LastPass: Achtung! Einbruch beim Passwort-Manager
von caschy | 75 Kommentare
Schlechte Nachrichten kommen derzeit vom Anbieter eines Online-Tresors für Passwörter. Der beliebte Anbieter LastPass erlaubt die Speicherung von Passwörtern online – und diese stehen dem Nutzer auf diversen Plattformen zur Verfügung. Nun die Aussage, dass man am vergangenen Freitag eine ungewöhnliche Aktivität im Firmennetzwerk festgestellt habe. Laut LastPass habe man bei anschließenden Untersuchungen keinen Hinweis darauf gefunden, dass verschlüsselte Passwort-Tresore entwendet wurden.
[color-box color=“red“ rounded=“1″]In our investigation, we have found no evidence that encrypted user vault data was taken, nor that LastPass user accounts were accessed. The investigation has shown, however, that LastPass account email addresses, password reminders, server per user salts, and authentication hashes were compromised.[/color-box]
Aber: man konnte nachvollziehen, dass E-Mail-Adressen von LastPass-Nutzern entwendet wurden – sowie die Passwort-Erinnerungen und Authentication Hashes. Man teilt mit, dass man der Meinung sei, dass die Verschlüsselung sicher genug sei, um einen Großteil (schwammige Aussage ist schwammig!) der Nutzer zu schützen:
[color-box color=“red“ rounded=“1″]We are confident that our encryption measures are sufficient to protect the vast majority of users. LastPass strengthens the authentication hash with a random salt and 100,000 rounds of server-side PBKDF2-SHA256, in addition to the rounds performed client-side. This additional strengthening makes it difficult to attack the stolen hashes with any significant speed.[/color-box]
Dennoch fordert man alle Nutzer zum Passwort-Wechsel auf. Alle Nutzer, die nun erstmalig von einer neuen IP oder einem neuen Gerät auf den Service zugreifen, müssen ihre Identität via E-Mail bestätigen – außer man hat die Zwei-Faktor-Authentifizierung aktiviert.
Ebenfalls werden Nutzer aufgefordert, die Master-Passwörter zu ändern. Sofern man ein schwaches Master-Password hat – oder dieses gar auch zum Login auf anderen Seiten nutzt, so soll man dies auch ändern. Auch solle man Passwort bei den Seiten ändern, bei denen man das Master-Passwort verwendet. Da die Passwort-Tresore stark verschlüsselt sind, braucht man laut Aussage von LastPass aber nicht alle Passwörter ändern.
Schöner Mist, nicht wahr? Achtet also auf jeden Fall darauf, dass ihr JEDER E-Mail kritisch gegenübersteht, die angeblich von LastPass kommt. Ich kann mir gut vorstellen, dass die Angreifer nun via E-Mail versuchen, zusätzliche Daten abzugreifen.
Wird geladen ...
Es ist nach wie vor deutlich sicherer, LastPass / 1Password mit einem starken Masterpasswort und 2-Faktor-Authentifizierung zu verwenden, als sich für 50+ Dienste wirklich sichere und einmalige Passwörter zu merken.
Oh, ein Großbuchstabe am Anfang. Und am Ende ein Punkt oder ein Ausrufezeichen? Sogar mal einen Buchstaben durch eine Zahl ersetzt? Und noch den Geburtsnamen von Tante Elfriede hinten dran? Na dann seid ihr auf der sicheren Seite. Nicht.
Zahlreiche tatsächlich auch kritische Kryptografie-Experten empfehlen selbst nach dem Hack von gestern eindeutig weiter, Passwortmanager zu nutzen, weil diese eben signifikant sicherer sind, als die Alternativen. Zumal die gespeicherten Passwörter im LastPass Vault ja gar nicht betroffen sind.
Und wer hier ernsthaft der Meinung ist, seine OwnCloud Installation sei sicher: schaut euch mal die Liste der aktuell bekannten und unbehobenen Fehler an. Wer da seine Passwörter speichert und meint, er habe mehr Ahnung als ein ganzes Team von Sicherheitsexperten, der hat hoffentlich keine Freunde und Bekannte, denen er Sicherheitstips gibt.
Wie der Caschy nett beschreibt, besteht doch gar kein Grund zur Panik. Einfach alle wichtigen Passwörter ändern, und diesem Dienst den Rücken kehren. Ach ja, wer ein schlechtes Master-Passwort hat, sollte schnell sein, also doch in Panik verfallen. Ich empfinde es als äußerst fair, dass die Betreiber mit offenen Karten spielen, wenigstens zum großen Teil. Übersetzt heißt es aber nur: Wir sind ein Anbieter für das Ablegen von Passwörtern, und damit sicherheitsrelevant, und sind nicht in der Lage, unsere Server einigermaßen vor Fremdzugriffen zu schützen.
@neofelis
Du wirfst da etwas durcheinander. MD5 hat nichts mit Verschlüsselung zu tun. Es handelt sich um einen Hash-Algorithmus. Dieser gilt als unsicher, das ist richtig. Aber mit dessen Hilfe werden Passwörter für gewöhnlich nicht verschlüsselt gespeichert, sondern eben gehasht, hoffentlich mit einem ordentlichen Salt und ein paar Runden.
Webdienste sollten generell ihre Passwörter nie verschlüsselt abspeichern, mit Ausnahme von Diensten, die die Passwörter irgendwann im Klartext brauchen, also vor allem Passwort-Manager. Und auch SSL/TLS hat nichts mit dem verschlüsselten Abspeichern von Passwörtern zu tun. Es bezieht sich auf den Übertragungsweg. Hier geht man davon aus, dass ein Webdienst, um das Passwort zu vergleichen, dieses überträgt. Damit nun niemand das Passwort abhören kann, sollte die Verbindung verschlüsselt sein. Es geht aber auch ohne, indem man sich nicht via Passwort-Übertragung anmeldet, sondern mit einer Challenge-Response-Authentifizierung.
@Orbis
Ich weiß, du fragtest Sören, aber ich gebe meinen Senf auch dazu. Passwörter haben auf fremden Servern nichts verloren. Die Funktion vom Firefox kann man aber auch mit eigenen Servern nutzen, der große Vorteil von Open-Source: Den Server kann man selbst betreiben. Das macht das Verfahren nicht sicherer, die Frage stellt sich, ob der eigene Server sicherer ist, als der von Mozilla, aber einen entscheidenden Vorteil hat der eigenen Server: Er bietet sehr viel geringere Motivation, einzubrechen, denn dort liegen maximal die Passwörter deiner Familie, oder wer auch immer da speichert. Bei Mozilla liegen Millionen.
Kann überall passieren.
Finde LastPass einen super Dienst. Bin schon lange dabei und dieser „Vorfall“ wird nichts daran ändern.
Einfach alle Passwörter + Masterpasswort wechseln und gut is.
Wer so etwas nutzt muss doch irre sein. „Online“ Passwort Manager sind vielleicht der Bequemlichkeit zuträglich, aber nicht der Sicherheit. Warum Menschen irgendeiner Firma, Passwörter und Zugangsdaten zur Aufbewahrung anvertrauen, wird mir auf ewig ein Rätsel bleiben. Aber egal, lass Schmerz dein Lehrer sein. Wollen wir mal hoffen das nun viele auf die Nase fallen und daraus lernen.
@ chris
you made my day
Ich benutze KeePass seit vielen Jahren auf dem Rechner und fühle mich mit meinem Offline-Sync (alle 2-3 Wochen) via iTunes für iPhone & iPad bestätigt. Klar, auch mein Rechner kann gehackt werden, aber dennoch fühle ich mich hiermit ohne Cloud Anbindung einfach sicherer.
@Sören Lindhoff Und wenn kritische Kryptografie-Experten, die von dubiosen (Geheim)diensten bezahlt werden, sagen das du von einer Klippe springen sollt, weil das sicher sei, machst du das bestimmt auch. Die Naivität einiger Menschen ist wirklich niedlich.
Zum Lastpass Thema fragt sich auch welche Server sind betroffen? Es gibt ja auch EU Server 😉
@saujung
FireFox Sync funzt doch mit der neuen Version gar nicht mehr auf dem eigenen Server? Das ist doch das alte Ding, geht das im aktuellen FF überhaupt noch?
Sobald ein Dienst eine kritische Masse übersteigt und es sich lohnt angegriffen zu werden wird er angegriffen … eine Regel des Internets 😉 auch 1Password wird angegriffen werden sobald es genügen benutzen.
Ich bleib bei Lastpass und vertraue darauf dass sie genügen Salzen 😀
Das hier jetzt so viele rumheulen ist Caschy’s Verdienst, Passwörter gehören nicht in die Cloud, Basta.
Ich habe seit mehr als 10 Jahren Roboform (www.roboform.com). Seit einigen Jahren speichere ich auch in der Cloud.
Es gab NIE ein Problem.
Natürlich klicke ich NIEMALS auf Links in angeblichen oder echten Emails von Roboform, das ist schon SEHR dämlich. Die Leute die sowas machen tun mir leid, die haben echt nichts verstanden. Das sollte doch mittlerweile jedem bekannt sein, vor allem hier in einem Techblog.
Nur damit jeder hier weiss worum es eigentlich geht: Die Passwörter SIND LOKAL VERSCHLÜSSELT mit AES-256.
Insofern bringt ein Einbruch in die Cloud wie bei Lastpass nur was wenn es ein schwaches Masterpasswort gibt. Das ist dann jeder selbst schuld. Bei Lastpass ist es übrigens nicht das erste Mal das die massive Sicherheitsprobleme haben!
Diese Passcards kann man dann LOKAL oder auch in die CLOUD speichern (bei ROBOFORM (mit 2-Faktor per Email) oder auch -noch besser- in die DROPBOX / DRIVE etc).
Letzteres allerdings nur per BOXCRYPTOR, sonst ist es nicht wirklich sicher verschlüsselt! Per Boxcryptor kann ich die DROPBOX oder DRIVE noch mal zusätzlich selbst verschlüsseln (die Passcard-Dateien und auch die Dateinamen!).
Dann sind die Passcards also doppelt verschlüsselt (per Roboform direkt plus Boxcryptor).
Ich habe für jeden Dienst bzw für jede Webseite ein eigenes Passwort. Jedes Passwort besteht aus 20-100 Zeichen durch ROBOFORM generiertes totales Chaos (z.B. 651edfvüpl#89zjihbg6ölzu8gzgvlojk). Kein Passwort gibt es 2mal, alle unique und völlig unterschiedliche Längen ab 20 Zeichen.
Bei den meisten Logins habe ich auch als Benutzername totales Chaos (z.B. jnbf#987r51jhg). Ich benutze wenn irgendmöglich NIE eine emailadresse. Wenn es doch sein muss, nehme ich eine ALIAS Emailadresse die auch nur 1mal vergeben wird und sonst nie genutzt wird. Dadurch kann niemand auf die echten Emailadressen kommen.
Wer dann irgendeinen Account von mir direkt gehackt hat, kann nicht einfach in einen anderen Account rein – weil die Zugangsdaten völlig andere sind.
Das Masterpasswort muss natürlich mindestens 16+ Stellen haben und auch Chaos sein und nicht ganze Wörter enthalten.
Wie gesagt seit Jahren gab es noch nie ein Problem mit dieser Lösung. Kostet im Jahr ein paar Dollar, aber das ist es mir wert.
Diese Lösung kann ich nur empfehlen.
Es ist doch alles halb so schlimm. Die Passwortsafes werden auch bei Lastpass lokal auf dem Entgerät verschlüsselt und nur dann abgelegt. Lastpass kennt die Userpasswörter gar nicht, entsprechend können diese auch nicht gestohlen werden. Durch die vielfachech Iterations ist das schon ein sehr sehr sicheres System. Bei dem jetzigen Vorfall wurden Passworthinweise und E-Mail Adressen entwendet. Das ist ärgerlich, weil die Adressen jetzt vermutlich genutzt werden um die User zu phishen. Wer seinen Passworthinweis allzu offensichtlich gewählt hat könnte auch Probleme bekommen. Aber ansonsten ist alles im grünen Bereich. Da ich eh für jeden Dienst eine eigene E-Mail Adresse verwende, werde ich meine Adresse für Lastpass jetzt einfach ändern und gut ist.
Was hier wieder rumgeheult wird, es ist doch noch gar nix passiert. Alles nur wage Vermutungen. Master Passwort ändern und ruhig bleiben… ^^
„Jedes Passwort besteht aus 20-100 Zeichen durch ROBOFORM generiertes totales Chaos“
„…und nicht ganze Wörter enthalten“
Das sind die landläufigen Tipps wie man sichere und garantiert nicht merkbare Passwörter generiert…
Es geht auch anders.
Hier mal ein Tipp für sichere und merkbare Passwörter für die Leute die nicht auf Dienste und Tools setzen wollen:
http://blog.webernetz.net/2013/07/30/password-strengthentropy-characters-vs-words/
@Mike: Sehe ich auch so. Aber die ewigen Passwort-in-die-Cloud-Kritiker können diese „einmalige“ Chance auf ein „Hab’s-euch-ja-immer-gesagt“ nun auch wieder nicht einfach so vorüberziehen lassen. 😉
@buesingdetze:
„Sprüche wie „Mein Safe ist mein Hirn“ sind schon köstlich. Das mag alles funktionieren, wenn man nur wenige Logins hat, bei mehreren Hundert ist das absolut nicht praktikabel.“
Wenn man sich das Leben selbst schwer macht, dann mag das zutreffend sein, das funktioniert ansonsten aber nicht nur bei wenigen Logins. Siehe mein erster Kommentar zu diesem Thema. Du musst dir nicht mehr als ein System merken, daraus kannst du dann beliebig viele sichere Passwörter ableiten. Das klappt bei mir seit Jahren wunderbar für eine dreistellige Anzahl an Webseiten – alle mit einem jeweils anderen Passwort, nirgends gespeichert, nirgends notiert, alles aus dem Kopf, abgeleitet aus meinem System, was das einzige ist, was ich mir merken muss.
@Sascha (@SysworX):
„FireFox Sync funzt doch mit der neuen Version gar nicht mehr auf dem eigenen Server? Das ist doch das alte Ding, geht das im aktuellen FF überhaupt noch?“
Ich weiß zwar auch nicht, woher dieses Gerücht kommt, welches sich hartnäckig hält, aber doch, Firefox Sync kann nach wie vor auf einem eigenen Server betrieben werden, auch das neue Sync, Mozilla liefert sogar selbst eine Anleitung dafür.
@MoNeo
KeePass kann man auch recht einfach mit dem YubiKey verwenden. Das ist keine Raketenwissenschaft. 😉
@Sascha
Man kann auch den aktuellen Sync-Dienst auf dem eigenen Server betreiben, allerdings ist das weitaus komplexer. Es gibt 2 Teile – 1. Authentifizierungsdienst, 2. Datenspeicher – die man auch einzeln selbst hosten kann. Ich habe vorerst nur den Speicherservice auf meinen Server verlegt, denn das ist vergleichsweise einfach.
@Sören
Wie wäre es denn mal mit einem Artikel aus erster Hand, der im Detail erläutert, was alles in welcher Form benötigt wird, um einen eigenen Sync-Server aufzusetzen?
„Wie wäre es denn mal mit einem Artikel aus erster Hand, der im Detail erläutert, was alles in welcher Form benötigt wird, um einen eigenen Sync-Server aufzusetzen?“
Da Mozilla die Informationen alle liefert, verlinke ich einfach mal: 😉
docs.services.mozilla.com/howtos/run-sync-1.5.html
Die Anleitungen von Mozilla zu diesem Thema sind ein schlechter Scherz. Hast du dir die mal angesehen und versucht umzusetzen? Da verbringt man Stunden allein damit herauszufinden, welche Komponenten welchem Zweck dienen und dann auch noch die absolut inkonsistente Konfiguration an mindestens 5 verschiedenen Stellen.
Es sieht für mich so aus, als ob das Ganze mit einer extrem heißen Nadel gestrickt wurde.
Den Cloudvollpfosten hier ist echt nicht mehr zu helfen.