LastPass: Achtung! Einbruch beim Passwort-Manager

15. Juni 2015 Kategorie: Backup & Security, geschrieben von: caschy

LastPass_Android

Schlechte Nachrichten kommen derzeit vom Anbieter eines Online-Tresors für Passwörter. Der beliebte Anbieter LastPass erlaubt die Speicherung von Passwörtern online – und diese stehen dem Nutzer auf diversen Plattformen zur Verfügung. Nun die Aussage, dass man am vergangenen Freitag eine ungewöhnliche Aktivität im Firmennetzwerk festgestellt habe. Laut LastPass habe man bei anschließenden Untersuchungen keinen Hinweis darauf gefunden, dass verschlüsselte Passwort-Tresore entwendet wurden.

In our investigation, we have found no evidence that encrypted user vault data was taken, nor that LastPass user accounts were accessed. The investigation has shown, however, that LastPass account email addresses, password reminders, server per user salts, and authentication hashes were compromised.

Aber: man konnte nachvollziehen, dass E-Mail-Adressen von LastPass-Nutzern entwendet wurden – sowie die Passwort-Erinnerungen und Authentication Hashes. Man teilt mit, dass man der Meinung sei, dass die Verschlüsselung sicher genug sei, um einen Großteil (schwammige Aussage ist schwammig!) der Nutzer zu schützen:

We are confident that our encryption measures are sufficient to protect the vast majority of users. LastPass strengthens the authentication hash with a random salt and 100,000 rounds of server-side PBKDF2-SHA256, in addition to the rounds performed client-side. This additional strengthening makes it difficult to attack the stolen hashes with any significant speed.

Dennoch fordert man alle Nutzer zum Passwort-Wechsel auf. Alle Nutzer, die nun erstmalig von einer neuen IP oder einem neuen Gerät auf den Service zugreifen, müssen ihre Identität via E-Mail bestätigen – außer man hat die Zwei-Faktor-Authentifizierung aktiviert.

Ebenfalls werden Nutzer aufgefordert, die Master-Passwörter zu ändern. Sofern man ein schwaches Master-Password hat – oder dieses gar auch zum Login auf anderen Seiten nutzt, so soll man dies auch ändern. Auch solle man Passwort bei den Seiten ändern, bei denen man das Master-Passwort verwendet. Da die Passwort-Tresore stark verschlüsselt sind, braucht man laut Aussage von LastPass aber nicht alle Passwörter ändern.

Schöner Mist, nicht wahr? Achtet also auf jeden Fall darauf, dass ihr JEDER E-Mail kritisch gegenübersteht, die angeblich von LastPass kommt. Ich kann mir gut vorstellen, dass die Angreifer nun via E-Mail versuchen, zusätzliche Daten abzugreifen.


Über den Autor: caschy

Hallo, ich bin Carsten! Daddy von Max, Dortmunder im Norden, BVB-Getaufter, Gerne-Griller und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende.

Carsten hat bereits 22127 Artikel geschrieben.

80 Kommentare

Leif Sikorski 15. Juni 2015 um 22:27 Uhr

Meiner Meinung nach sollten solche Dienste die 2-Faktor Autorisierung zur Pflicht machen. Immerhin tragen sie eine große Verantwortung und in der Praxis ist es für den Nutzer kein allzu großer Aufwand.

Andre 15. Juni 2015 um 22:36 Uhr

Ach jetzt komm schon… Das macht doch alles keinen Spaß mehr.

HerrTaschenbier (@HerrTaschenbier) 15. Juni 2015 um 22:36 Uhr

… Es ist einfach eine doofe Idee seine Passwörter auf fremde Server zu legen.

Jonathan 15. Juni 2015 um 22:38 Uhr

Gut dass ich mich vor einiger Zeit dazu entschieden habe jedem Online Passwortsafe aus dem Weg zu gehen und daraufhin alles bei LastPass gelöscht habe…

Soulfly999 15. Juni 2015 um 22:51 Uhr

Das schon Scheisse. Was gibt es denn für komfortable Alternativen, die ich auch überall zur Verfügung habe außer einen Zettel und Stift.

Sören Hentzschel 15. Juni 2015 um 22:54 Uhr

@Soulfly999: Man braucht keinen Zettel und kein Stift, man braucht nur seinen Kopf. Das Geheimnis ist es nicht, sich für jede Webseite ein kryptisches Passwort zu merken, das wäre ohne technische Hilfsmittel wahrscheinlich für die meisten ein Problem. Aber man kann Passwörter aus einem System heraus generieren. Dann musst du dir nur dein System merken und kannst daraus das Passwort für jede beliebige Webseite ableiten.

Die Idee, Passwörter online zu speichern, ist wirklich etwas problematisch. Vor allem für jeden technikaffinen Nutzer, der ja permanent von solchen Einbrüchen liest.

Steffen 15. Juni 2015 um 22:56 Uhr

Keepass zB. Habe diesen hype um lastpass nie verstanden….

Richard 15. Juni 2015 um 22:58 Uhr

Ein Online-Dienst, der gegen Geld Kennwörter speichert. Finde den Fehler.

Orbis 15. Juni 2015 um 23:02 Uhr

Deshalb lässt man auch die Finger von Passwortmanagern wie Lastpass oder 1Password.

Niemals eine Passwortmanager-App mit Internetzugriffsrechten! Es ist eben grob fahrlässig, die Software und die Cloud-Synchronisation von der gleichen Firma zu benutzen. Immer Passwortmanager und Cloudspeicherung trennen und auf zwei verschiedene Anbieter verteilen!

Ich benutze auf meinen mobilen Geräten die App „Keepass2Android Offline“, die hat keinen Internetzugriff. Die Synchronisierung des Passwortsafes mache ich mit Tools von anderen Anbietern.

Rene 15. Juni 2015 um 23:03 Uhr

Passend dazu Tresorwerbung bei Adsense. Zettelchen in nen Tresor legen als Alternative.

Ich benutz 1Password. Ich denke, da sollte man sich einfach bewusst sein, das nichts im Internet sicher ist und dementsprechend versuchen, sich abzusichern und im Ernstfall den Schaden so klein wie möglich zu halten.

Sonst kann man sich gleich nen Strick nehmen wenn man niemandem mehr traut.

Wobei ich auch jemanden kenn, der mit nem WindowsXP-Rechner Onlinebanking macht. 😀

Goran 15. Juni 2015 um 23:14 Uhr

@Orbis
1Password speichert die Passwörter nicht bei sich. Entweder DropBox, iCloud oder gar nicht online und du synchronisierst per WLAN (allerdings nur ios denke ich).

Orbis 15. Juni 2015 um 23:18 Uhr

@Goran: Trotzdem. 1Password ist Closed Source und hat Internetzugriff. Wer so eine App benutzt, braucht sich später nicht zu beschweren. Sagt nicht, man hätte Euch nicht gewarnt.

HO 15. Juni 2015 um 23:23 Uhr

ich nutze 1password ohne cloud speicher. sollte doch recht sicher sein.

Georg 15. Juni 2015 um 23:27 Uhr

Da könnte man jetzt sagen, told you so, aber es gibt ja auch genug Leute, die die Gefahr nicht bewusst (leichtsinnig) ausgeklammert haben…sie haben die Risiken echt nicht verstanden.

Die Hypes um solche Dienste in der Tech-Szene geben mir immer wieder das Gefühl, dass gerade im Laufe der Zeit professionalisierte Blogs (ist hier auch der Fall, oder?) durchaus ein hohes journalistisches Niveau erreichen – solange es um positive Berichterstattung zu kommerziellen Angeboten geht. Da kann man was Böses hinter vermuten, muss man nicht – aber gerade weil diese Blogs immer mehr die Mitte der Gesellschaft erreichen können und kein Nischenpublikum, sollten solche Einbrüche Erwähnung finden, BEVOR sie entstanden sind. Nicht nur die Vorteile.

Wieso ist es denn hier nicht passiert, @caschy? Hast du es für unwahrscheinlich gehalten, oder aus Gründen XY für nicht relevant?

„We are confident that our encryption measures are sufficient to protect the vast majority of users.“ sagt eigentlich schon alles. Wenn ich den Dienst richtig verstehe, kontrolliert LastPass und nicht der Nutzer die Stärke der Crypto quasi komplett. Der Nutzer soll da ja gar nicht dran rumpfuschen können („00000“ bruteforcen die nie!!1!). Ich bin gespannt auf die Veröffentlichung der Lücke in dieser Crypto, die die Passwörter No. 1,3 und 5 offenlegt, aber nicht 2 und 3. Eine schöne Nebelkerze IMHO…

2cent 15. Juni 2015 um 23:28 Uhr

Dafür habe ich ein Wort: BWAHAHAHAHAHAHA!
Meine PasswortDB bleibt bei mir. Keepass.

Timo 15. Juni 2015 um 23:31 Uhr

Wieder eine Bestätigung dafür, keine PW online zu speichern.

Oliver Stahl 15. Juni 2015 um 23:32 Uhr

@Richard wo liegt das Problem? Darf Sicherheit kein Geld kosten? Viel fragwürdiger sind Dienste, die solche Leistungen kostenlos anbieten.

Orbis 15. Juni 2015 um 23:37 Uhr

@Sören Hentzschel: „Die Idee, Passwörter online zu speichern, ist wirklich etwas problematisch. Vor allem für jeden technikaffinen Nutzer, der ja permanent von solchen Einbrüchen liest.“

Da stimme ich Dir zu. Aber was hältst Du als Mozilla-Experte eigentlich von der optionalen Passwort-Synchronisation in Firefox? 😉

Shunator 15. Juni 2015 um 23:47 Uhr

Keepass –> OwnCloud –> KeePass2Android (Der Entwickler ist übrigens sehr hilfsbereit!)
Selbst wenn jemand meine OwnCloud knackt, mein MasterPW bekommt er nicht via Bruteforce usw.

Heiko 15. Juni 2015 um 23:48 Uhr

@Orbis: Ist dein Betriebsystem & deine Hardware denn Open Source? Sag nicht, man hätte dich nicht gewarnt 😉 .

Glimmer Man 15. Juni 2015 um 23:51 Uhr

@Orbis: Zitat: „Ich benutze auf meinen mobilen Geräten die App „Keepass2Android Offline“, die hat keinen Internetzugriff. Die Synchronisierung des Passwortsafes mache ich mit Tools von anderen Anbietern.“

Kannst du vielleicht beschreiben wie du genau bei der Synchronisation vorgehst? Ich „synchronisiere“ per Hand wenn ich zu Hause bin.

Theo 15. Juni 2015 um 23:57 Uhr

Es ist einfach dämlich, Apps wie LastPass oder 1Password zu benutzen. Gerade die Leser von Caschys Blog sollten das eigentlich besser wissen. Insofern verstehe ich auch nicht, dass diese Apps hier im Blog so propagiert wurden. Und jetzt kommt bitte nicht mit „Bequemlichkeit“. Genau das ist ja das Problem.

Mutti hätte es so ausgedrückt:
„Passwortmanager mit Internetzugriff? Das geht gar nicht.“

Sören Hentzschel 15. Juni 2015 um 23:57 Uhr

@Orbis: Ich denke, wer A sagt, sollte auch B sagen. Mozillas Verschlüsselung dürfte ziemlich sicher sein, aber das kann man über LastPass vermutlich auch sagen. Bei LastPass wurde auf den Servern eingebrochen, grundsätzlich wäre das auch bei den Sync-Servern von Mozilla möglich, ich meine, man kann sowas nicht für immer ausschließen, nur weil es bislang nicht passiert ist. In beiden Fällen bedeutet das erst einmal „nur“ Zugriff auf verschlüsselte Daten. Also das sind denke ich sehr ähnliche Szenarien. Es ist halt eine Einstellungsfrage zu dem Thema. Entweder man vertraut seine Passwörter der Cloud an oder nicht. Wenn, dann hat man immer das Risiko. Ich arbeite mit zu sensiblen Daten, auch von Kunden, da ist die Cloud definitiv keine Option. Passwörter und Chronik synchronisiere ich im Browser schon. Könnten diese geklaut und die Daten entschlüsselt werden, ich würde es überleben. Meine Lesezeichen würde ich sogar freiwillig teilen. Aber Passwörter sind was anderes. 😉

Sören Hentzschel 15. Juni 2015 um 23:59 Uhr

Wichtige Selbstkorrektur: „Passwörter und Chronik synchronisiere ich im Browser schon.“ – Passwörter sollte Lesezeichen heißen!

Orbis 16. Juni 2015 um 00:06 Uhr

@Glimmer Man:

Keepass2Android bzw. KeePass am PC speichert seinen verschlüsselten Passwortsafe in einer Datei mit der Endung .kdbx

Diese Datei synchronisiere ich auf meinen mobilen Geräten mit der App FolderSync.

Crimp 16. Juni 2015 um 00:38 Uhr

Ich bin schon lange bei 1password. Die sind schon seit Jahren dafür bekannt, dass die Verschlüsselung der Daten besser ist als bei der Konkurrenz.

Yellowbear 16. Juni 2015 um 00:50 Uhr

@HerrTaschenbier
Also bei gar keiner Website mehr registrieren? Klingt logisch…

Und sonst liest man hier nur Schadenfreude und Halbwissen.
Scheinen wohl viele den Satz „Laut LastPass habe man bei anschließenden Untersuchungen keinen Hinweis darauf gefunden, dass verschlüsselte Passwort-Tresore entwendet wurden.“ überlesen zu haben. Selbst wenn, ohne das Master-Passwort (das nirgends gespeichert wird, sondern höchstens per Brute-Force ermittelt werden kann) und idealerweise den zweiten Faktor kann damit niemand etwas anfangen.

Glimmer Man 16. Juni 2015 um 02:19 Uhr

@Orbis:

Danke Dir für den Tipp mit FolderSync. Ich nutze Keepass2Android (Offline) und KeePass schon seit einer Weile. Halte es auch für bedenklich Passwörter online abzulegen, egal ob sie online verschlüsselt sind oder nicht. Auch wenn Kriminelle nicht so leicht an die Daten ran kommen, wenn eine staatliche Behörde an die Daten dran möchte, aus welchen Gründen auch immer, müssen die Dienstleister springen. Sie sind alle samt in den USofA angesiedelt und sind gesetzlich dazu verpflichtet, der Gedanke missfällt mir einfach.
Aber wie immer ist es eine Glaubensfrage, dem eine gefällt so ein Service und dem anderen eben nicht. Gut das es für beide „Lager“ Lösungen gibt.

Ich werde mir FolderSync mal anschauen.

Martin Meier 16. Juni 2015 um 02:27 Uhr

Den ganzen „kein Passwort in einem Online-Dienst“ – „ich speichere meine Passwörter in der owncloud“ – etc…. Kommentaren möchte ich mal die Frage mitgeben ob sie wirklich der Meinung sind die eigenen Systeme sind mit der eigenen Kompetenz sicherer als von einem professionellen Anbieter? Haltet Ihr euch und eure Geräte für so makelfrei das ihr denen vertraut? ICH wäre da ja skeptisch. Klar stellt es keinen so zentralen Angriffspunkt dar, aber ich wette das die Passwörter bei euch deutlich unsicherer liegen als bei Lastpass.

neofelis 16. Juni 2015 um 03:49 Uhr

Gott sei dank nutze ich und empfehle ich 1Password am besten mit WLAN Synchronisation. iCloud und Dropbox Sync sind aber wegen zusätzlicher Cloud-Verschlüsselung und optionaler 2FA Funktion denke sicherer als LastPass.

1Password gibt es ebenso in deutscher Sprache für Windows, Android, iOS, OS X, vielleicht bald auch als Windows 10 App sowie funktioniert mit Snap unter BlackBerry 10 tadellos.

Das schöne ist, 1Password hat generell kein Interesse an deinen Daten und speichert nichts online.

Aber im Grunde kann man es auch so sehen, einige Dienste wozu die Passwort-Manager ja benutzt werden, ich meine Webdienste wie Online-Shops usw. speichern Passwörter ohne SSL/TLS, ohne serverseitige Verschlüsselung der Passwörter in der Datenbank oder sie nutzen das geringe Verschlüsselungsverfahren MD5 ohne Salt.

Trotz allem, ist 1Password wohl das „Sicherste“ an Passwort-Managern.

neofelis 16. Juni 2015 um 05:46 Uhr

Aber man wird nie 100 % Sicherheit haben können, auch bei 1Password könnte man mit Keyloggern arbeiten und generell gilt, erlangt erstmal jemand das Master-Kennwort, so hat er Zugriff auf „alle“ Benutzernamen, Kennwörter, eventuell Notizen, Kontakte, Server- und Datenbank-, Kreditkarten- und Bankdaten.

Bei LastPass vertraut man dem Anbieter und den Internet-Technologien die Sicherheit an. Bei 1Passwort wird zunächst pur lokal verschlüsselt gespeichert, aber wer Dropbox oder Apple iCloud Sync nutzt, vertraut eben auch diesen Anbietern, wobei Dropbox und iCloud zusätzlich zur 1Password Verschlüsselung auch nochmals verschlüsselt. 1Password bietet wie vorher schon geschrieben, eine komfortable WLAN Synchronisierung die in der Reichweite begrenzt ist sowie auch nochmals verschlüsselt ist.

Nur bei LastPass ist es so, wenn es jemand schaffen sollte, es vollständig zu kapern und die Verschlüsselung kacken sollte, hat derjenige eine bombastische Datenbank. Bei 1Password würde das so nicht funktionieren.

Und zu Vorrednern, warum man diese Passwort-Manager wie in allen anderen Blogs erwähnt/anpreist. Ich kenne viele Nutzer die verwenden ohne Kennwortmanager einfache Kennwörter meist gleich auf allen Diensten. Sichere Kennwörter zu merken wäre zu heftig, wird sicherlich wenige Nutzer geben, die dies bis zu einem gewissen Umfang können. Manche Nutzer speichern sogar Kennwörter im Klartext als Text- oder Word-Dokument auf dem Desktop.

Ich nutze 1Password ohne iCloud oder Dropbox deswegen, weil es meinen Sicherheitsansprüchen genügt und weil es mir das Verwalten persönlicher und Kundendaten deutlich vereinfacht. Das es im Gegensatz zu anderen deutlich mehr „einmalig“ kostet, liegt ja auch daran, dass dort ein Entwickler-Team hintersteht, welches die Käufer kostenlos mit Updates/Support beliefert, wer da wegen den paar Euro herumgeizt …

buesingdetze 16. Juni 2015 um 06:41 Uhr

Sprüche wie „Mein Safe ist mein Hirn“ sind schon köstlich. Das mag alles funktionieren, wenn man nur wenige Logins hat, bei mehreren Hundert ist das absolut nicht praktikabel. Ich bin selbst schon lange bei Lastpass und 100%ig zufrieden. Bei dem kleinen Anschein schlagen die – zurecht – schon Alarm und es dam man beliebig lange und komplexe Passwörter generieren und speichern kann, erscheint mir das allemal sicherer als andere Lösungen. Dazu Multifaktor-Authentification und IP-Sperre für alle Länder außer DE und man ist m. E. gut aufgestellt.

Leider ist bislang kein anderer Anbieter in der Lage, den Funktionsumfang und Nutzungskomfort von Lasspass auch nur im Ansatz zu erreichen. Open-Source und verschlüsselter Sync wäre mir auch lieber, aber der Komfortverlust ist mir – derzeit – einfach deutlich zu groß.

Barin 16. Juni 2015 um 07:12 Uhr

Meine handschriftliche Liste kann zum Glück nicht gehackt werden. Selber Schuld wer so einen Dienst nutzt.

Brave (@Melron78) 16. Juni 2015 um 07:28 Uhr

Passwörter ändern und gut ist, da braucht man keine Hetze starten! Die verschlüsselung der Passwörter ist schon ausreichend und die Meldung besagt auch „“nur““ das sie im Firmennetz waren, was aber nicht heißt das sie auch Daten bekommen haben 🙂 Außerdem bietet Lastpass auch einen haufen an Möglichkeiten der mehrstufigen Anmeldung, die sollte man vieleicht auch mal aktivieren 😉

DatEncryptionGuy 16. Juni 2015 um 07:56 Uhr

Ich nutze selbst KeePass, finde die Kritik an LastPass jedoch teilweise (!) nicht nachvollziehbar. Wenn LastPass aufgrund seiner Architektur softwareseitig nur unter einem extrem hohen Aufwand attackiert werden kann, dann erscheint es nur logisch, dass ein sich Angreifer stattdessen auf das „Back-end“ einschießt.

Jeder KeePass-Nutzer, der jetzt verächtlich über LastPass schimpft, sollte sich bewusst sein, dass sein eigner Rechner vermutlich um ein Vielfaches leichter anzugreifen ist als das Firmennetzwerk von LastPass. Die beste Verschlüsselung taugt nichts, wenn der eigene Computer kompromittiert worden ist.

Zur Architektur von LastPass empfehle ich jedem Episode 256 des „Security Now!“-Podcast von Steve Gibson. Da beschreibt er, wie LastPapst auf dem Papier funktioniert. Die lokale Verschlüsselung der Datenbank sollte einen Angriff auf die bei LastPass gespeicherten Daten theoretisch ausschließen bzw. sehr unwahrscheinlich machen.

Mein Problem mit LastPass ist, dass es sich hierbei nicht um eine Open-Source-Lösung handelt. Ein Fehler in meinen Augen. Die Schilderungen von LastPass und Gibson klingen gut, können aber letzendlich aber nicht verifiziert werden. Der Nutzer vertraut LastPass, dass sie die Verschlüsselung so umsetzen, wie sie es bewerben. Kontrollieren kann er (bzw. ein Dritter) nicht.

Außerdem sollte man sich stets vor Augen halten, was für ein begehrtes Ziel so ein zentraler Password-Speicher ist.

MoNeo 16. Juni 2015 um 07:59 Uhr

Schon mal einen anderen PW-Manager mit Yubikey verheiratet? Genauso einfach, wie Lastpass?
https://lastpass.com/yubico/

HerrTaschenbier (@HerrTaschenbier) 16. Juni 2015 um 08:00 Uhr

@Yellowbear
Du solltest nur nicht deine gesamten Passwörter gesammelt bei einem darauf spezialisierten Anbieter ablegen. Das ist echt einfach dumm.

Aufschnürer 16. Juni 2015 um 08:02 Uhr

Ich nutze LastPass auch schon sehr lange, allerdings habe ich dort nur unkritische Seiten wie Foren, Communities, etc. gespeichert. Mein Masterpasswort ist ziemlich mächtig und komplex. Trotzdem bleibt da ein fader Nachgeschmack nach einer solchen Meldung. Man sollte solche Dienste wirklich nicht für wichtige Zugänge verwenden.

ZZ 16. Juni 2015 um 08:12 Uhr

Ein Satz um die aktuelle Generation zu beschreiben:

Dämlichkeit aus Bequemlichkeit.

Dieter 16. Juni 2015 um 08:21 Uhr

Wenn man so blöd ist anderen seine Passwörter anzuvertrauen muss man mit so was rechnen..

Sören Lindhoff (@soerenlindhoff) 16. Juni 2015 um 08:24 Uhr

Es ist nach wie vor deutlich sicherer, LastPass / 1Password mit einem starken Masterpasswort und 2-Faktor-Authentifizierung zu verwenden, als sich für 50+ Dienste wirklich sichere und einmalige Passwörter zu merken.

Oh, ein Großbuchstabe am Anfang. Und am Ende ein Punkt oder ein Ausrufezeichen? Sogar mal einen Buchstaben durch eine Zahl ersetzt? Und noch den Geburtsnamen von Tante Elfriede hinten dran? Na dann seid ihr auf der sicheren Seite. Nicht.

Zahlreiche tatsächlich auch kritische Kryptografie-Experten empfehlen selbst nach dem Hack von gestern eindeutig weiter, Passwortmanager zu nutzen, weil diese eben signifikant sicherer sind, als die Alternativen. Zumal die gespeicherten Passwörter im LastPass Vault ja gar nicht betroffen sind.

Und wer hier ernsthaft der Meinung ist, seine OwnCloud Installation sei sicher: schaut euch mal die Liste der aktuell bekannten und unbehobenen Fehler an. Wer da seine Passwörter speichert und meint, er habe mehr Ahnung als ein ganzes Team von Sicherheitsexperten, der hat hoffentlich keine Freunde und Bekannte, denen er Sicherheitstips gibt.

saujung 16. Juni 2015 um 08:32 Uhr

Wie der Caschy nett beschreibt, besteht doch gar kein Grund zur Panik. Einfach alle wichtigen Passwörter ändern, und diesem Dienst den Rücken kehren. Ach ja, wer ein schlechtes Master-Passwort hat, sollte schnell sein, also doch in Panik verfallen. Ich empfinde es als äußerst fair, dass die Betreiber mit offenen Karten spielen, wenigstens zum großen Teil. Übersetzt heißt es aber nur: Wir sind ein Anbieter für das Ablegen von Passwörtern, und damit sicherheitsrelevant, und sind nicht in der Lage, unsere Server einigermaßen vor Fremdzugriffen zu schützen.

@neofelis
Du wirfst da etwas durcheinander. MD5 hat nichts mit Verschlüsselung zu tun. Es handelt sich um einen Hash-Algorithmus. Dieser gilt als unsicher, das ist richtig. Aber mit dessen Hilfe werden Passwörter für gewöhnlich nicht verschlüsselt gespeichert, sondern eben gehasht, hoffentlich mit einem ordentlichen Salt und ein paar Runden.
Webdienste sollten generell ihre Passwörter nie verschlüsselt abspeichern, mit Ausnahme von Diensten, die die Passwörter irgendwann im Klartext brauchen, also vor allem Passwort-Manager. Und auch SSL/TLS hat nichts mit dem verschlüsselten Abspeichern von Passwörtern zu tun. Es bezieht sich auf den Übertragungsweg. Hier geht man davon aus, dass ein Webdienst, um das Passwort zu vergleichen, dieses überträgt. Damit nun niemand das Passwort abhören kann, sollte die Verbindung verschlüsselt sein. Es geht aber auch ohne, indem man sich nicht via Passwort-Übertragung anmeldet, sondern mit einer Challenge-Response-Authentifizierung.

@Orbis
Ich weiß, du fragtest Sören, aber ich gebe meinen Senf auch dazu. Passwörter haben auf fremden Servern nichts verloren. Die Funktion vom Firefox kann man aber auch mit eigenen Servern nutzen, der große Vorteil von Open-Source: Den Server kann man selbst betreiben. Das macht das Verfahren nicht sicherer, die Frage stellt sich, ob der eigene Server sicherer ist, als der von Mozilla, aber einen entscheidenden Vorteil hat der eigenen Server: Er bietet sehr viel geringere Motivation, einzubrechen, denn dort liegen maximal die Passwörter deiner Familie, oder wer auch immer da speichert. Bei Mozilla liegen Millionen.

Chris 16. Juni 2015 um 08:52 Uhr

Kann überall passieren.

Finde LastPass einen super Dienst. Bin schon lange dabei und dieser „Vorfall“ wird nichts daran ändern.
Einfach alle Passwörter + Masterpasswort wechseln und gut is.

Zorns Lemma 16. Juni 2015 um 08:57 Uhr

Wer so etwas nutzt muss doch irre sein. „Online“ Passwort Manager sind vielleicht der Bequemlichkeit zuträglich, aber nicht der Sicherheit. Warum Menschen irgendeiner Firma, Passwörter und Zugangsdaten zur Aufbewahrung anvertrauen, wird mir auf ewig ein Rätsel bleiben. Aber egal, lass Schmerz dein Lehrer sein. Wollen wir mal hoffen das nun viele auf die Nase fallen und daraus lernen.

miomio 16. Juni 2015 um 08:58 Uhr

@ chris
you made my day

bernie0007 16. Juni 2015 um 08:59 Uhr

Ich benutze KeePass seit vielen Jahren auf dem Rechner und fühle mich mit meinem Offline-Sync (alle 2-3 Wochen) via iTunes für iPhone & iPad bestätigt. Klar, auch mein Rechner kann gehackt werden, aber dennoch fühle ich mich hiermit ohne Cloud Anbindung einfach sicherer.

Zorns Lemma 16. Juni 2015 um 09:05 Uhr

@Sören Lindhoff Und wenn kritische Kryptografie-Experten, die von dubiosen (Geheim)diensten bezahlt werden, sagen das du von einer Klippe springen sollt, weil das sicher sei, machst du das bestimmt auch. Die Naivität einiger Menschen ist wirklich niedlich.

Sascha (@SysworX) 16. Juni 2015 um 09:13 Uhr

Zum Lastpass Thema fragt sich auch welche Server sind betroffen? Es gibt ja auch EU Server 😉

@saujung
FireFox Sync funzt doch mit der neuen Version gar nicht mehr auf dem eigenen Server? Das ist doch das alte Ding, geht das im aktuellen FF überhaupt noch?

Niklas Wa 16. Juni 2015 um 09:16 Uhr

Also ich bleibe immernoch bei meinem treuen KeePass 🙂

Flo 16. Juni 2015 um 09:40 Uhr

Sobald ein Dienst eine kritische Masse übersteigt und es sich lohnt angegriffen zu werden wird er angegriffen … eine Regel des Internets 😉 auch 1Password wird angegriffen werden sobald es genügen benutzen.

Ich bleib bei Lastpass und vertraue darauf dass sie genügen Salzen 😀


Kommentar verfassen



Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung.