Google Sicherheitsforscher findet Lücke in Online-Passwortmanager LastPass

Die nächste Zeit dürfte es wieder ein bisschen spannend in der Welt der Passwortmanager werden. Tavis Ormandy, seines Zeichens bei Google im Sicherheitsprojekt „Zero“ unterwegs, hat sich wieder Sicherheitslösungen vorgenommen. Sein aktuelles Opfer? LastPass. Via Twitter fragte er herum, ob Menschen wirklich „dieses LastPass“ nutzen würden, da es eine Reihe offensichtlicher, kritischer Probleme hätte. Nachvollziehbar: Tavis Ormandy posaunt nicht die Lücken konkret heraus (er spricht lediglich von einer Gefährdung der Nutzer durch einen Remote-Angriff), sondern hat sich mit seinen Erkenntnissen an LastPass gewandt.

Diese gaben nun gegenüber Ormandy an, dass sie an einer Lösung arbeiten. Tavis Ormandy erwähnt in seinen Tweets ferner, dass er sich bald den beliebten Passwortmanager 1Password vornehmen wolle, er selber verstehe nicht, warum Menschen Cloud-Lösungen wie LastPass nutzen. Er selber meint, dass KeePass auf ihn vernünftig realisiert wirke.

Update: hier ein Proof of concept einer Lücke. Offensichtlich funktioniert eine auf dieser Seite beschriebene Lücke nur bei nicht aktivierter 2FA.

Update: 20:00 Uhr: Das Problem existierte und betraf Firefox-Nutzer. LastPass äußert sich hier zum Thema.