Datenpanne bei LastPass?
Heute Morgen wurden Benutzer von LastPass aufgefordert, ihre Master-Passwörter zu ändern. Fehler? Spionage? Mitnichten, denn diese Sicherheitsmaßnahme ging tatsächlich von LastPass aus, da im System Anomalien entdeckt wurden. Eure Passwörter sind zwar verschlüsselt, aber man weiss ja nie. Tja – und wieder einmal hat die Cloud die häßliche Fratze gezeigt. Bequem ist alles – sicher aber nichts. Lest den ganzen Spaß im Blog von LastPass am besten selber… Update: Interview mit dem CEO von LastPass (danke amoklauf_dot_ch @ twitter)
Die Comments lesen sich wie ein Schlachtfeld der Paranoia und zynischer Klugscheißerei.
„Passwörter sollte man in der brain.exe abspeichern“ – Ja sicher!^^ Da frag ich mich doch direkt, wie die Passwörter aussehen, oder wie es ausschaut, wenn man sich ohne irgendwo abgespeicherte Passwörter im Netz verkehrt.
Der Link hier http://hydra.geht.net/tino/opinion/tino/nixda/lastpass/ ist ja wohl von jemanden geschrieben der auch in allem eine Verschwörungen seitens der USA sieht.
Wenn hier einige schon großspurig daherquatschen; dann schreibt dazu wie Ihr es handhabt! Da wär ich echt gespannt drauf!
Der Typ hinter dem Link hat nicht viel Ahnung von Kryptografie. Aber dafür ne interessante Argumentation: wenn ich das mit Halbwissen schon weiss, dann weiss das der Profi erst recht, also lügen die 😀 Und dann noch Kryptochef und Bruce Schneier in einem Satz…
Es hat lang gedauert, bis ich gemerkt hab, was sein Problem ist: er will ein Open Source Produkt, bei dem er selbst den Server wählen kann. Und weil das mit dem Geschäftsmodell von Lastpass nicht geht (stimmt), ist LP böse und lügt und sind Betrüger. Die wirklichen Fragen ignoriert er komplett…
Ein Passwort aus einem Satz, den man sich merken kann ist eh viel sicherer als wilde Zeichenkombinationen, siehe http://www.baekdal.com/tips/password-security-usability
@Gequeoman: Ich habe bei Heise getrollt? 😐 Jetzt mal ehrlich, das musst du mir zeigen.
Wer seine Passwörter auf einem Haufen speichert, geschützt durch ein einziges Masterpasswort, der kann genauso gut auch nur ein einziges Passwort für alle Dienste benutzen, ist genauso sicher. XD
Und zu der Sache mit Hashlänge und Stärke usw.: Interessiert einen Angreifer genau null, der benutzt (Hardware-) Keylogger oder Ähnliches und freut sich, dass er nur noch ein Passwort kapern muss…
Die Kritiker hier wissen m. E. gar nicht genau, wie LP funktioniert. Aber lassen wir das, ich halte die Informationspolitik von LP für absolut vorbildlich. Hier noch ein paar interessante Zusatzinformationen: http://www.youtube.com/watch?v=V9vnuriQkOc&feature=player_detailpage#t=122s
Spielt das ne Rolle, wie LP genau funktioniert? Es gibt 2 Gründe, die gegen den Dienst sprechen und sei die Technik auch noch so gut:
1. Phishing (oder Trojaner/Keylogger)
2. Vertrauen: der Anbieter muss absolut vertrauenswürdig sein. Wenn deren Infrastruktur in böse Hände gerät, oder die Betreiber selber böse werden, kommen sie beim nächsten Login an alle Daten.
Abgesehen davon kommt mir dass ganze wie ne Werbekampagne vor: wir vermuten nen Angriff, weisen aber nicht wie und wo (mit andren Worten: wenn jemand Zugriff hatte, hat ihn vermutlich immer noch…), aber eins können wir versichern: unser System ist sicher 😀
@Christian
zu 1) Und wieso sollte das ohne LP besser sein?
zu 2) Sorry, aber du hast die Technik von LP nicht verstanden. Abgesehen davon ist das ein unsinniges Argument. Wenn der Hersteller deines Betriebssystems, deines Browsers, deiner Hardware, der Autor irgendeines deiner Systemtreiber etc. „böse werden“ hast du das gleiche Problem.
@Max: Du hast dann also nicht alle deine Passwörter auf einem Haufen, sondern …? Per PostIts im ganzen Haus verteilt, oder wie?
Und das hilft dir wie, wenn die von dir angeführten Keylogger installiert sind?
Was mich mal interessieren würde – wen haltet Ihr denn für vertrauenswürdiger: Lastpass oder Roboform? Ich bin von Roboform zu Lastpass gewechselt, aber ehrlich gesagt irritiert mich das Geschäftsmodell doch etwas: der Großteil der User zahlt nicht (Premium ist nur notwendig, wenn man auch auf ein mobiles Device syncen will) – bei Roboform zahlt jeder und das ist m. E. auch legitim.
Ach ja, Brain.exe fällt auch bei mir aus – ich habe hunderte von Logins mit kryptischen Passwörtern.
Übrigens: PW-Manager helfen gegen Keylogger, weil die Credentials gar nicht erst per Tasten eingegeben werden…
@Tomi:
1. Phishing: wenn es der Phisher gezielt auf LP-Accounts anlegt (“Hier LP, wir hatten einen Einbruch, bitte ändern sie ihr Masterpasswort“), dann hat er auf einen Schlag alle Deine Passwörter…
2. Danke für die Unterstellung. Ändert nichts an der Problematik: Wenn LP will*, können sie dafür sorgen, dass Dein Masterpasswort doch Deinen Rechner verlässt. Mit nem einfachen Plugin-Update. Oder mit neuem JS auf dem Webinterface. Und wieder haben sie alle Deine Passwörter. Und genau das unterscheidet was vom bösen Betriebssystem etc. Dort kommt der Angreifer nur an die PW, die Du gerade eintippst (Ok, es sei denn, Du benutzt einen Standard-PW-Manager, dann haben sie auch alles.)
* Dazu muss noch nicht mal LP selbst böse werden. Es reicht, wenn Dir der Angreifer ein manipuliertes Plugin unte jubelt. Oder den Webserver hackt und den JS austauscht…
@Christian:
Sorry, wollte dir nichts unterstellen, aber Fakt ist halt dass weder die Betreiber noch sonstwer der die Infrastruktur von LP übernimmt beim nächsten Login an meine Daten käme, da mein Passwort meinen Rechner nicht verlässt. Das Plugin sendet eben nicht das Master-Passwort an LP, sondern nur einen Hash.
Klar kannst du jetzt mit dem Totschlag-Argument kommen dass die mir ein entsprechend geändertes Plugin unterjubeln könnten, aber genauso kann mir halt jeder Hersteller von dem ich irgendeine Software auf dem PC habe, Malware unterschieben. Ab dann ist es auch egal ob da ein Masterpasswort abgefangen wird oder die Einzelpasswörter per Keylogger/Mouselogger/Screengrabber. Dann doch lieber LP, die können ihre Server sicherlich besser schützen und überwachen als der normale User seinen eigenen Rechner. Und selbst wenn der Power-User das kann, machen wird er es vermutlich trotzdem nicht. Wie Tim weiter oben richtig schreibt: Wem würden denn ein paar KB zusätzlicher Traffic auf der Leitung auffallen?
Ich schlage vor, das alle Cloud-Zweifler, erstmal ihre Banken kuendigen und ihr Geld wieder unter dem Kopfkissen deponieren, die sind schliesslich lange bevor wir von Cloud sprechen im Internet aktiv. Manchmal hilft auch ein bisschen von Mathematik zu verstehen, aber das ist natuerlich ebenso so unsexy als am Stammtisch unter Lotto-Spielern ueber Wahrscheinlichkeiten zu debattieren.