Password-Passwort Generator. Hier habt ihr drei Möglichkeiten zur Wahl:
- Random
- Memorable
- Pin
Die Anzahl Zeichen wählt ihr mit dem Schieberegler und gleich darunter fügt ihr über ein Kontrollkästchen Symbole und Zahlen mit dazu. Über die sechs Faktoren könnt ihr euer eigenes, wirklich sicheres Passwort generieren. Beim Abspeichern wird es auch gleich in die Zwischenablage kopiert und ihr könnt es nachher beim Dienst, welchen ihr einpflegt verwenden für die Passwortänderung.
Als Nächstes tragt ihr zum Login passende URL ein. Das ist besonders wichtig, weil anhand der Web-Adresse merkt 1Passwort später, wenn ihr euch auf einer falschen, oder sogar auf einer Phishing-Seite befindet.
In einem weiteren Abschnitt hinterlege ich jeweils noch den Benutzernamen, den ich für den Dienst verwende. So habe ich, wenn ich sie mal brauche, beide Faktoren hinterlegt. Ihr könnt auch noch weitere Parameter hinzufügen, sofern sie für euch und den Dienst wichtig sind.
Sichere Notizen
Am Anfang habe ich die Funktion für drei, vier Notizen gebraucht. Mittlerweile haben sich eine grössere Anzahl an Notizen darin angesammelt. Ich habe da zum Beispiel meine ganzen Versicherungs-Policen-Nummern und die dazu passenden Kontaktpersonen mit den entsprechenden Telefonnummern.
Früher hatte ich da drin auch meine ganzen Antworten auf die Sicherheitsfragen bei vergessenen Logins gespeichert und die ganzen Backup-Codes fürs Wiederherstellen von zwei Faktor Authentifikationen. Diese habe ich mittlerweile anderweitig gesichert.
Kreditkarten
Wer viel im Netz einkauft, der kann bei den Onlineshops seiner Wahl auch gleich die Kreditkarte hinterlegen. Das ist natürlich extrem bequem, aber auch sehr unsicher. Wie wir in den letzten Jahren immer wieder mitbekommen haben, sind grosse aber auch kleine Shops gerne ein Angriffsziel von nicht ganz so netten Menschen. Diese klauen nicht nur die Benutzernamen und Passwörter, sondern auch immer wieder mal die Kreditkarten-Dateien (sofern diese beim Anbieter nicht verschlüsselt abgelegt sind).
Deshalb könnt ihr eure Kreditkarten-Dateien einfach bei 1Password hinterlegen. Später, wenn ihr eine neue Bestellung auslösen möchtet, könnt ihr die Angaben der Kreditkarte mit wenigen Klicks eintragen. Da bei mir manchmal die Paranoia auch noch ein wenig mit schwebt, habe ich die dreistellige Kennzahl (hinten auf der Kreditkarte) nicht mit dazu gespeichert und gebe diese noch händisch ein.
Identitäten
Genauso, wie ihr die Kreditkarten-Daten hinterlegen könnt, geht das auch mit Identitäten. Hier hinterlegt, ihr einmalig eure ganzen Angaben. Name, Adresse, Telefonnummer, E-Mail-Adresse etc.
Später, wenn ihr mal ein Formular ausfüllen müsst, geht auch das mit nur ein paar wenigen Klicks. Dies ist genauso bequem wie praktisch.
Passwörter
Bei gewissen Diensten habt ihr nicht gleich ein komplettes Login. So zum Beispiel für eure SIM-Karte, eure Smartphones, Computer und andere einfache Logins.
Besonders praktisch, die ganzen SIM-Pins von allen Familienmitgliedern und vielleicht noch von den Eltern, wenn ihr diesen helft ihre digitalen Gadgets zu managen. Die SIM-Pins habe ich in meinem 1Password gar doppelt erfasst. Zum einen genau hier in den Passwörtern.
Zusätzlich habe ich in meinen sichern Notizen auch noch einen Eintrag. Diesen ergänze ich dann auch noch mit der Seriennummer, mit dem dem Gerät in welchem ich diese einsetzte und vor allem auch mit dem PUK. So habe ich diesen immer parat, wenn jemand aus meiner Familie anruft, weil sie durch Falscheingabe vom PIN sich ausgeschlossen haben.
Softwarelizenzen
Am Mac kaufe ich viele Apps direkt über den App Store von Apple. Bei Windows ist das leider nicht ganz so der Fall, hier kaufe ich viele Apps aus anderen Quellen. Somit gibt es für jede Software auch immer noch Software-Lizenzen.
Bei 1Password gebt ihr zuerst den Namen der Software ein, anschliessend alle wichtigen Daten, wie die E-Mail-Adresse oder die Person/Firma, auf die die Software lizenziert ist. Am besten auch gleich noch der Download link, wenn er nicht aus einem App Store kommt.
Genauso von Vorteil kann die Versionsnummer, für die ihr die Lizenz gekauft habt und das Kaufdatum sein. So habt ihr, bei einer Neuinstallation immer gleich alle Daten bereit, die ihr dazu benötigt.
E-Mail Zugänge hinterlegen
Natürlich macht es auch Sinn, die ganzen E-Mail-Zugänge in 1Password zu hinterlegen. Dafür hat die App auch spezielle Einträge. Hier könnt ihr nicht nur die E-Mail-Adresse und das Passwort hinterlegen. Nein, es hat auch extra Felder für den Post-Ausgang und Eingang, sogar für die Ports habt ihr noch vordefinierte Felder zum Ausfüllen.
Das ist allesamt extrem praktisch, so muss man nicht immer erst nach den ganzen Details im Web suchen gehen und hat alles zentral gesammelt.
Zwei Faktor Authentifizierung
Die grösste Gefahr, neben zu unsicheren Passwörtern, ist sicherlich der, dass Menschen das gleiche Passwort für verschiedene Dienste nutzen. Was ich viel sehe, ist:
- Facebook Passwort: 12345fb
- Twitter Passwort: 1234tw
- Instagram Passwort: 1234in
1234 ist natürlich schon schlimm, habe ich hier aber einfach nur der Einfachheitshalber gewählt. Was nicht heisst, dass ich das Passwort oder Ähnliche immer und immer wieder sehe.
Wenn ihr schon gleich neue Passwörter generiert, dann solltet ihr auch noch einen Schritt weitergehen. Bei den Diensten, wo es möglich ist, solltet ihr zusätzlich auch noch den zweiten Sicherheitsfaktor aktivieren. Mit der Zwei Faktor Authentifizierung müsst ihr euch zweimal verifizieren, macht es einem Angreifer aber relativ unmöglich, da noch hereinzukommen. Sofern natürlich der jeweilige Dienst nicht andere Löcher hat.
Bei der Wahl von 2FA solltet ihr auf SMS verzichten, natürlich könnt ihr auch eine spezialisierte App dazu nutzen, wie den Google Authenticator, doch warum, wenn dies auch 1Password direkt mitliefert.
Das Bequeme daran, wenn ihr euch über das 1Password-Widget anmeldet oder direkt im Browser, wie das mit der Version 7.7 neu ist, dann kopiert euch der Manager das Einmalpasswort gleich in Zwischenablage.
Bei einigen Diensten wird es auch gleich automatisch übertragen und das Beste daran, im Anschluss wird die Zwischenablage wieder bereinigt und wiederhergestellt. Wenn ihr einen Mac Computer mit TouchID besitzt oder einen Windows-Rechner bei dem der Fingerprint mit 1Password funktioniert, ist das, extremst bequem und auch noch sicher zum Einlogen.
Doppelte und unsichere Passwörter
Das praktische, 1Password schaut euch über die Schulter und gibt euch Bescheid, wenn ihr ein Passwort mehr als einmal verwendet. So solltet ihr regelmässig doppelte Passwörter ausgleichen.
Auch warnt euch der Passwort-Manager davor, wenn ihr einen Dienst nutzt, der noch nicht verschlüsselt. Hier solltet ihr euch schlaumachen, ob dies nur daran liegt, weil ihr in dem Eintrag kein «https» in der URL habt, oder ob der Dienst wirklich noch nicht umgestellt hat. Von zweiterem gibt es aber zum Glück noch nicht mehr so viele.
Backup eurer 1Password Passwörter
Ihr wisst ja, ich bin ein grosser Fan vom Backup machen. So möchte ich natürlich auch meine Passwörter gerne zusätzlich gesichert wissen. Leider hat 1Password, oder besser gesagt die Entwickler dahinter, der einfache Vorgang dazu in der Version in der Version 7 aus den Einstellungen gestrichen.
Früher konnte man, direkt aus den Einstellungen heraus, die Backup-Intensität regeln. Das geht leider nicht mehr. Auch der «1Password» Ordner, in der versteckten Library und dessen «Application Support» Ordner ist verschwunden. Gefunden werden kann er noch via Spotlight. Diesen Ordner gilt es sicherlich regelmässig zu backupen.
Wer noch weitergehen mag, kann die einzelnen Tresore exportieren. Dabei solltet ihr aber beachten, dass dann diese Dateien nicht mehr verschlüsselt sind. Heisst, ihr solltet die Dateien auf keinen Fall in eine Cloud schieben. Auch solltet ihr sie nicht so einfach auf eurem Computer oder einem externen Speichermedium sichern. Diese Dateien gehören sofort in verschlüsselte Container und können dann am Platz eurer Wahl abgelegt werden.
Dazu sollte ich wohl mal noch separat ein Beitrag schreiben. Habt ihr einen anderen Weg, wie ihr eure Passwörter und Notizen aus 1Password sicher verwahrt?
Fazit zu 1Password – dem Passwort-Manager
Auch wenn mir die Kosten von CHF 7.50 jeden Monat schmerzen, ich weiss, warum ich es tue. Meine Passwörter sind wie meine Bilder, dass sicherste Gut, welche ich nicht verlieren möchte. Aktuell ist für mich und meinen Workflow, der sich von Windows über Android und den ganzen Apple-Plattformen hin ausstreckt, 1Password die einfachste und beste Möglichkeit.
Wenn man bedenkt, wie wichtig die ganzen Passwörter sind, für sein digitales Ich, dann sollte es einem auch Wert sein, solche einen Betrag in den Topf zu schmeissen.
Noch wichtiger ist aber, dass ihr starke Passwörter verwendet. Ihr könnt das in einem Passwort-Manager wie 1Passwort tun, oder auch händisch und mit einem ausgeklügelten System. 1Password hilft euch auch, ohne die App, starke Passwörter zu erstellen. Schaut doch mal hier auf deren Webseite nach. Das ist extrem praktisch, wenn man mal seine 1Password App gerade nicht zur Hand hat und dennoch ein starkes Passwort erstellen möchte.
Solltet ihr in eurer Firma auf 1Password setzten, dann sprecht mit eurem IT-Verantwortlichen. Bezahlt die Firma euch einen 1Password Business Zugang, so habt ihr die Möglichkeit einen kostenlosen Familien-Account zu bekommen. Solange ihr bei der Firma arbeitet, könnt ihr die Lizenz auch behalten und spart richtig Geld.
Auszeichnung
Auf jeden Fall kann ich einem jeden, von euch empfehlen, euren Passwörtern mehr Aufmerksamkeit zu schenken. Denn die Angriffe auf Accounts in Netz nehmen sicherlich nicht ab in den nächsten Jahren. Wer auf der Suche nach einem Passwort Manager ist, sollte sich 1Password auf jeden Fall genauer anschauen. Ich nutze die App seit es sie gibt und möchte sie nicht mehr vermissen.
Mehr Informationen zu unseren Auszeichnungen könnt ihr hier nachlesen.
Originalbeitrag: 08. Januar 2018
Bin von 1Password zu Dashlane gewechselt da mich das Abo-Modell von 1Password verärgert hat.
Ich hab es mir lange überlegt und bin dann auch hart beim – nicht-Abo Modell geblieben. Doch irgendwann hatten sie mich, vor allem, weil ich natürlich sehr stark an die Nutzung und Features von 1password gewohnt hatte. Das gibts sonnst nirgends. Dann hab ich mir auch gesagt, dass ich meine Passwörter (die ja was vom wichtigsten sind für mich) gerne in einem Unternehmen weiss, dass sich nicht so schnell übernehmen lassen muss.
Aber das Dashlane muss ich mir mal genauer anschauen. Darf ich fragen, warum genau du diesen Dienst gewählt hast?
Klär mich bitte kurz auf, bei Dashlane bezahlt man doch auch, oder bin ich da wo falsch gelandet?
Habe für Dashlane über Revolut $ 29.99 für 1 Jahr bezahlt. Dashlane ist gefühlt etwas langsamer als 1Password. Nachteil von Dashlane: bietet aus Sicherheitsgründen keinen Passwort-Import an. Werde nach einem Jahr entscheiden, ob ich wieder zu 1Paswort wechsle oder bei Dashlane bleibe.
Ja, das mit dem Langsamer hatte ich bei (ich bin mir nicht mehr ganz sicher welcher) Alternative auch schon und bin dann sehr schnell wieder zurück gehüpft. Passwörter müssen schnell und korrekt da sein. Was ich schätze ist vor allem auch die einfache Integration von 2FA, kann das Dashlane auch?
Lass mich wisse, ob du nach dem Jahr auch noch da bist oder wieder zurück kehrst.
Pingback: gt0421 - INTERVIEW - Kevin Kyburz zum Instagram Hacker - #GeekTalk Podcast
Pingback: gt0421 - INTERVIEW - Kevin Kyburz on Instagram Hacker - World Today News
Pingback: 2-Faktor-Authentifizierung - Was ist das und warum solltet ihr es nutzen? | Pokipsie Network
Pingback: FRITZ!Box 6850 LTE Test | Pokipsie Network
Pingback: WPS - Was ist das? Was verbirgt sich hinter dem Namen | Pokipsie Network
Pingback: Passwort Manager nutzen | Pokipsie Network