Datenpanne bei LastPass?
von caschy | 53 Kommentare
Heute Morgen wurden Benutzer von LastPass aufgefordert, ihre Master-Passwörter zu ändern. Fehler? Spionage? Mitnichten, denn diese Sicherheitsmaßnahme ging tatsächlich von LastPass aus, da im System Anomalien entdeckt wurden. Eure Passwörter sind zwar verschlüsselt, aber man weiss ja nie. Tja – und wieder einmal hat die Cloud die häßliche Fratze gezeigt. Bequem ist alles – sicher aber nichts. Lest den ganzen Spaß im Blog von LastPass am besten selber… Update: Interview mit dem CEO von LastPass (danke amoklauf_dot_ch @ twitter)
Wird geladen ...
Die „Cloud“ kann und wird niemals sicher sein. Wer das denkt hat von IT keine Ahnung. Löblich finde ich aber die Reaktion von LastPass. Dort wird, anders als bei Sony, nichts unter den Teppich gekehrt sondern sehr offen kommuniziert und agiert. Finde ich persönlich sehr respektabel!
Genau das ist der Grund, warum sensible Daten – was Passwörter nunmal sind – bei mir niemals den Weg ins Internet finden werden. Dann doch lieber das kleine Windows-Progrämmchen auf dem USB-Stick, was ich aber auch nur auf dem DJ-Notebook starte, was keinen Internetzugang hat.
Paranoid, ich weiß… 🙂
Ich weiß schon warum ich solche Tools nie nutzen werden. Mir reicht shcon dass Firefox die Passwörter speichert, aber ich bin in der Art einfach zu faul, da ich für jede Plattform ein anderes Passwort habe.
Selber schuld, wer solche Services nutzt.
Ich hab meine Passwörter in meinem Kopf, denn da sind sie sicher. Clouds vertraue ich nichts an – die haben in der Vergangenheit oft genug bewiesen, dass sie auf keinste Weise sicher sind und vor allem auch die Daten schnell zerstört werden können.
Cloud? Nein, Danke!
So, das reicht mir langsam… habe zwar nur unwichtige Passwörter bei Lastpass gehabt, aber jetzt wird der Account gelöscht.
Und deshalb nutze ich nach wie vor die Community Edition von Clipperz… 🙂
Löbliche Reaktion von Lastpass, und das lediglich daraufhin dass ungewöhnlicher Traffic aufgefallen ist (wohlgemerkt: kein konkreter Datenklau, Servereinbruch oder sowas). Schade dass das von Einigen jetzt erstmal unbedarft und ohne Hintergrundwissen als Versagen von Lastpass angesehen wird statt eigentlich als Beweis für die Qualität dieses Services.
Lastpass selbst hat nichtmal Zugriff auf die Passwörter, die dort abgelegt sind, da die schon lokal auf dem Benutzer-PC verschlüsselt werden. Selbst wenn jemand deren Server klaut kommt er nicht an die Passwörter und kann lediglich Brute-Force- oder Dictionary-Attacken machen. Bei vernünftiger Passwortwahl kann da nicht mehr oder weniger passieren als wenn man die Passwörter lokal, auf einem Zettel oder im Kopf hat. Im Gegenteil sind lokal abgelegte Passwörter für einen Hacker vermutlich leichter zu klauen, Stichwort Trojaner, 0-Day-Exploits etc., als von den professional gesicherten und überwachten Lastpass-Servern.
Was meint ihr denn mit löbliche Reaktion?? Es liest ja nicht jeder dieses Blog hier ..
@Tomi 100%ige Zustimmung.
Genau das unreife Verhalten vieler Nutzer hier, auf LP einzukloppen, obwohl sie genau das richtige getan haben, in dem sie unverzüglich auf eine potentielle Gefahr aufmerksam gemacht haben, zeigt dass die meisten Anwender gar nicht genau verstehen, was dort passiert und sich ihrem banalen Halbwissen hingeben, nämlich Cloud = Böse.
Die Vorstellung, dass es sicher wäre seine Passwörter im Kopf zu haben ist aus heutiger Sicht vollkommen überholt. 1. Bedeutet die wiederholte Nutzung von Passwörtern automatisch die Kompromittierung sämtlicher Log_ins sobald ein Service gehackt wurde. 2. Werden heutzutage wesentlich mehr Accounts durch Social Engineering geknackt als durch klassische cracking-methoden.
‚wurden Benutzer von LastPass aufgefordert, ihre Master-Passwörter zu ändern.‘ Wer Wie Was Wann Wo – hab ich das verpasst?
Ne Mail hab ich bisher nicht bekommen, die normalerwise bei jeder Änderung kommt, was ich eigentlich sehr gut finde.
@Chrissi: da ich Clipperz nicht kenne, was ist denn anders bei denen? Worin unterscheidet sich das von den anderen Services?
Löblich es nicht wie „üblich“ zu verschleiern und einfach die Klappe zu halten. Da ich meine Daten mit einem 256Bit yubikey schlüssel dort secured habe sehr ich das ganze eher entspannt. Ein sha256 Hash eines 256 Bit hashs zu bruteforcen der dann genau nix bringt – naja viel spaß damit 😉
Wenn ich den Artikel bei Heise zu diesem Thema lese: warum wird das erst jetzt implmentiert, warum war es nicht schon vorher so bzw. warum ist es kein Standard?
Sorry, aber wer nicht bereits vor den jüngsten Vorfällen gewusst hat, dass vertrauliche Daten nicht in die Cloud gehören, sollte sich eh nicht ohne Aufsicht im Internet bewegen dürfen.
@ Marco: Interessanter Hinweis, hab mir das eben mal angeschaut. Ich wusste bisher nicht, daß LastPass yubikey schon unterstützt. Auch wenn es leider nur mit Premium Account (kostenpflichtig) geht. Aber für Auto od. Haus würden die meissten sicher auch kein 1.99 € Vorhängeschloss benutzen; da wird ja auch ordentlich Geld ausgegeben u.a. auch für Sicherheit. Das Sicherheit (von Daten) auch nicht umsonst zu haben ist muss nur noch in die Köpfe der Leute ..
Hier stehen schon komische Kommentare:
„kwoxer sagt: „Mir reicht shcon dass Firefox die Passwörter speichert“ <- Firefox ist nun wirklich nicht so sicher
Wayne-Train sagt: "Ich hab meine Passwörter in meinem Kopf, denn da sind sie sicher" <- Das stimmt zwar, aber ich kriege das einfach nicht hin. 400 Passwöter im Stil "G%kU#?e188AaQ" auswendig lernen finde ich schwierig.
…und ich finde LastPass komunikation gut, auch wenn man vorhersehen konnte dass einige in Panik geraten. Falls es einem Angreifer gelingen sollte meine Daten zu bekommen muss er den sha256 Hash eines 256 Bit hashs bruteforcen, was ihm nicht gelingen wird.
Warum in aller Welt glauben so viele dass das speichern lokal sicherer wäre? Von wie vielen privaten PC wurden schon Daten geklaut?
(Mein PC ist jedenfalls immer, wenn ich ihn benutze, ans Netz angeschlossen (da ich ja sonnst nichts machen könnte – Browser etc.), damit speichere ich auch alle meine Daten in der „Cloud“, wenn ich sie auf meinem Computer speichere.)
@Charlie:
Du übersiehst hierbei die Details: Im Falle von LastPass sind die vertraulichen Daten mit einem Passwort geschützt, welches weder bei LastPass noch sonstwo abgelegt ist. D.h. die dort gespeicherten Daten bestehen – selbst für die Leute von LastPass – nur aus unleserlichem Datenwust, mit dem keiner etwas anfangen kann. Da ist nix in der Cloud was irgendwie kritisch wäre, solange als Masterpasswort nicht ein einfach per Dictionary zu knackendes Wort genommen wird (aber wer sowas macht, der nimmt auch ohne Lastpass für seine ganzen anderen Passwörter normale Worte, Cloud hin oder her).
Das wird eh alles immer schlimmer, man kann sich gar nicht mehr sicher fühlen.
Und bei jeden Netzwerk ein anderes Passwort ist, auch nicht so einfach.
@Matze_b: Richtig. Zuhause wird ein Sicherheitszylinder für 200 € einebaut aber im Web sind dann $10 zuviel. Kann ich nicht nachvollziehen. Dein Vergleich ist perfekt, wer seine Wohnung nur mit einem 3 € Fahrradschloss abschließt der muss sich auch nicht wundern wenn die Versicherung bei Einbruch einen für beschränkt erklärt.
Man glaubt gar nicht wie viele Kunden ich kenne welche in ihren Eigene Dateien eine passwörter.txt liegen haben. Nen halbes duzend fallen mir sofort ein. Genauso gut sind dann jene die ihre Passwörter 1:1 dem Browser anvertrauen, Das diese dort auch unverschlüsselt von jedem ausgelesen werden können wissen einfach die wenigsten.
Und mit Cloud diensten – egal ob dropbox oder lastpass oder was auch immer – ist es doch das selbe. Wer unverschlüsselt seine Daten einstellt ist am Ende selber schuld. Von daher ist mir die Investition in den Yubikey wirklich jeden $ wert gewesen. Zumal Yubi eine Zeit lang ne Aktion hatte das bei kauf eines Tokens ein Jahr Lastpass premium dabei war. Wunderbar.
Selbst wenn ein „böser hacker“ meine Hashes geklaut hat kann er damit nichts anfangen, es sei denn er hat soviel interesse daran das er mehrere Supercomputer 256 Bit Hashes brutforcen lässt. :p
Ich wurde bisher weder aufgefordert ein neues Masterpasswort zu vergeben noch bekam ich eine Mail. Allerdings musste ich das Masterpasswort neu eingeben, nachdem die LasPass-Erweiterung in Firefox einen Fehler meldete. Habe zum Thema jetzt zwar alles gelesen, bin aber ratlos was jetzt Sache ist.
Edit: konkret bekomme ich nach erneutem Neustart des Browsers wieder diese Fehlermeldung und keine Aufforderung ein NEUES PW zu vergeben: http://goo.gl/jkbM3
Wer weiß mehr?