Google Sicherheitsforscher findet Lücke in Online-Passwortmanager LastPass
Die nächste Zeit dürfte es wieder ein bisschen spannend in der Welt der Passwortmanager werden. Tavis Ormandy, seines Zeichens bei Google im Sicherheitsprojekt „Zero“ unterwegs, hat sich wieder Sicherheitslösungen vorgenommen. Sein aktuelles Opfer? LastPass. Via Twitter fragte er herum, ob Menschen wirklich „dieses LastPass“ nutzen würden, da es eine Reihe offensichtlicher, kritischer Probleme hätte. Nachvollziehbar: Tavis Ormandy posaunt nicht die Lücken konkret heraus (er spricht lediglich von einer Gefährdung der Nutzer durch einen Remote-Angriff), sondern hat sich mit seinen Erkenntnissen an LastPass gewandt.
Full report sent to LastPass, they're working on it now. Yes, it's a complete remote compromise. Yes, I promise I'll look at 1Password.
— Tavis Ormandy (@taviso) July 27, 2016
Diese gaben nun gegenüber Ormandy an, dass sie an einer Lösung arbeiten. Tavis Ormandy erwähnt in seinen Tweets ferner, dass er sich bald den beliebten Passwortmanager 1Password vornehmen wolle, er selber verstehe nicht, warum Menschen Cloud-Lösungen wie LastPass nutzen. Er selber meint, dass KeePass auf ihn vernünftig realisiert wirke.
Update: hier ein Proof of concept einer Lücke. Offensichtlich funktioniert eine auf dieser Seite beschriebene Lücke nur bei nicht aktivierter 2FA.
Update: 20:00 Uhr: Das Problem existierte und betraf Firefox-Nutzer. LastPass äußert sich hier zum Thema.
Und ich verstehe nicht, warum Leute einen Ferrari fahren. Ich selber meine, dass Audi auf mich vernünftig realisiert wirkt.
Humbug.
Weil KeePass viel zu umständlich ist in einer Welt wo jeder 30 Geräte hat.
Google Chrome hat doch quasi einen integrierten Passwort-Manager. Ist das dann keine Cloud-Lösung???
Ich bin Last Pass Nutzer (seit kurzem sogar premium), weil es einfach bequem ist und im Gegensatz zum Google Chrome/Firefox Passwortmanager bisher tadellos funktioniert. Passwörter auf jedem Gerät synchronisiert, sogar innerhalb von Apps auf Android.
Ein vernünftiger Passwortmanager ist für mich nicht mehr wegzudenken.
Nun gut. Ich benutze Lastpass und habe Keepass2 im Einsatz. Letzterer dann mit der verschlüsselten Datei in der Cloud.
Aber bei Lastpass ist halt der Login-Vorgang besser automatisiert.
„Also, this would not work if multi factor authentication was on, so you should probably enable that as well.“ – das zeigt nur wieder, das man Passwort Manager unbedingt mit Two-Factor Authentication nutzen sollte
@Mario
Für KeePass gibt es entsprechende Plugins für eine Synchronisation. Nutze ich selbst auf mehreren Geräten.
Ich verstehe auch nicht wieso man sowas nutzt obwohl keepass tausendmal besser ist. Nutze schon seit anbeginn keepass und hatte noch nie probleme.
@elPerstin:
Dein Vergleich ist Humbug. Hier geht es darum, ob man sensible Daten aus der Hand gibt (LastPass & Co.) oder die Kontrolle darüber behält (KeePass). Den Unterschied kannst du mit einem Autovergleich nicht abbilden. Autovergleiche sind bei IT-Themen sowieso immer äußerst dämlich. 🙂
@John ja, dämlich ist der richtige Ausdruck für diesen Troll
+1 @ John
Lastpass ist rein funktional einfach ungeschlagen – auf allen Endgeräten (inkl. Chromebooks) absolut identisch und funktioniert einfach immer perfekt. Ich habe so ziemlich alle PW-Manager durch, bin aber immer wieder zu Lastpass zurück gekehrt. Daran konnte auch Keepass nichts ändern…alleine die Tatsache, dass das wg. der Quelloffenheit auf allen Plattform komplett anders aussieht ist nervig.
2FA sollte eh Pflicht sein, von daher ist es ein netter Hinweis an LP, aber kein Dealbreaker für mich.
konnte mit lastpass nie was anfangen. für mich ist roboform ungeschlagen.
@mr t
Habe auch Roboform, seit 10 Jahren und es gab noch nie ein Problem.
Lastpass hatte schon unzählige Sicherheitsprobleme, Keepass ist ein Gewurschtel hoch10.
Roboform gibt es bis 10 Passcards kostenlos und kann als Cloudversion (Everywhere) oder als Lokale Version (Desktop).betrieben werden.
Die Daten sind bereits auf dem PC/Device verschlüsselt und gehen dann erst in die Cloud. Zusätzlichen Schutz beim Onlineaccout durch 2FA gibt es natürlich auch.
Sehr zu empfehlen.
Läuft auf allen wichtigen Plattformen:
http://www.roboform.com/platforms
Mehr Infos hier:
http://www.roboform.com/password-manager
Was an Keepass umständlich sein soll weiß der Geier. Habe schon alle möglichen Passwort Verwalter ausprobiert, auch LastPass. Nichts lässt sich einfacher verwalten als Keepass. Wenn ich die *.kdbx Dateien auf meinen vielen Geräten verteilen/aktualisieren will ist das ein total simpler Vorgang. Zum einen nutze ich die Cloud von Tresorit.
Backups der Datenbank werden aktuell mit Back4sure auf div. interne u. externe HDs verteilt. Einmal konfiguriert geht das alles automatisch bzw. mit einem Click innerhalb von Sekunden. Man braucht halt 1-2 Tools um für automatische Verteilung zu sorgen.Da muss man sich halt mal kurz die Mühe machen und danach schauen was wirklich taugt. Danach flutscht aber alles. Ob das dann sicher ist, weiß der Geier. Nichts ist wirklich 100% sicher.
@mr t
Roboform nutze ich auch seit 10 Jahren. Sehr zu empfehlen.
Lokal oder in der Cloud. Läuft auf allen wichtigen Plattformen:
http://www.roboform.com/platforms
Lastpass hatte schon unzählige Sicherheitslücken. Keepass ist Chaos, wenn man mehrere Geräte/Plattformen nutzt.
Roboform ist übrigens gerade zum halben Preis zu haben:
https://www.roboform.com/php/pums/rfprepay.php?lic=default_alt&lang=en
Kostenlose Version (lokal) bis 10 Passcard gibt es auch.
Keepass ist voll OK. Mit z.B. Tresorit als Cloud und einer Backup-Verteil-Software ala Back4sure lässt sich alles mühelos und relativ sicher nutzen/verteilen.
Man muss sich nur mal kurz die Mühe machen und es ausprobieren, wenn man nicht zu faul ist.
Habe Lastpass einmal ausprobiert. Nach 1 Tag jedoch wieder gelöscht. Erscheint von hinten bis vorne nicht besonders sicher bzw. seriös. Keepass dagegen tut seinen Job ausreichend gut. Mit ein paar spezielen Zusatztools (wenn gewünscht) lässt sich auch alles wunderbar verschieben und aktualisieren.
@Holgi – wie kommst Du zu dieser Aussage? „Erscheint“ klingt wenig qualifiziert – sorry, wenn ich das so offen sage.
Nein! Doch! Ohh!
@Holgi
dann hast du die Daten aber doch wieder in der Cloud!
Ob die jetzt bei LastPass oder einem anderen Anbieter liegen ist nun auch Jacke wie Hose…