Entsperren von 1Password X über die Mac-App

Vor ein paar Wochen bin ich auf 1Password X gestoßen. 1Password X ist eine Weiterentwicklung der Browser-Erweiterung von 1Password und integriert den Passwortmanager noch besser in den Browser. Soweit, so gut. Was mir jedoch überhaupt nicht gepasst hat, war, dass die Mac-App und die 1Password X nicht synchronisiert wurden, sondern sich wie zwei getrennte Apps verhielten. Das ist deswegen mühsam, weil ich beide Apps durch Eingabe des Master-Passworts entsperren musste. (Mit der „alten“ Browser-Erweiterung wurde durch das Entsperren eines der beiden Module das andere ebenso entsperrt.)

Zum Glück ist das in der aktuellen Beta-Version der beiden Applikationen behoben. Wer also genauso faul ist wie ich und sein Master-Passwort nicht zweimal eingeben (oder zB Touch ID fürs Entsperren beider Module nutzen) will, lade sich die Beta-Versionen! In der Mac-App aktiviert man „Beta-Builds einbeziehen“ im Reiter „Updates“ im Menüpunkt „Einstellungen“ und hier gibt es die 1Password X Beta-Erweiterung für Google Chrome. Die anderen Browser müssen noch warten.

Metadaten aus 1Password einsehbar

Vor einigen Tagen hat Dale Myers einen kritischen Artikel über das Schlüsselbundformat des Passwortmanagers 1Password verfasst. Ihm sind durch Zufall zwei Lücken darin aufgefallen: Einerseits sind URLs im Klartext sichtbar, andererseits ermöglicht eine Kombination aus schlechter Programmierung (von Website-Betreibern) und wenig vorsichtigem Handling der Schlüsselbunddatei aus solchen Daten Informationen zu extrahieren, die schnell für Social Engineering verwendet werden können.

1Password trotz RequestPolicy verfügbar machen

requestpolicy-1password

Das Firefox Add-On RequestPolicy ist wahrscheinlich das gründlichste Blockadetool, das jemals für einen Browser geschrieben wurde. Es ist, meiner Meinung nach, nicht nur etwas zu gründlich fürs alltägliche Arbeiten online (doch dazu später in einem momentan entstehenden Privacy-Artikel), es blockiert standardmäßig auch die 1Password-Erweiterung im Browser.

Abhilfe kann hier geschaffen werden, in dem man in den Einstellungen des RequestPolicy-Addons die Werte 127.0.0.1 und onepassword-at-agilebits-dot-com als erlaubte Quellseiten definiert – siehe Screenshot.

Nichts zu danken.

Warum Passwörter immer leichter zu knacken sind

Ein herrlich informativer, schrecklich beängstigender und den Glauben an selbst ausgedachte (aber dennoch „gute“) Passwörter auf ein Minimum reduzierender Artikel auf ars technica: Why passwords have never been weaker – and crackers have never been stronger.

Der detaillierte Artikel zusammengefasst: Je öfter Hacker durch Datenlecks und nicht genügend gesicherte Speichersysteme an tatsächlich verwendete Passwörter rankommen, desto besser werden die Algorithmen, um noch unbekannte Passwörter knacken zu können.

Der vielleicht wichtigste Hinweis im ganzen Artikel:

The most important attribute of any passcode is that it be unique to each site. (…) It’s also important that a password not already be a part of the corpus of the hundreds of millions of codes already compiled in crackers‘ word lists, that it be randomly generated by a computer, and that it have a minimum of nine characters to make brute-force cracks infeasible. Since it’s not uncommon for people to have dozens of accounts these days, the easiest way to put this advice into practice is to use program such as 1Password or PasswordSafe. Both apps allow users to create long, randomly generated passwords and to store them securely in a cryptographically protected file that’s unlocked with a single master password. Using a password manager to change passcodes regularly is also essential.

Neujahrsvorsatz 2012: Endlich bessere Passwörter

Ben Gross, immer für fundierte Artikel zum Thema Sicherheit gut, plädiert für bessere Passwörter als Neujahrsvorsatz 2012. Was mich am meisten an seinem Beitrag schockiert, ist wie schnell Brute-Force-Attacken mittlerweile sein können.

Realistically, it’s getting to the point where unless you have a pretty fantastic password, if your password is in a database of poorly hashed passwords then someone with a bit of time can discover it. Why is that you might ask? Whitepixel the purveyors of fine open source GPU accelerated password hashing software report that it currently achieves 33.1 billion password/sec on 4 x AMD Radeon HD 5970 for MD5 hashes. This is fast enough to make rainbow tables (pre-computed hashes for a dictionary attack) much less compelling. If the attacker has any additional personal information this significantly increases the chance of a successful attack since so many people use bits of personal information in their passwords.

33,1 Milliarden Passwörter in der Sekunde!