Wechsel von 1Password zu Apple iCloud-Schlüsselbund

[matze787]

Moin zusammen!

So sehr ich mit 1Password zufrieden bin, so sehr nervt mich der Zwang, alle 14 Tage das Master-PW eingeben zu MÜSSEN. Ich kriege das gerade noch hin, meine Töchter haben damit ein großes Problem. Und wohin führt das? Sie verwenden schwache Master-Passwörter :-(

Da die Passwordverwaltung von Apple sehr stark aufgeholt hat, wollte ich die mal ausproboieren und habe einen Vault aus 1Password als iCloud-kompatible CSV aus 1Password exportiert und wollte sie auf meinem Mac dann importieren.

Die Datei kann ich auswählen, aber anschließend kommt immer nur die Meldung "0 Einträge wurden importiert". Auch eine konventioneller CSV-Export führte zu gleichem Ergebnis :-(

Hat jemand noch eine Idee?

Vielen Dank im Voraus

 

[M4ttX]

Wie wärs mit Bitwarden, da ist das nicht der Fall und der Import funktioniert von quasi überall.

Alternativ könnte damit auch die Konvertierung funktionieren.

 

[conf_t]

Oder KeePass, bei Apple Keepassium
TouchID und vermutlich FaceID fähig.

MasterPW muss man nicht regelmäßig ändern. Die Passwortdatenbank synchronisiere ich per Cloud (offline verfügbar) zwischen PC, Handy und Tablet.

 

[matze787]

Bitwarden habe ich tatsächlich sogar recht lange genutzt. 1Password bietet halt noch mehr Funktionalitäten, sieht super aus, hat EU-Datenspeicherung, eine Apple Watch-App und bietet ein Familymodell. Ich versuche halt, meine Töchter auch an die Sicherheitsaspekte heranzuführen.

Keepass hatte ich vor Urzeiten auch mal im Einsatz. Für mich keine Option mehr, viel zu rustikal. Da ist Bitwarden um Galaxien besser.

Inzwischen haben wir aber durchweg Apple-Hardware im Einsatz, so dass die Integration der Applelösung am nehtlosesten funktionieren sollte.

Da 1Password eine native CSV für iCloud-Schlüsselbund bietet, sollte es ha eigentlich auch funktionieren. Dann muss ich dort wohl mal nachhaken, immerhin bieten die den nativen Export explizit an.

 

[mercury]

Keine Ahnung von der Software aber bei csv Dateien klingelt bei mir „Comma vs Strichpunkt“. Änder mal in der csv zum jeweiligen Gegenteil und Probier es nochmal.

 

[andy_m4]

Ich versuche halt, meine Töchter auch an die Sicherheitsaspekte heranzuführen.

Naja. Aus Sicherheitsperspektive heraus ist natürlich sinnvoll auf Cloud-Speicher zu verzichten.
Schon das Konzept ist ja Banane. Denn bei Passwörtern will man ja gerade nicht, das sie in fremde Hände gelangen.

 

[Eletron]

Ich würde davon ausgehen, dass die CSV Datei nicht korrekt formatiert wurde.

Ich würde mich der Einfachheit halber an den Apple Support wenden.

 

[matze787]

Naja. Aus Sicherheitsperspektive heraus ist natürlich sinnvoll auf Cloud-Speicher zu verzichten.
Schon das Konzept ist ja Banane. Denn bei Passwörtern will man ja gerade nicht, das sie in fremde Hände gelangen.

Ach komm', die Diskussion ist zu oft geführt worden. Wenn Du meinst, dass ein lokaler Datenbestand auf Deinem (am Internet angeschlossenen Rechner oder NAS) sichererr ist als ein professioneller Anbieter UND Du mit den damit verbundenen Nachteilen (keine Multidevicefähigkeit) leben kannst, ist das Dein gutes Recht.

Die Alternative für die meisten Leute heute ist:

• Über das gleiche, schwache Passwort (oder nur leichte Abwandlungen davon)
• Kein 2FA

Ich bin fest davon überzeugt, dass ein guter PW-Manager die Sicherheit UM LÄNGEN erhöht.

Aber das war weder meine Frage, noch Gegenstand der angestrebten Diskussion.

 

[andy_m4]

Ach komm', die Diskussion ist zu oft geführt worden.

Genau. Deshalb müsste die Sachlage ja eigentlich klar sein,

Wenn Du meinst, dass ein lokaler Datenbestand auf Deinem (am Internet angeschlossenen Rechner oder NAS) sichererr

Ja. Wenn Dein selbstgehosteter Server übers Internet erreichbar ist, dann ist das ein Schwachpunkt.
Die Frage ist: Wieso muss das NAS übers Internet erreichbar sein?
Der Bedarf das man unterwegs ein Passwort ändert und das aber gleichzeitig auf alle eingesetzten Geräte sofort verfügbar ist mag es geben, dürfte aber eher die Ausnahme sein.

UND Du mit den damit verbundenen Nachteilen (keine Multidevicefähigkeit) leben kannst, ist das Dein gutes Recht.

Für Multidevice-Fähigkeiten brauch ich keinen Cloud-Anbieter.

Die Alternative für die meisten Leute heute ist:

• Über das gleiche, schwache Passwort (oder nur leichte Abwandlungen davon)
• Kein 2FA

Genau. Die Alternative zu Cloud-Anbieter-Passwortmanager ist überall das gleiche und schwache Passwort zu verwenden. Glaubst Du wirklich den Blödsinn, den Du da schreibst?

ist als ein professioneller Anbieter UND Du mit den damit verbundenen Nachteilen

Oft genug wurden bei professionellen Anbietern schon Daten rausgetragen. Die Argumentation das die Daten bei einem professionellen Anbieter automatisch sicher sind wurde durch die Praxis der letzten Jahrzehnte widerlegt.

Ich bin fest davon überzeugt, dass ein guter PW-Manager die Sicherheit UM LÄNGEN erhöht.

Dem würde so auch keiner widersprechen. Es geht darum, ob ich meine Passwortdatenbank extern speichere. Das ist eine fundamental schlechte Idee etwas, zu dem per Definition nur ich Zugang haben sollte, woanders zu speichern.
Das macht man nicht. Genauso wie keiner ne Raucherecke und ne Tankstelle zusammen legt oder ein Rechenzentrum und ein Dampfbad oder ein Kinderspielplatz und ne Autobahn.


Wenn Du ehrlich zu Dir selbst bist, dann geht es Dir primär um Bequemlichkeit. Das ist völlig ok. Nur sollte man dann sich nicht vormachen, das man das auf diesem Wege auch gleichzeitig mit Sicherheit zusammen kriegt.

Aber das war weder meine Frage, noch Gegenstand der angestrebten Diskussion.

Die Diskussion hast Du selbst aufgemacht, als Du etwas von Sicherheit fabuliert hast.

 

[matze787]

Oft genug wurden bei professionellen Anbietern schon Daten rausgetragen. Die Argumentation das die Daten bei einem professionellen Anbieter automatisch sicher sind wurde durch die Praxis der letzten Jahrzehnte widerlegt.

Nenne bitte die Quellen. Selbst die Angriffe auf Lastpass waren ohne echten Datenabfluss geblieben. Abr von Lastpass spreche ich gar nicht, sondern von 1Password und Apple, meinetwegen auch von Bitwarden. Bei keinem ist mir ein Datenabgriff bekannt - was natürlich nichts heißen muss ;-)

Und ja, natürlich hat das auch was mit Bequemlichkeit zu tun. Ich sage es mal so: Sicherheit sehe ich wie einen Schieberegler: entweder supersicher und extrem unbequem (bis hin zu unpraktikabel) bis hinzu sehr unsicher, dafür saubequem. Auf welche Stellung man diesen Reghler stellt, muss am Ende jeder selbst wissen.

Wenn Du mal aber kurz von Deinem IT-Stern runterkommst und an normale User denkst, dann wirst Du sehr schnell feststellen, dass die Realität ernüchternd ist. Wenn Du das anders siehst, OK. Aber die Diskussion möchte hier und jetzt nicht führen.

Im Übrigen habe ich nur von Sicherheit "fabuliert", weil die Alternative zu einem PW-Manager bei den meisten Leuten halt schwache Passwörter sind. Ach ja, siehst Du ja anders. Außerhalb der IT-Tech-Blase aber leider bittere Realität.

 

[Evil E-Lex]

So sehr ich mit 1Password zufrieden bin, so sehr nervt mich der Zwang, alle 14 Tage das Master-PW eingeben zu MÜSSEN.

Da ich selbst auch 1Password nutze, irritiert mich der Satz. Ich muss das Masterpasswort ausnahmslos jedes Mal eingeben, wenn ich das Programm öffne. Ja, natürlich ist das unbequem. Aber Sicherheit und Bequemlichkeit schließen sich gegenseitig aus.

 

[matze787]

Da ich selbst auch 1Password nutze, irritiert mich der Satz. Ich muss das Masterpasswort ausnahmslos jedes Mal eingeben, wenn ich das Programm öffne. Ja, natürlich ist das unbequem. Aber Sicherheit und Bequemlichkeit schließen sich gegenseitig aus.

Du kannst das in den Einstellungen festlegen - von "jedes Mal" über "nach jedem Neustart" bin hin zu "2 Wochen".

Ich persönlich kann da auch mit leben. Meine Mädels sind das Problem - jetzt haben sie gute Master-PW, auf dem iPhone wird nie das Master-PW abgefragt (dank Face ID), aber auf Windows- oder Macs gibt es diesen Zwang (trotz Touch ID auf dem Mac). Es gibt da auch schon etliche Anfragen von Usern im 1PW-Forum, aber bislang hat man da keinen Abstand von genommen.

Bei Bitwarden gibt es diesen Zwang beispielsweise nicht (Touch ID vorausgesetzt, vermutlich auch Windows Hello).

 

[ChristianSL]

Über die Brücke ich beim Apple nicht gehen. Wenn ich meinen Arbeits-Mac mehrere Tage nicht benutze (Urlaub/Wochenende), dann will er auch für die mit Touch-ID gesicherten Dienste, inkl 1P, Mac Login usw. das Passwort eingetippt haben. Das ist definitiv ein sinnvolles Feature, da ich sonst, u.a., riskiere diese zu vergessen.

Mich stört hier auch die Anfangsprämisse extrem, und ich hab mich bisher zurückgehalten meinen Senf dazu zu geben. Verabschiede dich bitte davon, dass komplexe IT-Systeme, wie Smartphones und andere Computer von jedem/jeder ohne Vorwissen und Willen, sich wenigsten etwas damit zu beschäftigen, halbwegs sicher und zuverlässig zu betreiben/benutzen sind (Sicherheit ist ein Prozess und kein Zustand usw. usf.). Das ist ein Trugschluss und die Bequemlichkeit aus Post #1 führt bei der nachkommenden Generation immer mehr zu einer Mentalität von Desinteresse, Unverständnis und Hilflosigkeit. DAS hat uns die desolaten Systeme überall erst eingebrockt.
Natürlich kann man über das Level von Aufwand streiten, und nicht jeder einfache User muss gleich alles selber hosten, ABER wir sind nun mal Cyborgs und lagern erhebliche Informationen und Tasks aus unserem Gehirn aus in die Geräte, die wir täglich benutzen - ein Mindestmaß an Verständnis und Aufwand muss hier also geboten sein.
Und mal ehrlich, mehr Komfort und "Sicherheit" als einen aktuellen Mac (ohne iCloud-Sync) und 1Password kann man nicht haben, das ist hier schon meckern auf allerhöchstem Niveau (für normaler Nutzer)... ich kann daher gerade leider nur mit dem Kopf schütteln.

 

[matze787]

ch kann daher gerade leider nur mit dem Kopf schütteln.

Nur, um das nochmal zu unterstreichen - ich persönlich sehe das genauso!

Aber es geht mir um meine Kids und genau wie Du selbst geschrieben hast: das ist denen heute total Wumpe. Alleine der Aufwand, 1Password einzurichten bedurfte schon viel Überredungskunst.

Wenn nun alle paar Tage diese Aufforderung kommt, dann ist das Ende schnell in Sicht - man speichert einfach alles ab, fertig. Im Zweifel alles mit identischem Passwort. Bis dann was passiert, dann ist das Geheule natürlich groß...

Gerade Apple macht ja vor, wie einfach alles gehen kann. Daher ja auch die Frage nach dem Export aus 1Password hin zu Apple. Die Importfunktion ist ja nun da, nun importiert sie bei mir halt nichts. Ich habe inzwischen diverse Formate durch und auch von Bitwarden was zum Test exportiert - Import geht trotzdem nicht.

Wenn keiner was dazu beitragen kann, beenden wir das mal an dieser Stelle. Hätte ja sein können, dass das schonmal jemand gemacht hat.

 

[ChristianSL]

Ich hab das gerade mal mit einem Eintrag bei mir probiert, und das klappte. Hast du auch mal nur einen Eintrag getestet? Ich könnte mir vorstellen, dass in deinem Export inkompatible Sonderzeichen enthalten sein könnten.
Ich verwende hier macOS 12.1 und 1Password 7.9.2

 

[matze787]

In der tat, bei 5 zum Test markierten funktioniert es sofort. Bei knapp 800 Einträgen wäre das aber ein müßiges Geschäft, wenn der Import ohne jede Meldung abbricht und so gar nichts importiert. Das hatte ich mich - zugegebenerweise - bei Apple schon etwas eleganter vorgestellt.

Dennoch danke für den Tipp, denn so habe ich mal 5 Logins für eine Website (in diesem Falle für 1&1 mit unterschiedlichen Logins) exportiert und das dann in Safari getestet. Ich kann zwar auf "Andere Passwörter für 1und1.de" klicken, sehe dann aber nur die (kryptischen) Benutzernamen. In 1Password habe ich die entsprechend benamt, das ist bei Apple gar nicht möglich.

Insofern breche ich das hier mal ab, denn so ist das für mich ziemlich unbrauchbar.

Danke!

 

[andy_m4]

Nenne bitte die Quellen.

Quellen? Es kommen alle Nase lang Daten weg. Lies doch bitte einfach nur mal einen beliebigen IT-News-Ticker.
Snowden hat sogar bei der F*cking NSA Daten raustragen können. Wenn selbst die nicht auf ihre Daten aufpassen können, wer dann?

Bei keinem ist mir ein Datenabgriff bekannt - was natürlich nichts heißen muss ;-)

Eben. Wie gesagt. Es ist einfach eine grundsätzlich schlechte Idee.
Das ist genauso, als wenn Du Dich im Auto nicht anschnallst und sagst: Bisher ist mir noch nix passiert.

Ich sage es mal so: Sicherheit sehe ich wie einen Schieberegler: entweder supersicher und extrem unbequem (bis hin zu unpraktikabel) bis hinzu sehr unsicher, dafür saubequem.

Ja. Das ist so. Dennoch gibts halt ein paar Sachen, die macht man einfach nicht. Wie beispielsweise eine Stanzmaschine. Da gibts immer zwei Knöpfe die gleichzeitig gedrückt werden müssen und auch so weit auseinander sind, das Du beide Hände brauchst. Damit halt nahezu ausgeschlossen ist, das da keine Hand zwischen ist wenn die Hydraulik loslegt.
Es wäre viel bequemer wenn man das nicht so machen würde und das würde bestimmt auch oft gut gehen. Trotzdem macht man es halt nicht, weil wenns nicht gut geht ists halt die Hand weg.

Wenn Du mal aber kurz von Deinem IT-Stern runterkommst und an normale User denkst, dann wirst Du sehr schnell feststellen, dass die Realität ernüchternd ist.

Ja klar. Trotzdem ist das ja kein Grund nicht darauf hinzuweisen. Woher soll auch das Bewusstsein dafür kommen, wenn man nicht darauf hinweist.
Was dann daraus gemacht wird ist freilich eine andere Frage und klar muss das letztlich jeder selbst wissen. Aber wenn man so was macht, dann kann man halt nicht mehr davon reden das dies was mit Sicherheit zu tun hat.

Jetzt kann man natürlich sagen: So ne Cloud-PW-Manager-Lösung ist immer noch besser als wenn der überall passwort123 als Passwort hat.
Ich finde die Argumentation schwierig.
Stell Dir mal vor, Du hast ein Auto und die Bremse hat alle 5 Male wo Du sie drückst einen Aussetzer. Das würde ja auch niemand akzeptieren. Und da würde ja auch keiner auf die Idee kommen zu sagen: Na immer noch besser als völlig ohne Bremse durch die Gegend zu fahren.
Auch die Bremse schützt Dich nicht vor Unfällen. Aber das ist trotzdem einfach ne grundlegende Sache die nicht verhandelbar ist.

Aber es geht mir um meine Kids und genau wie Du selbst geschrieben hast: das ist denen heute total Wumpe.

Häufig ist das Problem, das man gar nicht den Grund für etwas sieht und daher natürlich auch jegliche Motivation fehlt daran was zu ändern. Wesentlich ist deshalb auch ein Bewusstsein für Security zu schaffen. Dann sind auch etwaige Maßnahmen viel leichter zu etablieren.
Bei "Kids" ist das natürlich schwieriger aber dennoch machbar. Das funktioniert natürlich nicht so gut, wenn man es jahrelang laufen lässt und dann plötzlich irgendwas einführen will.

Gerade Apple macht ja vor, wie einfach alles gehen kann. Daher ja auch die Frage nach dem Export aus 1Password hin zu Apple. Die Importfunktion ist ja nun da, nun importiert sie bei mir halt nichts.

Scheint ja super einfach zu sein dieses Apple, wenn man nicht mal ein stinknormales CSV importieren kann. :-)

 

[matze787]

Quellen? Es kommen alle Nase lang Daten weg. Lies doch bitte einfach nur mal einen beliebigen IT-News-Ticker.

Ich meinte schon konkret auf Passwortermanager bezogen, denn das war Deine Aussage. Aber klar, möglich ist das alles...nur, und das muss ich Dir ja nicht erklären, mit den Daten könnten die selbst bei Datenabzug nichts anfangen. Aber das weißt Du ja selbst :-)

 

[andy_m4]

Ich meinte schon konkret auf Passwortermanager bezogen, denn das war Deine Aussage

Nein. Meine Aussage war, das Daten in der Cloud wegkommen. Und Passwörter sind besonders wichtige Daten da die ja per Definition geheim bleiben sollten.

nur, und das muss ich Dir ja nicht erklären, mit den Daten könnten die selbst bei Datenabzug nichts anfangen.

Du meinst, weil die Passwortdatenbank verschlüsselt ist?
In einer idealen Welt würde ich Dir recht geben. Da kann ich bedenkenlos eine verschlüsselte Datei publizieren weil da kommt keiner ran. Nun mussten wir aber lernen, das es bei Verschlüsselungen nicht gerade trivial ist die fehlerfrei zu implementieren selbst wenn das Verfahren als solches mathematisch sicher ist.

Das spricht nicht gegen Verschlüsselung. Das spricht aber dagegen sich allein darauf zu verlassen.
Auch bei anderen sicherheitskritischen Dingen verlässt man sich ja auf die eine Sache, sondern es ist immer ein Zusammenspiel von mehreren Sicherheitsmaßnahmen. Mit dem Hintergedanken, falls eine Maßnahme aus irgendwelchen Gründen nicht funktioniert, sind halt noch die anderen da um die Auswirkung abzufangen.

Übrigens würde ich als Baseline bei Verschlüsselung immer fordern, das das Open-Source ist. Das macht es nicht 100% sicher, aber Softwarehersteller sind eher darum bemüht ihren Kram ordentlich zu machen. Zudem eröffnet es die Möglichkeit es einfacher nach etwaigen Sicherheitsproblemen abzuklopfen und man muss sich nicht allein darauf verlassen, das der Hersteller drauf schwört.