Strenge Regeln unter macOS Mojave
1Password: Auto-Absenden von Passwörtern fällt Sicherheitsbestimmungen zum Opfer
Falls ihr euch als 1Password-Nutzer bereits darüber gewundert habt, dass von der Mac-Version der App in Safari eingetragene Passwörter nicht mehr automatisch abgeschickt werden, liefert ein Blog-Eintrag der Entwickler nun die Erklärung. Die Abschaffung dieser Komfortfunktion ist die Folge von Änderungen unter der Haube von macOS und soll für zusätzliche Sicherheit sorgen.
Die 1Password-Entwickler informieren in ihrem Blog umfassend über Version 7.2 ihrer App. Auffälligste Neuerung war ja sicher der nun verfügbare und perfekt an macOS Mojave angepasste dunkle Modus. Dazu habe es aber auch etliche nicht auf Anhieb ersichtliche Änderungen, dazu zählt der Wegfall des „automatischen Enter-Drückens“ nachdem die Anmeldedaten in die entsprechenden Felder im Webbrowser eintragen wurden.
Den Entwickler zufolge ist ihnen die Entscheidung für das Streichen einer an sich beliebten Funktion nicht leicht gefallen. Ausschlaggebend sei die Tatsache, dass ihre App nicht unterscheiden könne, ob die Login-Daten auf einer authentischen oder möglicherweise auch auf einer gefälschten Webseite eingetragen wurden. Der Nutzer habe ohne die Auto-Funktion die Möglichkeit, dies vor dem Drücken der Enter-Taste zu überprüfen. Zudem sei es hier und da auch vorgekommen, dass Webseiten die Funktion nicht in vollem Umfang unterstützen und es in der Folge zu Fehlermeldungen oder dergleichen kam, durch die das Nutzererlebnis getrübt wurde.
Was wie eine von den Entwicklern selbst getroffene Entscheidung klingt, ist allerdings eher auf Änderungen in macOS Mojave zurückzuführen. Apple selbst hat den Mechanismus, dessen sich die 1Password-Entwickler für das virtuelle Betätigen der Enter-Taste bedient hatten, aus Sicherheitsgründen gestrichen. Ein Beispiel für die mit dieser Funktion verbundenen Sicherheitsrisiken hatte der Entwickler Patrick Wardle geliefert, als er Sicherheitsabfragen von macOS automatisiert übersprang.
Was für ein Dreck. Jeder der die Funktion selektiv nutzte wusste was er Tat. Der Rest rafft nicht was und wie gefaked ist. Eine Option wäre nett gewesen.
Geht aber nicht.
Moserst Du über die Entwickler von 1Password oder über Apple? Ich frage deshalb, weil ich den Eindruck habe, dass Du den Artikel nicht oder zumindest nicht bis zum Ende gelesen hast. Aber die Hauptsache ist, man hat erst mal einen kraftvollen Kommentar abgegeben. Hast Du toll gemacht.
Wie geschrieben: ist scheinbar nicht möglich, weswegen es auch keine Option gibt. Bei Enpass kann man es sich noch aussuchen, aber da steht ein Update für Mojave auch noch aus. Fällt dann bestimmt raus. Immer mehr Internetseiten gehen eh über eine getrennte Anmeldung: erst Benutzername, bestätigen, Passwort, bestätigen. Mich stört es kaum, auch wenn ich mir eine Wahlmöglichkeit gewünscht hätte.
Hab nicht lange gebraucht, um mich umzustellen und finde es mittlerweile sogar ganz praktisch, denn so habe ich die Möglichkeit die oft angebotene Option „Angemeldet bleiben“ vor dem Absenden bei Bedarf zu aktivieren.
Ist zwar unbequem aber sicherheitstechnisch finde ich es sinnvoll, dass keine Drittanwendungen meinen Browser steuern können.
sehe ich auch so
Die Eintragung von Paßwörtern auf Webseiten -ob authentisch oder gefälscht- stellt stets ein Sicherheitsrisiko dar, welches gut abgewägt werden sollte. Eine Automatik ist diesbezüglich sicherheitstechnisch erst recht ein offenes Scheunentor, die Entscheidung der Entwickler von 1Password auf Einstellung dieser Funktion ist goldrichtig. Meines Erachtens hätte die nun eingestellte Funktion NIE eingerichtet werden sollen – Sicherheit geht vor Komfort.
Die Automatik erkennt aber zuverlässiger, ob man sich gerade wirklich auf der echten Anmeldeseite befindet. Daher ist die Automatik in diesem Fall dem Menschen überlegen.