LastPass: Achtung! Einbruch beim Passwort-Manager
von caschy | 75 Kommentare
Schlechte Nachrichten kommen derzeit vom Anbieter eines Online-Tresors für Passwörter. Der beliebte Anbieter LastPass erlaubt die Speicherung von Passwörtern online – und diese stehen dem Nutzer auf diversen Plattformen zur Verfügung. Nun die Aussage, dass man am vergangenen Freitag eine ungewöhnliche Aktivität im Firmennetzwerk festgestellt habe. Laut LastPass habe man bei anschließenden Untersuchungen keinen Hinweis darauf gefunden, dass verschlüsselte Passwort-Tresore entwendet wurden.
[color-box color=“red“ rounded=“1″]In our investigation, we have found no evidence that encrypted user vault data was taken, nor that LastPass user accounts were accessed. The investigation has shown, however, that LastPass account email addresses, password reminders, server per user salts, and authentication hashes were compromised.[/color-box]
Aber: man konnte nachvollziehen, dass E-Mail-Adressen von LastPass-Nutzern entwendet wurden – sowie die Passwort-Erinnerungen und Authentication Hashes. Man teilt mit, dass man der Meinung sei, dass die Verschlüsselung sicher genug sei, um einen Großteil (schwammige Aussage ist schwammig!) der Nutzer zu schützen:
[color-box color=“red“ rounded=“1″]We are confident that our encryption measures are sufficient to protect the vast majority of users. LastPass strengthens the authentication hash with a random salt and 100,000 rounds of server-side PBKDF2-SHA256, in addition to the rounds performed client-side. This additional strengthening makes it difficult to attack the stolen hashes with any significant speed.[/color-box]
Dennoch fordert man alle Nutzer zum Passwort-Wechsel auf. Alle Nutzer, die nun erstmalig von einer neuen IP oder einem neuen Gerät auf den Service zugreifen, müssen ihre Identität via E-Mail bestätigen – außer man hat die Zwei-Faktor-Authentifizierung aktiviert.
Ebenfalls werden Nutzer aufgefordert, die Master-Passwörter zu ändern. Sofern man ein schwaches Master-Password hat – oder dieses gar auch zum Login auf anderen Seiten nutzt, so soll man dies auch ändern. Auch solle man Passwort bei den Seiten ändern, bei denen man das Master-Passwort verwendet. Da die Passwort-Tresore stark verschlüsselt sind, braucht man laut Aussage von LastPass aber nicht alle Passwörter ändern.
Schöner Mist, nicht wahr? Achtet also auf jeden Fall darauf, dass ihr JEDER E-Mail kritisch gegenübersteht, die angeblich von LastPass kommt. Ich kann mir gut vorstellen, dass die Angreifer nun via E-Mail versuchen, zusätzliche Daten abzugreifen.
Wird geladen ...
@Orbis: Zitat: „Ich benutze auf meinen mobilen Geräten die App „Keepass2Android Offline“, die hat keinen Internetzugriff. Die Synchronisierung des Passwortsafes mache ich mit Tools von anderen Anbietern.“
Kannst du vielleicht beschreiben wie du genau bei der Synchronisation vorgehst? Ich „synchronisiere“ per Hand wenn ich zu Hause bin.
Es ist einfach dämlich, Apps wie LastPass oder 1Password zu benutzen. Gerade die Leser von Caschys Blog sollten das eigentlich besser wissen. Insofern verstehe ich auch nicht, dass diese Apps hier im Blog so propagiert wurden. Und jetzt kommt bitte nicht mit „Bequemlichkeit“. Genau das ist ja das Problem.
Mutti hätte es so ausgedrückt:
„Passwortmanager mit Internetzugriff? Das geht gar nicht.“
@Orbis: Ich denke, wer A sagt, sollte auch B sagen. Mozillas Verschlüsselung dürfte ziemlich sicher sein, aber das kann man über LastPass vermutlich auch sagen. Bei LastPass wurde auf den Servern eingebrochen, grundsätzlich wäre das auch bei den Sync-Servern von Mozilla möglich, ich meine, man kann sowas nicht für immer ausschließen, nur weil es bislang nicht passiert ist. In beiden Fällen bedeutet das erst einmal „nur“ Zugriff auf verschlüsselte Daten. Also das sind denke ich sehr ähnliche Szenarien. Es ist halt eine Einstellungsfrage zu dem Thema. Entweder man vertraut seine Passwörter der Cloud an oder nicht. Wenn, dann hat man immer das Risiko. Ich arbeite mit zu sensiblen Daten, auch von Kunden, da ist die Cloud definitiv keine Option. Passwörter und Chronik synchronisiere ich im Browser schon. Könnten diese geklaut und die Daten entschlüsselt werden, ich würde es überleben. Meine Lesezeichen würde ich sogar freiwillig teilen. Aber Passwörter sind was anderes. 😉
Wichtige Selbstkorrektur: „Passwörter und Chronik synchronisiere ich im Browser schon.“ – Passwörter sollte Lesezeichen heißen!
@Glimmer Man:
Keepass2Android bzw. KeePass am PC speichert seinen verschlüsselten Passwortsafe in einer Datei mit der Endung .kdbx
Diese Datei synchronisiere ich auf meinen mobilen Geräten mit der App FolderSync.
Ich bin schon lange bei 1password. Die sind schon seit Jahren dafür bekannt, dass die Verschlüsselung der Daten besser ist als bei der Konkurrenz.
@HerrTaschenbier
Also bei gar keiner Website mehr registrieren? Klingt logisch…
Und sonst liest man hier nur Schadenfreude und Halbwissen.
Scheinen wohl viele den Satz „Laut LastPass habe man bei anschließenden Untersuchungen keinen Hinweis darauf gefunden, dass verschlüsselte Passwort-Tresore entwendet wurden.“ überlesen zu haben. Selbst wenn, ohne das Master-Passwort (das nirgends gespeichert wird, sondern höchstens per Brute-Force ermittelt werden kann) und idealerweise den zweiten Faktor kann damit niemand etwas anfangen.
@Orbis:
Danke Dir für den Tipp mit FolderSync. Ich nutze Keepass2Android (Offline) und KeePass schon seit einer Weile. Halte es auch für bedenklich Passwörter online abzulegen, egal ob sie online verschlüsselt sind oder nicht. Auch wenn Kriminelle nicht so leicht an die Daten ran kommen, wenn eine staatliche Behörde an die Daten dran möchte, aus welchen Gründen auch immer, müssen die Dienstleister springen. Sie sind alle samt in den USofA angesiedelt und sind gesetzlich dazu verpflichtet, der Gedanke missfällt mir einfach.
Aber wie immer ist es eine Glaubensfrage, dem eine gefällt so ein Service und dem anderen eben nicht. Gut das es für beide „Lager“ Lösungen gibt.
Ich werde mir FolderSync mal anschauen.
Den ganzen „kein Passwort in einem Online-Dienst“ – „ich speichere meine Passwörter in der owncloud“ – etc…. Kommentaren möchte ich mal die Frage mitgeben ob sie wirklich der Meinung sind die eigenen Systeme sind mit der eigenen Kompetenz sicherer als von einem professionellen Anbieter? Haltet Ihr euch und eure Geräte für so makelfrei das ihr denen vertraut? ICH wäre da ja skeptisch. Klar stellt es keinen so zentralen Angriffspunkt dar, aber ich wette das die Passwörter bei euch deutlich unsicherer liegen als bei Lastpass.
Gott sei dank nutze ich und empfehle ich 1Password am besten mit WLAN Synchronisation. iCloud und Dropbox Sync sind aber wegen zusätzlicher Cloud-Verschlüsselung und optionaler 2FA Funktion denke sicherer als LastPass.
1Password gibt es ebenso in deutscher Sprache für Windows, Android, iOS, OS X, vielleicht bald auch als Windows 10 App sowie funktioniert mit Snap unter BlackBerry 10 tadellos.
Das schöne ist, 1Password hat generell kein Interesse an deinen Daten und speichert nichts online.
Aber im Grunde kann man es auch so sehen, einige Dienste wozu die Passwort-Manager ja benutzt werden, ich meine Webdienste wie Online-Shops usw. speichern Passwörter ohne SSL/TLS, ohne serverseitige Verschlüsselung der Passwörter in der Datenbank oder sie nutzen das geringe Verschlüsselungsverfahren MD5 ohne Salt.
Trotz allem, ist 1Password wohl das „Sicherste“ an Passwort-Managern.
Aber man wird nie 100 % Sicherheit haben können, auch bei 1Password könnte man mit Keyloggern arbeiten und generell gilt, erlangt erstmal jemand das Master-Kennwort, so hat er Zugriff auf „alle“ Benutzernamen, Kennwörter, eventuell Notizen, Kontakte, Server- und Datenbank-, Kreditkarten- und Bankdaten.
Bei LastPass vertraut man dem Anbieter und den Internet-Technologien die Sicherheit an. Bei 1Passwort wird zunächst pur lokal verschlüsselt gespeichert, aber wer Dropbox oder Apple iCloud Sync nutzt, vertraut eben auch diesen Anbietern, wobei Dropbox und iCloud zusätzlich zur 1Password Verschlüsselung auch nochmals verschlüsselt. 1Password bietet wie vorher schon geschrieben, eine komfortable WLAN Synchronisierung die in der Reichweite begrenzt ist sowie auch nochmals verschlüsselt ist.
Nur bei LastPass ist es so, wenn es jemand schaffen sollte, es vollständig zu kapern und die Verschlüsselung kacken sollte, hat derjenige eine bombastische Datenbank. Bei 1Password würde das so nicht funktionieren.
Und zu Vorrednern, warum man diese Passwort-Manager wie in allen anderen Blogs erwähnt/anpreist. Ich kenne viele Nutzer die verwenden ohne Kennwortmanager einfache Kennwörter meist gleich auf allen Diensten. Sichere Kennwörter zu merken wäre zu heftig, wird sicherlich wenige Nutzer geben, die dies bis zu einem gewissen Umfang können. Manche Nutzer speichern sogar Kennwörter im Klartext als Text- oder Word-Dokument auf dem Desktop.
Ich nutze 1Password ohne iCloud oder Dropbox deswegen, weil es meinen Sicherheitsansprüchen genügt und weil es mir das Verwalten persönlicher und Kundendaten deutlich vereinfacht. Das es im Gegensatz zu anderen deutlich mehr „einmalig“ kostet, liegt ja auch daran, dass dort ein Entwickler-Team hintersteht, welches die Käufer kostenlos mit Updates/Support beliefert, wer da wegen den paar Euro herumgeizt …
Sprüche wie „Mein Safe ist mein Hirn“ sind schon köstlich. Das mag alles funktionieren, wenn man nur wenige Logins hat, bei mehreren Hundert ist das absolut nicht praktikabel. Ich bin selbst schon lange bei Lastpass und 100%ig zufrieden. Bei dem kleinen Anschein schlagen die – zurecht – schon Alarm und es dam man beliebig lange und komplexe Passwörter generieren und speichern kann, erscheint mir das allemal sicherer als andere Lösungen. Dazu Multifaktor-Authentification und IP-Sperre für alle Länder außer DE und man ist m. E. gut aufgestellt.
Leider ist bislang kein anderer Anbieter in der Lage, den Funktionsumfang und Nutzungskomfort von Lasspass auch nur im Ansatz zu erreichen. Open-Source und verschlüsselter Sync wäre mir auch lieber, aber der Komfortverlust ist mir – derzeit – einfach deutlich zu groß.
Meine handschriftliche Liste kann zum Glück nicht gehackt werden. Selber Schuld wer so einen Dienst nutzt.
Passwörter ändern und gut ist, da braucht man keine Hetze starten! Die verschlüsselung der Passwörter ist schon ausreichend und die Meldung besagt auch „“nur““ das sie im Firmennetz waren, was aber nicht heißt das sie auch Daten bekommen haben 🙂 Außerdem bietet Lastpass auch einen haufen an Möglichkeiten der mehrstufigen Anmeldung, die sollte man vieleicht auch mal aktivieren 😉
Ich nutze selbst KeePass, finde die Kritik an LastPass jedoch teilweise (!) nicht nachvollziehbar. Wenn LastPass aufgrund seiner Architektur softwareseitig nur unter einem extrem hohen Aufwand attackiert werden kann, dann erscheint es nur logisch, dass ein sich Angreifer stattdessen auf das „Back-end“ einschießt.
Jeder KeePass-Nutzer, der jetzt verächtlich über LastPass schimpft, sollte sich bewusst sein, dass sein eigner Rechner vermutlich um ein Vielfaches leichter anzugreifen ist als das Firmennetzwerk von LastPass. Die beste Verschlüsselung taugt nichts, wenn der eigene Computer kompromittiert worden ist.
Zur Architektur von LastPass empfehle ich jedem Episode 256 des „Security Now!“-Podcast von Steve Gibson. Da beschreibt er, wie LastPapst auf dem Papier funktioniert. Die lokale Verschlüsselung der Datenbank sollte einen Angriff auf die bei LastPass gespeicherten Daten theoretisch ausschließen bzw. sehr unwahrscheinlich machen.
Mein Problem mit LastPass ist, dass es sich hierbei nicht um eine Open-Source-Lösung handelt. Ein Fehler in meinen Augen. Die Schilderungen von LastPass und Gibson klingen gut, können aber letzendlich aber nicht verifiziert werden. Der Nutzer vertraut LastPass, dass sie die Verschlüsselung so umsetzen, wie sie es bewerben. Kontrollieren kann er (bzw. ein Dritter) nicht.
Außerdem sollte man sich stets vor Augen halten, was für ein begehrtes Ziel so ein zentraler Password-Speicher ist.
Schon mal einen anderen PW-Manager mit Yubikey verheiratet? Genauso einfach, wie Lastpass?
https://lastpass.com/yubico/
@Yellowbear
Du solltest nur nicht deine gesamten Passwörter gesammelt bei einem darauf spezialisierten Anbieter ablegen. Das ist echt einfach dumm.
Ich nutze LastPass auch schon sehr lange, allerdings habe ich dort nur unkritische Seiten wie Foren, Communities, etc. gespeichert. Mein Masterpasswort ist ziemlich mächtig und komplex. Trotzdem bleibt da ein fader Nachgeschmack nach einer solchen Meldung. Man sollte solche Dienste wirklich nicht für wichtige Zugänge verwenden.
Ein Satz um die aktuelle Generation zu beschreiben:
Dämlichkeit aus Bequemlichkeit.
Wenn man so blöd ist anderen seine Passwörter anzuvertrauen muss man mit so was rechnen..