LastPass: Achtung! Einbruch beim Passwort-Manager
von caschy | 75 Kommentare
Schlechte Nachrichten kommen derzeit vom Anbieter eines Online-Tresors für Passwörter. Der beliebte Anbieter LastPass erlaubt die Speicherung von Passwörtern online – und diese stehen dem Nutzer auf diversen Plattformen zur Verfügung. Nun die Aussage, dass man am vergangenen Freitag eine ungewöhnliche Aktivität im Firmennetzwerk festgestellt habe. Laut LastPass habe man bei anschließenden Untersuchungen keinen Hinweis darauf gefunden, dass verschlüsselte Passwort-Tresore entwendet wurden.
[color-box color=“red“ rounded=“1″]In our investigation, we have found no evidence that encrypted user vault data was taken, nor that LastPass user accounts were accessed. The investigation has shown, however, that LastPass account email addresses, password reminders, server per user salts, and authentication hashes were compromised.[/color-box]
Aber: man konnte nachvollziehen, dass E-Mail-Adressen von LastPass-Nutzern entwendet wurden – sowie die Passwort-Erinnerungen und Authentication Hashes. Man teilt mit, dass man der Meinung sei, dass die Verschlüsselung sicher genug sei, um einen Großteil (schwammige Aussage ist schwammig!) der Nutzer zu schützen:
[color-box color=“red“ rounded=“1″]We are confident that our encryption measures are sufficient to protect the vast majority of users. LastPass strengthens the authentication hash with a random salt and 100,000 rounds of server-side PBKDF2-SHA256, in addition to the rounds performed client-side. This additional strengthening makes it difficult to attack the stolen hashes with any significant speed.[/color-box]
Dennoch fordert man alle Nutzer zum Passwort-Wechsel auf. Alle Nutzer, die nun erstmalig von einer neuen IP oder einem neuen Gerät auf den Service zugreifen, müssen ihre Identität via E-Mail bestätigen – außer man hat die Zwei-Faktor-Authentifizierung aktiviert.
Ebenfalls werden Nutzer aufgefordert, die Master-Passwörter zu ändern. Sofern man ein schwaches Master-Password hat – oder dieses gar auch zum Login auf anderen Seiten nutzt, so soll man dies auch ändern. Auch solle man Passwort bei den Seiten ändern, bei denen man das Master-Passwort verwendet. Da die Passwort-Tresore stark verschlüsselt sind, braucht man laut Aussage von LastPass aber nicht alle Passwörter ändern.
Schöner Mist, nicht wahr? Achtet also auf jeden Fall darauf, dass ihr JEDER E-Mail kritisch gegenübersteht, die angeblich von LastPass kommt. Ich kann mir gut vorstellen, dass die Angreifer nun via E-Mail versuchen, zusätzliche Daten abzugreifen.
Wird geladen ...
Ich habe nicht so viele Accounts, als dass sich ein solcher Dienst lohnen würde. Sicher gibt es da Menschen mit 50 oder mehr aktiven Accounts.
Trotzdem glaube ich, dass man sich mit Hilfe eines Systems auch viele Passwörter merken kann. Beispiel mit Amazon und fiktiven Geburtstag (22.04.)?
Zu merken: Mein geniales Passwort für Amazon! 2204
Regel: Anfangsbuchstaben und beim Dienst nur die letzten drei Buchstaben.
Passwort: MgPfzon!2204
So gibt es für jeden Dienst ein individuelles, 12stelliges Passwort und ein Computer wird nicht darauf kommen, dass – wenn er das Passwort für Amazon gehackt hat – es bei Steam „MgPfeam!2204“ lautet.
PS: Und natürlich 2-Faktor-Auth aktivieren, wo geht…
„Die Anleitungen von Mozilla zu diesem Thema sind ein schlechter Scherz. Hast du dir die mal angesehen und versucht umzusetzen? Da verbringt man Stunden allein damit herauszufinden, welche Komponenten welchem Zweck dienen und dann auch noch die absolut inkonsistente Konfiguration an mindestens 5 verschiedenen Stellen.“
Ich habe es nicht versucht umzusetzen, weil ich für mich persönlich keinen Wert darin sehe. Aber ich lese über die Mailinglisten immer wieder von Leuten, die das hinbekommen, muss also machbar sein. Vor allem kann man bei Problemen auch nachfragen, bislang gab es immer von wenigstens einer Person von Mozilla auf den Mailinglisten eine hilfreiche Antwort, wenn es um die Einrichtung eines eigenen Sync-Servers ging.
OK, die Mailinglisten habe ich noch gar nicht beachtet. Da werde ich mal reinschauen. Danke.
Mein Frust richtet sich nicht gegen den 1.5er Sync Server, denn der ist tatsächlich leicht einzurichten. Das Problem ist der Firefox Accounts Server. Wenn man vollständig unabhängig sein will, benötigt man auch einen eigenen Accounts Server.
Habe heute schon eine Email von angeblich LastPass bekommen. Mit neuen Angeboten :/
Wie dämlich muss man eigentlich sein, seine Passwörter einem amerikanischen Dienst mit Sitz in Washington D.C. anzuvertrauen, der im Gegenzug mauert und noch nicht mal seinen Quellcode einsehen lässt?
Ein Passwortmanager muss Open Source sein und darf keinen Internetzugriff haben. Alles andere ist lediglich Scheinsicherheit.
Ganz abgesehen davon ist z.B. LasPass bereits im Jahr 2011 schon mal gehackt worden. Aber die Leute verdrängen offensichtlich schnell.
Würde gerne mal das hier in den Raum werfen:
Pwcalc
https://play.google.com/store/apps/details?id=de.pmorjan.TPSM
Finde ich grandios obwohl ich überzeugter KeePass Nutzer bin…
Gut, kann halt ausnahmslos Passwörter und wenn es viele sind verliert man die Übersicht???
Fällt jemand was dazu ein?
‚S gibt auch ein Chrome-Plug-in…
Ist mir sowieso schleierhaft, wie Leute so faul sein können und ihre Passwörter einem Online-Dienst anvertrauen……
@WOK: Wie kommst du bitte darauf, dass das irgendetwas mit Faulheit zu tun hätte? Sicher mag das auf manche zutreffen, aber ganz sicher nicht auf jeden. Es ist nun einmal so, dass Sicherheit und Komfort zwei zueinander sehr entgegengesetzte Ziele sind. Es ist komfortabel, überall das gleiche Passwort zu verwenden, welches nach Möglichkeit so einfach wie „12345“ ist, aber das ist unsicher. Es ist sicher, für jede Webseite ein anderes Passwort zu verwenden, welches zudem jeweils ziemlich kryptisch ist. Die Idee hinter solchen Lösungen ist es, dass man sichere Passwörter verwenden kann, ohne groß an Komfort einbüßen zu müssen. Du musst entweder eine Leistung mit deinem Gehirn vollbringen, sei es dir viele schwierige Passwörter zu merken, oder ein System zu haben, dieses konsequent einzusetzen und im Bedarf halt immer zu überlegen, wie du aus de System nun auf dein Passwort kommst, oder eben ein technisches Hilfsmittel einzusetzen. Das hat in meinen Augen mit Faulheit überhaupt nichts zu tun, für viele wird die Verwendung sicherer Passwörter dadurch eben erst möglich oder zumindest deutlich einfacher durchführbar. Das ist immer noch besser als überall „12345“ als Passwort zu verwenden, weil man DAS garantiert auch ohne Passwortmanager schafft.
Mal eine Einschätzung von Euch – wie ich oben schon schrieb, bin ich bislang zufriedener Premiumuser von Lastpass. Trotzdem ist die Vorstellung, alle Passwörter in einem proprietären System bei einem US-Anbieter zu haben natürlich etwas…seltsam. Ich überlege daher, auf Keepass zu wechseln (wird ja allgemein auch immer empfohlen). Da ich auf meine Daten plattformübergreifend (Android, Windows, Chrome OS) zugreifen mussm sollte das Keepass-File allerdings auch in der Cloud liegen und so überall gesynct zur Verfügung stehen.
Als Hostziel stelle ich mir Google Drive vor. Multi-Authentification ist längst aktiviert. Um das Ganze halbwegs vernünftig nutzen zu können, sollte die Ablage dort ja unverschlüsselt sein. Das funktioniert zwar (sogar am Chromebook dank CKP), ist aber ja nicht so viel anders als die LP-Lösung. Was empfehlt Ihr, um meine Anforderungen zu erfüllen? Danke!
@buesingdetze
Meine Empfehlung: KeePass ist gut, aber vergiss GoogleDrive und hoste die Datei lieber selbst. Z.B. auf einem NAS bei dir Zuhause. OwnCloud, Seafile oder auch nur ein Zugriff per WebDAV ist leicht eingerichtet und auch wenn du eine langsame Anbindung hast – für die paar kB wird es auf jeden Fall reichen.
Sobald du einen externen Dienstleister mit ins Boot holst, kannst du auch gleich bei LastPass bleiben. Der Sicherheitsgewinn von KeePass schmälert sich, wenn du das Keyfile aus der Hand gibst. Du musst dann zusätzlich dem Anbieter vertrauen, was jetzt bei LastPass grundsätzlich nicht anders ist.
Meine Passwörter befinden sich mit GnuPG verschlüsselt in einer .txt-Datei auf Google Drive.
Meine Passwörter sind zwar nicht bombensicher, je nach Webseite bestimmte Zahlen/Unlaute (-> abwechselnde Passwörte) dürften jedoch ausreichen. Mein PayPal-Passwort z.B. ist jedoch total anders und befindet sich nur offline auf einem Zettel 😉
Und wie würdet Ihr Keepass im Vergleich zu 1password einschätzen?
Für KeePass braucht man keine Cloud zum syncen. Noch nicht mal OwnCloud. Eine einfache Synchronisation der Passwort-DB reicht. Auf Android geht das mit vielen Sync-Tools. Und mit PCs z. B. über SMB/CIFS/Samba oder einfach über Windows-Dateifreigabe.
1Password ist ein No-Go. Die lassen sich nicht in die Karten (Source) schauen und wollen Internetzugriff in der App. Das sind gegenüber KeePass zwei zusätzliche Risikofaktoren, die sich in dieser Kombination auch noch weiter multiplizieren.
Jetzt muss ich doch mal eine Frage an die ganzen Reichbedenkenträger („War doch klar!“, „Sagt nicht, wir hätten Euch nicht gewarnt!“) stellen – wo seht Ihr genau das Risiko von Lastpass?
Erbeutet wurden Authentificationshashes. Ein starkes Master-PW und 2-Wege-Authentifizierung vorausgesetzt ist da absolut kein Risiko für die User zu sehen. Selbst Anbieter könnte die Credentials nicht lesen – bei einem richterlichen Beschluss (weil US-Unternehmen) könnte man max. einen verschlüsselten großen Datenblob übergeben, mit dem absolut niemand was anfangen kann.
Also?? Bin schon sehr gespannt, ob neben Stammtischparolen auch echte Argumente kommen…