Google Sicherheitsforscher findet Lücke in Online-Passwortmanager LastPass

Lastpass Logo ArtikelDie nächste Zeit dürfte es wieder ein bisschen spannend in der Welt der Passwortmanager werden. Tavis Ormandy, seines Zeichens bei Google im Sicherheitsprojekt „Zero“ unterwegs, hat sich wieder Sicherheitslösungen vorgenommen. Sein aktuelles Opfer? LastPass. Via Twitter fragte er herum, ob Menschen wirklich „dieses LastPass“ nutzen würden, da es eine Reihe offensichtlicher, kritischer Probleme hätte. Nachvollziehbar: Tavis Ormandy posaunt nicht die Lücken konkret heraus (er spricht lediglich von einer Gefährdung der Nutzer durch einen Remote-Angriff), sondern hat sich mit seinen Erkenntnissen an LastPass gewandt.

Aktivieren Sie JavaScript um das Video zu sehen.
Video-Link: https://twitter.com/taviso/status/758143119409885185

Diese gaben nun gegenüber Ormandy an, dass sie an einer Lösung arbeiten. Tavis Ormandy erwähnt in seinen Tweets ferner, dass er sich bald den beliebten Passwortmanager 1Password vornehmen wolle, er selber verstehe nicht, warum Menschen Cloud-Lösungen wie LastPass nutzen. Er selber meint, dass KeePass auf ihn vernünftig realisiert wirke.

Update: hier ein Proof of concept einer Lücke. Offensichtlich funktioniert eine auf dieser Seite beschriebene Lücke nur bei nicht aktivierter 2FA.

Update: 20:00 Uhr: Das Problem existierte und betraf Firefox-Nutzer. LastPass äußert sich hier zum Thema.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

29 Kommentare

  1. elPerstin says:

    Und ich verstehe nicht, warum Leute einen Ferrari fahren. Ich selber meine, dass Audi auf mich vernünftig realisiert wirkt.
    Humbug.

  2. Weil KeePass viel zu umständlich ist in einer Welt wo jeder 30 Geräte hat.

  3. Google Chrome hat doch quasi einen integrierten Passwort-Manager. Ist das dann keine Cloud-Lösung???

  4. Ich bin Last Pass Nutzer (seit kurzem sogar premium), weil es einfach bequem ist und im Gegensatz zum Google Chrome/Firefox Passwortmanager bisher tadellos funktioniert. Passwörter auf jedem Gerät synchronisiert, sogar innerhalb von Apps auf Android.
    Ein vernünftiger Passwortmanager ist für mich nicht mehr wegzudenken.

  5. Nun gut. Ich benutze Lastpass und habe Keepass2 im Einsatz. Letzterer dann mit der verschlüsselten Datei in der Cloud.
    Aber bei Lastpass ist halt der Login-Vorgang besser automatisiert.

  6. „Also, this would not work if multi factor authentication was on, so you should probably enable that as well.“ – das zeigt nur wieder, das man Passwort Manager unbedingt mit Two-Factor Authentication nutzen sollte

  7. @Mario
    Für KeePass gibt es entsprechende Plugins für eine Synchronisation. Nutze ich selbst auf mehreren Geräten.

  8. Ich verstehe auch nicht wieso man sowas nutzt obwohl keepass tausendmal besser ist. Nutze schon seit anbeginn keepass und hatte noch nie probleme.

  9. @elPerstin:
    Dein Vergleich ist Humbug. Hier geht es darum, ob man sensible Daten aus der Hand gibt (LastPass & Co.) oder die Kontrolle darüber behält (KeePass). Den Unterschied kannst du mit einem Autovergleich nicht abbilden. Autovergleiche sind bei IT-Themen sowieso immer äußerst dämlich. 🙂

  10. @John ja, dämlich ist der richtige Ausdruck für diesen Troll

  11. +1 @ John

  12. Lastpass ist rein funktional einfach ungeschlagen – auf allen Endgeräten (inkl. Chromebooks) absolut identisch und funktioniert einfach immer perfekt. Ich habe so ziemlich alle PW-Manager durch, bin aber immer wieder zu Lastpass zurück gekehrt. Daran konnte auch Keepass nichts ändern…alleine die Tatsache, dass das wg. der Quelloffenheit auf allen Plattform komplett anders aussieht ist nervig.

    2FA sollte eh Pflicht sein, von daher ist es ein netter Hinweis an LP, aber kein Dealbreaker für mich.

  13. konnte mit lastpass nie was anfangen. für mich ist roboform ungeschlagen.

  14. sunworker says:

    @mr t
    Habe auch Roboform, seit 10 Jahren und es gab noch nie ein Problem.

    Lastpass hatte schon unzählige Sicherheitsprobleme, Keepass ist ein Gewurschtel hoch10.

    Roboform gibt es bis 10 Passcards kostenlos und kann als Cloudversion (Everywhere) oder als Lokale Version (Desktop).betrieben werden.

    Die Daten sind bereits auf dem PC/Device verschlüsselt und gehen dann erst in die Cloud. Zusätzlichen Schutz beim Onlineaccout durch 2FA gibt es natürlich auch.

    Sehr zu empfehlen.

    Läuft auf allen wichtigen Plattformen:
    http://www.roboform.com/platforms

    Mehr Infos hier:
    http://www.roboform.com/password-manager

  15. Was an Keepass umständlich sein soll weiß der Geier. Habe schon alle möglichen Passwort Verwalter ausprobiert, auch LastPass. Nichts lässt sich einfacher verwalten als Keepass. Wenn ich die *.kdbx Dateien auf meinen vielen Geräten verteilen/aktualisieren will ist das ein total simpler Vorgang. Zum einen nutze ich die Cloud von Tresorit.
    Backups der Datenbank werden aktuell mit Back4sure auf div. interne u. externe HDs verteilt. Einmal konfiguriert geht das alles automatisch bzw. mit einem Click innerhalb von Sekunden. Man braucht halt 1-2 Tools um für automatische Verteilung zu sorgen.Da muss man sich halt mal kurz die Mühe machen und danach schauen was wirklich taugt. Danach flutscht aber alles. Ob das dann sicher ist, weiß der Geier. Nichts ist wirklich 100% sicher.

  16. sunworker says:

    @mr t
    Roboform nutze ich auch seit 10 Jahren. Sehr zu empfehlen.

    Lokal oder in der Cloud. Läuft auf allen wichtigen Plattformen:
    http://www.roboform.com/platforms

    Lastpass hatte schon unzählige Sicherheitslücken. Keepass ist Chaos, wenn man mehrere Geräte/Plattformen nutzt.

    Roboform ist übrigens gerade zum halben Preis zu haben:
    https://www.roboform.com/php/pums/rfprepay.php?lic=default_alt&lang=en

    Kostenlose Version (lokal) bis 10 Passcard gibt es auch.

  17. Keepass ist voll OK. Mit z.B. Tresorit als Cloud und einer Backup-Verteil-Software ala Back4sure lässt sich alles mühelos und relativ sicher nutzen/verteilen.
    Man muss sich nur mal kurz die Mühe machen und es ausprobieren, wenn man nicht zu faul ist.

  18. Habe Lastpass einmal ausprobiert. Nach 1 Tag jedoch wieder gelöscht. Erscheint von hinten bis vorne nicht besonders sicher bzw. seriös. Keepass dagegen tut seinen Job ausreichend gut. Mit ein paar spezielen Zusatztools (wenn gewünscht) lässt sich auch alles wunderbar verschieben und aktualisieren.

    • @Holgi – wie kommst Du zu dieser Aussage? „Erscheint“ klingt wenig qualifiziert – sorry, wenn ich das so offen sage.

  19. Nein! Doch! Ohh!

  20. @Holgi
    dann hast du die Daten aber doch wieder in der Cloud!
    Ob die jetzt bei LastPass oder einem anderen Anbieter liegen ist nun auch Jacke wie Hose…

  21. @ChriZ – da muss ich Holge tatsächlich mal recht geben. Es dürfte schon ein Unterschied sein, wenn alle Kunden-Daten auf *einem* Server liegen, das mit einem closed-Source-System läuft oder ob man wie bei Keepass die Daten auf einem anderen Server liegen hat.

    In der Praxis ist das – bislang – kein Problem gewesen, weil Lastpass schon ein ausgeklügeltes Sicherheitssystem hat. Alle Daten werden erst lokal entschlüsselt, dazu kann man Sicherungsmechanismen wie IP-Sperren und natürlich die 2FA nutzen. Und bevor jetzt wieder „Mööp, Lastpass wurde schon zweimal gehackt!“ kommt…das erste Mal gab es nur einen Anstieg im Netzwerktraffic und LP hat allen aus Vorsichtsgründen empfohlen, dass Master-PW zu ändern. Beim zweiten Mal in 2015 ging’s zwar zweiter, aber mehr als die server per user salts und authentication hashes wurde nicht erbeutet. Bei einem nur halbwegs sicheren Master-PW kein Thema, erst recht nicht, wenn man 2FA nutzt.

  22. @sunworker
    Ganz flasch denn nur weil jemand Lücken findet heißt das noch lange nicht dass das andere Programm besser ist. Roboform nutzen weit weniger Leute als Lastpass oder gar 1Pasword, von daher ist es wohl auch eher relativ unwichtig das sich hier Leute auf die Suche nach Lücken im System machen.

  23. Dank 2FA sehe ich mich eine Spur sicherer. Außerdem nutze ich die Autofill Funktion nur bei unkritischen Seiten und mein Kreditkarten Fill hat nicht alle Informationen, um missbraucht werden zu können. Solange es keine Sinnvollen Alternativen zu Lastpass gibt, die auf Android, Firefox & Chrome gleichzeitig funktioniert, bin ich da noch ganz entspannt, zumal LastPass sich sofort drum gekümmert hat. Auch keine Selbstverständlichkeit heutzutage.

  24. sunworker says:

    @ShyAngel
    „Roboform nutzen weit weniger Leute als Lastpass oder gar 1Password“

    Danke, ein weiteres Argument für Roboform.

    Deswegen ist Roboform auch sicherer, es lohnt ja schon den Aufwand deutlich weniger … wegen der deutlich weniger vorhandenen User.

    Das was für mich vor allem zählt ist das:

    1. als User in mehr als 10 Jahren keine Probleme
    2. Lokal oder Cloud Version
    3. Läuft auf allen wichtigen Plattformen
    4. 2FA für Online Account
    5. Nutzt auch Fingerprintscanner zur Entschlüsseng auf Handy etc
    6. auf Mobile Devices zusätzlicher Schutz durch PIN (optional)
    7. Weniger bekannt, daher sicherer

  25. @sunworker
    Bei dir hat der herrgott auch so einiges vergessen einzupfanzen.

  26. sunworker says:

    @ShyAngel
    Es ist wie immer: du laberst und ich habe Fakten aufgeführt.

    Jetzt gehe ich an den Strand
    https://media.holidaycheck.com/data/urlaubsbilder/images/2/1158273375.jpg

  27. Habe noch nie verstanden, wie jemand alle seine Passwörter irgendeinem obskuren Online-Dienst anvertrauen kann – nur aus Bequemlichkeit.
    KeePass und sonst nix.

  28. sunworker says:

    @WOK
    z.B. mehrere Geräte oder man hat gleichzeitig ein Backup.

    Da die Passwörter ja schon lokal verschlüsselt sind, gibt es da auch keine Probleme. Wenn es ein Problem geben sollte, dann eher auf dem lokalen Rechner.

    Allerdings sollte das Masterpasswort auch ein sicheres sein.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.