LastPass: Achtung! Einbruch beim Passwort-Manager

LastPass_Android

Schlechte Nachrichten kommen derzeit vom Anbieter eines Online-Tresors für Passwörter. Der beliebte Anbieter LastPass erlaubt die Speicherung von Passwörtern online – und diese stehen dem Nutzer auf diversen Plattformen zur Verfügung. Nun die Aussage, dass man am vergangenen Freitag eine ungewöhnliche Aktivität im Firmennetzwerk festgestellt habe. Laut LastPass habe man bei anschließenden Untersuchungen keinen Hinweis darauf gefunden, dass verschlüsselte Passwort-Tresore entwendet wurden.

In our investigation, we have found no evidence that encrypted user vault data was taken, nor that LastPass user accounts were accessed. The investigation has shown, however, that LastPass account email addresses, password reminders, server per user salts, and authentication hashes were compromised.

Aber: man konnte nachvollziehen, dass E-Mail-Adressen von LastPass-Nutzern entwendet wurden – sowie die Passwort-Erinnerungen und Authentication Hashes. Man teilt mit, dass man der Meinung sei, dass die Verschlüsselung sicher genug sei, um einen Großteil (schwammige Aussage ist schwammig!) der Nutzer zu schützen:

We are confident that our encryption measures are sufficient to protect the vast majority of users. LastPass strengthens the authentication hash with a random salt and 100,000 rounds of server-side PBKDF2-SHA256, in addition to the rounds performed client-side. This additional strengthening makes it difficult to attack the stolen hashes with any significant speed.

Dennoch fordert man alle Nutzer zum Passwort-Wechsel auf. Alle Nutzer, die nun erstmalig von einer neuen IP oder einem neuen Gerät auf den Service zugreifen, müssen ihre Identität via E-Mail bestätigen – außer man hat die Zwei-Faktor-Authentifizierung aktiviert.

Ebenfalls werden Nutzer aufgefordert, die Master-Passwörter zu ändern. Sofern man ein schwaches Master-Password hat – oder dieses gar auch zum Login auf anderen Seiten nutzt, so soll man dies auch ändern. Auch solle man Passwort bei den Seiten ändern, bei denen man das Master-Passwort verwendet. Da die Passwort-Tresore stark verschlüsselt sind, braucht man laut Aussage von LastPass aber nicht alle Passwörter ändern.

Schöner Mist, nicht wahr? Achtet also auf jeden Fall darauf, dass ihr JEDER E-Mail kritisch gegenübersteht, die angeblich von LastPass kommt. Ich kann mir gut vorstellen, dass die Angreifer nun via E-Mail versuchen, zusätzliche Daten abzugreifen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

75 Kommentare

  1. Meiner Meinung nach sollten solche Dienste die 2-Faktor Autorisierung zur Pflicht machen. Immerhin tragen sie eine große Verantwortung und in der Praxis ist es für den Nutzer kein allzu großer Aufwand.

  2. Ach jetzt komm schon… Das macht doch alles keinen Spaß mehr.

  3. … Es ist einfach eine doofe Idee seine Passwörter auf fremde Server zu legen.

  4. Gut dass ich mich vor einiger Zeit dazu entschieden habe jedem Online Passwortsafe aus dem Weg zu gehen und daraufhin alles bei LastPass gelöscht habe…

  5. Das schon Scheisse. Was gibt es denn für komfortable Alternativen, die ich auch überall zur Verfügung habe außer einen Zettel und Stift.

  6. @Soulfly999: Man braucht keinen Zettel und kein Stift, man braucht nur seinen Kopf. Das Geheimnis ist es nicht, sich für jede Webseite ein kryptisches Passwort zu merken, das wäre ohne technische Hilfsmittel wahrscheinlich für die meisten ein Problem. Aber man kann Passwörter aus einem System heraus generieren. Dann musst du dir nur dein System merken und kannst daraus das Passwort für jede beliebige Webseite ableiten.

    Die Idee, Passwörter online zu speichern, ist wirklich etwas problematisch. Vor allem für jeden technikaffinen Nutzer, der ja permanent von solchen Einbrüchen liest.

  7. Keepass zB. Habe diesen hype um lastpass nie verstanden….

  8. Ein Online-Dienst, der gegen Geld Kennwörter speichert. Finde den Fehler.

  9. Deshalb lässt man auch die Finger von Passwortmanagern wie Lastpass oder 1Password.

    Niemals eine Passwortmanager-App mit Internetzugriffsrechten! Es ist eben grob fahrlässig, die Software und die Cloud-Synchronisation von der gleichen Firma zu benutzen. Immer Passwortmanager und Cloudspeicherung trennen und auf zwei verschiedene Anbieter verteilen!

    Ich benutze auf meinen mobilen Geräten die App „Keepass2Android Offline“, die hat keinen Internetzugriff. Die Synchronisierung des Passwortsafes mache ich mit Tools von anderen Anbietern.

  10. Passend dazu Tresorwerbung bei Adsense. Zettelchen in nen Tresor legen als Alternative.

    Ich benutz 1Password. Ich denke, da sollte man sich einfach bewusst sein, das nichts im Internet sicher ist und dementsprechend versuchen, sich abzusichern und im Ernstfall den Schaden so klein wie möglich zu halten.

    Sonst kann man sich gleich nen Strick nehmen wenn man niemandem mehr traut.

    Wobei ich auch jemanden kenn, der mit nem WindowsXP-Rechner Onlinebanking macht. 😀

  11. @Orbis
    1Password speichert die Passwörter nicht bei sich. Entweder DropBox, iCloud oder gar nicht online und du synchronisierst per WLAN (allerdings nur ios denke ich).

  12. @Goran: Trotzdem. 1Password ist Closed Source und hat Internetzugriff. Wer so eine App benutzt, braucht sich später nicht zu beschweren. Sagt nicht, man hätte Euch nicht gewarnt.

  13. ich nutze 1password ohne cloud speicher. sollte doch recht sicher sein.

  14. Da könnte man jetzt sagen, told you so, aber es gibt ja auch genug Leute, die die Gefahr nicht bewusst (leichtsinnig) ausgeklammert haben…sie haben die Risiken echt nicht verstanden.

    Die Hypes um solche Dienste in der Tech-Szene geben mir immer wieder das Gefühl, dass gerade im Laufe der Zeit professionalisierte Blogs (ist hier auch der Fall, oder?) durchaus ein hohes journalistisches Niveau erreichen – solange es um positive Berichterstattung zu kommerziellen Angeboten geht. Da kann man was Böses hinter vermuten, muss man nicht – aber gerade weil diese Blogs immer mehr die Mitte der Gesellschaft erreichen können und kein Nischenpublikum, sollten solche Einbrüche Erwähnung finden, BEVOR sie entstanden sind. Nicht nur die Vorteile.

    Wieso ist es denn hier nicht passiert, @caschy? Hast du es für unwahrscheinlich gehalten, oder aus Gründen XY für nicht relevant?

    „We are confident that our encryption measures are sufficient to protect the vast majority of users.“ sagt eigentlich schon alles. Wenn ich den Dienst richtig verstehe, kontrolliert LastPass und nicht der Nutzer die Stärke der Crypto quasi komplett. Der Nutzer soll da ja gar nicht dran rumpfuschen können („00000“ bruteforcen die nie!!1!). Ich bin gespannt auf die Veröffentlichung der Lücke in dieser Crypto, die die Passwörter No. 1,3 und 5 offenlegt, aber nicht 2 und 3. Eine schöne Nebelkerze IMHO…

  15. Dafür habe ich ein Wort: BWAHAHAHAHAHAHA!
    Meine PasswortDB bleibt bei mir. Keepass.

  16. Wieder eine Bestätigung dafür, keine PW online zu speichern.

  17. @Richard wo liegt das Problem? Darf Sicherheit kein Geld kosten? Viel fragwürdiger sind Dienste, die solche Leistungen kostenlos anbieten.

  18. @Sören Hentzschel: „Die Idee, Passwörter online zu speichern, ist wirklich etwas problematisch. Vor allem für jeden technikaffinen Nutzer, der ja permanent von solchen Einbrüchen liest.“

    Da stimme ich Dir zu. Aber was hältst Du als Mozilla-Experte eigentlich von der optionalen Passwort-Synchronisation in Firefox? 😉

  19. Keepass –> OwnCloud –> KeePass2Android (Der Entwickler ist übrigens sehr hilfsbereit!)
    Selbst wenn jemand meine OwnCloud knackt, mein MasterPW bekommt er nicht via Bruteforce usw.

  20. @Orbis: Ist dein Betriebsystem & deine Hardware denn Open Source? Sag nicht, man hätte dich nicht gewarnt 😉 .

  21. Glimmer Man says:

    @Orbis: Zitat: „Ich benutze auf meinen mobilen Geräten die App „Keepass2Android Offline“, die hat keinen Internetzugriff. Die Synchronisierung des Passwortsafes mache ich mit Tools von anderen Anbietern.“

    Kannst du vielleicht beschreiben wie du genau bei der Synchronisation vorgehst? Ich „synchronisiere“ per Hand wenn ich zu Hause bin.

  22. Es ist einfach dämlich, Apps wie LastPass oder 1Password zu benutzen. Gerade die Leser von Caschys Blog sollten das eigentlich besser wissen. Insofern verstehe ich auch nicht, dass diese Apps hier im Blog so propagiert wurden. Und jetzt kommt bitte nicht mit „Bequemlichkeit“. Genau das ist ja das Problem.

    Mutti hätte es so ausgedrückt:
    „Passwortmanager mit Internetzugriff? Das geht gar nicht.“

  23. @Orbis: Ich denke, wer A sagt, sollte auch B sagen. Mozillas Verschlüsselung dürfte ziemlich sicher sein, aber das kann man über LastPass vermutlich auch sagen. Bei LastPass wurde auf den Servern eingebrochen, grundsätzlich wäre das auch bei den Sync-Servern von Mozilla möglich, ich meine, man kann sowas nicht für immer ausschließen, nur weil es bislang nicht passiert ist. In beiden Fällen bedeutet das erst einmal „nur“ Zugriff auf verschlüsselte Daten. Also das sind denke ich sehr ähnliche Szenarien. Es ist halt eine Einstellungsfrage zu dem Thema. Entweder man vertraut seine Passwörter der Cloud an oder nicht. Wenn, dann hat man immer das Risiko. Ich arbeite mit zu sensiblen Daten, auch von Kunden, da ist die Cloud definitiv keine Option. Passwörter und Chronik synchronisiere ich im Browser schon. Könnten diese geklaut und die Daten entschlüsselt werden, ich würde es überleben. Meine Lesezeichen würde ich sogar freiwillig teilen. Aber Passwörter sind was anderes. 😉

  24. Wichtige Selbstkorrektur: „Passwörter und Chronik synchronisiere ich im Browser schon.“ – Passwörter sollte Lesezeichen heißen!

  25. @Glimmer Man:

    Keepass2Android bzw. KeePass am PC speichert seinen verschlüsselten Passwortsafe in einer Datei mit der Endung .kdbx

    Diese Datei synchronisiere ich auf meinen mobilen Geräten mit der App FolderSync.

  26. Ich bin schon lange bei 1password. Die sind schon seit Jahren dafür bekannt, dass die Verschlüsselung der Daten besser ist als bei der Konkurrenz.

  27. @HerrTaschenbier
    Also bei gar keiner Website mehr registrieren? Klingt logisch…

    Und sonst liest man hier nur Schadenfreude und Halbwissen.
    Scheinen wohl viele den Satz „Laut LastPass habe man bei anschließenden Untersuchungen keinen Hinweis darauf gefunden, dass verschlüsselte Passwort-Tresore entwendet wurden.“ überlesen zu haben. Selbst wenn, ohne das Master-Passwort (das nirgends gespeichert wird, sondern höchstens per Brute-Force ermittelt werden kann) und idealerweise den zweiten Faktor kann damit niemand etwas anfangen.

  28. Glimmer Man says:

    @Orbis:

    Danke Dir für den Tipp mit FolderSync. Ich nutze Keepass2Android (Offline) und KeePass schon seit einer Weile. Halte es auch für bedenklich Passwörter online abzulegen, egal ob sie online verschlüsselt sind oder nicht. Auch wenn Kriminelle nicht so leicht an die Daten ran kommen, wenn eine staatliche Behörde an die Daten dran möchte, aus welchen Gründen auch immer, müssen die Dienstleister springen. Sie sind alle samt in den USofA angesiedelt und sind gesetzlich dazu verpflichtet, der Gedanke missfällt mir einfach.
    Aber wie immer ist es eine Glaubensfrage, dem eine gefällt so ein Service und dem anderen eben nicht. Gut das es für beide „Lager“ Lösungen gibt.

    Ich werde mir FolderSync mal anschauen.

  29. Den ganzen „kein Passwort in einem Online-Dienst“ – „ich speichere meine Passwörter in der owncloud“ – etc…. Kommentaren möchte ich mal die Frage mitgeben ob sie wirklich der Meinung sind die eigenen Systeme sind mit der eigenen Kompetenz sicherer als von einem professionellen Anbieter? Haltet Ihr euch und eure Geräte für so makelfrei das ihr denen vertraut? ICH wäre da ja skeptisch. Klar stellt es keinen so zentralen Angriffspunkt dar, aber ich wette das die Passwörter bei euch deutlich unsicherer liegen als bei Lastpass.

  30. Gott sei dank nutze ich und empfehle ich 1Password am besten mit WLAN Synchronisation. iCloud und Dropbox Sync sind aber wegen zusätzlicher Cloud-Verschlüsselung und optionaler 2FA Funktion denke sicherer als LastPass.

    1Password gibt es ebenso in deutscher Sprache für Windows, Android, iOS, OS X, vielleicht bald auch als Windows 10 App sowie funktioniert mit Snap unter BlackBerry 10 tadellos.

    Das schöne ist, 1Password hat generell kein Interesse an deinen Daten und speichert nichts online.

    Aber im Grunde kann man es auch so sehen, einige Dienste wozu die Passwort-Manager ja benutzt werden, ich meine Webdienste wie Online-Shops usw. speichern Passwörter ohne SSL/TLS, ohne serverseitige Verschlüsselung der Passwörter in der Datenbank oder sie nutzen das geringe Verschlüsselungsverfahren MD5 ohne Salt.

    Trotz allem, ist 1Password wohl das „Sicherste“ an Passwort-Managern.

  31. Aber man wird nie 100 % Sicherheit haben können, auch bei 1Password könnte man mit Keyloggern arbeiten und generell gilt, erlangt erstmal jemand das Master-Kennwort, so hat er Zugriff auf „alle“ Benutzernamen, Kennwörter, eventuell Notizen, Kontakte, Server- und Datenbank-, Kreditkarten- und Bankdaten.

    Bei LastPass vertraut man dem Anbieter und den Internet-Technologien die Sicherheit an. Bei 1Passwort wird zunächst pur lokal verschlüsselt gespeichert, aber wer Dropbox oder Apple iCloud Sync nutzt, vertraut eben auch diesen Anbietern, wobei Dropbox und iCloud zusätzlich zur 1Password Verschlüsselung auch nochmals verschlüsselt. 1Password bietet wie vorher schon geschrieben, eine komfortable WLAN Synchronisierung die in der Reichweite begrenzt ist sowie auch nochmals verschlüsselt ist.

    Nur bei LastPass ist es so, wenn es jemand schaffen sollte, es vollständig zu kapern und die Verschlüsselung kacken sollte, hat derjenige eine bombastische Datenbank. Bei 1Password würde das so nicht funktionieren.

    Und zu Vorrednern, warum man diese Passwort-Manager wie in allen anderen Blogs erwähnt/anpreist. Ich kenne viele Nutzer die verwenden ohne Kennwortmanager einfache Kennwörter meist gleich auf allen Diensten. Sichere Kennwörter zu merken wäre zu heftig, wird sicherlich wenige Nutzer geben, die dies bis zu einem gewissen Umfang können. Manche Nutzer speichern sogar Kennwörter im Klartext als Text- oder Word-Dokument auf dem Desktop.

    Ich nutze 1Password ohne iCloud oder Dropbox deswegen, weil es meinen Sicherheitsansprüchen genügt und weil es mir das Verwalten persönlicher und Kundendaten deutlich vereinfacht. Das es im Gegensatz zu anderen deutlich mehr „einmalig“ kostet, liegt ja auch daran, dass dort ein Entwickler-Team hintersteht, welches die Käufer kostenlos mit Updates/Support beliefert, wer da wegen den paar Euro herumgeizt …

  32. Sprüche wie „Mein Safe ist mein Hirn“ sind schon köstlich. Das mag alles funktionieren, wenn man nur wenige Logins hat, bei mehreren Hundert ist das absolut nicht praktikabel. Ich bin selbst schon lange bei Lastpass und 100%ig zufrieden. Bei dem kleinen Anschein schlagen die – zurecht – schon Alarm und es dam man beliebig lange und komplexe Passwörter generieren und speichern kann, erscheint mir das allemal sicherer als andere Lösungen. Dazu Multifaktor-Authentification und IP-Sperre für alle Länder außer DE und man ist m. E. gut aufgestellt.

    Leider ist bislang kein anderer Anbieter in der Lage, den Funktionsumfang und Nutzungskomfort von Lasspass auch nur im Ansatz zu erreichen. Open-Source und verschlüsselter Sync wäre mir auch lieber, aber der Komfortverlust ist mir – derzeit – einfach deutlich zu groß.

  33. Meine handschriftliche Liste kann zum Glück nicht gehackt werden. Selber Schuld wer so einen Dienst nutzt.

  34. Passwörter ändern und gut ist, da braucht man keine Hetze starten! Die verschlüsselung der Passwörter ist schon ausreichend und die Meldung besagt auch „“nur““ das sie im Firmennetz waren, was aber nicht heißt das sie auch Daten bekommen haben 🙂 Außerdem bietet Lastpass auch einen haufen an Möglichkeiten der mehrstufigen Anmeldung, die sollte man vieleicht auch mal aktivieren 😉

  35. DatEncryptionGuy says:

    Ich nutze selbst KeePass, finde die Kritik an LastPass jedoch teilweise (!) nicht nachvollziehbar. Wenn LastPass aufgrund seiner Architektur softwareseitig nur unter einem extrem hohen Aufwand attackiert werden kann, dann erscheint es nur logisch, dass ein sich Angreifer stattdessen auf das „Back-end“ einschießt.

    Jeder KeePass-Nutzer, der jetzt verächtlich über LastPass schimpft, sollte sich bewusst sein, dass sein eigner Rechner vermutlich um ein Vielfaches leichter anzugreifen ist als das Firmennetzwerk von LastPass. Die beste Verschlüsselung taugt nichts, wenn der eigene Computer kompromittiert worden ist.

    Zur Architektur von LastPass empfehle ich jedem Episode 256 des „Security Now!“-Podcast von Steve Gibson. Da beschreibt er, wie LastPapst auf dem Papier funktioniert. Die lokale Verschlüsselung der Datenbank sollte einen Angriff auf die bei LastPass gespeicherten Daten theoretisch ausschließen bzw. sehr unwahrscheinlich machen.

    Mein Problem mit LastPass ist, dass es sich hierbei nicht um eine Open-Source-Lösung handelt. Ein Fehler in meinen Augen. Die Schilderungen von LastPass und Gibson klingen gut, können aber letzendlich aber nicht verifiziert werden. Der Nutzer vertraut LastPass, dass sie die Verschlüsselung so umsetzen, wie sie es bewerben. Kontrollieren kann er (bzw. ein Dritter) nicht.

    Außerdem sollte man sich stets vor Augen halten, was für ein begehrtes Ziel so ein zentraler Password-Speicher ist.

  36. Schon mal einen anderen PW-Manager mit Yubikey verheiratet? Genauso einfach, wie Lastpass?
    https://lastpass.com/yubico/

  37. @Yellowbear
    Du solltest nur nicht deine gesamten Passwörter gesammelt bei einem darauf spezialisierten Anbieter ablegen. Das ist echt einfach dumm.

  38. Ich nutze LastPass auch schon sehr lange, allerdings habe ich dort nur unkritische Seiten wie Foren, Communities, etc. gespeichert. Mein Masterpasswort ist ziemlich mächtig und komplex. Trotzdem bleibt da ein fader Nachgeschmack nach einer solchen Meldung. Man sollte solche Dienste wirklich nicht für wichtige Zugänge verwenden.

  39. Ein Satz um die aktuelle Generation zu beschreiben:

    Dämlichkeit aus Bequemlichkeit.

  40. Wenn man so blöd ist anderen seine Passwörter anzuvertrauen muss man mit so was rechnen..

  41. Es ist nach wie vor deutlich sicherer, LastPass / 1Password mit einem starken Masterpasswort und 2-Faktor-Authentifizierung zu verwenden, als sich für 50+ Dienste wirklich sichere und einmalige Passwörter zu merken.

    Oh, ein Großbuchstabe am Anfang. Und am Ende ein Punkt oder ein Ausrufezeichen? Sogar mal einen Buchstaben durch eine Zahl ersetzt? Und noch den Geburtsnamen von Tante Elfriede hinten dran? Na dann seid ihr auf der sicheren Seite. Nicht.

    Zahlreiche tatsächlich auch kritische Kryptografie-Experten empfehlen selbst nach dem Hack von gestern eindeutig weiter, Passwortmanager zu nutzen, weil diese eben signifikant sicherer sind, als die Alternativen. Zumal die gespeicherten Passwörter im LastPass Vault ja gar nicht betroffen sind.

    Und wer hier ernsthaft der Meinung ist, seine OwnCloud Installation sei sicher: schaut euch mal die Liste der aktuell bekannten und unbehobenen Fehler an. Wer da seine Passwörter speichert und meint, er habe mehr Ahnung als ein ganzes Team von Sicherheitsexperten, der hat hoffentlich keine Freunde und Bekannte, denen er Sicherheitstips gibt.

  42. Wie der Caschy nett beschreibt, besteht doch gar kein Grund zur Panik. Einfach alle wichtigen Passwörter ändern, und diesem Dienst den Rücken kehren. Ach ja, wer ein schlechtes Master-Passwort hat, sollte schnell sein, also doch in Panik verfallen. Ich empfinde es als äußerst fair, dass die Betreiber mit offenen Karten spielen, wenigstens zum großen Teil. Übersetzt heißt es aber nur: Wir sind ein Anbieter für das Ablegen von Passwörtern, und damit sicherheitsrelevant, und sind nicht in der Lage, unsere Server einigermaßen vor Fremdzugriffen zu schützen.

    @neofelis
    Du wirfst da etwas durcheinander. MD5 hat nichts mit Verschlüsselung zu tun. Es handelt sich um einen Hash-Algorithmus. Dieser gilt als unsicher, das ist richtig. Aber mit dessen Hilfe werden Passwörter für gewöhnlich nicht verschlüsselt gespeichert, sondern eben gehasht, hoffentlich mit einem ordentlichen Salt und ein paar Runden.
    Webdienste sollten generell ihre Passwörter nie verschlüsselt abspeichern, mit Ausnahme von Diensten, die die Passwörter irgendwann im Klartext brauchen, also vor allem Passwort-Manager. Und auch SSL/TLS hat nichts mit dem verschlüsselten Abspeichern von Passwörtern zu tun. Es bezieht sich auf den Übertragungsweg. Hier geht man davon aus, dass ein Webdienst, um das Passwort zu vergleichen, dieses überträgt. Damit nun niemand das Passwort abhören kann, sollte die Verbindung verschlüsselt sein. Es geht aber auch ohne, indem man sich nicht via Passwort-Übertragung anmeldet, sondern mit einer Challenge-Response-Authentifizierung.

    @Orbis
    Ich weiß, du fragtest Sören, aber ich gebe meinen Senf auch dazu. Passwörter haben auf fremden Servern nichts verloren. Die Funktion vom Firefox kann man aber auch mit eigenen Servern nutzen, der große Vorteil von Open-Source: Den Server kann man selbst betreiben. Das macht das Verfahren nicht sicherer, die Frage stellt sich, ob der eigene Server sicherer ist, als der von Mozilla, aber einen entscheidenden Vorteil hat der eigenen Server: Er bietet sehr viel geringere Motivation, einzubrechen, denn dort liegen maximal die Passwörter deiner Familie, oder wer auch immer da speichert. Bei Mozilla liegen Millionen.

  43. Kann überall passieren.

    Finde LastPass einen super Dienst. Bin schon lange dabei und dieser „Vorfall“ wird nichts daran ändern.
    Einfach alle Passwörter + Masterpasswort wechseln und gut is.

  44. Zorns Lemma says:

    Wer so etwas nutzt muss doch irre sein. „Online“ Passwort Manager sind vielleicht der Bequemlichkeit zuträglich, aber nicht der Sicherheit. Warum Menschen irgendeiner Firma, Passwörter und Zugangsdaten zur Aufbewahrung anvertrauen, wird mir auf ewig ein Rätsel bleiben. Aber egal, lass Schmerz dein Lehrer sein. Wollen wir mal hoffen das nun viele auf die Nase fallen und daraus lernen.

  45. @ chris
    you made my day

  46. Ich benutze KeePass seit vielen Jahren auf dem Rechner und fühle mich mit meinem Offline-Sync (alle 2-3 Wochen) via iTunes für iPhone & iPad bestätigt. Klar, auch mein Rechner kann gehackt werden, aber dennoch fühle ich mich hiermit ohne Cloud Anbindung einfach sicherer.

  47. Zorns Lemma says:

    @Sören Lindhoff Und wenn kritische Kryptografie-Experten, die von dubiosen (Geheim)diensten bezahlt werden, sagen das du von einer Klippe springen sollt, weil das sicher sei, machst du das bestimmt auch. Die Naivität einiger Menschen ist wirklich niedlich.

  48. Zum Lastpass Thema fragt sich auch welche Server sind betroffen? Es gibt ja auch EU Server 😉

    @saujung
    FireFox Sync funzt doch mit der neuen Version gar nicht mehr auf dem eigenen Server? Das ist doch das alte Ding, geht das im aktuellen FF überhaupt noch?

  49. Sobald ein Dienst eine kritische Masse übersteigt und es sich lohnt angegriffen zu werden wird er angegriffen … eine Regel des Internets 😉 auch 1Password wird angegriffen werden sobald es genügen benutzen.

    Ich bleib bei Lastpass und vertraue darauf dass sie genügen Salzen 😀

  50. IchKackAb says:

    Das hier jetzt so viele rumheulen ist Caschy’s Verdienst, Passwörter gehören nicht in die Cloud, Basta.

  51. Ich habe seit mehr als 10 Jahren Roboform (www.roboform.com). Seit einigen Jahren speichere ich auch in der Cloud.

    Es gab NIE ein Problem.

    Natürlich klicke ich NIEMALS auf Links in angeblichen oder echten Emails von Roboform, das ist schon SEHR dämlich. Die Leute die sowas machen tun mir leid, die haben echt nichts verstanden. Das sollte doch mittlerweile jedem bekannt sein, vor allem hier in einem Techblog.

    Nur damit jeder hier weiss worum es eigentlich geht: Die Passwörter SIND LOKAL VERSCHLÜSSELT mit AES-256.

    Insofern bringt ein Einbruch in die Cloud wie bei Lastpass nur was wenn es ein schwaches Masterpasswort gibt. Das ist dann jeder selbst schuld. Bei Lastpass ist es übrigens nicht das erste Mal das die massive Sicherheitsprobleme haben!

    Diese Passcards kann man dann LOKAL oder auch in die CLOUD speichern (bei ROBOFORM (mit 2-Faktor per Email) oder auch -noch besser- in die DROPBOX / DRIVE etc).

    Letzteres allerdings nur per BOXCRYPTOR, sonst ist es nicht wirklich sicher verschlüsselt! Per Boxcryptor kann ich die DROPBOX oder DRIVE noch mal zusätzlich selbst verschlüsseln (die Passcard-Dateien und auch die Dateinamen!).

    Dann sind die Passcards also doppelt verschlüsselt (per Roboform direkt plus Boxcryptor).

    Ich habe für jeden Dienst bzw für jede Webseite ein eigenes Passwort. Jedes Passwort besteht aus 20-100 Zeichen durch ROBOFORM generiertes totales Chaos (z.B. 651edfvüpl#89zjihbg6ölzu8gzgvlojk). Kein Passwort gibt es 2mal, alle unique und völlig unterschiedliche Längen ab 20 Zeichen.

    Bei den meisten Logins habe ich auch als Benutzername totales Chaos (z.B. jnbf#987r51jhg). Ich benutze wenn irgendmöglich NIE eine emailadresse. Wenn es doch sein muss, nehme ich eine ALIAS Emailadresse die auch nur 1mal vergeben wird und sonst nie genutzt wird. Dadurch kann niemand auf die echten Emailadressen kommen.

    Wer dann irgendeinen Account von mir direkt gehackt hat, kann nicht einfach in einen anderen Account rein – weil die Zugangsdaten völlig andere sind.

    Das Masterpasswort muss natürlich mindestens 16+ Stellen haben und auch Chaos sein und nicht ganze Wörter enthalten.

    Wie gesagt seit Jahren gab es noch nie ein Problem mit dieser Lösung. Kostet im Jahr ein paar Dollar, aber das ist es mir wert.

    Diese Lösung kann ich nur empfehlen.

  52. günxmürfel says:

    Es ist doch alles halb so schlimm. Die Passwortsafes werden auch bei Lastpass lokal auf dem Entgerät verschlüsselt und nur dann abgelegt. Lastpass kennt die Userpasswörter gar nicht, entsprechend können diese auch nicht gestohlen werden. Durch die vielfachech Iterations ist das schon ein sehr sehr sicheres System. Bei dem jetzigen Vorfall wurden Passworthinweise und E-Mail Adressen entwendet. Das ist ärgerlich, weil die Adressen jetzt vermutlich genutzt werden um die User zu phishen. Wer seinen Passworthinweis allzu offensichtlich gewählt hat könnte auch Probleme bekommen. Aber ansonsten ist alles im grünen Bereich. Da ich eh für jeden Dienst eine eigene E-Mail Adresse verwende, werde ich meine Adresse für Lastpass jetzt einfach ändern und gut ist.

  53. Was hier wieder rumgeheult wird, es ist doch noch gar nix passiert. Alles nur wage Vermutungen. Master Passwort ändern und ruhig bleiben… ^^

  54. „Jedes Passwort besteht aus 20-100 Zeichen durch ROBOFORM generiertes totales Chaos“
    „…und nicht ganze Wörter enthalten“

    Das sind die landläufigen Tipps wie man sichere und garantiert nicht merkbare Passwörter generiert…

    Es geht auch anders.

    Hier mal ein Tipp für sichere und merkbare Passwörter für die Leute die nicht auf Dienste und Tools setzen wollen:
    http://blog.webernetz.net/2013/07/30/password-strengthentropy-characters-vs-words/

  55. @Mike: Sehe ich auch so. Aber die ewigen Passwort-in-die-Cloud-Kritiker können diese „einmalige“ Chance auf ein „Hab’s-euch-ja-immer-gesagt“ nun auch wieder nicht einfach so vorüberziehen lassen. 😉

  56. @buesingdetze:

    „Sprüche wie „Mein Safe ist mein Hirn“ sind schon köstlich. Das mag alles funktionieren, wenn man nur wenige Logins hat, bei mehreren Hundert ist das absolut nicht praktikabel.“

    Wenn man sich das Leben selbst schwer macht, dann mag das zutreffend sein, das funktioniert ansonsten aber nicht nur bei wenigen Logins. Siehe mein erster Kommentar zu diesem Thema. Du musst dir nicht mehr als ein System merken, daraus kannst du dann beliebig viele sichere Passwörter ableiten. Das klappt bei mir seit Jahren wunderbar für eine dreistellige Anzahl an Webseiten – alle mit einem jeweils anderen Passwort, nirgends gespeichert, nirgends notiert, alles aus dem Kopf, abgeleitet aus meinem System, was das einzige ist, was ich mir merken muss.

    @Sascha (@SysworX):

    „FireFox Sync funzt doch mit der neuen Version gar nicht mehr auf dem eigenen Server? Das ist doch das alte Ding, geht das im aktuellen FF überhaupt noch?“

    Ich weiß zwar auch nicht, woher dieses Gerücht kommt, welches sich hartnäckig hält, aber doch, Firefox Sync kann nach wie vor auf einem eigenen Server betrieben werden, auch das neue Sync, Mozilla liefert sogar selbst eine Anleitung dafür.

  57. @MoNeo
    KeePass kann man auch recht einfach mit dem YubiKey verwenden. Das ist keine Raketenwissenschaft. 😉

    @Sascha
    Man kann auch den aktuellen Sync-Dienst auf dem eigenen Server betreiben, allerdings ist das weitaus komplexer. Es gibt 2 Teile – 1. Authentifizierungsdienst, 2. Datenspeicher – die man auch einzeln selbst hosten kann. Ich habe vorerst nur den Speicherservice auf meinen Server verlegt, denn das ist vergleichsweise einfach.

    @Sören
    Wie wäre es denn mal mit einem Artikel aus erster Hand, der im Detail erläutert, was alles in welcher Form benötigt wird, um einen eigenen Sync-Server aufzusetzen?

  58. „Wie wäre es denn mal mit einem Artikel aus erster Hand, der im Detail erläutert, was alles in welcher Form benötigt wird, um einen eigenen Sync-Server aufzusetzen?“

    Da Mozilla die Informationen alle liefert, verlinke ich einfach mal: 😉
    docs.services.mozilla.com/howtos/run-sync-1.5.html

  59. Die Anleitungen von Mozilla zu diesem Thema sind ein schlechter Scherz. Hast du dir die mal angesehen und versucht umzusetzen? Da verbringt man Stunden allein damit herauszufinden, welche Komponenten welchem Zweck dienen und dann auch noch die absolut inkonsistente Konfiguration an mindestens 5 verschiedenen Stellen.

    Es sieht für mich so aus, als ob das Ganze mit einer extrem heißen Nadel gestrickt wurde.

  60. Ungelunge says:

    Den Cloudvollpfosten hier ist echt nicht mehr zu helfen.

  61. kingduevel says:

    Ich habe nicht so viele Accounts, als dass sich ein solcher Dienst lohnen würde. Sicher gibt es da Menschen mit 50 oder mehr aktiven Accounts.

    Trotzdem glaube ich, dass man sich mit Hilfe eines Systems auch viele Passwörter merken kann. Beispiel mit Amazon und fiktiven Geburtstag (22.04.)?

    Zu merken: Mein geniales Passwort für Amazon! 2204
    Regel: Anfangsbuchstaben und beim Dienst nur die letzten drei Buchstaben.
    Passwort: MgPfzon!2204

    So gibt es für jeden Dienst ein individuelles, 12stelliges Passwort und ein Computer wird nicht darauf kommen, dass – wenn er das Passwort für Amazon gehackt hat – es bei Steam „MgPfeam!2204“ lautet.

    PS: Und natürlich 2-Faktor-Auth aktivieren, wo geht…

  62. „Die Anleitungen von Mozilla zu diesem Thema sind ein schlechter Scherz. Hast du dir die mal angesehen und versucht umzusetzen? Da verbringt man Stunden allein damit herauszufinden, welche Komponenten welchem Zweck dienen und dann auch noch die absolut inkonsistente Konfiguration an mindestens 5 verschiedenen Stellen.“

    Ich habe es nicht versucht umzusetzen, weil ich für mich persönlich keinen Wert darin sehe. Aber ich lese über die Mailinglisten immer wieder von Leuten, die das hinbekommen, muss also machbar sein. Vor allem kann man bei Problemen auch nachfragen, bislang gab es immer von wenigstens einer Person von Mozilla auf den Mailinglisten eine hilfreiche Antwort, wenn es um die Einrichtung eines eigenen Sync-Servers ging.

  63. OK, die Mailinglisten habe ich noch gar nicht beachtet. Da werde ich mal reinschauen. Danke.

    Mein Frust richtet sich nicht gegen den 1.5er Sync Server, denn der ist tatsächlich leicht einzurichten. Das Problem ist der Firefox Accounts Server. Wenn man vollständig unabhängig sein will, benötigt man auch einen eigenen Accounts Server.

  64. Habe heute schon eine Email von angeblich LastPass bekommen. Mit neuen Angeboten :/

  65. Wie dämlich muss man eigentlich sein, seine Passwörter einem amerikanischen Dienst mit Sitz in Washington D.C. anzuvertrauen, der im Gegenzug mauert und noch nicht mal seinen Quellcode einsehen lässt?

    Ein Passwortmanager muss Open Source sein und darf keinen Internetzugriff haben. Alles andere ist lediglich Scheinsicherheit.

    Ganz abgesehen davon ist z.B. LasPass bereits im Jahr 2011 schon mal gehackt worden. Aber die Leute verdrängen offensichtlich schnell.

  66. Würde gerne mal das hier in den Raum werfen:
    Pwcalc
    https://play.google.com/store/apps/details?id=de.pmorjan.TPSM
    Finde ich grandios obwohl ich überzeugter KeePass Nutzer bin…
    Gut, kann halt ausnahmslos Passwörter und wenn es viele sind verliert man die Übersicht???
    Fällt jemand was dazu ein?
    ‚S gibt auch ein Chrome-Plug-in…

  67. Ist mir sowieso schleierhaft, wie Leute so faul sein können und ihre Passwörter einem Online-Dienst anvertrauen……

  68. @WOK: Wie kommst du bitte darauf, dass das irgendetwas mit Faulheit zu tun hätte? Sicher mag das auf manche zutreffen, aber ganz sicher nicht auf jeden. Es ist nun einmal so, dass Sicherheit und Komfort zwei zueinander sehr entgegengesetzte Ziele sind. Es ist komfortabel, überall das gleiche Passwort zu verwenden, welches nach Möglichkeit so einfach wie „12345“ ist, aber das ist unsicher. Es ist sicher, für jede Webseite ein anderes Passwort zu verwenden, welches zudem jeweils ziemlich kryptisch ist. Die Idee hinter solchen Lösungen ist es, dass man sichere Passwörter verwenden kann, ohne groß an Komfort einbüßen zu müssen. Du musst entweder eine Leistung mit deinem Gehirn vollbringen, sei es dir viele schwierige Passwörter zu merken, oder ein System zu haben, dieses konsequent einzusetzen und im Bedarf halt immer zu überlegen, wie du aus de System nun auf dein Passwort kommst, oder eben ein technisches Hilfsmittel einzusetzen. Das hat in meinen Augen mit Faulheit überhaupt nichts zu tun, für viele wird die Verwendung sicherer Passwörter dadurch eben erst möglich oder zumindest deutlich einfacher durchführbar. Das ist immer noch besser als überall „12345“ als Passwort zu verwenden, weil man DAS garantiert auch ohne Passwortmanager schafft.

  69. Mal eine Einschätzung von Euch – wie ich oben schon schrieb, bin ich bislang zufriedener Premiumuser von Lastpass. Trotzdem ist die Vorstellung, alle Passwörter in einem proprietären System bei einem US-Anbieter zu haben natürlich etwas…seltsam. Ich überlege daher, auf Keepass zu wechseln (wird ja allgemein auch immer empfohlen). Da ich auf meine Daten plattformübergreifend (Android, Windows, Chrome OS) zugreifen mussm sollte das Keepass-File allerdings auch in der Cloud liegen und so überall gesynct zur Verfügung stehen.

    Als Hostziel stelle ich mir Google Drive vor. Multi-Authentification ist längst aktiviert. Um das Ganze halbwegs vernünftig nutzen zu können, sollte die Ablage dort ja unverschlüsselt sein. Das funktioniert zwar (sogar am Chromebook dank CKP), ist aber ja nicht so viel anders als die LP-Lösung. Was empfehlt Ihr, um meine Anforderungen zu erfüllen? Danke!

  70. @buesingdetze
    Meine Empfehlung: KeePass ist gut, aber vergiss GoogleDrive und hoste die Datei lieber selbst. Z.B. auf einem NAS bei dir Zuhause. OwnCloud, Seafile oder auch nur ein Zugriff per WebDAV ist leicht eingerichtet und auch wenn du eine langsame Anbindung hast – für die paar kB wird es auf jeden Fall reichen.

    Sobald du einen externen Dienstleister mit ins Boot holst, kannst du auch gleich bei LastPass bleiben. Der Sicherheitsgewinn von KeePass schmälert sich, wenn du das Keyfile aus der Hand gibst. Du musst dann zusätzlich dem Anbieter vertrauen, was jetzt bei LastPass grundsätzlich nicht anders ist.

  71. Meine Passwörter befinden sich mit GnuPG verschlüsselt in einer .txt-Datei auf Google Drive.
    Meine Passwörter sind zwar nicht bombensicher, je nach Webseite bestimmte Zahlen/Unlaute (-> abwechselnde Passwörte) dürften jedoch ausreichen. Mein PayPal-Passwort z.B. ist jedoch total anders und befindet sich nur offline auf einem Zettel 😉

  72. Und wie würdet Ihr Keepass im Vergleich zu 1password einschätzen?

  73. Für KeePass braucht man keine Cloud zum syncen. Noch nicht mal OwnCloud. Eine einfache Synchronisation der Passwort-DB reicht. Auf Android geht das mit vielen Sync-Tools. Und mit PCs z. B. über SMB/CIFS/Samba oder einfach über Windows-Dateifreigabe.

  74. 1Password ist ein No-Go. Die lassen sich nicht in die Karten (Source) schauen und wollen Internetzugriff in der App. Das sind gegenüber KeePass zwei zusätzliche Risikofaktoren, die sich in dieser Kombination auch noch weiter multiplizieren.

  75. Robert R. says:

    Jetzt muss ich doch mal eine Frage an die ganzen Reichbedenkenträger („War doch klar!“, „Sagt nicht, wir hätten Euch nicht gewarnt!“) stellen – wo seht Ihr genau das Risiko von Lastpass?

    Erbeutet wurden Authentificationshashes. Ein starkes Master-PW und 2-Wege-Authentifizierung vorausgesetzt ist da absolut kein Risiko für die User zu sehen. Selbst Anbieter könnte die Credentials nicht lesen – bei einem richterlichen Beschluss (weil US-Unternehmen) könnte man max. einen verschlüsselten großen Datenblob übergeben, mit dem absolut niemand was anfangen kann.

    Also?? Bin schon sehr gespannt, ob neben Stammtischparolen auch echte Argumente kommen…

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.