LastPass: Achtung! Einbruch beim Passwort-Manager
von caschy | 75 Kommentare
Schlechte Nachrichten kommen derzeit vom Anbieter eines Online-Tresors für Passwörter. Der beliebte Anbieter LastPass erlaubt die Speicherung von Passwörtern online – und diese stehen dem Nutzer auf diversen Plattformen zur Verfügung. Nun die Aussage, dass man am vergangenen Freitag eine ungewöhnliche Aktivität im Firmennetzwerk festgestellt habe. Laut LastPass habe man bei anschließenden Untersuchungen keinen Hinweis darauf gefunden, dass verschlüsselte Passwort-Tresore entwendet wurden.
[color-box color=“red“ rounded=“1″]In our investigation, we have found no evidence that encrypted user vault data was taken, nor that LastPass user accounts were accessed. The investigation has shown, however, that LastPass account email addresses, password reminders, server per user salts, and authentication hashes were compromised.[/color-box]
Aber: man konnte nachvollziehen, dass E-Mail-Adressen von LastPass-Nutzern entwendet wurden – sowie die Passwort-Erinnerungen und Authentication Hashes. Man teilt mit, dass man der Meinung sei, dass die Verschlüsselung sicher genug sei, um einen Großteil (schwammige Aussage ist schwammig!) der Nutzer zu schützen:
[color-box color=“red“ rounded=“1″]We are confident that our encryption measures are sufficient to protect the vast majority of users. LastPass strengthens the authentication hash with a random salt and 100,000 rounds of server-side PBKDF2-SHA256, in addition to the rounds performed client-side. This additional strengthening makes it difficult to attack the stolen hashes with any significant speed.[/color-box]
Dennoch fordert man alle Nutzer zum Passwort-Wechsel auf. Alle Nutzer, die nun erstmalig von einer neuen IP oder einem neuen Gerät auf den Service zugreifen, müssen ihre Identität via E-Mail bestätigen – außer man hat die Zwei-Faktor-Authentifizierung aktiviert.
Ebenfalls werden Nutzer aufgefordert, die Master-Passwörter zu ändern. Sofern man ein schwaches Master-Password hat – oder dieses gar auch zum Login auf anderen Seiten nutzt, so soll man dies auch ändern. Auch solle man Passwort bei den Seiten ändern, bei denen man das Master-Passwort verwendet. Da die Passwort-Tresore stark verschlüsselt sind, braucht man laut Aussage von LastPass aber nicht alle Passwörter ändern.
Schöner Mist, nicht wahr? Achtet also auf jeden Fall darauf, dass ihr JEDER E-Mail kritisch gegenübersteht, die angeblich von LastPass kommt. Ich kann mir gut vorstellen, dass die Angreifer nun via E-Mail versuchen, zusätzliche Daten abzugreifen.
Wird geladen ...
Meiner Meinung nach sollten solche Dienste die 2-Faktor Autorisierung zur Pflicht machen. Immerhin tragen sie eine große Verantwortung und in der Praxis ist es für den Nutzer kein allzu großer Aufwand.
Ach jetzt komm schon… Das macht doch alles keinen Spaß mehr.
… Es ist einfach eine doofe Idee seine Passwörter auf fremde Server zu legen.
Gut dass ich mich vor einiger Zeit dazu entschieden habe jedem Online Passwortsafe aus dem Weg zu gehen und daraufhin alles bei LastPass gelöscht habe…
Das schon Scheisse. Was gibt es denn für komfortable Alternativen, die ich auch überall zur Verfügung habe außer einen Zettel und Stift.
@Soulfly999: Man braucht keinen Zettel und kein Stift, man braucht nur seinen Kopf. Das Geheimnis ist es nicht, sich für jede Webseite ein kryptisches Passwort zu merken, das wäre ohne technische Hilfsmittel wahrscheinlich für die meisten ein Problem. Aber man kann Passwörter aus einem System heraus generieren. Dann musst du dir nur dein System merken und kannst daraus das Passwort für jede beliebige Webseite ableiten.
Die Idee, Passwörter online zu speichern, ist wirklich etwas problematisch. Vor allem für jeden technikaffinen Nutzer, der ja permanent von solchen Einbrüchen liest.
Keepass zB. Habe diesen hype um lastpass nie verstanden….
Ein Online-Dienst, der gegen Geld Kennwörter speichert. Finde den Fehler.
Deshalb lässt man auch die Finger von Passwortmanagern wie Lastpass oder 1Password.
Niemals eine Passwortmanager-App mit Internetzugriffsrechten! Es ist eben grob fahrlässig, die Software und die Cloud-Synchronisation von der gleichen Firma zu benutzen. Immer Passwortmanager und Cloudspeicherung trennen und auf zwei verschiedene Anbieter verteilen!
Ich benutze auf meinen mobilen Geräten die App „Keepass2Android Offline“, die hat keinen Internetzugriff. Die Synchronisierung des Passwortsafes mache ich mit Tools von anderen Anbietern.
Passend dazu Tresorwerbung bei Adsense. Zettelchen in nen Tresor legen als Alternative.
Ich benutz 1Password. Ich denke, da sollte man sich einfach bewusst sein, das nichts im Internet sicher ist und dementsprechend versuchen, sich abzusichern und im Ernstfall den Schaden so klein wie möglich zu halten.
Sonst kann man sich gleich nen Strick nehmen wenn man niemandem mehr traut.
Wobei ich auch jemanden kenn, der mit nem WindowsXP-Rechner Onlinebanking macht. 😀
@Orbis
1Password speichert die Passwörter nicht bei sich. Entweder DropBox, iCloud oder gar nicht online und du synchronisierst per WLAN (allerdings nur ios denke ich).
@Goran: Trotzdem. 1Password ist Closed Source und hat Internetzugriff. Wer so eine App benutzt, braucht sich später nicht zu beschweren. Sagt nicht, man hätte Euch nicht gewarnt.
ich nutze 1password ohne cloud speicher. sollte doch recht sicher sein.
Da könnte man jetzt sagen, told you so, aber es gibt ja auch genug Leute, die die Gefahr nicht bewusst (leichtsinnig) ausgeklammert haben…sie haben die Risiken echt nicht verstanden.
Die Hypes um solche Dienste in der Tech-Szene geben mir immer wieder das Gefühl, dass gerade im Laufe der Zeit professionalisierte Blogs (ist hier auch der Fall, oder?) durchaus ein hohes journalistisches Niveau erreichen – solange es um positive Berichterstattung zu kommerziellen Angeboten geht. Da kann man was Böses hinter vermuten, muss man nicht – aber gerade weil diese Blogs immer mehr die Mitte der Gesellschaft erreichen können und kein Nischenpublikum, sollten solche Einbrüche Erwähnung finden, BEVOR sie entstanden sind. Nicht nur die Vorteile.
Wieso ist es denn hier nicht passiert, @caschy? Hast du es für unwahrscheinlich gehalten, oder aus Gründen XY für nicht relevant?
„We are confident that our encryption measures are sufficient to protect the vast majority of users.“ sagt eigentlich schon alles. Wenn ich den Dienst richtig verstehe, kontrolliert LastPass und nicht der Nutzer die Stärke der Crypto quasi komplett. Der Nutzer soll da ja gar nicht dran rumpfuschen können („00000“ bruteforcen die nie!!1!). Ich bin gespannt auf die Veröffentlichung der Lücke in dieser Crypto, die die Passwörter No. 1,3 und 5 offenlegt, aber nicht 2 und 3. Eine schöne Nebelkerze IMHO…
Dafür habe ich ein Wort: BWAHAHAHAHAHAHA!
Meine PasswortDB bleibt bei mir. Keepass.
Wieder eine Bestätigung dafür, keine PW online zu speichern.
@Richard wo liegt das Problem? Darf Sicherheit kein Geld kosten? Viel fragwürdiger sind Dienste, die solche Leistungen kostenlos anbieten.
@Sören Hentzschel: „Die Idee, Passwörter online zu speichern, ist wirklich etwas problematisch. Vor allem für jeden technikaffinen Nutzer, der ja permanent von solchen Einbrüchen liest.“
Da stimme ich Dir zu. Aber was hältst Du als Mozilla-Experte eigentlich von der optionalen Passwort-Synchronisation in Firefox? 😉
Keepass –> OwnCloud –> KeePass2Android (Der Entwickler ist übrigens sehr hilfsbereit!)
Selbst wenn jemand meine OwnCloud knackt, mein MasterPW bekommt er nicht via Bruteforce usw.
@Orbis: Ist dein Betriebsystem & deine Hardware denn Open Source? Sag nicht, man hätte dich nicht gewarnt 😉 .