Google Sicherheitsforscher findet Lücke in Online-Passwortmanager LastPass

Lastpass Logo ArtikelDie nächste Zeit dürfte es wieder ein bisschen spannend in der Welt der Passwortmanager werden. Tavis Ormandy, seines Zeichens bei Google im Sicherheitsprojekt „Zero“ unterwegs, hat sich wieder Sicherheitslösungen vorgenommen. Sein aktuelles Opfer? LastPass. Via Twitter fragte er herum, ob Menschen wirklich „dieses LastPass“ nutzen würden, da es eine Reihe offensichtlicher, kritischer Probleme hätte. Nachvollziehbar: Tavis Ormandy posaunt nicht die Lücken konkret heraus (er spricht lediglich von einer Gefährdung der Nutzer durch einen Remote-Angriff), sondern hat sich mit seinen Erkenntnissen an LastPass gewandt.

Diese gaben nun gegenüber Ormandy an, dass sie an einer Lösung arbeiten. Tavis Ormandy erwähnt in seinen Tweets ferner, dass er sich bald den beliebten Passwortmanager 1Password vornehmen wolle, er selber verstehe nicht, warum Menschen Cloud-Lösungen wie LastPass nutzen. Er selber meint, dass KeePass auf ihn vernünftig realisiert wirke.

Update: hier ein Proof of concept einer Lücke. Offensichtlich funktioniert eine auf dieser Seite beschriebene Lücke nur bei nicht aktivierter 2FA.

Update: 20:00 Uhr: Das Problem existierte und betraf Firefox-Nutzer. LastPass äußert sich hier zum Thema.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

29 Kommentare

  1. @ChriZ – da muss ich Holge tatsächlich mal recht geben. Es dürfte schon ein Unterschied sein, wenn alle Kunden-Daten auf *einem* Server liegen, das mit einem closed-Source-System läuft oder ob man wie bei Keepass die Daten auf einem anderen Server liegen hat.

    In der Praxis ist das – bislang – kein Problem gewesen, weil Lastpass schon ein ausgeklügeltes Sicherheitssystem hat. Alle Daten werden erst lokal entschlüsselt, dazu kann man Sicherungsmechanismen wie IP-Sperren und natürlich die 2FA nutzen. Und bevor jetzt wieder „Mööp, Lastpass wurde schon zweimal gehackt!“ kommt…das erste Mal gab es nur einen Anstieg im Netzwerktraffic und LP hat allen aus Vorsichtsgründen empfohlen, dass Master-PW zu ändern. Beim zweiten Mal in 2015 ging’s zwar zweiter, aber mehr als die server per user salts und authentication hashes wurde nicht erbeutet. Bei einem nur halbwegs sicheren Master-PW kein Thema, erst recht nicht, wenn man 2FA nutzt.

  2. @sunworker
    Ganz flasch denn nur weil jemand Lücken findet heißt das noch lange nicht dass das andere Programm besser ist. Roboform nutzen weit weniger Leute als Lastpass oder gar 1Pasword, von daher ist es wohl auch eher relativ unwichtig das sich hier Leute auf die Suche nach Lücken im System machen.

  3. Dank 2FA sehe ich mich eine Spur sicherer. Außerdem nutze ich die Autofill Funktion nur bei unkritischen Seiten und mein Kreditkarten Fill hat nicht alle Informationen, um missbraucht werden zu können. Solange es keine Sinnvollen Alternativen zu Lastpass gibt, die auf Android, Firefox & Chrome gleichzeitig funktioniert, bin ich da noch ganz entspannt, zumal LastPass sich sofort drum gekümmert hat. Auch keine Selbstverständlichkeit heutzutage.

  4. sunworker says:

    @ShyAngel
    „Roboform nutzen weit weniger Leute als Lastpass oder gar 1Password“

    Danke, ein weiteres Argument für Roboform.

    Deswegen ist Roboform auch sicherer, es lohnt ja schon den Aufwand deutlich weniger … wegen der deutlich weniger vorhandenen User.

    Das was für mich vor allem zählt ist das:

    1. als User in mehr als 10 Jahren keine Probleme
    2. Lokal oder Cloud Version
    3. Läuft auf allen wichtigen Plattformen
    4. 2FA für Online Account
    5. Nutzt auch Fingerprintscanner zur Entschlüsseng auf Handy etc
    6. auf Mobile Devices zusätzlicher Schutz durch PIN (optional)
    7. Weniger bekannt, daher sicherer

  5. @sunworker
    Bei dir hat der herrgott auch so einiges vergessen einzupfanzen.

  6. sunworker says:

    @ShyAngel
    Es ist wie immer: du laberst und ich habe Fakten aufgeführt.

    Jetzt gehe ich an den Strand
    https://media.holidaycheck.com/data/urlaubsbilder/images/2/1158273375.jpg

  7. Habe noch nie verstanden, wie jemand alle seine Passwörter irgendeinem obskuren Online-Dienst anvertrauen kann – nur aus Bequemlichkeit.
    KeePass und sonst nix.

  8. sunworker says:

    @WOK
    z.B. mehrere Geräte oder man hat gleichzeitig ein Backup.

    Da die Passwörter ja schon lokal verschlüsselt sind, gibt es da auch keine Probleme. Wenn es ein Problem geben sollte, dann eher auf dem lokalen Rechner.

    Allerdings sollte das Masterpasswort auch ein sicheres sein.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.