Google Authenticator und LastPass zusammen nutzen
Heute schrieb ich für das CeBIT-Blog einen Beitrag, in dem ich LastPass kurz vorstellte. LastPass kennen sicherlich die, die hier regelmäßig mitlesen. Es handelt sich dabei um einen Onlinedienst, der Passwörter verwaltet. Es gibt Apps und Erweiterungen für gängige Browser, sodass es ein leichtes ist, von überall auf seine Passwörter zuzugreifen.
Die Übertragung sowie die Lagerung eurer Passwörter erfolgt verschlüsselt. Die Passwörter werden vorab von LastPass durch ein Master-Passwort geschützt und verschlüsselt, dieses geschieht mit einer Verschlüsselung von 256-Bit AES – erst dann erfolgt der Datenaustausch. Als weiteren Sicherheitsfaktor möchte ich euch heute die von mir genutzte Variante in Verbindung mit dem Google Authenticator vorstellen.
Den Google Authenticator und seine Einrichtung stellte ich ja bereits vor. Kurzform: neben dem Passwort ist ein aktueller Code nötig, der von einer Software auf eurem Smartphone generiert wird. Auch LastPass unterstützt seit Ende letzten Jahres die Möglichkeit. Zu erreichen ist diese in den Einstellungen in der Oberfläche von LastPass.
Der besagte Barcode wird dann mit der Authentificator-App von Google gescannt, sie steht unter anderem für iOS und Android zur Verfügung und schnell eingerichtet. Nach dieser Lösung müsstet ihr also aus Sicherheitsgründen jedes Mal den generierten Zahlencode eingeben, wenn ihr euch bei LastPass einloggen wollt.
Sofern ihr allerdings wollt, könnt ihr vertrauenswürdige Rechner hinzufügen, dass bei diesen das Passwort alleine genügt. Im Falle eines Diebstahls könnte man den Zugang widerrufen, der Punkt findet sich auch in den LastPass-Einstellungen unter „Vertrauenswürdige Computer“.
Fazit: wenig Mühen für mehr Sicherheit. Denn auch Googles Konten lassen sich so schützen. Der Aufwand beträgt wenige Minuten und kurioserweise finde ich, dass sehr wenige Menschen die Android-Version des Authenticators installiert haben. Die Leute scheinen also auf ein Passwort zu vertrauen, anstatt das oftmals vorhanden Smartphone als zusätzlichen Sicherheitsfaktor zu nutzen.
War ja schnell einzurichten danke 🙂 Frage mich aber, ob die Notfall-Codes für Google nun auch für LastPass gelten.
@Cashy Und was ist nun besser? Keypass oder Lastpass? Du schreibst hier ja immer über beide und sagst du nutzt beide…?
Erklärung?
@Mathias: als Blogger nutze ich immer alles 😉 Am bequemsten ist allerdings LastPass.
@ 3lektrolurch:
Nope, sind ja 2 verschiedene Google-Authenticator-Konten.
Gibts außer Lastpass eigentlich noch andere bekannte Dienste die den Google Authenticator nutzen?!
Ich verwende Google Authenticator für das SSH Login auf meinem Server. Es gibt dafür ein PAM Modul.
Funktioniert einwandfrei und lässt sich sehr leicht einrichten. Falls der Akku vom Handy mal leer ist gibt es sogar noch Notfallpasswörter für den einmaligen Gebrauch.
Nur LastPass ist mir nicht ganz geheuer. Ich verwende lieber Keepass + OwnCloud mit Serverseitiger Verschlüsselung.
Eine andere Anwendung für Google Authenticator ist z.B. WordPress. Mit dem entsprechenden Modul installiert kann man sich in den Adminbereich nur noch mit dem Google Authenticator einloggen.
@Chris
Aha aber wo kann man denn einen Codesatz extra für LP abrufen?
@ 3lektrolurch:
Das ist ne gute Frage…
Du kannst dir sonst aber notfalls den Aktivierungscode sichern (den Code den du im Google Authenticator eingeben musst).
Lastpass.com -> Einstellungen -> Google Authenticator -> Und dann auf: „Klicken Sie hier, wenn Sie nicht in der Lage sind, den Barcode zu scannen (z. B. wenn Sie die BlackBerry-Anwendung oder ein Gerät ohne Kamera verwenden).“
Wenn du dir den speicherst kannst du dir ja im Notfall einen Code mit einem anderen Gerät erstellen.
E: Vllt klappts ja sogar mit „Bluestacks“
@ Andreas G.:
Danke für den Tipp.
Werde ich die Woche gleich mal auf meinem Server ausprobieren.
Habs rausgefunden. Ist das Handy futsch, kann man sich am Anmeldefenster durchklicken und per hinterlegter Email das LP-Konto wieder freischalten.
Dann stimmt der Satz aber nicht mehr dass das LastPass Master-Passwort das einzige Passwort sei, das man jemals brauchen werde 😉
Seine Passwörter im Internet zu speichern halte ich für extrem fragwürdig. Im Prinzip liegen lastpass alle Passwörter im Klartext vor, wenn sie wollen.
Dann lieber keedroid mit dropbox.
Werde es nachher ausprobieren. vielen danke!
@Sandro: AFAIK liegen die Passwörter bei Lastpass nur verschlüsselt vor, durch mein Masterpasswort. Lastpass hat keine Klartextpasswörter. Alle offiziellen Clients entschlüsseln den verschlüsselten Container auch auf dem Clientgerät, nicht etwa auf dem Server. Lastpass ist also (offiziell) auch mein Masterpasswort nicht bekannt.
Lastpass funktioniert also im Grunde wie Keepass + Cloud, nur dass es eine Weboberfläche und mehr Funktionen gibt.
Ich bin von Keepass + Dropbox zu Lastpass gewechselt und bin sehr zufrieden. Ich zahle auch 1$ im Monat für Premium-Features wie den Mobile-Client. Das ist es allemal wert. Und ich verwende es auch schon von Anfang an (irgendwann Anfang des Jahres) mit dem Google Authenticator.
Ich nutze LP auch schon seit Ewigkeiten (danke Caschy!) und habe jetzt mal den Authenticator aktiviert. Allerdings schaffe ich es nicht, vertrauenswürdige Computer zu hinterlegen – den Punkt habe ich in den LP-Einstellungen gefunden, aber es gibt keinen „Hinzufügen-Button“ o. ä.?!
Where’s the trick?!
@Matze: schau dir mal den letzten Screen an, die Checkbox.
Haha, danke für den Tipp, Caschy! Fiel mir eben auch auf, als ich den ersten Login an meinem Zweitrechner hatte 🙂 Klasse-Funktion, Klasse-Blog!
@Florian
aber du gibst doch sicherlich nicht die mit dem Masterpasswort verschlüsselten Passwörter in ein Formular von Lastpass ein, oder?
Ich denke doch eher, dass du im Klartext dein Passwort in ein Formular eintippst und es dann server-seitig mit deinem Masterpasswort verschlüsselt und abgelegt wird. Bevor deine Eingabe aber verschlüsselt werden, liegen sie Lastpass im Prinzip erstmal im Klartext vor.
Ich glaube nicht, dass ihre Scripte Open Source sind und man schauen kann, was mit den eingetippten Daten gemacht wird (wie es bei Keepass der Fall ist).
Gibt es eigentlich noch mehr Dienste die auf den Google Authenticator zurückgreifen (können) ?