LastPass mit neuen Sicherheitsfeatures
von caschy | 10 Kommentare
Es gibt so einige, die mittlerweile auf LastPass setzen. Der in der Grundform kostenlose Passwort-Dienst, der vor längerer Zeit den Bookmark-Dienst Xmarks übernahm fungiert als Passwortspeicher in der Cloud. Über Sinn und Unsinn von Passwörtern in der Cloud mag man vortrefflich streiten, dem Erfolg des Dienstes scheint dies keinen Abbruch getan zu haben. LastPass speichert bekanntlich die verschlüsselten Passwörter auf den eigenen Servern, die Passwörter könnt ihr so via Browser-Erweiterung dann an allen Rechnern nutzen – funktioniert ein wenig via Googles eigene Synchronisation im Chrome-Browser, LastPass ist allerdings innerhalb mehrerer Browser nutzbar. Wie erwähnt: die Passwörter liegen verschlüsselt auf den Servern und auch ein einfaches Passwort reicht nicht zum Entschlüsseln, sofern man dies festlegt.
LastPass verfügt wie Google über eine „doppelte Anmeldesicherheit“ – so muss man sich erst via Smartphone authentifizieren, wenn man LastPass nutzen will. Wie das funktioniert, beschrieb ich ja bereits hier. Als weiteren Sicherheitsaspekt hat der Dienst nun in den Einstellungen die Möglichkeit mitgegeben, dass man sich nur aus bestimmten Ländern einloggen kann, des Weiteren können anonyme Zugriffe aus dem TOR-Netzwerk unterbunden werden. Sicherlich eine sehr geringe Hürde für Experten, dennoch eine Neuerung, die den Passwort ausprobierenden Anfänger aus dem Ausland am Zugriff hindern sollte. Wie immer gilt: das sicherste Passwort habt ihr im Kopf, alternativ solltet ihr bei LastPass und Google tatsächlich Dinge wie die Multifactor Authentication nutzen, denn diese macht euer Smartphone zum Zusatzschlüssel.
Wird geladen ...
Wenn man der „Passwort im Netz“-Variante kritisch gegenübersteht, gibt es ja noch die bekannte KeePass(X)-Offline-Variante. Was dabei vielleicht nicht jeder kennt: Per definierbarer Shortkey- bzw. Hotkey-Taste vergleicht KeePassX den Fenstertitel der Anwendung mit seiner Titel-Spalte der erstellten Passwort-Datenbank und setzt nur das Passende automatisch ein. Also man erstellt einmal die DB und ist unabhängig von der Anwendung. Der Teil-Name „xyz Webmail“ im Fenstertitel ist bei Opera, Chrome, etc. immer gleich. Das autom. Einsetzen klappt sogar mit anderen Anwendungen. Als Bonus kann man den Standard-Einschub am Cursor („Benutzername“ „Tab“ „Password“ „Return“) auch beliebig selbst definieren, z. B. für drei Felder. Der Fantasie sind da keine Grenzen gesetzt. Die DB ist sogar zwischen den Betriebssystemen austauschbar und portabel.
Ich arbeite mit diesem KeePassX Feature unter Linux. Ob das Auto-Einsetzen auch für Windows gilt, kann ich nicht sagen. Es lohnt sich auf jeden Fall ein ausführlicher Blick in die Anleitung. Aber eines ist sicher: Verschlüsselte DB einmal erstellen und für immer Ruhe, zwischen den Programmen und selbst zwischen den OS.
Eine Cloud Variante (auch wenn es nicht meiner Art entspricht) durch Hochladen der DB wäre u. U. auch machbar…
Also ich nutze Lastpass nun schon seit 2 Jahren und möchte es nicht mehr missen. Auch die Funktion ein Login einem anderem Lastpass user freizugeben ohne das der das Kennwort direkt sieht ist gut. Nutze ich in kleinen dev Teams regelmäßig für Zugänge zu phpmyadmin usw usw
LastPass ROCKT. Zu empfehlen ist auch die Variante mit dem Yubikey zur erstmaligen Authentifizierung pro Rechner. Der Yubikey lässt sich auch in anderen Systemen, z.B. WordPress, nutzen.
@Frank: hatte auch erst nen yubi Key ist mir aber irgendwann zu umständlich geworden nutze nun die Methode wie Caschy schrieb mit dem Authenticator am Handy. Gibts auch nen WordPress Plugin zu.
die idee seine passwörter bei einem kommerziellen dienst zu hinterlegen ist äußerst fragwürdig.
@info
die idee das Internet bei einem kommerziellen Provider zu nutzen ist äußerst fragwürdig 😉
Als aldernative kann ich clipperz empfehlen,
kann auch auf dem eigenem webspace instaliert werden …
ich bin auch ein Keepass2 Freund, jedoch hat Keepass1&2 das leidige Problem, nicht alle Webseiten Java Script Logins zu erkennen. Lasspass erkennt diese, meiner Erfahrung nach nach, anstandslos.
Danke für die Info. Schade eigentlich, dass man als Nutzer darüber nicht gleich informiert wird. Oder habe ich versehentlich den Newsletter abbestellt?
Ich nutze Lastpass schon seit einigen Jahren und bin immer noch dabei, trotz dem Schock, welchen ich im letzten Jahr mal hatte, als es irgend ein Problem gab (ich bin da technisch zu wenig fit, um zu sagen was es war). Seither lief aber alles gut und ich nehme an die werden schon zusehen, dass es nicht wieder vor kommt. 🙂
@Info: Ganz ehrlich: Irgendwelche 0815 Webpage / Blog Logins habe ich keine Bedenken. Man muss ja nicht direkt den Zugang zum Firmen Intranet (ach moment geht ja eh nur über VPN) zu speichern. Habe derzeit über 200 Logins gespeichert und nutze täglich 4 verschiedene PC`s. Da ist Lastpass einfach praktisch.