LastPass: Vertrauenswürdige Geräte müssen alle 30 Tage bestätigt werden
LastPass hat seit der Übernahme durch LogMeIn keinen allzu guten Stand mehr bei seinen Nutzern, das kann man unter jedem Beitrag zum Thema spüren, auch im LastPass-Blog selbst. Das hält die Macher aber nicht davon ab, weiterhin neue Funktionen einzuführen, die den Passwortmanager verbessern sollen. Eine Neuheit betrifft Nutzer, die die 2-Faktor-Authentifizierung nutzen. Hier kann man sogenannte „vertrauenswürdige Geräte“ (Trusted Devices) festlegen und sich auf diesen dann ohne den zweiten Schritt einloggen. Ist bequemer, wenn auch auf diesen Geräten dann ein Stück weniger sicher, der Account an sich bleibt aber weiterhin über die 2-Faktor-Authentifizierung geschützt.
Beim Umgang für Trusted Devices ändert sich nun etwas, hier wird künftig alle 30 Tage eine Bestätigung über zwei Stufen angefordert. Zu diesem Zeitpunkt kann man dann auch jedes Mal wieder festlegen, ob ein Gerät weiterhin vertrauenswürdig eingestuft werden soll. Die Begründung, warum man alle 30 Tage abfragt, ist meiner Meinung nach etwas schwammig. LastPass möchte so verhindern, dass verlorene oder verliehene Geräte (die als Trusted Device markiert sind) dazu dienen können, um sich in Accounts einzuloggen. Bedeutet im Umkehrschluss ja, dass ein anderer theoretisch 30 Tage Zeit hat, um an dem Account herumzuspielen. Wo hier das Mehr an Sicherheit liegen soll, erschließt sich mir nicht. Falls ihr da einen Mehrwert erkennt, gerne in die Kommentare damit, vielleicht verstehe ich es ja dann.
Gegen diesen neuen Umgang mit Trusted Devices könnt Ihr auch nichts machen, es ist keine optionale Neuerung. Scheint einigen LastPass-Nutzern nicht so ganz zu gefallen, wenn man sich die Kommentare unter der Ankündigung durchliest. Wie sieht es da bei Euch aus?
Wird geladen ...
naja, das Passwort (den 1. Faktor) muss der Finder/Dieb des Devices immer noch knacken – und je mehr Zeit er hat, desto größer die Chancen. 30 Tage hat er ja auch nur im worst case, wenn man das Gerät direkt nach Bestätigung verliert.
Es ist bei so ziemlich jeder professionellen Anwendung (ob nun das Firmen Active Directory oder SAP) so, dass Nutzerkennwörter nach einer gewissen Zeit ablaufen. Warum soll das mit dem Trust des zweiten Faktors nicht genau so sein?
Und der Dieb hat theoretisch auch nur dann 30 Tage Zeit, wenn das Gerät erst wieder neu bestätigt worden ist. Wenn es hingeben schon z.B. 20 Tage her hat der Dieb auch nur noch 10 Tage Zeit.
Bin Lastpass Nutzer mit 2-Faktor-Auth und mich würde das alle 30 Tage nicht stören.
Hey, wollte nur auf folgenden Fehler hinweisen:
„und sich >auf diesenauf diesen< Geräten einloggen".
lg
Thomas
@Thomas: Danke!
Dann auch noch gleich den Tippfehler in der Überschrift korrigieren 😉
Relativ sinnlos, meines Erachtens nach.
Sollen sie aber machen, meinetwegen auch generell, wenn das Passwort im Browser gespeichert wird..
@Lars: Woah, interessant, dass den keiner gesehen hat bisher. Danke! Das Wochenende darf ruhig langsam kommen…
Klar ist das sinnvoll. Oft vergisst man authorisierte Geräte/Systeme und wundert sich beim Wiedersehen, dass der Zugriff noch möglich ist. Das wird dadurch wirkungsvoll verhindert. Einen Schutz im Sinne einer Zugriffsbarriere bietet die Deaktivierung hingegen nicht. Dafür ist der Zeitraum schlicht zu lang.
@Oliver
Hä? Entweder verstehe ich dich falsch, oder du hast da was verdreht.
Wird diese Regelung nicht aktiviert, wirst du bei Zweifaktorauthentifizierung jedes mal nach einem Code auf dem Gerät gefragt. Sicherer ist es also ohne Aktivierung dieser Funktion, weil dann nur der Zugriff möglich ist, während man den Dienst etc. nutzt.
Bei WordPress ist das auch möglich. Auch bei einigen anderen Angeboten, die ich nutze. Aktiviert habe ich das aber nirgends. Ich kann zwar kein konkretes Beispiel nennen, aber man kennt das: Murphy hat immer dann seine Finger im Spiel, wenn es eben gerade mal nicht so läuft, wie es sonst so läuft. Von daher spare ich mir lieber den Aufwand, den ich hätte, wenn es das eine Mal schief gegangen ist, und investiere die paar Sekunden, den Code einzutippen.
Vielleicht will man ja damit erreichen, dass die Nutzer aufgrund der häufigen Abfragen genervt die zwei-Faktor-Auth abschalten. Wäre sicherlich im Sinne von NSA & Co.
Beim vorangegangenen Post hatte ich noch “Aluhut off“ geschrieben. Ist aber nicht zu lesen. Also: Das war scherzhaft gemeint!
Also wenn die „Neuerung“ so kommt wie ich sie verstehe, dann hat sich Lastpass gerade auch bei mir sein Grab geschaufelt…
Ich meine, das „Feature“ als Option oder – noch besser – mit selbst wählbarem Zeitraum wäre sinnvoller gewesen. Ich nutze Lastpass auch an diversen Endgeräten und sehe schon, dass ich nun monatlich genervt vom Dachboden (Standort Desktop-PC) quer durchs Haus nach unten (Smartphone-Ablage) laufen muss. Ich bezweifel, dass die sich da einen Gefallen tun…
Die Regelung ist meines Erachtens simpel und sinnvoll. Wer die 2-Faktor Authentifizierung nutzt, kennt das. Man markiert Geräte als vertrauenswürdig, weil man nicht jedes Mal den weiteren Faktor eingeben will. Jedoch ist das widersinnig, denn gerade das soll ja sicherer sein. Bequemlichkeit eben.
Wenn man nun ein Gerät als sicher markiert hat und den zweiten Code nicht eingeben will, läuft man Gefahr, dass man so ein Gerät/System vergisst und der Schutz damit ausgehebelt wird. Der Hinweis auf verlorene, verliehene oder sonst irgendwelche Geräte in anderen Händen ist da durchaus nahe liegend.
Fordert der Dienst aber nach 30 Tagen automatisch eine Erneuerung an, so kann selbst eine vergessen geglaubte Authentifizierung keinen Schaden mehr anrichten, weil sie sich automatisch deaktiviert.
Das mag konstruiert klingen, aber mir ist es lieber, ein Dienst hat ein Ablaufdatum als eine ewig geltende Ausnahmeregelung.
@Matze: 2FA via Authy ; das liefert auf alle Geräte synchron und du kannst es auch als PC-App nutzen http://stadt-bremerhaven.de/zwei-faktor-authentifizierung-authy-mit-chrome-erweiterung/
@bat – danke für den Tipp! Hatte hier schon häufiger von Authy gelesen, befürchte aber auch, das das Mehr an Komfort dann zulasten der Sicherheit geht…an mein Smartphone kommt man so schnell nicht, eine Desktop-Software könnte man IMHO eher kompromittieren.
Es ist so, wie Oliver sagt: Es ist als sogenanntes Auto Clean gedacht. Ich habe trusted devices, aber es kann sein, dass ich eines verkaufe, dass es plötzlich von anderen Personen genutzt wird oder öffentlich. Dann ist es nur für eine begrenzte Zeit „trusted“, danach automatisch nicht mehr. So kann es nicht passieren, dass ein „trusted device“ vergessen wird..