Pwned Passwords
Kennwort-Manager 1Password durchsucht Hack-Datenbank
Der Passwort-Manager 1Password wird die von euch gesicherten Passwörter zukünftig mit der Online-Datenbank Pwned Passwords abgleichen, in der über 500 Millionen Kunden-Kennwörter hinterlegt sind, die nach vergangenen Hacker-Angriffen auf Yahoo, Adobe, MySpace und LinkedIn im Netz auftauchten.
Die Funktion wird vorerst ausschließlich im Online-Portal der 1Password-Macher angebotenen (und setzt zum Zugriff hier einen entsprechenden Abo-Account voraus), soll langfristig allerdings auch in die nativen Anwendungen des Unternehmens integriert werden.
If your password is found, it doesn’t necessarily mean that your account was breached. Someone else could have been using the same password. Either way, we recommend you change your password. In future releases we’ll be adding this to Watchtower within the 1Password apps, so you can see your pwned passwords right in the 1Password app you use every day.
Die Datenbank-Abfrage ergänzt die bereits jetzt erhältliche WatchTower-Funktion der 1Password-App, die über öffentlich gewordene Schwachstellen bei den von euch eingesetzten Online-Diensten informiert und hier zur Änderung des hinterlegten Kennwortes auffordert.
Hoffe, das kann deaktiviert werden. Meine Passwörter brauchen nicht an irgendwelche Drittanbieter zur Prüfung und evtl. Speicherung weitergeleitet werden, vielen Dank.
So funktioniert das nicht.
Dein Passwort wird zu keinem Zeitpunkt irgendwo hin gesendet.
Ein sogenannter Hash deines Passwortes wird erstellt und danach sieht 1Password nach ob es den selben Hash auch in der Datenbank gibt.
Der Hash alleine hilft niemanden in deine Accounts zu kommen, denn nur wenn man das Passwort kennt und nicht den Hash kann man sich irgendwo einloggen.
Es wird auch kein hash gesendet, schließlich kann 1Password gar nicht wissen welcher Algorithmus von dem jeweiligen Dienst genutzt wird geschweige denn wieviel Durchgänge durchgeführt werden und welcher Salt und Pepper hinzugefügt werden. Es wird nur der Benutzername (also meist die E-Mail Adresse) abgeglichen.
Es werden nur die ersten 5 Stellen vom Hash genutzt.
Na hoffentlich ist das abschaltbar. Nicht das der Onlinedienst die Anfragen in ein Logfile schreibt… Für nen bruteforce Angriff wäre dass ja dann das beste dictionary von allen aktuell existierenden Password Kombinationen ne Liste mit „aktiven“ Passwörtern zu haben
Es werden nur die ersten 5 Stellen vom Hash zum Abgleich genutzt. Diese Stellen werden nicht viel bringen…
Wird man das auch ausschalten können?
Ich glaube das ganze ist schlecht erklärt. 1pw benutzt die Datenbank. Lädt diese lokal herunter. Bzw. Vergleich wenn ihr einen online vault habt. Selbes Ergebnis nur der Prozess funktioniert denke ich andersrum.
Läd sicherlich keine 8gb Datenbank runter
Ist das ein verfrühter Aprilscherz? Ohne Einwilligung wär das ein Fall fürs Gericht! Fängt jetzt die ganze Welt zu spinnen an oder was ist los?
Klage ist schon raus.
Anzeige ist raus!
Die Kommentare hier sind…priceless…
Yepp. :)
Oh man Leute, ganz ruhig. Eure Passwörter werden nicht übermittelt. Es gibt Verfahren das abzugleichen ohne das eigentliche Passwort dafür zu verwenden.
Und wie? Bitte mal auf Niveau von Sendung mit der Maus.
Im zweifel verzichte ich lieber auf PW-Manager
DAS ist natürlich die beste Idee! ;)
Puh Leute, entspannt euch alle mal, die Macher von 1Password werden sich schon etwas bei der ganzen Sache gedacht haben. Es läuft folgendermaßen ab:
Die Datenbank von Pwned Passwords hat alle bekannten Passwörter mit SHA1 gehasht.
1Password erstellt nun den SHA1 Hash vom eigenen Passwort und sendet nur die ersten 5 Stellen (von 40) des Hashs an die Datenbank. Die Datenbank sucht nun nach allen Passworthashs die mit diesen 5 Zeichen anfangen und sendet alle zurück an 1Password. Nun vergleicht 1Password LOKAL den gesamten Hash mit den empfangenen Hashes und wenn ein Treffer dabei ist wird eine Warnung ausgegeben (das heißt allerdings noch nicht, dass das eigenen Konto wirklich gehackt wurde).
Es muss also an keiner Stelle das Passwort über das Internet übertragen werden.
Das ist ja soweit schon mal schlau gedacht. Aber nun kann es ja sein, dass nur wenige Hashes nur mit den ersten 5 Stellen meines Hashes übereinstimmen. Oder im Extremfall nur ein einziger. Mein Passwort könnte also durchaus serverseitig offenbart werden (wo alle „gehackten“ Passwörter und ihre Hashes bekannt sind).
Naja wenn das so ist dann hast du ja einen Treffer und wirst sicherlich das Passwort in 1PW abändern. Also ich halte diese Funktion für sehr sinnvoll, denn es reduziert die Wahrscheinlichkeit für einen erfolgreichen „Wörterbuch“ Angriff.
Die ersteh fünf werte von dem Hash deines Passworts? Was ist das den für ein Mega Blödsinn.
Ich habe mal gelernt, dass sich der hash wertet dem ändert bei den geringsten Änderungen.
Von daher ist das für mich purer Blödsinn.
Ich werde gleich zu keepass wechseln um irgendwelche Online API’s für mein Passwortmanager zu umgehen. Und verzichte dann lieber ganz auf ein Manager für mein Handy.
Spitzen Idee 1passwort !!!!
Was ich hier lese „deutsche Mentalität nicht zu vertrauen“ absolut lächerlich.
Ich werde nicht freiwillig zum gläsernen Bürger. So dumm muss man erstmal sein. Facebook arbeitet auch an einem Passwort Manager oder so ähnlich. Könnt ja das dann nutzen wenn raus ist.
Also wenns um meine Passwörter und Zugänge geht möchte ich auf keinen Fall, dass jemand diese auf egal welche Weise abgleicht. Wir sind doch nicht in Amerika
@el_mari 1password ist schon viele Jahre im Geschäft und Datensicherheit ist schon immer deren oberste Prio, die beschäftigen sich intensiv mit Verschlüsselungsalgorithmen und veröffentlichen regelmäßig dazu Studien und whitepapers. Und jetzt hälst du die für geistig Beschränkt weil sie angeblich amateurhaft dein Passwort durch die Gegend schicken? Du hast es nicht einfach verstanden was und wie sie diesen abgleich machen
visse hat das exakt so erklärt, wie es auch bei Agilebits beschrieben ist (auf Englisch). Wenn ihr das nicht glaubt, dann überprüft bitte euer ungesundes Halbwissen.
Es wird immer schlimmer. Und damit meine ich nicht 1Password, sondern die Anwender.
@ROP Allerdings.
… und hier bei ifun sind ja noch Leute, die sich im Ansatz etwas auskennen sollten. Bei uns in der Firma, haben die Kunden Angst, dass ihre E-Mail Adresse verkauft werden könnte und die Kollegen verstehen teilweise gar nicht, dass sie sich von der IT einen Einlauf abholen dürfen, weil sie Kettenbriefe untereinander verschicken. [Kopfschüttel]
Alina, und genau das scheint hier immer weniger der Fall zu sein. Die Zeiten, in denen sich hier überwiegend Leute bewegten, für die Apple und Computer nicht nur Lifestyle waren, scheinen allmählich vorbei. Das Gefühl unter Gleichgesinnten (auf gleichem Wissensniveau) zu sein, habe ich immer weniger. Und ich lerne weiß Gott auch noch immer was dazu, aber ein gewisses Level erwarte ich von den Lesern hier eigentlich schon.
Da steht nirgendwo, dass die eure Daten übertragen
Jenau.
Es muss aber erstmal gejammert werden, weil alles so schlimm und die von AgileBilts gehen so sorglos mit unseren Passwörtern um.
Ich denke, das (Jammern, erstmal nur das Schlechte sehen) gehört auch etwas zur deutschen Mentalität.
Ja aber ohne diesen Abgleich gäbe es doch gar keinen Bezug zu mir
und meinem Passwort. Nur auf Grundlage des Passwortvergleichs
würde ich doch dann ungewollt in das Visier eventueller Hacker
geraden die rein zufällig an die ominöse Passwortdatenbank geraden
sein könnten.
Was geht denn da ab? Erst ändert 1Password sein Vertragsmodell, sodass ich meine Passwörter aus der Hand geben muss und jetzt sollen die Passwörter auch noch mit irgendwelchen Datenbanken abgeglichen werden? Geht’s noch? Auf die Passwörter sollte eine einzige Person Zugriff haben, nämlich der Nutzer, der den Safe angelegt hat. Niemand sonst!!! Offensichtlich ist dies bei 1Password nicht mehr gegeben, sobald die Umstellung aufs neue Vertragsmodell erfolgt ist.
Super Sache :)
Lustig, wie sich manche aufregen können weil sie den technischen Ablauf offensichtlich nicht nachvollziehen können…
Ich bin und bleibe überzeugt von 1Password. Enpass mal kurz ausprobiert – aber nein Danke… 1Password ist das Geld wert.
Mein Güte Leute – regt euch mal ab…
Bevor hier sinn freie Kommentare gepostet werden macht euch doch erst einmal schlau wie 1Password eure Daten schützt und wie das mit dem Abgleich überhaupt funktioniert.
Bei den ganzen Kommentaren hier kommt man aus dem Kopf schütteln ja gar nicht mehr raus. Glaubt ihr wirklich die geben eure Kennwörter einfach so irgendwie weiter??
Für mich ist und bleibt 1Password der beste Kennwortmanager den ich nach vielen Tests gefunden habe!