Google Sicherheitsforscher findet Lücke in Online-Passwortmanager LastPass

Lastpass Logo ArtikelDie nächste Zeit dürfte es wieder ein bisschen spannend in der Welt der Passwortmanager werden. Tavis Ormandy, seines Zeichens bei Google im Sicherheitsprojekt „Zero“ unterwegs, hat sich wieder Sicherheitslösungen vorgenommen. Sein aktuelles Opfer? LastPass. Via Twitter fragte er herum, ob Menschen wirklich „dieses LastPass“ nutzen würden, da es eine Reihe offensichtlicher, kritischer Probleme hätte. Nachvollziehbar: Tavis Ormandy posaunt nicht die Lücken konkret heraus (er spricht lediglich von einer Gefährdung der Nutzer durch einen Remote-Angriff), sondern hat sich mit seinen Erkenntnissen an LastPass gewandt.

Diese gaben nun gegenüber Ormandy an, dass sie an einer Lösung arbeiten. Tavis Ormandy erwähnt in seinen Tweets ferner, dass er sich bald den beliebten Passwortmanager 1Password vornehmen wolle, er selber verstehe nicht, warum Menschen Cloud-Lösungen wie LastPass nutzen. Er selber meint, dass KeePass auf ihn vernünftig realisiert wirke.

Update: hier ein Proof of concept einer Lücke. Offensichtlich funktioniert eine auf dieser Seite beschriebene Lücke nur bei nicht aktivierter 2FA.

Update: 20:00 Uhr: Das Problem existierte und betraf Firefox-Nutzer. LastPass äußert sich hier zum Thema.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

29 Kommentare

  1. elPerstin says:

    Und ich verstehe nicht, warum Leute einen Ferrari fahren. Ich selber meine, dass Audi auf mich vernünftig realisiert wirkt.
    Humbug.

  2. Weil KeePass viel zu umständlich ist in einer Welt wo jeder 30 Geräte hat.

  3. Google Chrome hat doch quasi einen integrierten Passwort-Manager. Ist das dann keine Cloud-Lösung???

  4. Ich bin Last Pass Nutzer (seit kurzem sogar premium), weil es einfach bequem ist und im Gegensatz zum Google Chrome/Firefox Passwortmanager bisher tadellos funktioniert. Passwörter auf jedem Gerät synchronisiert, sogar innerhalb von Apps auf Android.
    Ein vernünftiger Passwortmanager ist für mich nicht mehr wegzudenken.

  5. Nun gut. Ich benutze Lastpass und habe Keepass2 im Einsatz. Letzterer dann mit der verschlüsselten Datei in der Cloud.
    Aber bei Lastpass ist halt der Login-Vorgang besser automatisiert.

  6. „Also, this would not work if multi factor authentication was on, so you should probably enable that as well.“ – das zeigt nur wieder, das man Passwort Manager unbedingt mit Two-Factor Authentication nutzen sollte

  7. @Mario
    Für KeePass gibt es entsprechende Plugins für eine Synchronisation. Nutze ich selbst auf mehreren Geräten.

  8. Ich verstehe auch nicht wieso man sowas nutzt obwohl keepass tausendmal besser ist. Nutze schon seit anbeginn keepass und hatte noch nie probleme.

  9. @elPerstin:
    Dein Vergleich ist Humbug. Hier geht es darum, ob man sensible Daten aus der Hand gibt (LastPass & Co.) oder die Kontrolle darüber behält (KeePass). Den Unterschied kannst du mit einem Autovergleich nicht abbilden. Autovergleiche sind bei IT-Themen sowieso immer äußerst dämlich. 🙂

  10. @John ja, dämlich ist der richtige Ausdruck für diesen Troll

  11. +1 @ John

  12. Lastpass ist rein funktional einfach ungeschlagen – auf allen Endgeräten (inkl. Chromebooks) absolut identisch und funktioniert einfach immer perfekt. Ich habe so ziemlich alle PW-Manager durch, bin aber immer wieder zu Lastpass zurück gekehrt. Daran konnte auch Keepass nichts ändern…alleine die Tatsache, dass das wg. der Quelloffenheit auf allen Plattform komplett anders aussieht ist nervig.

    2FA sollte eh Pflicht sein, von daher ist es ein netter Hinweis an LP, aber kein Dealbreaker für mich.

  13. konnte mit lastpass nie was anfangen. für mich ist roboform ungeschlagen.

  14. sunworker says:

    @mr t
    Habe auch Roboform, seit 10 Jahren und es gab noch nie ein Problem.

    Lastpass hatte schon unzählige Sicherheitsprobleme, Keepass ist ein Gewurschtel hoch10.

    Roboform gibt es bis 10 Passcards kostenlos und kann als Cloudversion (Everywhere) oder als Lokale Version (Desktop).betrieben werden.

    Die Daten sind bereits auf dem PC/Device verschlüsselt und gehen dann erst in die Cloud. Zusätzlichen Schutz beim Onlineaccout durch 2FA gibt es natürlich auch.

    Sehr zu empfehlen.

    Läuft auf allen wichtigen Plattformen:
    http://www.roboform.com/platforms

    Mehr Infos hier:
    http://www.roboform.com/password-manager

  15. Was an Keepass umständlich sein soll weiß der Geier. Habe schon alle möglichen Passwort Verwalter ausprobiert, auch LastPass. Nichts lässt sich einfacher verwalten als Keepass. Wenn ich die *.kdbx Dateien auf meinen vielen Geräten verteilen/aktualisieren will ist das ein total simpler Vorgang. Zum einen nutze ich die Cloud von Tresorit.
    Backups der Datenbank werden aktuell mit Back4sure auf div. interne u. externe HDs verteilt. Einmal konfiguriert geht das alles automatisch bzw. mit einem Click innerhalb von Sekunden. Man braucht halt 1-2 Tools um für automatische Verteilung zu sorgen.Da muss man sich halt mal kurz die Mühe machen und danach schauen was wirklich taugt. Danach flutscht aber alles. Ob das dann sicher ist, weiß der Geier. Nichts ist wirklich 100% sicher.

  16. sunworker says:

    @mr t
    Roboform nutze ich auch seit 10 Jahren. Sehr zu empfehlen.

    Lokal oder in der Cloud. Läuft auf allen wichtigen Plattformen:
    http://www.roboform.com/platforms

    Lastpass hatte schon unzählige Sicherheitslücken. Keepass ist Chaos, wenn man mehrere Geräte/Plattformen nutzt.

    Roboform ist übrigens gerade zum halben Preis zu haben:
    https://www.roboform.com/php/pums/rfprepay.php?lic=default_alt&lang=en

    Kostenlose Version (lokal) bis 10 Passcard gibt es auch.

  17. Keepass ist voll OK. Mit z.B. Tresorit als Cloud und einer Backup-Verteil-Software ala Back4sure lässt sich alles mühelos und relativ sicher nutzen/verteilen.
    Man muss sich nur mal kurz die Mühe machen und es ausprobieren, wenn man nicht zu faul ist.

  18. Habe Lastpass einmal ausprobiert. Nach 1 Tag jedoch wieder gelöscht. Erscheint von hinten bis vorne nicht besonders sicher bzw. seriös. Keepass dagegen tut seinen Job ausreichend gut. Mit ein paar spezielen Zusatztools (wenn gewünscht) lässt sich auch alles wunderbar verschieben und aktualisieren.

    • @Holgi – wie kommst Du zu dieser Aussage? „Erscheint“ klingt wenig qualifiziert – sorry, wenn ich das so offen sage.

  19. Nein! Doch! Ohh!

  20. @Holgi
    dann hast du die Daten aber doch wieder in der Cloud!
    Ob die jetzt bei LastPass oder einem anderen Anbieter liegen ist nun auch Jacke wie Hose…

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.