LastPass soll wieder eine Lücke haben
von caschy | 21 Kommentare
Nutzer des beliebten Passwort-Managers LastPass sollten in den nächsten Tagen die Augen aufhalten und zur Verfügung stehende Updates nicht ignorieren. Wiederholungstäter Tavis Ormandy aus Googles Sicherheitsprojekt „Zero“ war wieder unterwegs. Der fand schon in einigen Systemen Sicherheitslücken und bereits im Jahre 2016 gelang ihm bei LastPass ein Fund. Damals sprach er von offensichtlichen und kritischen Problemen, die dann aber offenbar von LastPass beseitigt werden konnten.
Nun gibt es aber mindestens eine neue Sicherheitslücke, die Tavis Ormandy bereits an LastPass gemeldet hat. Unter Windows konnte er eine Remote Code Execution mit zwei Zeilen Javascript ausführen. So wie es ausschaut, ist so das Ausführen beliebiger Anwendungen möglich, unter Umständen lassen sich auch Passwörter abgreifen.
Betroffen sind hier die Versionen 4.1.42 der Erweiterungen für Chrome und Firefox, Tavis Ormandy ist aber der Meinung, dass die Lücke auch andere Systeme betreffen könne.
Tavis Ormandy empfahl vor einigen Monaten den Passwort-Manager KeePass, hier gab er die Aussage, dass diese Lösung „auf ihn vernünftig wirke“.
Wird geladen ...
Regel Nr.1: Speichere keine Passwörter in der Cloud. Niemals! Nie!
alles in einer hand ist immer unsicher. besserer tip zb 1password nutzen und mit syno selbst syncen.
Caschy, was sagst Du. Passwörter einem Passwortmanager anvertrauen oder nicht?
@Heiko
Mimimimimi
bei FF ist doch 3.3.2 aktuell via der Add-On-Page, 4er gibt es nur per Direktdownload
Nachtrag: https://twitter.com/LastPass/status/844142653503688705
@Quoportium: Ich tue es.
Ich fürchte mich schon vor dem Tag, an dem 1Password kompromitiert wird. Und der Tag wird kommen…
Ich verstehe es wirklich nicht. Wieso nutzt man solche Dinge, um auf der einen Seite sicher zu sein, weil man für jeden Dienst und jede Seite ein eigenes Passwort hat – legt all diese Daten dann aber gleichzeitig auf irgendeinen Server einer fremden Person (Unternehmen). Wieso? Bequemlichkeit? Sonstige Vorteile?
Das meine ich ernst. Es interessiert mich wirklich, was der Vorteil von solchen Diensten ist. KeePass bietet doch z.B. das selbe an und ich habe die Datenbank selbst unter Kontrolle.
Klärt mich bitte auf.
Ich verstehe es auch nicht. Ist es nur so schwer sich Passwörter zu merken? Klar ab nem gewissen Punkt werden es verdammt viele nur da sollte man sich ne gescheite Strategie überlegen, wie man einfach mit dem jeweiligen Account das Passwort assoziieren kann. Alles in ein Programm zu packen und dann mit vielleicht nur einem Passwort zu schützen klingt verlockend einfach, ist allerdings nicht nur für euch verlockend einfach. Je einfacher für euch umso einfacher für den Angreifer. Wird immer irgendwo ne Lücke bzw. ne Möglichkeit geben an den vermeintlich sicheren Inhalt von solchen Programmen zu kommen und was ist dann? Alle Passwörter futsch. Viel Spaß beim wiederherstellen. Da gehe ich lieber den altmodischen Weg und sehe zu jeden Account einzeln gescheit abzusichern. Stichwort 2FaktorAuthentifizierung.
@Bo: ich war lange Lastpass Premium-User – und habe natürlich auch die grundsätzlichen Probleme solcher Lösungen gesehen. Alle möglichen Alternativen gesichtet, intensiv getestet, aber immer wieder zu Lastpass zurück gekehrt. Warum? Weil es schlicht und ergreifend funktional MIT ABSTAND das Beste ist. Unglaublich gute Integration auf ALLEN Plattfomen, selbst auf meinem Chromebook und unter Android.
Trotzdem: letztes Jahr habe ich ich schweren Herzens durchgerungen, auf die wohl einzig sichere PW-Manageralternative, nämlich KeePass zu setzen. Ja, es geht. Aber das Ganze ist und bleibt bei weitem nicht so geschmeidig wie Lastpass. Dafür habe ich jetzt ein gutes Gewissen und kann besser schlafen 😉
@Seb: ein Leben ohne Passwortmanager ist möglich, aber sinnlos :-))) Ernsthaft: ich habe fast 600 Datensätze drin. Logins, Seriennummer, Aktivierungscodes und und und. Alle Passwörter sind maschinell generiert und kryptisch. Ich verfüge nicht über einen IQ von 5.000, um sowas auch nur annähernd mit meinem Kopf zu bewerkstelligen. 2-Faktor-Authentisierung ist bei solchen Lösung sowieso Pflicht aus meiner Sicht.
Ich habe vor kurzem mal die 2-faktor-auth angeschmissen. lastpass nutze ich schon mindestens 3 jahre, die hälfte der zeit als premium-user, ich habe auch meine KKs dadrin.
Ich weiß schon warum ich meine Passwörter auf den Google Servern Speicher, niemand hat sicherere Technik als die NSA 😉
Laut Lastpass ist das Problems behoben!
https://twitter.com/LastPass/status/844176201392504834
„unter Umständen lassen sich auch Passwörter abgreifen.“, „…dass diese Lösung „auf ihn vernünftig wirke“. Wenn ich solche Aussagen lese wird mir schlecht denn die besagen nichts, aber auch nichts aus., so nach dem Motto hätte hätte Fahradkette.
Ich bin schon seit vielen Jahren zahlender Lastpass Kunde und bisher habe ich es nicht bereut. Die Passwörter werden lokal ver- und entschlüsselt, in der Cloud landet nur der verschlüsselte Container. Mit einem einigermaßen vernünftigen Masterpasswort ist das grundsätzlich erstmal sicher. Problem bleibt der Client, in dem natürlich Bugs vorhanden sein können. Das ist bei Keepass aber nicht anders. Bisher hat Lastpass immer sehr gut und transparent mit seinen Usern kommuniziert und die bisher aufgetretenen Probleme waren nie wirkliche Gamebreaker, sondern eher theoretischer Natur. Ob das in diesem Fall auch wieder so ist, wird sich zeigen. Was ich an Lastpass gegenüber Keepass schätze, ist die Plattformvielfalt und extrem gute Usability. Mein Vertrauen in die Entwickler ist hoch, mitlerweile gehlört die Firma übrigens zu Citrix, auch nicht gerade eine Hinterhofklitsche.
@Günxmürfel – ganz sicher? Lastpass ist unter lautem Getöse (im negativen Sinne) von LogMeIn akquiriert worden, ja. Dass das wirklich unter dem Citrix-Label weiterläuft, scheint nicht so ganz klar sein:
https://news.ycombinator.com/item?id=13560087
@Matze: Die Aquirierung von LogMeIn ist ja schon etwas her. Aber du hast Recht, da habe ich wohl nicht genau genug gelesen. LogMeIn und GoTo (bisher 100% Tochter von Citrix) sind fusioniert und Citrix hat dafür Anteile von LogMeIn bekommen, scheinbar aber keine Mehrheit.
Laut Nutzerberichten ist die Sicherheitslücke trotz Fix NICHT behoben, obwohl Lastpass was anderes behauptet:
https://news.ycombinator.com/item?id=13927400
Wer heute noch einen Closed-Source-Passwortmanager benutzt und ihm dann auch noch gleichzeitig Internetzugriff gewährt, der handelt grob fahrlässig und hat den Schuss nicht gehört.
@Bo (@CdrBo)
Du hast das Prinzip nicht verstanden, Die Passwörter werden lokal verschlüsselt mit AES-256. Erst danach werden die in der Cloud gespeichert.
Dadurch ist es sicher. Ich hatte noch nie ein Problem damit und nutze bereitis seit mehr als 10 Jahren einen Passwortmanager. Natürlich nicht Lastpass die hatten ja schon etliche Sicherheitsprobleme.
@sunworker
Oh Mann.. ich bin so froh, dass du mich aufklärst. Ich meine.. klar, was weiß dieser Caschy schon? Der schreibt ja oben nur von einer Sicherheitslücke, durch die u.U. auch Passworter abgegriffen werden könnten. Oder Tavis Ormandy, der schon mehrere Sicherheitslücken entdeckt hat. Unter Anderem, dass extrem schlecht umgesetzte offizielle Browser-Erweiterungen so fehlerhaft waren, dass auch darüber Passwörter gestohlen werden konnten.
Da oben steht was von einer Sicherheitslücke, durch die u.U. auch Passwörter abgefangen werden könnten. Gleichzeitig gibt es Links zu vorherigen gravierenden Lücken und Risiken. Es gab bereits Probleme mit den offiziellen Erweiterungen, durch die auch Passwörter abgefischt werden konnten. Mehrmals wurde vor LastPass gewarnt. Und dann kommst du und sagst dat Ding is sicher – du verstehst es nur nicht.. !?
Wenn es doch nur immer so einfach wäre..