Passwort-Manager LastPass startet Free-Version für Smartphones und Tablets
Wer sich in der Vergangenheit ein wenig mit Passwort-Managern auseinandergesetzt hat, dem ist unter Garantie der Name LastPass über den Weg gelaufen. Passwort-Manager haben sicherlich ihre Vorteile, werden doch die eigenen Passwörter zentral und sicher an einem Ort gesammelt gespeichert. Viele Nutzer schreckten bislang jedoch ob der teils saftigen Kosten zurück und die kostenlosen Varianten haben einfach nicht ausreichenden Umfang geboten.
LastPass will den Hebel etwas anders ansetzen und hat bereits vor einiger Zeit eine komplett kostenfreie Desktop-Variante veröffentlicht, die Nutzern unlimitierte Synchronisation ihrer Passwörter auf Desktop-Ebene ermöglichte. Das reichte vielen Nutzern zwar bereits, aber ein großer Teil von Nutzern bevorzugte eher den mobilen Sync, da hier das eintippen von Zugangsdaten häufig mühseliger ist, als an einem Desktop-PC mit vollwertiger Tastatur.
Daher hat LastPass nun eine Free-Version inklusive unlimitierter Synchronisation von Zugangsdaten zwischen mobilen Endgeräten wie Smartphones und Tablets veröffentlicht. Bislang benötigte man für den mobilen Sync den LastPass Premium-Zugang, der jährlich mit 12 Dollar zu buche schlug. Sofern man lediglich einen Passwort-Manager für die Synchronisation zwischen Mobilgeräten sucht, kann man nun also LastPass kostenlos nutzen. Will man schließlich das volle Synchronisations-Paket haben, also Sync auch zwischen mobilen Geräten und Desktop-PCs, muss man nach wie vor zu LastPass Premium greifen.
Bereits bestehende Premium oder Free-Kunden, die LastPass auf dem Desktop nutzen, können LastPass wie gewohnt weiternutzen, während neue LastPass-Nutzer die wählen müssen, ob sie die kostenfreie Variante entweder auf dem Desktop oder mit Mobilgeräten nutzen möchten. Für Nutzer, die gerade erst eine Premium-Testversion initiiert haben, wird der Test abgebrochen und sie stehen ebenfalls vor der Wahl, ob und wo sie LastPass Free nutzen oder gar auf Premium umsteigen wollen.
Nein danke, ich kann gut darauf verzichten, meine Passwörter in der Cloud zu speichern. Ihr habt ja selbst vor kurzem über einen Einbruch bei LastPass berichtet (http://stadt-bremerhaven.de/lastpass-achtung-einbruch-passwort/)
Da greife ich lieber weiterhin auf KeePass (www.keepass.info) zurück – ist Open Source und ich kann meine Daten dort speichern, wo es mir lieb ist! Mit Keepass2Android (https://play.google.com/store/apps/details?id=keepass2android.keepass2android&hl=de) gibt’s dann auch noch eine gute Version für’s Smartphone.
Ich schrecke aus einem Grund davor zurück:
meine Passwörter einer Website anzuvertrauen
@Marc:
Und wem oder was vertraust du dann deinen KeePass Store – neben deinem Phone – noch an? Das ist dann garantiert alles sicherer….
Sehr gut, danke Gastautor 🙂
Ich bin mir nur nicht sicher, ob ich wirklich alle passwörter auf meinem smartphone haben will. ich denke ich mach nen extra account dafür-
@Tom:
Sicher nicht einer (obskuren) WebSite, die als Banner den Spruch „GREIF MICH AN – ICH HABE ALLE PASSWÖRTER MEINER OPFER“ vor sich her trägt!
Wer diesen in den USA sitzendem Dienst seine Passwörter anvertraut, einem Unternehmen das aufgrund der dortigen Rechtsprechung zu jeder Zeit Daten herausgeben muss, der hat es nicht anders verdient.
Zumal sie ja auch erst das freudige Erlebnis hatten, dass man ihnen Hacker massig E-Mail Adressen (zur Passwortwiederherstellung) und Passwort-hashes entwendeten.
@Tom: meine KeePass Datenbank liegt zu Hause auf dem NAS.
Ich nutze es schon seit Jahren, mir egal was die NSA damit macht! Habe auch keinen Aluhut auf;)
Kein Open Source, aber dann dieser App Internetzugriffsrechte geben und ihr Passwörter anvertrauen? „Ich bin doch nicht blöd“. 😉
Ich glaube hier muss man mal eine Lanze für die online Dienst brechen. Der eine Punkt der ihnen in fast allen Fällen von dem ein oder anderen selbsternannten Sicherheitskonferenz großflächig negativ ausgelegt wird ist auch ein entscheidenden Vorteil. Wer seine Passwörter selbst hostet Und dafür auf eigene Cloudlösungen setzt (ja auch nas) steht genauso im Zentrum potentieller Hackerangriffe… Nur steht hinter der Lösung kein Unternehmen mit Experten, denen das Thema Sicherheit ein Begriff ist, sondern im besten Fall ein halbwegs eingelesener Hobby Jongleur, der sich auf die Absicherung durch sein Passwort verlässt. Problem ist hier auch… Wer dort einmal gehackt wird, findet anschließend nicht im Blog seines Vertrauens entsprechende Hinweise und Aufforderungen zur erneuten Absicherung, sondern allenfalls seine Passwörter auf einschlägigen Websites wider.
@Obama Bundes******* (@all: Sorry for feeding the troll)
LastPass ist nicht im Besitz der Klardaten die du dort speicherst. Was sie weitergeben können ist allenfalls ein Kauderwelsch aus Zahlen Buchstaben und Sonderzeichen. Erst in Kombination mit deinem Passwort (und hoffentlich einer zweiten Authentifizierungsmöglichkeit) wirst du damit einen Zugriff erhalten können und die hast im Normalfall (also wenn du das System verstanden hast) nur du selbst.
In Kombination mit dem yubikey ist lastpass sicher und einer der komfortablesten Passwort-Manager überhaupt.
Alleine der Kommentatorname „Obama Bundesferkel“ könnte schon genug über Haltung, Werte und gesellschaftlich konstruktive Integration suggerieren. Wenn schon Papier, warum nicht gleich einen Offline -Rechenschieber?
Es ist doch immer wieder dasselbe. Einem Cloud-Dienst nicht vertrauen, aber dann selber hosten und öffentlich zugänglich machen – mit all den Bugs und Lücken, die ownCloud und Co. so haben!
@Obama Bundesferkel:
Ja, Lastpass wurde gehackt, wie viele andere (teils noch viel größere) Unternehmen. Es wurden aber keine Passwort-Daten entwendet.
Mag sein, dass die Email-Adressen entwendet wurden, aber zum einen kann man auch die ändern und zum anderen bräuchte man für die Ausnutzung einer Passwortwiederherstellung den Zugriff auf das entsprechende Postfach 😉
Zum Thema „Man behält sie im Kopf oder notiert sie“:
1) Wenn sehr komplexe Passwörter gefordert und nirgendwo gespeichert werden dürfen, dann landen sie auf Zetteln und diese manchmal sogar im TV 😉
2) Wenn man für (fast) jeden Dienst ein eigenes Passwort verwendet, dann werden das schnell recht viele, vor allem wenn man beruflich viele nutzt bzw. nutzen muss. Dann komt man ohne irgendeinen Passwort-Store nicht mehr aus – egal ob in der Cloud oder nicht!
3) Solche Passwort-Stores gibt es in irgendeiner Form übrigens in jeder halbwegs großen Firma, weil es anders nicht geht 😉
Immer wieder spannend, dass immer die gleichen Bedenkenträger kommen, sobald es um Passwortmanager geht. Sicher, Keepass mag sicherer sein, aber zum einen unbequemer, mit schlechteren Funktionen und es läuft unter Chrome OS mehr schlecht als recht (für mich ein wichtiger Punkt!).
Lastpass spielt dann in einer anderen Liga. Und wie oben schon gesagt wurde, werden ausschließlich verschlüsselte Daten dort abgelegt. Wenn man dieses Verfahren nun mit einer 2FA-Anmeldung kombiniert (Lastpass unterstützt so ziemlich jedes System!), kann man das schon als ausreichend sicher bezeichnen. Zumindest sicherer, als das in Eigenregie zu hosten oder Passwärter nach einem System „in Kopf“ zu verwalten. Natürlich, die Aluhutträger kommen mit „closed source“ und „US-Unternehmen“, aber eines ist doch klar: die werden sich keine Schwäche leisten, denn sonst wären sie ratz-fatz aus dem Geschäft. Und 100% Sicherheit gibt es NIRGENDS. Für die meisten wäre ein Wechsel von einem System ohne PW-Manager hin zu Lastpass und Wechsel auf lange, kryptische Passwörter ein Quantensprung der eigenen Sicherheit.
Just my 2 cent.
@Obama Bundes******
Da brauch ich eigentlich nichts mehr zu sagen. Das haben obige Kommentare zu genügen geklärt. Wenn du 10 Passwörter hast… Dann mach das… Schreib sie auf einen Zettel und transportiere sie im Portmonee spazieren. Ich für meinen Teil hab ein wenig mehr und damit möchte ich einfach kein Blatt Papier der Welt füllen. Ist ja auch nicht so als bräuchte ich nur in einigen wenigen Situationen daheim zugriff darauf… Irgendwie bin ich da doch zu wenig an einem Platz an zu treffen als dass dein Vorschlag wirklich funktionieren würde.
Was das leidige Facebook und WhatsApp Thema angeht. Ja ich nutze es… Und weist du was… Ich nutze beide Dienste sogar recht gerne. Den Mehrwert den sie bieten ist einfach Grandios… Und wenn du das nicht sehen kannst… Dann ist mir das ehrlich gesagt egal. Ich kann Sicherheit schlecht mit irgendwelchen anderen Aspekten aufwiegen wollen… Aber wenn wir der Realität mal ins Auge Blicken dann hat weder Facebook noch WhatsApp in den vergangenen Jahren wirklich Missbrauch der UserDaten begangen. Dieses hätte, wäre, könnte ist einfach unerträglich nichtssagend.
Die LastPass-App mit den Ausfüll-Dialogen ist auf dem Smartphone jedenfalls genial. Ich habe in der App „Passwort merken“ eingestellt und nach 20Min muss ich PIN eingeben. Das mache ich dann und direkt danach geht in jedem Passwort-Dialog, egal ob in Chrome oder in einer App, das LastPass-Popup auf. Früher hatte mir auch dieser Java-Login in Safari und im alten Stock-Browser gereicht, in Chrome ging das aber nie.
@Tom, Matze:
Mein Clouddienst ist gar nicht öffentlich zugänglich, sonder ausschliesslich über *mein* VPN.
Und mein VPN-Server ist nur aus ausgewählten IP-Ranges erreichbar – << 1% des Internets haben darauf Zugriff.
LastPass dagegen muss per se weltweit erreichbar sein und es ist nur eine Frage der Zeit, wann der nächste Vorfall passiert. Ich halte die Nutzung eines solchen Dienstes für grob fahrlässig.
@GusGus:
FB, WhatsApp, CloudSync etc. seien Dir gegönnt.
Deren Nutzen *erkaufst* Du aber (auch) mit der Preisgabe *fremder* Daten. Und da hört der Spass eben auf und Du verletzt das BDSG (und die verfassungsmässigen Grundrechte(!!) aller in Deinem Adressbuch gespeicherten Kontakte, die Die keine ausdrückliche Erlaubnis gaben)!
Startpunkt: https://www.ldi.nrw.de/mainmenu_Datenschutz/Inhalt/FAQ/Datenschutzrechtbeachten.php. Mit dem Upload/Sync veröffentlichst Du die Daten im rechtlichen Sinne. Die Schwere Deiner Tat kannst Du daran erkennen, dass Dein Handeln nach Meinung des OLG HH zur Notwehr berechtigt (Az 3-14/12).
@Obama Bundesferkel
Besitzanzeige verlangt den Genitiv. Es muss also "Obamas Bundesferkel" heissen
@Jemand (seltsames Pseudonym, BTW) – interessehalber: wie hast Du das technisch realisiert? Übrigens kann man bei Lastpass auch Landeszugriffsrestriktionen vergeben, das bieten auch nur sehr wenige Anbieter an.
Meine persönliche Quintessenz ist: man muss seine persönlich vertretbare Balance aus Nutzen/Komfort/Funktionalität und Sicherheit finden. Ich hatte Keepass unter Windows und mobil Keepass2Android in Benutzung. Ist nicht ganz so funktional und „streamlined“ wie Lastpass, aber sicherer (Datenbestand lokal., Open Source). Unter Chrome OS sind die Browserextensions aber alles nur Krücken und nicht wirklich nutzbar. Deshalb bin ich wieder zu Lastpass zurück, wo ich übrigens dank Caschy’s damaliger Empfehlung schon sehr, sehr lange bin. Und die kritischen Logins (Paypal, Onlinebanking, Google funktionieren ohnehin nur mit einer über die 2FA-Authentifizierung hinaus weiteren Absicherung). Für mich mehr als ausreichend.
@Matze:
Technische Lösung? Im Wesentlichen VPN-Router, passende Clients auf den Geräten, Owncloud.
Zu Lastpass‘ Landeszugriffsrestriktionen: Ja, die sind besser als nix. Meine Sorge ist aber eher ein ‚disgruntled employee‘ oder ein zentraler Angriff auf deren Infrastruktur.
Dass es keine Zweitschlüssel gäbe ist nur die Aussage des Anbieters, dito dass die Verschlüsselung sauber/fehlerfrei implementiert wäre.
@Jemand:
Wenn du dich schon mal mit LastPass beschäftigt hättest, dann wüsstest du, dass da gar nix „per se weltweit erreichbar“ sein muss.
Du kannst ganz einfach alle Länder sperren, von denen aus dein Account nicht erreichbar sein soll.