Kritik an Cloud-Strategie von Passwortmanager 1Password
1Password, besonders beliebt unter macOS und iOS, arbeitete lange mit lokalen Passworttresoren. Mittlerweile versucht der Hersteller aber, möglichst alle Nutzer zur Verwendung eines Cloud-Abos zu bringen. Sicherheitsexperten kritisieren das.
Verschiedene Sicherheits-Experten haben Kritik an der Strategie des 1Password-Herstellers AgileBits geübt, Nutzer von der Verwendung eines Cloud-Dienstes zu überzeugen. Gegenüber der Nachrichtenseite Vice sowie auf Twitter hieß es, das Unternehmen versuche, weg von der lokalen Speicherung des sogenannten Passworttresors zu kommen, der bislang auf dem Gerät liegt.
Abo statt Einmalzahlung – inklusive Cloud-Sync
Tatsächlich wird die Möglichkeit, den Passwortmanager in Einmalzahlung zu erwerben, auf der 1Password-Website nicht mehr beworben. Diese kostet für Mac und Windows 65 US-Dollar. Im Abo ist der Passwortmanager für 3 Dollar im Monat für eine Person sowie für 5 Dollar im Monat für bis zu fünf Personen verwendbar – bezahlt wird hierbei jeweils jährlich.
1Password ist besonders auf dem Mac und unter iOS beliebt, aber auch für Windows und Android zu haben. Diese Apps werden weiterhin unterstützt. Hinzu kommt ein Web-Zugriff auf die Passwortdaten und ein 1 GByte großer Speicherplatz "zur sicheren Dokumenteablage". Gelöschte Einträge und Passwörter sollen sich ein Jahr lang wiederherstellen lassen ("365 day item history").
In Zukunft will Agile Bits seine Kundschaft dazu bringen, auf den Cloud-Dienst zu wechseln. Man wolle, dass die Kunden "das beste" bekommen, so ein Entwickler der Firma gegenĂĽber Vice. Das alte Setup solle zwar auch erhalten bleiben, doch fĂĽr "99,9 Prozent der Menschen" sei 1Password.com absolut "the way to go".
Einzelplatzlizenz per E-Mail
Im offiziellen Forum hatte Agile Bits zuvor angekĂĽndigt, dass man 1Password nicht mehr als Einzelplatzprodukt vermarkte. Entsprechend mĂĽssen Interessenten sich unter der Adresse sales@agilebits.com direkt an die Firma wenden.
Einen Zwang, den Passworttresor auf 1Password.com auszulagern, soll es aber zunächst nicht geben. Im Dialog mit einem Nutzer auf Twitter hieß es, man habe "keine Pläne", die Unterstützung bestehender lokaler Tresore zu entfernen. "Wir sprechen uns für eine Mitgliedschaft aus, weil wir glauben, dass das der beste Weg ist, 1Password zu verwenden", so ein Mitarbeiter der Firma. Ein Nutzer hatte sich zuvor darüber beklagt, er sei extra auf 1Password gewechselt, um den von Apple angebotenen iCloud-Keychain-Sync zu umgehen.
Gefahren beim Speichern von Passwörtern in der Cloud
Das Grundproblem beim Speichern von Passwortdaten in der Cloud ist, dass man der Umsetzung des Herstellers vertrauen muss. Begeht dieser Fehler bei der Verschlüsselung, können Einbrecher auf den Servern eines Passwortdienstes unter Umständen hunderttausende von Passwörtern abgreifen, die bereits mit den entsprechenden Nutzerkonten bei Webseiten verknüpft sind. In der Vergangenheit haben Angriffe auf ähnliche Dienste wie Lastpass gezeigt, dass diese Passwort-Schätze durchaus ein verlockendes Ziel für Cyberkriminelle sind.
[Update 13.07.17 17:27 Uhr:] Die Einzelplatzversion von 1Password lässt sich über diesen Link derzeit noch direkt und ohne E-Mail-Zuschrift erwerben – als Variante für den Mac und zum Preis von 65 Dollar. (bsc)