LastPass versorgt Nutzer mit wichtigem Sicherheitsupdate
LastPass hat ein wichtiges Sicherheitsupdate veröffentlicht, das einige durchaus eklatante Lücken schließt. Zu diesem Zweck hatte LastPass laut eigenen Aussagen zuletzt mit dem Google-Sicherheitsforscher Tavis Ormandy zusammengearbeitet, welcher die Lücken auch entdeckt hatte. So hatte LastPass am 20. März Kenntnis über einen Fehler in Verbindung mit der eigenen Chrome-Extension in der Version 4.1.42.80 erlangt. Man rollte aber innerhalb weniger Stunden einen serverseitigen Fix aus, der den Fehler auch unter Firefox und Edge beheben sollte. Am 21. März wurde ein zweiter Fehler bekannt – dieses Mal bezogen auf Firefox und die Version 4.1.35a von LastPass bzw. der hauseigenen Erweiterung.
Auch jene Lücke soll nun geschlossen sein und zwar ab der LastPass-Extension 4.1.36a für Firefox. Diese Aktualisierung hatte LastPass laut eigenen Aussagen heute veröffentlicht. Solltet ihr also LastPass verwenden, achtet darauf, dass das Update bei euch aufgespielt wurde.
Zwar hat LastPass laut eigenen Aussagen keinerlei Berichte darüber erhalten, dass die Exploits ausgenutzt wurden, aber das muss freilich nicht zwangsweise heißen, dass es nicht doch eventuell geschehen ist. Eure Passwörter müsst ihr LastPass aber nicht ändern, es sollte alles glattgegangen sein, so der Anbieter.
Was hätten Angreifer denn theoretisch über die Sicherheitslücken erreichen können? Nun, eure Passwörter hätten theoretisch gestohlen werden können – Überraschung. Weitere Details will man aber lieber nicht verraten, so dass über die Art der Lücken bzw. deren Ausnutzung wenig bekannt ist. Es ist aber nicht das erste Mal, dass es Probleme mit der Sicherheit in LastPass gegeben hat. Immerhin wurden die Probleme aber ernst genommen und schnell gehandelt.
Daumen hoch für den schnellen Fix. Nutze LastPass als Premiumkunde seit Jahren und bin sehr zufrieden damit.
dann bin ich mal auf die ersten schlechtreder gespannt…
let’s start the show
Naja, schönreden kann man es auch nicht.
Man benutzt einfach keinen Closed-Source-Passwortmanager, dem man dann auch noch Internetzugriff gewährt. Die Synchronisation muss strikt von der Passwortmanager-App getrennt werden.
Wer das nicht macht und dann auch noch Apps wie 1Password oder Lastpass benutzt, ist einfach nur dämlich und handelt grob fahrlässig.
Wenn schon Passwortmanager, dann KeePass ohne Internetzugriff, und davon unabhängig synchronisieren.
jedes passwort das man im internet nutzt wird auch im internet gespeichert und ist über jedes gerät weltweit erreichbar. ich finde es herrlich wie man versucht argumente gegen passwortmanager zu finden….
*popcorn essn*
Volker sollte sich zuhause einsperren und den Schlüssel vernichten, alles andere ist zu gefährlich. 😉
Ernsthaft, Sicherheit ist immer ein Abwägen zwischen möglichst hoher Sicherheit und Bequemlichkeit. Denn wenn etwas unbequem ist, wird man es de facto einfach nicht nutzen. Ich finde es gut, dass im Übrigen alle Hersteller von Passwortmanagern schnell auf Lücken reagieren. Da ist es mir auch egal, ob das Tool open oder closed source ist. Im Zweifelsfall muss immer ein Programmierer dran, um die Lücken zu stopfen. Und Exploits findet man ja offenkundig auch unabhängig vom Einblick in den Programmcode.
Die letzten Lastpass fanbois strampeln noch ein wenig, bevor sie mit der nächsten Lücke absaufen. Niedlich.
@Volker
„Man benutzt einfach keinen Closed-Source-Passwortmanager, dem man dann auch noch Internetzugriff gewährt. Die Synchronisation muss strikt von der Passwortmanager-App getrennt werden. Wer das nicht macht und dann auch noch Apps wie 1Password oder Lastpass benutzt, ist einfach nur dämlich und handelt grob fahrlässig. Wenn schon Passwortmanager, dann KeePass ohne Internetzugriff, und davon unabhängig synchronisieren.“
Hast du KeePass denn selbst kompiliert oder benutzt du die fertigen binaries?
Ich kann halt machen was ich will, bekomme nie die neueste Version auf meinen PC.
Lade ich die Version von der Website, wird sie abgeschaltet (konnte nicht verifiziert werden); Lade ich sie aus dem Add-On-Verzeichnis, ist es Version 3.3.x – Das nervt mich so langsam ein wenig bis ziemlich fest.
Jetzt mal im Ernst, wo werden die Plugins upgedated? In der Erweiterung bzw. in den Optionen finde ich nix. Chrome selber ist aktuell.
@maxvorstadt23: manuelles Updates startest Du über die drei Punkte oben rechts in der Menüleiste, dann „Einstellungen“, dann links „Erweiterungen“, dann oben rechts „Entwicklermodus“ anklicken und dann erscheinen weitere Buttons, darunter einer namens „Erweiterungen jetzt aktualisieren“.
tl;dr es wird immer heißer gekocht als gegessen
So, ich muss dazu jetzt auch mal meinen Senf abgeben. Ich benutze selber LastPass und bin mir der Risiken durchaus bewusst (die wichtigsten Passwörter wie z.B. fürs Online Banking habe ich dort auch nicht gespeichert). Wie bei allem im Leben muss man auch hier eben die Risiken gegenüber dem Komfort abwägen. Beides optimal zu haben gibt es nicht.
Ja, LastPass speichert den _verschlüsselten_ Password Safe in der Cloud. Und ja, der Verschlüsselungsalgorithmus ist stand heutiger Technik kaum bis gar nicht „knackbar“ (kommt immer auf das Master Password an, „1234“ oder „password“ sind natürlich in Sekunden geknackt). Wenn also jemand den verschlüsselten Password Safe aus der LastPass Cloud entwendet, kann er damit in der Regel nichts anfangen.
Wenn jemand aber auf dem Client (Browser) die entschlüsselten Passwörter mitlesen kann (der Client also infiltriert ist), hat man sowieso ein ganz anderes Problem und dann ist es auch shit egal welchen Password Manager man verwendet.
Meiner Meinung nach sind diese Lücken alle theoretisch ausnutzbar (und müssen natürlich ASAP gefixt werden), aber die Vorbedingungen dafür, dass solche Lücke auch sinnvoll ausgenutzt werden können, sind um ein vielfaches gravierender (wie z.B. infiltrierter PC).
Mal versicherungstechnisch gefragt:
Kommen die Banken für den Schaden auf, wenn ich mit LastPass gearbeitet habe und mein Passwort dort oder bei dessen Verwendung geklaut worden ist?
Bitte bei Antworten dazu schreiben, woher man seine Weisheit hat.
@Joe: dazu kommt meines Erachtens noch, dass man bei Lastpass etliche Verfahren zur Zwei-Faktor-Authentifizierung einsetzen kann. Ich mache das und damit fühle ich mich recht sicher. Schließlich basiert das Verfahren auf „etwas das ich weiß“ und „etwas das ich habe“. Beides zu umgehen, halte ich für unwahrscheinlich.
@bat: nun mal angenommen, man hat „1234“ oder „Urlaub“ als Passwort und verwendet keine Zwei-Faktor-Authentifizierung: welchen Schaden kann denn damit angerichtet werden? Für sämtliche Transaktionen, die das Vermögen betreffen, werden transaktionale Einmalcodes eingesetzt, die an die mit dem Konto registrierte Handynummer geschickt werden. Der Bösewicht kann daher meinen Kontostand oder meine Kontobewegungen ansehen, aber keinen Schaden anrichten, für den irgendwer aufkommen müsste. Oder fällt Dir ein Use Case ein, der tatsächlich finanzielle Auswirkungen hat?