LastPass-Alternative 1Password startet Dienst für Einzelpersonen

Der bislang nur für Familien oder Teams konzipierte Passwortmanager 1Password hat nun auch eine Einzelnutzerversion angekündigt. Der gehostete Service kostet regulär 2,99 Dollar pro Monat. Anwender, die sich bis 21. September registrieren, können ihn jedoch zunächst sechs Monate kostenlos nutzen. Dazu ist weder die Angabe einer Kreditkartennummer erforderlich – der Dienst geht danach also nicht automatisch in die kostenpflichtige Phase über- noch wird in dem Zeitraum Werbung angezeigt.

Bisher stand der Dienst nur zur gmeiensmane Nutzung für Teams oder Familien zur Verfügung. Mit der Einführung der Einzelnutzer-Version seines Dienstes führt der Anbieter AgileBits auch mehrere neue Funktionen ein. Dazu gehört sowohl die automatische Synchronisation über alle verwendeten Geräte hinweg als auch der Zugriff auf die Daten bei 1Password.com über eine Weboberfläche. Neu ist zudem unter anderem auch die Möglichkeit, gelöschte oder geänderte Passwörter wieder herzustellen sowie eine Funktion zum Schutz vor Datenabfluss (Data Loss Protection).

Die Produkt- und Testoffensive des kanadischen Unternehmens kommt wahrscheinlich zum aktuellen Zeitpunkt nicht zufällig. Erst kürzlich war beim größten Mitbewerber LastPass die dieses Jahr bereits zweite Sicherheitslücke entdeckt worden. Die hatte der Anbieter zwar schnell geschlossen, die Zweifel an der Sicherheit nährten sie dennoch, zumal Sicherheitsforscher Tavis Ormandy von Googles Project Zero, der die Lücke entdeckt hatte, sich über die seiner Meinung nach unzureichenden und schlecht umgesetzten Sicherheitsmaßnahmen bei LastPass geenrell mockiert hatte.

Außerdem hatte Anfang des Jahres auch der Sicherheitsforscher Sean Cassidy bemängelt, dass LastPass eine von ihm entdeckte Sicherheitslücke nur unzureichend behoben habe. Betroffen waren Nutzer, die ihren Passworttresor auch auf den Servern von LastPass abgelegt hatten. Durch die Lücke bestand die Gefahr, dass alle ihre Passwörter entwendet werden.

Vor gut einem Jahr war es Angreifern bereits einmal gelungen, bei LastPass E-Mail-Adressen, Passwort-Erinnerungen und Authentication Hashes zu stehlen. Immerhin sollen den Tätern damals aber keine verschlüsselten Tresore mit Nutzer-Passwörtern in die Hände gefallen sein.

Nach seiner Kritik an LastPass hatte Ormandy übrigens bereits angekündigt, sich weitere Passwortmanager vorzuknöpfen und dabei ausdrücklich 1Pasword als nächstes Projekt genannt. Der Anbieter gibt sich jedoch zuversichtlich: Er verweist darauf, dass bei ihm Sicherheit von Anfang an zum Konzept gehört habe und nicht ein später nachgereichtes Feature sei.

So hätten Nutzer die Wahl, wo ihre Daten gespeichert werden sollen und werde der gesamte Prozess Ende-zu-Ende verschlüsselt. Außerdem sei das Master-Passwort nirgendwo digital gespeichert. Die Zugangsdaten würden zudem lokal auf dem Gerät des Nutzers generiert. Sie verließen es niemals und blieben vollständig unter der Kontrolle des Nutzers.

Darüber hinaus nutze man ein sogenanntes Zero Knowledge-Protokoll, verschlüssele also allen Datenverkehr über das Netzwerk und prüfe die Identität bevor Informationen über TLS/SSL versandt würden. Außerdem verweist der Anbieter darauf, dass der komplette Code dokumentiert sei und damit für Sicherheitsforscher aus aller Welt nachvollziehbar und überprüfbar. Diese Anforderung erfüllt übrigens auch eine weitere Alternative zu LastPass, das Open-Source-Programm KeePass.