Mal etwas anders nutzen als vorgesehen
Der heutige Artikel ist gar nicht wirklich technisch und um PHP geht es schon gar nicht. Eigentlich hab ich nur mal wieder ein cooles Feature in einer Software gefunden die ich mir gekauft habe, bei dem ich denke, dass die Idee gut ist und man das Prinzip vielleicht übernehmen sollte.
Jetzt fragt ihr euch sicher, worum es geht. 1Password heißt das Programm, dass ich mir vor zwei Wochen gekauft habe und ist dafür da Passwörter zu speichern. Mir war es wichtig ein Tool dafür zu haben, dass ich auch allen meinen Rechnern (4 an der Zahl) installieren kann und die sich auch synchronisieren. 1 Password kann das! Tolles Feature, aber eigentlich ist es nicht das Feature, sondern die Implementierung, die mir gefällt. Versetzt man sich mal in die Lage von 1Password, um dieses serverseitige Speichern von Passwörtern als Service anzubieten, muss man eine Serverinfrastruktur zusammenstellen, die wirklich hochverfügbar ist, denn es wäre ja doof, wenn ich mal ein Passwort brauche und es nicht da ist. Das ganze soll ja für den Endkunden auch kostenlos sein, was irgendwie bedeutet, dass ich irgendwann mal draufzahle.
Tja das hat sich 1Password auch gedacht und hat einen kostenlosen Weg gefunden. Sie bieten einfach keinen eigenen Server an, sondern nutzen eine bereits existierende Infrastruktur. Dropbox. Dort bekommt jeder User 2 GB kostenlosen Speicher, das Dropbox-Team kümmert sich drum, dass die Inhalte auch verfügbar sind. Also alle Anforderungen, die man hatte sind damit gelöst, ohne das man selbst Aufwand betreiben muss. Ich finde die Idee echt schön einfach und doch elegant.
Ich bin mir noch nicht ganz sicher, wie man das Konzept auch fürs Netz anwenden könnte, trotzdem hoffe ich, dass ein paar die Idee auch nett fanden und sich drüber gefreut haben. Ach und bevor sich wieder jemand aufregt, ich hab den Dropbox-Link mit meiner Referrer-ID hinterlegt.
Find ich ne gute Idee. Warum immer das Rad neu erfinden? Das einzige Problem dabei ist halt die Abhängigkeit von Dropbox (aber heutzutage ist ja alles von allem irgendwie abhängig).
Wird der Kram auch (sicher für die nächsten 100 Jahre) auf meinem Rechner verschlüsselt, bevor es auf einen fremden Server geht? Keine weiß doch wo es wirklich hingeht.
Immer dieser leichtsinnige und gedankenlose Umgang mit sensiblen Daten – ja, auch ein einfacher Blog-Beitrag sollte immer die Frage der Sicherheit als erstes stellen!
Gar nicht auszudenken, wenn es um geschäftliche Belange geht. In Deutschland gilt der Grundsatz „Verbotsprinzip mit Erlaubnisvorbehalt“. Also mal einfach so und vor allem irgendwo und irgendwie auf einem Server oder gar fremden Server zu speichern, ist da nicht!
@Walter: Da ich von der Idee fasziniert war, bin ich da nicht drauf eingegangen, aber du hast recht. Man sollte so etwas vorher klären. 1Password verschlüsselt die Daten mit AES256, was als sicher angesehen werden kann. Zumindest darf das US-Militär damit seine geheimsten Dokumente verschlüsseln (und jetzt keine Wikileaks-Anspielungen).
Ich nutze auch 1Password und bin genauso begeistert von der Idee. Die Verschlüsselung ist die gleich wie beim Schlüsselbund und für meine nicht staatstragenden Daten voll ausreichend. Die gebotene Convenience ist wirklich viel Wert und gut verschlüsselt ist immer noch besser als gar nicht oder immer das gleiche PW.
Hi,
also ich benutze zum speichern meiner Passwörter seit längerer Zeit bereits KeePass. Und die Database-Datei liegt…
richtig, bei Dropbox.
Gibt es bei der Verwendung von 1Password irgendwelche Vorteile?
Gruß
Ich muss da Ralph total zustimmen:
Wenn man seinem User, so wie du schreibst, schon eine Hochverfügbarkeit zusichern möchte, darf man sich doch nicht auf einen 3rd-Party-Provider verlassen, der jederzeit pleite gehen kann.
Was passiert, wenn dieser wirklich Pleite geht? Wenn es, wie du geschrieben hast, eine kommerzielle Softwarelösung ist, dann wäre ich stinksauer! Bei OpenSource-Lösungen kann ich mir gut vorstellen, dass man in der Konfiguration seinen Storageprovider auswählen kann. So kann jeder entscheiden, welcher Firma man vertrauen möchte und die Open-Source-Community hat nicht das Problem für 0 Income eine Infrastruktur stellen zu müssen.
Grundsätzlich mag ich natürlich Mash-Ups, keine Frage, nur vergessen immer viele, dass man sich damit zu 100% bindet. Beispiel http://www.guessasong.net: Ich mashe up mit Last.FM, iTunes, Facebook und Amazon. Wenn eine Firma ihre APIs ändert geht nichts mehr. Schlechte Basis für kommerzielle Approaches.
Zum Thema Crypto: Weak keys können überall auftreten und von heute auf morgen ist sicher passe und die Passwörter von 10 Mio Usern liegen lesbar bei Dropbox.
Viele Grüße,
Timo, der nur die Ups _UND_ Downs von Mashups aufzeigen will
Erst kürzlich habe ich Dropbox-PHP integriert um auf eine Kalenderdatei (ical) zuzugreifen. So muss der technisch nicht so versierte Redakteur nach einmaliger Einrichtung nur noch den Kalender öffnen und bearbeiten. Sogar das sichern erfolgt automatisch.
Das einzig bedenkliche daran ist, dass das ganze Konzept nicht mehr funktioniert, wenn Dropbox beschließt, die kostenlose Variante einzustellen.
Trotzdem sehr lesenswerte Inspiration, Nils.
Empfehlen hier gerade wirklich Informatiker, dass man Passwörter auf einem PC speichern sollte? :O
Da ist sogar der Notizzettel in der Brieftasche sicherer, denn wenn die weg ist, merkt man das wenigstens 😉
@KingCrunch: da geb ich dir voll recht. Bevor ich einer Closed-Source-Applikation eines ausländischen Unternehmens ohne nachgewiesener, Fehler- und Hintertürfreiheit meine gesammelten Passwörter anvertraue, würde ich auch eher den Zettel in der Brieftasche bevorzugen.
Wer es kostenlos haben möchte, und betriebssystemübergreifend seine Passwörter verwalten will, dem kann ich nur KeePassX empfehlen. http://www.keepassx.org/
@Tobi und @KingCrunch
Die Passwortdatei, in der alle Passwörter stehen ist doch verschlüsselt. Die kann ruhig jeder haben, da sie allein völlig nutzlos ist.
Zwei Nachteile der Brieftaschenmethode:
Meine Brieftasche ist zu klein für die ganzen Kontodaten, Pins und Passwörter und sobald ich meine Brieftasche verloren oder vergessen habe, steh ich ohne was da. Bei Dropbox erhalte ich sogar kostenlos ne Versionierung. 🙂
Sehr schade, dass sie zwar neben Windows und MacOSX sogar iOS und Android unterstützen (was ich sehr cool finde, um Passwörter unterwegs abrufen zu können), aber keine Version für Linux haben. Damit wäre es wirklich die Rundumsorglos-Lösung für unsere Firma. So aber leider untauglich, da einige Clients bei uns unter RedHat laufen.
Wie ist das eigentlich: benötigt das Tool eine permanente Internetverbindung? Oder kann man die Passwörter auf Wunsch synchronisieren und dann (z.B.) auch Offline nutzen?
Ich nutze auch KeePass (ist kostenlos) in Zusammenarbeit mit Dropbox. KeePass bietet sogar eine eigene Synchronisierung an (z.B. wenn man die Passwort-Datei geöffnet hat, diese sich aber mittlerweile geändert hat). Außerdem gibt es etliche Plugins für KeePass.
Kurze Erklärung zu Dropbox (hier scheinen ein paar nicht zu wissen, wie es funktioniert): Dropbox (oder auch andere Synchronisierungsdienste wie SugarSync, was ich eher bevorzuge) synchronisieren Verzeichnisse zwischen verschiedenen PCs. Wenn du also eine Datei auf PC A änderst, werden diese Änderungen zeitnah auf PC B übernommen. Die Dateien liegen also alle auf deinem PC, du hast also jederzeit Zugriff darauf, auch ohne Internetverbindung.
@Sven: Ah, stimmt. Das hatte ich übersehen (nutze Dropbox ja selbst). War eine dumme Frage, so im Nachhinein 😉
@cmi
Und KeePass läuft bei mir dank Mono auch unter Ubuntu.
Noch eine kleine Erweiterung zu KeePass:
Mit KeePassSync steht ein Plugin zur Verfügung, mit dem man mit verschiedenen Online Storage Providern einen Sync durchführen kann, aber auch zu einem SFTP-Server – damit können die Daten dann auch „Inhouse“ bleiben…
Also ausser in Truecrypt-Containern würde ich Dropbox keine sensiblen Daten anvertrauen. Egal ob das ein Syncdienst ist, Fakt ist, die Daten werden an einen nicht vertrauenswürdigen Dienst hochgeladen.
Um die Sache rund zu machen: http://bit.ly/fVRZak