Apple beantwortet Fragen zu MobileMe und iCloud

sorry, mein iPad hat aus “Dropbox” “Stölzle” gemacht. wer zum Teufel kam bei Apple auf die Idee, “Stölzle” ins Wörterbuch aufzunehmen???!

1password verschlüsselt die Passwörter applikatorisch, d.h. beim Dropbox-Fehler bestand hier keine Gefahr. Ansonsten hast Du natürlich recht, das Cloud-Risiko muss jeder für sich selbst beurteilen.

@pse: da würde ich mich mal nicht drauf verlassen. 1password setzt beim Verschlüsseln verschieden starke Mechanismen ein, je nachdem, wie der Passwort-Eintrag gekennzeichnet ist. Zudem sind nicht alle Dateien, die 1PWD auf Dropbox ablegt, auch verschlüsselt. Nur was stark verschlüsselt ist, war sicher bei der Attacke. Einträge, für die kein Master-PW nötig ist, sind nur schwach verschlüsselt und sind in 5 Minuten per Brute-Force geknackt.

Als Konsequenz aus der Dropbox Geschichte ist Agile daran, das Dateiformat anzupassen (eine Beta liegt schon vor) - sie geben dabei offen zu, dass die aktuelle Version nicht sicher ist.

@pse: abgesehen davon:

http://www.macmacken.com/2011/04/29/1password-in-kuerze-ohne-dropbox-unterstuetzung/

Und noch zum vorherigen Post:

http://forum.agile.ws/index.php?/topic/4769-dropbox-insecurity/

Lies mal den Post von Gene Y. Insbesondere interessant ist die Unterscheidung zwischen high- und low-grade encryption bei der aktuellen 1 Password Version.

Ich ziehe aus der ganzen Dropbox-Geschichte folgendes Fazit:

1. Cloud Storage wird niemals sicher sein und ist ein Spiel- und Tummelplatz für Hacker und Datendiebe. Ich werde sicher Cloud-Dienste für Musik und anderes nicht-essentielle Zeug nutzen, aber in absehbarer Zukunft garantiert nicht mehr für meine Dokumente

2. Passwörter in der Cloud abzulegen, egal ob verschlüsselt oder unverschlüsselt, ist dumm. Werde ich nie wieder machen. Habe im Zuge der Umstellung von Dropbox auf die NAS auch gleich von 1 Password zu SplashID gewechselt, welches auch über WLAN mit meinem Android Handy synct.

@schn0rkel:

Zum Post: Wer nichts auf Low-Security gestellt hat muss nichts befürchten steht da. Low-Security ist für die Mobilen Benutzer, da komt man mit dem 4stelligen Pin an die Daten. Sollte eigentlich klar sein, dass ein 4stelliger Pin nicht sehr sicher ist und deshalb nur für wirklich wenig wichtige Daten verwenden.

Denke 1Password (oder z.B. KeePass) ist besser als Post-it am Computer (schon gar nicht am schönen iMac ;-)) oder immer das gleiche Passwort zu verwenden bei allen Accounts/Diensten. Man kann sich halt nicht 100 starke Passwörter merken, deshalb verwenden viele einfachere Passwörter und dann gleich noch überall.

Keine seriöse Firma gibt Daten aus dem Haus. Leider ist das “Angebot” halt doch zu verlockend weil viel Geld gespart werden kann und so wird es schon länger gemacht z.B. mit Mail-Accounts.

@schn0rkel: Dass die Passwort-Länge über die Qualität des Verschlüsselungsschutzes entscheidet, ist nicht erst seit letzter Woche bekannt (und ja, dies bedeutet das ‘111111111111111111111111’ unter Umständen das bessere Passwort ist als ‘1%!Xa1’). Und wenn jemand seine Passwörter im Netz speichert, diese aber nur mit einem vierstelligen Code sichert, dann kann man ihm beim besten Willen nicht mehr helfen.

@pse: wobei es eben nicht nur um die Passwortlänge geht - mir ist nicht ganz klar (und da bin ich nicht der einzige), WANN genau 1Password Einträge stark verschlüsselt und wann nicht. Zudem sind nicht nur die Einträge selber das Problem. Andere Bestandteile der Datenbank, welche unter Umständen zu einer erleichterten Entschlüsselung der Einträge hinzugezogen werden können, sind überhaupt nicht verschlüsselt und liegen offen auf der Dropbox rum.

Für mich ist klar: Finger Weg vom Dropbox-Sync bei 1Password. Und wohl allgemeiner gesagt: Finger weg von Passwörtern auf irgendwelchen Cloud Storages.

Mehr zum Thema Passwort-Länge bei http://goo.gl/pVqKc

Starke/schwache Verschlüsselung wird mir angezeigt, wenn ich auf dem Mac einen 1Passwort-Eintrag anschaue

@schn0rkel: Standard ist stark verschlüsselt. Kann man für jeden Eintrag einzeln senken wenn man möchte. Die Idee: Dinge wie z.B. der 3stellige Code vom Fahrradschloss bekommt man auf einem Handy nach der Eingabe des 4stelligen Pin bereits.

Es gibt natürlich auch einige Dinge die eben nicht verschlüsselt sind wie z.B. der Name des Eintrags. Das ist halt ein Abwägen zwischen Sicherheit & Komfort. “The Mac OS X keychain nicely balances security and convenience, so the Agile Keychain follows suit.” Agile informiert über vieles ganz offen und dies ist auch richtig: http://help.agilebits.com/1Password3/agile_keychain_design.html

@pse: Genau, deshalb gibt es auch Salts: http://de.wikipedia.org/wiki/Salt_(Kryptologie)