1Password: Zweck, erste Schritte, kleine und große Tipps

13. Februar 2014

1Password: Zweck, erste Schritte, kleine und große Tipps

Als Macianer kann man sich nur schwer über Passwortsicherheit unterhalten ohne 1Password, das Flagschiff auf dem Gebiet, zu erwähnen. Doch wie genau funktioniert 1Password? Wozu ist es gedacht, was kann es alles und wie findest du einen sanften Einstieg? Brauchst du so ein Programm überhaupt?

Der Artikel ist von vorn nach hinten zusammenhängend und halbwegs sinnvoll aufgebaut. Aber Zeit hat prinzipiell niemand, darum hier zur schnellen Navigation die Links zu den Überschriften:

Warum du kaum um einen Passwort-Manager herum kommst
Sicherheit muss nicht zwingend auf Kosten der Gemütlichkeit gehen
Ok, du hast dir die 1Password Demo geladen. Was nun?
Alte Logins übertragen – fast ohne eigenes Zutun
Einloggen über die Browser-Erweiterung und 1Password Mini
Der Passwortgenerator ist dein Freund
Power-Up für deine alten Accounts
Was ist auf dem iPhone oder iPad?
Wie hol ich noch mehr aus 1Password raus?
Kleine Tipps
Fazit

Warum du kaum um einen Passwort-Manager herum kommst

Passwörter sind die vorherrschende Möglichkeit deine Identität im Netz nachzuweisen. Damit nicht jeder Depp mit deinen Accounts Unfug treibt, ist es wichtig möglichst sichere Passwörter zu verwenden. Sicher heißt in diesem Zusammenhang, möglichst schwer durch (von böswilligen Angreifern bediente) Computer zu erraten.[1] Notwendige Kriterien:

Nicht zu kurz: Längere Passwörter = mehr mögliche Zeichenkombinationen = schwerer zu erraten.
Nicht im Wörterbuch zu finden: Weil “echte” Wörter für uns Menschen leichter zu merken sind und daher auch in unseren Passwörtern vorkommen, nehmen Computer gern Wörterbücher zur Hilfe, um die Wahrscheinlichkeit zu erhöhen dein Passwort schneller zu erraten.
Nicht bei mehreren Diensten verwendet: Dadurch wird verhindert, dass ein Angreifer nur 1 Passwort benötigt, um sich in alle deine anderen Accounts mit den selben Daten einzuloggen.

Wenn du ein sehr, sehr gutes Gedächtnis hast, schaffst du es vielleicht, dir für jeden Dienst ein halbwegs langes und möglichst unnatürliches Einmal-Passwort auszudenken und zu merken. 1Password speichert bei mir allerdings über 250 Logins and andere Zugangsdaten, mit denen selbst ein trainiertes Hirn seine Probleme haben dürfte.

Statt dir also all diese Passwörter zu merken, denk dir eines aus, das sicher-as-hell ist und das du auch bitte mit niemandem teilst. Mit diesem Passwort verschlüsselst du all deine anderen und hast in deinem Hirn wieder mehr Platz für wichtigere Sachen.

Sicherheit muss nicht zwingend auf Kosten der Gemütlichkeit gehen

Anfangs[2] habe ich KeePassX, einen plattformübergreifenden Open Source Passwort-Manager ausprobiert. Ich weiß nicht, was sich in der Zwischenzeit getan hat, doch damals war das Ding hässlich und nicht wirklich durchdacht. Die Benutzung war umständlich und hat keinen Spaß gemacht.

Ich dachte das muss so, bis ich 1Password kennengelernt hab. Die sympathischen Entwickler aus dem kanadischen Hause AgileBits haben ein ordentliches Stück Software aus dem Boden gestampft, das nicht nur hübsch und flott zu bedienen, sondern auch sicher ist.

Lad dir die Demo und folge den in diesem Blogpost genannten Schritten. Du wirst es nicht bereuen. Am Ende wirst du nicht nur sicherer im Netz unterwegs sein, sondern dich auch schneller einloggen, als ohne 1Password. Echt jetzt!

Ok, du hast dir die 1Password Demo geladen. Was nun?

Nachdem du dein Master-Passwort – wie gesagt, das Ding sollte absolut schusssicher sein – festgelegt und einen Speicherort für deine Keychain (=deine verschlüsselte Passwort-Datenbank) ausgewählt hast, kannst du locker-flockig mit dem Einpflegen deiner Logins loslegen. Doch vorher noch etwas zum optischen Aufbau der App.

3-spaltiges 1Password-Interface

Es gibt eine Seitenleiste, die dir die einzelnen Kategorien anzeigt, auf die ich später noch eingehe. In der Spalte daneben werden deine Logins gelistet, die sich über das Suchfeld oben filtern lassen. Rechts siehst du die Details zum jeweiligen Login.

Benutzername oder Passwort lassen sich über Mouseover (oder ⇧⌘C) kopieren. Alternativ kannst du direkt zur Webseite springen und deinen Login automatisch ausfüllen lassen.

Alte Logins übertragen – fast ohne eigenes Zutun

Aber wie kriegst du überhaupt Daten in 1Password? Alle Webseiten, Benutzernamen und Passwörter händisch anlegen? Zum Glück nicht.

1Password kann Logins automatisch in deine Datenbank aufnehmen, sobald du sie im Browser verwendest. Dazu musst dir zunächst die Browser-Erweiterung herunterladen. Wenn du dich anschließend beispielsweise auf Xing anmeldest, erkennt die Erweiterung, dass du gerade ein Login-Formular abschickst und fragt, ob du die Daten als neuen Login speichern möchtest.

Erweiterung will Login speichern

Logins hinzufügen könnte kaum einfacher sein, oder?

Zum Verständnis: Natürlich musst du – bevor die Erweiterung für dich arbeitet – deine Passwort-Datenbank mit deinem Master-Passwort freischalten. Diese Freischaltung ist dann aktiv, bis du deinen Rechner abmeldest oder für eine bestimmte, einstellbare Zeit inaktiv bist.

Einloggen über die Browser-Erweiterung und 1Password Mini

Jetzt wo du die Anmeldedaten gespeichert hast, kannst du dich daran gewöhnen, sie nicht länger selbst einzutippen, sondern diesen Job an 1Password zu delegieren. Dazu vergibst du in den 1Password Einstellungen im Reiter Allgemein einen Shortcut für das automatische Einloggen.

Shortcut für automatisches Einloggen

Wenn dir danach ist, brauchst du dafür nicht mal die Webseite manuell im Browser eingeben. In den Einstellungen ~~kannst~~ solltest du noch einen zweiten Shortcut für das Aufrufen von 1Password Mini anlegen. Meine Wahl für beide Tastaturkürzel siehst du im obigen Screenshot.

1Password Mini ist wie der Name sagt eine Miniaturform der kompletten App und sorgt dafür, dass du auf deine Passwort-Datenbank zugriefen kannst ohne 1Password selbst zu öffnen. 1Password Mini ist gleichzeitig auch deine Schnittstelle zur Browser-Erweiterung. Dadurch kannst du – statt die Ziel-URL selbst im Browser einzutippen – 1Password Mini aufrufen, den Namen des Logins eingeben und mit Enter bestätigen.

Aufruf von Logins über 1Password Mini

Auf diesem Weg wird die Webseite aufgerufen und deine Anmeldedaten automatisch ausgefüllt.

Der Passwortgenerator ist dein Freund

Ok, du hast deine aktuellen Logins automatisch in deine Passwort-Datenbank aufgenommen und loggst dich fleißig über 1Passwort ein. Die Zeit ist reif, um bei der Registrierung für neue Accounts nicht mehr eins deiner “normalen” Passwörter zu verwenden, sondern ein angemessen sicheres. Dabei hilft dir der Passwort-Generator.

Sobald du deine Registrierungsdaten – bis auf das Passwort – eingegebn hast, rufst du über deinen festgelegten Shortcut 1Password Mini auf. Dort findest du den Passwort-Generator, den du nach deinen Vorstellungen einstellen kannst.

Passwortgenerator in 1Password Mini

Neben dem zufällig generierten Passwort siehst du eine Bewertung seiner Stärke. Für die bessere Übersicht sind Ziffern blau und Sonderzeichen rot eingefärbt. Die Optionen sollten selbstredend sein. Sobald du auf Einfügen klickst, werden die Passwort-Felder ausgefüllt und deine Formulardaten in der Passwort-Datenbank abgespeichert.

Mehr ist von deiner Seite aus nicht zu tun, um ein sicheres Passwort für einen neuen Account zu erstellen. Um dich später einzuloggen, reicht es wie gewohnt deinen festgelegten Shortcut für das automatische Ausfüllen eines Logins zu aktivieren.

Power-Up für deine alten Accounts

Inzwischen hast du einen semi-sicheren Zustand erreicht. Neue Accounts haben zwar ein langes, schwer zu erratendes, sicheres Passwort, doch deine alten Accounts haben vermutlich alle noch immer das gleiche, unsichere Passwort aus vergangenen Zeiten, als du es nicht besser wusstest. Zeit das zu ändern.

Begib dich auf die Passwort-ändern-Seite des entsprechenden Dienstes.
Starte 1Password Mini (allerdings über den Shortcut für 1Password mini anzeigen, nicht den Login-Shortcut[3]).
Lass dir im Passwort-Generator ein Passwort erzeugen, das du in die Felder einfügst (entweder über den Einfügen-Button oder – falls das Probleme macht – über den kleinen Pfeil neben dem Button, der dich das Passwort kopieren lässt).

Passwort kopieren statt Einfügen

Das Formular kannst du jetzt abschicken. Anschließend log dich bitte aus und wieder ein, diesmal aber nicht über 1Password sondern manuell. Das Passwort dazu liegt noch in deiner Zwischenablage (⌘V). 1Password wird erkennen, das es den Login mit diesem Passwort noch nicht gibt und dir ein Fenster zeigen, in dem du die bisherigen Daten ersetzen kannst.

Bisheriges Passwort ersetzen

Auf diesem Weg[4] kannst du dich mit Unterstützung von 1Password von deinen alten Passwörtern trennen und durch neue, bessere ersetzen.

Was ist auf dem iPhone oder iPad?

Leider bringt dir dein Gmail-Passwort o.ä. wenig, wenn du es nicht auf dem iPhone hast, sobald du es dort brauchst. Natürlich könntest du es vom Mac abtippen, doch erstens ist das reine Folter, sobald du Sonderzeichen mit in deine Passwörter aufnimmst, und außerdem setzt das voraus, dass du deinen Mac in deiner Nähe hast. Mobil geht anders.

Dieses Problem haben auch die Mädels und Jungs von 1Password erkannt und deshalb Kompagnon-Apps für iPhone und iPad veröffentlicht. Das bedeutet, dass du deine Passwörter mit deinem iDevice syncen und dadurch auch unterwegs auf deine Passwörter zugreifen kannst.

1Password auf dem iPhone

Sync-Möglichkeiten: Dropbox, iCloud, WLAN

Sensible Daten in die Cloud zu schmeißen ist seit dem NSA-Trara nicht unbedingt attraktiver geworden. Dennoch ist deine Passwort-Datenbank (=Keychain) mit 256-Bit-AES verschlüsselt, was recht ordentlich ist. Selbst wenn Angreifer also durch Sicherheitslücken im Cloud-Dienst deiner Wahl an deine Keychain kommen, werden sie ohne dein Master-Passwort nicht an deine Account-Daten kommen.

Ich persönlich synchronisiere meine Keychain über Dropbox. Alternativ kannst du ebenso iCloud verwenden. Die dritte Option ist der Cloud-freie WLAN-Sync, bei dem dein Mac und dein iPhone über eine gemeinsame WLAN-Verbindung die Keychain synchronisieren.

Optionen für die Synchronisierung

Wofür du dich auch entscheidest, wichtig ist nur, dass du deine Daten synchron hältst. Andernfalls wirst du deine Passwörter womöglich eines Tages auf der einen oder der anderen Plattform vermissen und bist doch wieder zum Abtippen verdammt.

1Password-Browser

Selbstredend hast du durch die restriktive Natur von iOS nicht die Möglichkeiten, die dir 1Password Mini am Mac bietet. Um an deine Passwörter zu kommen, musst du die App öffnen und dein Master-Passwort eintippen.

Eingabe des Master-Passworts

Anschließend kannst du den relevanten Account suchen, das Passwort per Drauftippen kopieren und in der Zielapp einfügen. Da war der automatische Login am Mac doch um einiges gemütlicher, oder?

Auch hier gibt es eine Lösung der 1Password-Entwickler: einen integrierten Browser, der sich sehen lassen kann. Du kannst relevante Webseiten direkt im 1Password-eigenen Browser aufrufen und automatisch ausfüllen lassen, was ziemlich genial ist.

Automatisches einloggen unter iOS

Der Browser bietet sogar Tabs…

Tabs im iOS-Browser

… und ein von außen aufrufbares URL-Scheme (z.B. ophttp://www.ienno.de), wodurch es durchaus möglich ist, 1Password als Safari- oder Chrome-Ersatz zu verwenden. Wenn du z.B. eine URL irgendwo kopierst, fragt 1Password dich beim Öffnen automatisch, ob du diese im Browser öffnen willst.

URL aus Zwischenablage öffnen?

Noch einfacher geht es über dieses Bookmarklet, mit dem du die aktuelle Webseite aus dem Safari im 1Password-Browser öffnen kannst.

Das Handling kommt natürlich bei weitem nicht an die Bequemlichkeit der Browser-Extensions am Mac heran, doch die iOS-Restriktionen wurden recht clever umschifft.

Wie hol ich noch mehr aus 1Password raus?

Wenn du dich bis hierhin durchgeschlagen hast, dürftest du schon ein recht fähiger 1Password-Ninja sein. Also auf zum nächsten Level: was kannst du mit 1Password noch so alles anstellen?

Alfred-Integration

Schon seit längerem bietet Alfred die Möglichkeit 1Password-Einträge zu öffnen, ohne 1Password selbst öffnen zu müssen. Dazu musst du zweilei tun:

In den 1Password-Einstellungen unter Erweitert den Haken bei Integration mit Fremdapplikationen erlauben setzen.
In den Alfred-Einstellungen unter Features → 1Password den Haken bei Enable 1Password Bookmarks setzen.

Auch wenn diese Funktion bei mir ehrlich gesagt oftmals ein wenig zu wünschen übrig lässt, könnte es durchaus gut in deinen Workflow passen.

Sicherheitsüberprüfung

Um dir das Auslöschen unsicherer Passwörter einfacher zu machen gibt es in der Seitenleiste von 1Password einen Abschnitt namens Sicherheitsüberprüfung. Darin enthalten sind intelligente Suchen, die dir das Pimpen deiner eigenen Passwortsicherheit erleichtern, indem dir gesagt wird, welche Passwörter du ersetzen solltest.

Sicherheitsüberprüfung in der Seitenleiste

Mehr als nur Logins speichern

Wo wir gerade in der Seitenleiste sind: neben Logins lassen sich auch andere Daten in 1Password speichern, was sich an den Kategorien ganz gut ablesen lässt:

Kategorien

Sichere Notizen, Kreditkarten und Bankkonten sollte selbstredend sein. Der Punkt Identitäten kann zum automatischen Ausfüllen von Formulardaten bei Registrierungen genutzt werden.

Unter Passwörter werden von dir generierte Passwörter gespeichert, bis sie einem Login zugewiesen werden. Dieses kleine Backup hat mir gelegentlich schon den Hintern gerettet und verloren geglaubte Passwörter offenbart.

Was du in Softwarelizenzen speichern kannst, wirst du dir vermutlich auch denken können. Eine geniale Besonderheit ist hierbei, dass du zum Erstellen eines Eintrags das Icon aus dem Programmordner auf das 1Password-Icon im Dock oder in das Programm selbst ziehen kannst. Name, Icon und Versionsdetails werden auf diese Weise automatisch ausgefüllt.

Noch mehr Kategorien gibt es über das +-Icon neben der Suchleiste:

Weitere Kategorien

Es ist gar nicht so einfach etwas zu finden, das sich nicht in einer dafür geeigneten Kategorie in 1Password speichern lässt.

Kleine Tipps

Zum Abschluss noch wertvolle kleine Tipps und Hacks für 1Passwort:

Wenn du in der App bist und einen Eintrag ausgewält hast, kannst du das passende Passwort über ⇧⌘C kopieren (Props an @txtplosion) oder den Eintrag über ⌘E (wie Edit) bearbeiten.
Zusammengehörende Passwörter lassen sich für das schnelle Wiederfinden in Ordner und Tags gruppieren.[5]
Falls du an einem fremden Rechner sitzt, an dem du keinen Zugriff auf deine Passwort-Datenbank hast, bietet dir 1Password Anywhere eine Art Web-Zugriff. (Props an @Marcelismus)
Du kennst diese Sicherheitsabfragen zur Verifizierung deiner Identität? Mit ein bisschen Taktik kommt nahezu jeder auf den Namen deiner Großmutter, deiner ersten Grundschullehrerin oder deines ersten Haustiers. Nimm als Antwort in 1Password gespeicherte Passwörter. (Props an Katie Floyd)
Unangenehmes Thema, aber deine Liebsten werden dir die Aufwandsersparnis in schwierigen Momenten danken: erstell ein 1Password Emergency Kit für den Falle der Fälle.

Fazit

Mit diesem kleinen Guide solltest du bestens vorbereitet für den Wechsel zu, den tieferen Einstieg in oder die Optimierung deiner Anwendung von 1Password sein.

Für mich ist 1Password ein solides Stück Software, hinter dem eine dufte Entwicklerfirma steckt. Der Vollständigkeit halber gibt es Alternativen, die ich aber konstant ignoriere. Einerseits durch die jahrelange Nutzung, der damit einhergehenden Masse an gespeicherten Passwörtern und dem sich daraus ergebenden Aufwand bei dem Wechsel auf ein anderen Tool. Andererseits aber – und hauptsächlich – weil ich nichts vermisse.

1Password wird stetig besser, ich fühle mich wohl und kann nur jedem Macianer (oder auch Androiden und Windowsier [6]) raten, bei der Passwortverwaltung auf 1Password zu setzen. Sichere Passwörter, schneller eingeloggt, jederzeit zur Hand.

Gern nehme ich Hinweise zu essentiellen Punkten entgegen, die an dieser Stelle nicht fehlen dürfen. Die Kommentarsektion gehört dir!

Das Problem sind keine 16-jährigen Hacker, die versuchen deine Passwörter zu erraten. Dafür werden Computer eingesetzt, die automatisiert und nacheinander häufige Passwörter oder einfach alle möglichen Zeichenketten durchprobieren. Man spricht von Brute-Forcing. ↩
= vor mittlerweile über 3 Jahren ↩
Warum? 1Password würde leere Passwort-Felder für eine Webseite erkennen, für die du bereits Logins gespeichert hast, und diese vermutlich mit den bisherigen Passwörtern ausfüllen. Das ist nicht Sinn und Zweck der Sache. Wir wollen ja neue Passwörter einfügen. Darum den Anzeigen- statt Login-Shortcut verwenden. ↩
Du kannst auch in der 1Password App selbst den alten Login bearbeiten und dort das neu generierte Passwort einfügen. Das ist zwar weniger automatisch, erspart dir aber das aus- und wieder einloggen. ↩
Für Webentwickler: z.B. Tags wie SVN/Git, lokal/dev, PMA (phpMyAdmin), KundeXY ↩
Die Endung bitte französisch ausgesprochen vorstellen. ↩

Reviews

Day One – 27.02.14
nvALT – 18.02.14
1Password – 13.02.14
1Writer – 06.02.14
Automator – 30.01.14
Fantastical – 28.01.14
Bring – 10.01.14
Skitch für iOS – 08.10.13
Byword – 05.06.13
Drafts – 01.06.13
BusyCal – 05.01.13
DaisyDisk – 03.12.12
Shortcat – 06.11.12
Transmit – 11.10.12
Cobook – 23.08.12
TextExpander – 30.07.12
Byword – 24.06.12
Keyboard Maestro – 21.05.12
Pocket – 06.05.12
TotalFinder – 19.04.12
Skitch – 26.03.12
Sparrow – 15.03.12
Things – 09.02.12