1Password: LastPass-Alternative kommt als Einzelnutzerversion

Der Passwortmanager 1Password, der bislang nur für Familien oder Teams gedacht war, wird jetzt auch in einer Einzelnutzerversion erhältlich sein, wie der Anbieter Agilebits in einem Blogbeitrag angekündigt hat. Der gehostete Service kostet regulär 2,99 Dollar pro Monat. Interessierte Nutzer, die sich bis 21. September registrieren, haben allerdings die Möglichkeit ihn zunächst sechs Monate kostenlos zu nutzen. Dazu ist weder die Angabe einer Kreditkartennummer erforderlich – der Dienst geht danach also nicht automatisch in die kostenpflichtige Phase über – noch wird in dem Zeitraum Werbung angezeigt.

AgileBits erweitert mit der Einführung der Einzelnutzerversion seines Dienstes auch das Angebot an Funktionen. Dazu gehört sowohl die automatische Synchronisation über alle verwendeten Geräte hinweg als auch der Zugriff auf die Daten bei 1Password.com über eine Weboberfläche. Neu ist zudem unter anderem auch die Möglichkeit, gelöschte oder geänderte Passwörter wieder herzustellen sowie eine Funktion zum Schutz vor Datenabfluss (Data Loss Protection).

Ganz zufällig kommt die die Produkt- und Testoffensive des kanadischen Unternehmens zum aktuellen Zeitpunkt wohl nicht ganz. Beim größten Mitbewerber LastPass war erst kürzlich die in diesem Jahr bereits zweite Sicherheitslücke entdeckt worden. Der Anbieter hatte sie zwar zwar schnell geschlossen, die Zweifel an der Sicherheit nährten sie dennoch, zumal Sicherheitsforscher Tavis Ormandy von Googles Project Zero, der die Lücke entdeckt hatte, sich über die seiner Meinung nach unzureichenden und schlecht umgesetzten Sicherheitsmaßnahmen bei LastPass generell mockiert hatte.

Dass LastPass eine von ihm entdeckte Sicherheitslücke nur unzureichend behoben habe, hatte außerdem Anfang des Jahres auch der Sicherheitsforscher Sean Cassidy bemängelt. Betroffen waren Nutzer, die ihren Passworttresor auch auf den Servern von LastPass abgelegt hatten. Durch die Lücke bestand die Gefahr, dass alle ihre Passwörter entwendet werden.

Angreifern war es vor gut einem Jahr bereits einmal gelungen, E-Mail-Adressen, Passwort-Erinnerungen und Authentication Hashes bei LastPass zu stehlen. Immerhin sollen den Tätern damals aber keine verschlüsselten Tresore mit Nutzer-Passwörtern in die Hände gefallen sein.

Ormandy hatte nach seiner Kritik an LastPass übrigens angekündigt, sich weitere Passwortmanager vorzunehmen und dabei ausdrücklich 1Pasword als nächstes Projekt genannt. Der Anbieter gibt sich jedoch zuversichtlich: Er verweist darauf, dass bei ihm Sicherheit von Anfang an zum Konzept gehört habe und nicht ein später nachgereichtes Feature sei. So hätten Nutzer die Wahl, wo ihre Daten gespeichert werden sollen und werde der gesamte Prozess Ende-zu-Ende verschlüsselt.

Das Master-Passwort sei außerdem nirgendwo digital gespeichert. Die Zugangsdaten würden zudem lokal auf dem Gerät des Nutzers generiert. Sie verließen es niemals und blieben vollständig unter der Kontrolle des Nutzers. Darüber hinaus nutze man ein sogenanntes Zero Knowledge-Protokoll, verschlüssele also allen Datenverkehr über das Netzwerk und prüfe die Identität bevor Informationen über TLS/SSL versandt würden.

Außerdem verweist der Anbieter darauf, dass der komplette Code dokumentiert sei und damit für Sicherheitsforscher aus aller Welt nachvollziehbar und überprüfbar. Diese Anforderung erfüllt übrigens auch eine weitere Alternative zu LastPass, das Open-Source-Programm KeePass.

[Mit Material von Peter Marwan, silicon.de]