Datenpanne bei LastPass?
von caschy | 53 Kommentare
Heute Morgen wurden Benutzer von LastPass aufgefordert, ihre Master-Passwörter zu ändern. Fehler? Spionage? Mitnichten, denn diese Sicherheitsmaßnahme ging tatsächlich von LastPass aus, da im System Anomalien entdeckt wurden. Eure Passwörter sind zwar verschlüsselt, aber man weiss ja nie. Tja – und wieder einmal hat die Cloud die häßliche Fratze gezeigt. Bequem ist alles – sicher aber nichts. Lest den ganzen Spaß im Blog von LastPass am besten selber… Update: Interview mit dem CEO von LastPass (danke amoklauf_dot_ch @ twitter)
Wird geladen ...
Passwörter sollte man in der brain.exe abspeichern ❗
Ich kann nur sagen, dass ich die schnelle Reaktion von LastPass gut finde. Anders als bei Sony – ewig warten und dann langsam damit rausrücken – sagen die direkt was los ist und treffen sofort einige Sicherheitsmaßnahmen.
@weissertiger2 bei Heise schon fertiggetrollt um jetzt Hier Weisheiten zum Besten zu geben?
Der Beitrag war eine gute Erinnerung dass ich meinen Account löschen wollte …
Hab mir grad mal einen LP-Account erstellt…5 Minuten später wieder gelöscht. Voll überladen das Teil (Firefox-Plugin, Online-Konto), heißt Bloatware.
Ich sag nur Botnet – wenn man das effektiv schafft, sind sogar Banking-Server nicht mehr sicher.
Zum Glück ist mein WP-Login ca. 4000 bit Verschlüsselt 😀 dank eines Plugins…
„Sicherheit bezeichnet einen Zustand, der frei von unvertretbaren Risiken der Beeinträchtigung ist oder als gefahrenfrei angesehen wird“ Wikipedia
Sicherheit ist also nur eine Frage des Gefühls, und damit ist unerheblich, was technisch passiert, um dieses Gefühl herzustellen. Wer sich die Passwörter merkt, und dabei sicher fühlt, ist genau so gut dran, wie jemand, der sie als passwort.txt im Dropbox-Account sichert, oder LastPass oder KeePaas verwendet, pder Postit am Bildschirm.
Das Vorgehen von LastPass ist sicher besser als das von anderen. Wenn sie aber in Zukunft SHA265 mit 100.000 Runden verwenden wollen, frage ich mich, was sie heute verwenden, und warum sie Angst haben, dass dieses heute verwendete nicht sicher sein könnte? Wie gesagt, alles eine Frage des Gefühls.
Vielleicht kann mir hier Jemand erklären, wie das bei Lastpass mit der Verschlüsselung abläuft.
Grundsätzlich wird geschrieben, dass die Passwörter lokal im Browser-Plugin verschlüsselt werden und dann an den Lastpass-Server übertragen werden.
Was passiert aber, wenn ich mich auf einem fremdem PC über die Weboberfläche bei Lastpass anmelde? Dann kann ich auch auf meine Passwörter zugreifen. Wo erfolgt da die Entschlüsselung, wenn kein Plugin installiert ist?
Wenn ich die Leute lese die sagen man soll Passwörter nur im Kopf speichern…Darf ich fragen welche Methode ihr für euer Gedächtnistraining verwendet? Bilder mit durch das Haus laufen? Körperteile? Ich habe alleine im Netz und für meine Kunden mehrere hundert Passwörter; wie bitte kann man sich die alle im Kopf merken? Der Plan ist genial, aber scheitert dann doch an der Gehirnleistung für solche Zwecke, die sicherlich die meisten Menschen nicht speziell trainiert haben.
Aber vielleicht habt ihr selbst auch überall das gleiche Passwort oder nur 3 Stück. Kann natürlich auch sein.
Hab mir heute einen yubikey bei http://www.yubikey-shop.nl/ bestellt, ist deutlich günstiger als bei yubicoo, nämlich 17€ mit Versand, dass ist es mir auf jeden Fall wert.
Wer im übrigen immer noch nicht geschnallt hat, dass die Daten bei LP zehnmal besser aufgehoben sind als auf dem eigenen Rechner oder in der Brain.exe, mit extrem begrenzter Kapazität für komplexe Schlüssel, der leidet definitiv an Megalomanie und überschätzt in 99% aller Fälle seine eigenen Kompetenzen.
Oder wären euch kilobytemengen an ungewöhnlichem Traffic auf eurer, wahrscheinlich per Zonealarm oder einem anderen Snakeoilprodukt abgesicherten, Heimkiste aufgefallen?
wie immer:
lasst den quatsch, vergesst Cloud und co.
@caschy:
hebe den kram nicht immer so in die lüfte. bedenke nicht jeder ist sich der gefahr die daraus enstehen kann bewusst.
Ich poste das mal ohne Wertung:
http://hydra.geht.net/tino/opinion/tino/nixda/lastpass/
@Stephan: Ich werte dann mal, nachdem ich mir den Text gerade angetan habe: Unsinnige Argumentationen gepaart mit wenig Fachwissen und Paranoia sowie Realitätsferne.
Sorry, der Autor meint es sicherlich gut, aber das war nix.
Bislang war ich großer Fan von Lastpass (und premium-Kunde), aber heute platzt mir der Arsch ;-((
LP empfiehlt ja auch Sicherheitsgründen, dass masterpasswort zu ändern, erledigt. Dann konnte ich mich nicht mehr einloggen…irgendwann ging’s dann wieder (per Browser-Extension), aber alle meine Passcards sind bis auf die URL komplett LEER! Wenn die nicht rekonstruiert werden können, habe ich ein Riesenproblem oder zumindest VIEL Aufwand.
Eins steht aber auch für mich fest: PW-Manager ja, aber nicht mehr in der Cloud!
Im Moment ist wohl der Server überlastet sagt LastPass via Twitter. Hab ich auch schon gemerkt. LP Web-Login geht nicht, wobei aber die Meldung sagt User/Pass sei falsch. Forum geht auch nicht.
Danke für den Link Stephan, auch weitere Beiträge auf der Seite sind sehr lesenswert. Trololololol!
Wer seine Passwörter einem Online-Dienst anvertraut hat es glaube nicht anders verdiehnt als das die früher oder später abhanden kommen. Sowas ist meiner Meinung nach an Dämlichkeit nicht zu übertreffen.
@Zwergnase: Danke für das Kompliment aber als Dämlich würde ich mich nicht bezeichnen. Vielleicht solltest du bevor du solche Trollposts ohne Hintergrund dir entsprechenden aneigenen, es ist ja nicht so das LastPass User einfach nur eine passwort.txt im web stehen haben.
Nunja, egal da kann man nicht mehr viel zu schreiben, aber da es ja soooo schlimm ist beweise ich dir wie wenig Angst ich habe das mit den geklauten Hashwerten etwas passiert. Hier der 256 Bit Hash meines Masterpasswords, hab spaß damit:
f554f5d2d8e6de6caf8717ccfdc29b8f2fee41a05cd45b71a781069e9d1727bf
Und nein, ich fühle mich nun keinen deut unsicherer da selbiger noch mit einem OTP generiert durch ein 512 Bit Token abgesichert wird. Keine Ahnung was das ist ? Naja hauptsache mal die Personen die LP verwenden als dämlich hinstellen.
Kein weiterer Kommentar.
Ach ich vergass, du vertraust auch einem fremden in einem tragbaren Tresor deine Sparbücher an und hoffst das er da nicht rankommt. Sorry aber so verblendet einem Onlinedienst sein Passwörter zu geben (ob nun als Hashwert und vielleicht noch gesaltzt) und zu hoffen das nix passiert kann man einfach nicht sein.
Such mal nach otp auth + bitchiphre salt bevor du hier mit halbwissen rumtrolls.
Abgesehen davon kommt es auch immer darauf an ws man dort speichert,
Meine bankdaten findest du dort siche nicht. Der sparbuch vergleich jinkt daher,
Im tresor wäre wohl eher der schlüssel für den streusalznehälter 😉