LastPass wird sicherer: mit Googles Multifaktor-Login
von caschy | 21 Kommentare
LastPass hatte ich in der Vergangenheit ja schon das eine oder andere Mal im Blog erwähnt.Ein Onlinedienst, der Passwörter verwaltet und automatisch in Webseiten einfügt – über mehrere Browser hinweg. Jetzt werden einige aufschreien: „waaaas? Passwörter online synchronisieren bzw. speichern?“. Ich möchte keine Grundsatzdiskussion lostrampeln, Firefox bietet diese Funktion an und Google Chrome auch. Wer es will und / oder braucht, der nutzt es – alternativ lässt man es eben sein.
So können nun, wie auch schon bei Googles Zwei-Wege-Authentifikation, Smartphones genutzt werden, um ein Einloggen bei LastPass zu ermöglichen. Was man dafür benötigt? Na ganz einfach – ein Smartphone und die dazugehörige Google App. Die bekommt ihr ja mittlerweile für Android, iOS, Windows Phone 7, webOS & Co. Und dann? Na dann aktiviert man die 2-Wege-Sicherheit. Offene Fragen? Hier gibt es das How To.
Wird geladen ...
Klingt vielversprechend, hatte ich heute morgen (als Lastpass-User) auch schon überflogen. Da ich ohnehin auch die doppelte Anmeldesicherheit bei Googlemail nutze, ist mir das ganze nicht fremd. Aber wie sieht das nun in der Praxis bei LP aus – im HowTo steht „the next time you login to LastPass on an untrusted device, you will receive the Google Authentication dialog“. Kann man denn IPs als „trusted“ hinterlegen? Bei jedem Login von meinem Rechner meinen Androiden rauskramen möchte ich eigentlich nicht…
Man kann seinen Computer als „trusted“ angeben. Dann wird man wahrscheinlich nur alle 30 Tage oder garnicht mehr gefragt
Sehr nice! Nutze Googles Multifactor Login auch schon nun schon längere Zeit – eben auch nur wenn ich unterwegs bin oder auf der Arbeit und nicht zu Hause. Mit LastPass nun die selbe Sicherheit mit einer „App“. Gefällt!
Thema Grundsatzdiskussion:
Das Problem ist, sehr viele Menschen sind im Internet unterwegs, ihnen fehlt aber der nötige technische Hintergrund. Je mehr Seiten sich nun an den Satz „Ich möchte keine Grundsatzdiskussion lostrampeln“ halten und nicht die kritischen Punkte berücksichtigen, umso mehr wird der kritische Aspekt verdrängt. Klar, jeder mit Wissen weiß wo er suchen muß, aber der Laie nicht, und der sieht nichts mehr von potentiellen Problemen.
Und abgesehen davon, so eine Einstellung nervt schon bei den normalen Medien, die auch nur noch einseitige Artikel bringen anstatt Pro und Contra darzulegen, das hat man sich gefälligst selber zu suchen. Nur wozu braucht man dann noch die Info?
Find ich gut, höhere Sicherheit ist immer gut. Ich nutze Lastpass selbst, allerdings seit geraumer Zeit mit dem Yubikey. Ist im Prinzip dasselbe.
Google und Datensicherheit…. na ja.
Lastpass verschlüsselt übrigens m.W., also Aufschreie sind witzlos.
Also ich bleibe lieber bei 1Password – aber abgesehen davon finde ich das toll was Google da macht. ich benutze den Google Authenticator auch und bin echt zufrieden wie einfach das geht 😀
Ich steh‘ wohl auf dem Schlauch – ich rufe die LP-Seite auf, scanne mit dem Google Authentificator den Barcode ein (es werden zwei Codes generiert – für Gmail und für Lastpass), ich wähle auf der LP-Seite „Aktiviert“ und gebe den Code für Lastpass ein.
Dennoch erhalte ich immer wieder die Meldung „Google authentificator authentification failed“?! Wo ist der Fehler..?!
Und wie sicher sollte das eigentlich sein, wenn man seine Passwörter speichern soll? Bis jetzt sagte jeder das man auf keinen Fall seine Passwörter irgendwo speichern sollte, und jetzt das….echt verwirrend
@Patricia – das ist eine Glaubensfrage. Ich sag’s mal so: ich habe über 200 Logins für alle mögliche Dinge…wenn man vernünftige Passwörter wählt, die nicht gleich bei der ersten Brute Force-Attacke knackbar sind (z. B. das vielzitierte „Mausi“), dann kommt man dann mit dem eigenen Hirn nicht weit. Also verwalte ich meine passwörter mit Lastpass – die Passwörter sind lang und extrem kryptisch. Das erscheint mir erheblich sicherer zu sein, als Passwörter, die ich mir merken kann und die sich voneinander unterscheiden…bei soviel Logins eh kaum machbar, m. E.
EEEHHHHHMMMM CASCHY? WILLST DU STADT-BREMERHAFEN NICHT IN GOOGLE (ANDROID) APPLEBLOG UMBENENNEN, DEINE BEITRÄGE LASSEN VERMUTEN DAS DU NEN VERTRAG MIT DEN JUNGS HAST WEIL JEDER 1,5 BLOG NUR ÜBER DIESE KONZERNE BERICHTET. JETZT GEHTS MIR DAS ENDGÜLTIG AUFM PISS ENTWEDER DU SCHREIBST MEHR ÜBER ANDERES ANSONSTEN HAST DU EINEN USER WENIGER DER DEINEN „UNABHÄNGIGEN“ BLOG LIEST. DU MACHST WERBUNG DAS IST EINDEUTIG ZU ERKENNEN UND DU BEKOMMST MIT SICHERHEIT AUCH GELD DAFÜR
dftt
Zum Thema – super Neuerung, bis jetzt bin ich bei LastPass über die Rasterverifizierung gegangen. Da musste man noch ein ausgedruckten Zettel dabei haben oder wiederum kompliziert gespeichert.
Google Authenticator hat mich jetzt keine Minute gedauert, es einzurichten. Super!
@ Caschy: Vielleicht richtest du mal sowas wie eine „Basics“-Seite ein, damit du die gleichen Sachen nicht immer wieder diskutieren (lassen) musst und dich nicht ständig entschuldigen brauchst gegenüber Fanboys oder Leuten, die es mit der Sicherheit super ernst nehmen.
Das sagt doch schon alles über die Sicherheit eines solchen Tools, wenn der Titel LastPass wird sicherer: … lautet.
Im Umkehrschluss war dieses Tool also in der Vergangenheit nicht sicher.
@Gunther: dann dürfte wohl nichts sicher sein. Lies noch einmal, wie es vorher arbeitete und wie es jetzt arbeitet.
[quote]oder Leuten, die es mit der Sicherheit super ernst nehmen.[/quote]
Wer Sicherheit nicht ernst nimmt braucht erst gar keine Passworte nutzen, oder kann einfach immer Passwort eingeben.
ich würde Google Authenticator bei LastPass gern mit symbian^3 /nokia c7-00 nutzen. das oben verlinkte how to schreibt zu „Symbian device, or any device that supports Java ME, 0bruj0 has developed gauthj2me“. das link http://code.google.com/p/gauthj2me/ führt aber bezüglich ‚Java Version‘ ins leere. weiß jemand was?
Ich verwende auf meinem N8 das hier: http://code.google.com/p/lwuitgauthj2me/
Ist zwar java, tut aber, was es soll. Es gibt auch noch http://code.google.com/p/cuteauthenticator/ als qt app, aber das müsste man selber compilieren…