Google Sicherheitsforscher findet Lücke in Online-Passwortmanager LastPass

27. Juli 2016 Kategorie: Backup & Security, Internet, geschrieben von: caschy

Lastpass Logo ArtikelDie nächste Zeit dürfte es wieder ein bisschen spannend in der Welt der Passwortmanager werden. Tavis Ormandy, seines Zeichens bei Google im Sicherheitsprojekt „Zero“ unterwegs, hat sich wieder Sicherheitslösungen vorgenommen. Sein aktuelles Opfer? LastPass. Via Twitter fragte er herum, ob Menschen wirklich „dieses LastPass“ nutzen würden, da es eine Reihe offensichtlicher, kritischer Probleme hätte. Nachvollziehbar: Tavis Ormandy posaunt nicht die Lücken konkret heraus (er spricht lediglich von einer Gefährdung der Nutzer durch einen Remote-Angriff), sondern hat sich mit seinen Erkenntnissen an LastPass gewandt.

Diese gaben nun gegenüber Ormandy an, dass sie an einer Lösung arbeiten. Tavis Ormandy erwähnt in seinen Tweets ferner, dass er sich bald den beliebten Passwortmanager 1Password vornehmen wolle, er selber verstehe nicht, warum Menschen Cloud-Lösungen wie LastPass nutzen. Er selber meint, dass KeePass auf ihn vernünftig realisiert wirke.

Update: hier ein Proof of concept einer Lücke. Offensichtlich funktioniert eine auf dieser Seite beschriebene Lücke nur bei nicht aktivierter 2FA.

Update: 20:00 Uhr: Das Problem existierte und betraf Firefox-Nutzer. LastPass äußert sich hier zum Thema.



Anzeige: Infos zu neuen Smartphones, Tablets und Wearables sowie zu aktuellen Testberichten, Angeboten und Aktionen im Huawei News Hub.

Über den Autor: caschy

Hallo, ich bin Carsten! Daddy von Max, Dortmunder im Norden, BVB-Getaufter, Gerne-Griller und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende.

Carsten hat bereits 22946 Artikel geschrieben.