LastPass: Angreifer erbeuteten Passwort-Tresore der Nutzer
von caschy | 91 Kommentare
Wir berichteten darüber, dass es beim Passwortmanager LastPass einen weiteren Zwischenfall gegeben hat, bei dem Dritte Zugriffe auf das System bekamen. Bisher war nicht bekannt, auf welche Daten die Angreifer zugegriffen haben, bzw. hat LastPass dazu nichts gesagt.
Das hat man bei LastPass aber nun kommuniziert. Das Unternehmen, das verspricht, alle Passwörter an einem sicheren Ort aufzubewahren, teilt nun mit, dass Hacker in der Lage waren, »ein Backup der Kundentresor-Daten zu kopieren«, was bedeutet, dass sie theoretisch jetzt Zugang zu all diesen Passwörtern haben, wenn sie die kopierten Passwort-Tresore knacken können:
Der Angreifer war auch in der Lage, eine Sicherungskopie der Daten des Kundentresors aus dem verschlüsselten Speichercontainer zu kopieren, der in einem proprietären Binärformat gespeichert ist, das sowohl unverschlüsselte Daten wie Website-URLs als auch vollständig verschlüsselte sensible Felder wie Website-Benutzernamen und -Passwörter, sichere Notizen und in Formulare eingegebene Daten enthält. Diese verschlüsselten Felder sind mit einer 256-Bit-AES-Verschlüsselung gesichert und können nur mit einem eindeutigen Verschlüsselungsschlüssel entschlüsselt werden, der mithilfe der Zero Knowledge-Architektur aus dem Master-Passwort jedes Benutzers abgeleitet wird. Zur Erinnerung: Das Master-Passwort ist LastPass niemals bekannt und wird von LastPass weder gespeichert noch verwaltet.
Bedeutet: Der Angreifer könnte versuchen, den Tresor technisch zu knacken – oder aber auch versuchen, dem Kunden das Passwort irgendwie zu entlocken – beispielsweise über Mail oder gar Anrufe. Da muss man eben wissen, dass LastPass seine Kunden so nicht kontaktiert und nach einem Passwort fragt.
Wenn ihr ein schwaches Master-Passwort nutzt, solltet ihr als Sicherheitsmaßnahme in Betracht ziehen, das Risiko zu minimieren, indem ihr die Passwörter bei den von euch genutzten Diensten ändert. Unter Umständen laden die Feiertage dazu ein. Alternativen, u. a.: 1Password, Enpass, Bitwarden, KeePass und Derivate.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
„ Unter Umständen laden die Feiertage dazu ein. Alternativen, u. a.: 1Password, Enpass, Bitwarden, KeePass und Derivate.“
Oder einfach doch wieder das gute alte Notizbuch rausholen und seine Passwörter darin notieren. Offline, Oldschool, auch nicht unsicherer.
Ich bin ziemlich sicher, dass das unsicherer ist. Oder bewahrst Du es in einem Highend-Tresor auf? Selbst der ist knackbar. Und unterwegs hast Du keinerlei Zugriff auf Deine Daten.
Ne, ein Passwortmanager sollte heute schon Pflicht sein, anders kann man sichere Passwörter doch gar nicht mehr handeln. Lastpast ist aber ja schon mehrfach Ziel von Angriffen gewesen, insofern gäbe es genug Absprungpunkte.
Deine Aussage ist halt völlig absurd und unterkomplex. Wie oft ist bereits in solche Dienste eingebrochen und Daten von Tausenden von Nutzern gleichzeitig geklaut worden? Etliche Male. Bei solchen Diensten lohnt sich das ja auch.
Wie oft hast Du hingegen von Einbruch in Wohnungen gehört, bei denen das Notizbuch mit Passwörtern geklaut worden wäre? Ich schätze der Aufwand lohnt sich nichtmal im Ansatz.
Völlig absurdes Beispiel. Als ob ein Hacker sich so zwei Optionen überlegt: „Hmm, breche ich lieber in der Lindenstraße 7 bei Herrn Müller ein und hoffe, dass der seine Passwörter in einem Notizbuch speichert, von dem ich sofort erkenne wie es aussieht und wo er es aufbewahrt oder Hack ich mich lieber in LastPass und erwische garantiert die Passwörter tausender Menschen?“ Vielleicht war Herr Müller sogar bereits 80 und hat gar kein digitales Leben mehr.
Welches Bedrohungsszenario ist da wahrscheinlicher? Unfassbar, dass Du mit dieser Räuberpistole um die Ecke kommst.
Also ich unterschreibe das Mal ganz grundsätzlich: In einer Welt, in der fast alles online vonstatten geht und digital am gefährdetsten ist, ist die reale, analoge Welt der beste Schutz.
Welches Szenario ist wahrscheinlicher:
(1) meine Online-Passwörter werden von einem Hacker geklaut und geknackt
(2) Ein Bekannter (Sohn, Enkelin, Mutter, Bruder, Freundin, Arbeitskollege, Ehemann, usw…) fotographiert mein Analognotizbuch mit meinen Passwörtern…)
Ich finde beide nicht geil…
Deswegen nutzt man einen Passwortmanager, der seine Daten lokal auf der verschlüsselten Festplatte ablegt.
Und dann soll ich Passwörter mit 20 Zeichen jedes mal beim Login von Hand eintragen? Das ist doch genau der Grund warum Passwortmanager empfohlen werden, die Leute sind zu faul sich lange Passwörter zu merken bzw. zu benutzen weil es zu unbequem ist.
Das Passwort einfach als Barcode ausdrucken und reinkleben. Dann kann man es mit einem Barcode Scanner einlesen der eine simulierte Tasteneingabe macht.
Hat ein Bekannter von mir mal gemacht… bis er das Buch in der Bahn verloren hatte.
Wundert mich das du das Internet nutzt…
Ich schlepp mein Buch nicht überall mit hin. Mein Smartphone schon.
Warum ? Es passt in die Tasche.
Demnach ist diese Ideologie von einem Oldschool Notizbuch eher banal und total an der Zeit vorbei.
Die einzige wirkliche Alternative der genannten Alternativen ist Keepass (+ Derivate). Die anderen sind ja auch alles Cloud Lösungen*, die potentiell genau dasselbe Risiko haben. Aber anhand der Kommentare hier im Blog der vergangenen Jahre habe ich aber auch gelernt, dass Design sowieso wichtiger als Sicherheit ist. Also wird der Hack auch egal sein, solange die Tools schön aussehen.
Selbst wenn man seine Keepass Datenbank in Google Drive speichert, ist das noch 100x sicherer als einen Cloud-Passwortdienst zu nutzen, weil der Google Drive Account von Hans Peter lange nicht so lukrativ ist wie die Datenbank von Cloud-Passwort-Anbieter XY.
* Ich weiß, dass vaultwarden auch zum selbst hosten existiert, aber für den normalen Nutzer ist das nichts. Der Server muss quasi immer (zumindest wenn man was bearbeiten möchte) erreichbar/online/verfügbar sein. Dann braucht man noch ne vernünftige Backup-Lösung, weil einfach COPY bei einer Datenbank nicht die cleverste Wahl ist. Dann muss man sich um den Zugriff von extern via VPN, Reverse Proxy oder was auch immer einem beliebt kümmern und im besten Fall das System auch noch regelmäßig patchen. Da ist Keepass in der Handhabung schon deutlich einfacher.
enpass ist ebenfalls ohne cloud, da wählst du dein storage ziel/cloud selbst
Engpass ist keine Cloudlösung. Engpass kann optional Tresore in clouds Speicher oder einfach WiFi sync nutzen.
Danke, genau meine Rede. Leider wird man hier von vielen Mitleser*innen aber immer angemacht, wenn man den Finger in diese Wunde legt… bin gespannt, wann 1password mal einen Fall vermelden muss. Dann wird das Gejaule wieder groß sein.
LastPass erweist den ganzen Passwortmanagern wirklich einen Bärendienst.. wie soll man so den 0815-Usern beibringen Passwortmanager zu benutzen?
Man erklärt ihnen KeePassXC und warum es eine gute Idee ist, die Passwörter lokal aufzubewahren, statt auf fremde Server hochzuladen.
Wer nach so einer Geschichte dann wieder zu einem Dienst wechselt, der die Passwörter der Kunden zentral in der eigenen cloud speichert, hat einfach nichts gelernt.
Ein Grund seine Passwörter nicht bei solchen Diensten abzulegen.
Jetzt ist die Frage, 1Password oder Bitwarden ?
Nutze Bitwarden schon 2 Jahre lang konnte mich aber nie wirklich mit der UI anfreunden.
Außer das 1Password hübscher sowie teurer ist – gibt es Vorteile gegenüber Bitwarden ?
Mittlerweile hab ich soviel Seiten durch. @caschy was nutzt du denn ?
Ich war lange bei Bitwarden und bin nun zu 1Password gewechselt. Neben der zweifelsfrei deutlich hübscheren UI bietet 1Password einfach mehr Funktionalität (Watchtower, Apple Watch-Support etc.) und hat einen unfassbar guten Support. Dazu kommt das mehr an Sicherheit (zusätzliche Sicherheitsschicht durch den Secret Key und Speicherung in der EU, sofern man sich über 1password.eu angemeldet hat).
Dafür ist Bitwarden ist Open Source, was zweifelsfrei auch ein Vorteil ist.
Ich halte beide Dienste für eine gute Wahl, auch wenn ich nicht Caschy bin 😉
1Password hatte auch mein Vertrauen gewonnen, als sie 2017 trotz Cloudbleed nicht davon betroffen waren, da sie noch einen weitere Proxy verwendet haben der die Daten, bevor sie an Cloudflare gesendet worden waren, verschlüsst hat.
vgl. https://www.heise.de/mac-and-i/meldung/Datenleaks-durch-Cloudflare-Fehler-1Password-gibt-Entwarnung-3634496.html
Im Hause 1Password scheint man Sicherheit verstanden zu haben, auch wenn mir der „zwangsweise“ Move Richtung Cloud damals absolut nicht gefallen hat, nutze ich die App seit 2011 tag täglich.
bin zwar nicht caschy aber ich nutze ohne probleme seit es passwörter im internet gibt
DGMV
absolut 100 % sicher und nicht angreifbar
Da bei mir sämtliches Bitcoin Gedöns sowie Crypto NFT Schwachsinn geblockt ist kann ich da keine Infos zu aufrufen.
Zumindest sieht es danach aus was die ersten Suchergebnisse ausspucken.
Es gibt keine 100%ige Sicherheit in der IT und selbst wenn es die gäbe, könntest du die nicht bezahlen.
Doch es gibt diese Sicherheit und sie ist nicht teuer. Man muss es nur machen.
100%ige Sicherheit gibt es nur für komplett Ahnungslose.
Da es unmöglich ist nachzuweisen dass ein bestimmter Algorithmus keine Schwächen hat, sondern man nur nachweisen kann dass er eine Schwäche hat oder eben dass man die evtl vorhandene Schwäche nicht erkannt hat, kann keine Software die irgendwelche Algorithmen enthält 100% garantiert sicher sein.
Wir haben in der IT-Geschichte eine Menge Crypto die als 100% Sicher galt, bis die Schwachstelle gefunden wurde. Teilweise wurden diese Schwachstellen auch mit hohem Aufwand eingebaut und getarnt, man denke nur an die NSA-Cryptogeschichte. Da haben Jahrelang viele Profis drauf geschaut und die Hintertür nicht gesehen.
Und was die Programme die die Algorithmen enthalten angeht: Jeder der sich mal ernsthaft mit Programmierung beschäftigt hat, weiß dass es unmöglich ist die Fehlerfreiheit von Code festzustellen. Man kann auch hier nur die Fehler feststellen und wenn man keine findet, weiß man nur dass man keine gefunden hat, nicht aber dass da keine sind.
Auch hier: nicht Caschy
Der größte Vorteil von Bitwarden? Er läuft auf meiner Synology hier bei mir Zuhause. Ist von überall erreichbar und ich habe ein sicheres Gefühl, weil ich genau weiß, wo das Backup liegt.
Hast Du auch eine Reserve-Synologie?
Das ist kein Vorteil. Es braucht aber etwas Verständnis von Hosting und verantwortungsvoller Security, um das dann auch zu erkennen. Es fehlen Admins, Leute, die etwas von Server-Sicherheit, Firewalling, Forensic, etc. verstehen. Im Idealfall erfüllst Du eine der notwendigen Anforderungen, aber niemals alle. Außerdem beschränkt sich Deine Arbeitszeit auf ca. 18 Stunden täglich (maximal), 6 Stunden läuft die Kiste also unbeaufsichtigt. Von der Idee, seine Synology dauerhaft ins Netz zu hängen, will ich gar nicht erst anfangen. Verstehe mich nicht falsch, die Lösung ist reizvoll und man kann das Risiko für minimal halten, aber unterm Strich halte ich die professionell gehostete Lösung für die sichere Variante.
Ja, wir haben grade gelesen wie viel sicherer die „professionell gehostete“ Lösung ist… 😀
Aber das sind ja alles immer nur Einzelfälle, Tag ein, Tag aus.
Einmal mit Profis arbeiten…
Ein Vorteil ist, dass die Apps von 1Password keine Tracker von Google und Co haben. Haben doch tatsächlich viele Passwortmanager
Bleibt die Empfehlung, Passwort-Manager zu verwenden, weiterhin oder sieht man mal endlich ein, dass man auf FIDO2 oder Passkeys umsteigen muss?
Der Kommunikationsweg löst nicht das Problem der Speicherung und der Möglichkeit diese zu Klauen.
FIDO und WebAuthn sind keine Kommunikationsprotokolle, die lösen schon genau das Problem mit den Passwörtern. Haben aber andere Fallstricke, z. B. die direkte Bindung an 1-n Hardwaregeräte.
Bei einem FIDO2-Token wird nichts gespeichert, was man klauen kann…
Naja, vollumfänglich nur Webauthn/Passkeys zu verwenden dürfte bei den wenigsten klappen. Müssten alle Dienste bis zum letzten kleinen Onlineshop unterstützen, damit du deinen PWM loswirst. Denke für die Meisten wird das unrealistisch sein. Vor allem weil manche (z. B. ich) auch „nicht-Zugänge“ im PWM speichern…Elsterzertifikat, Perso, Lizenzkeys. Auch schützenswert und nicht in Passkeys speicherbar.
Hinsichtlich Verfügbarkeit und Flexibilität ist meiner Meinung nach immer noch die beste Lösung Keepass, KepassXC und mobile Pendants kann zu nutzen und den Container dann online irgendwo per WebDAV bereitzustellen. Ganz ohne selbst-hosting wie bei Bitwarden, dessen Hype ich eh nicht verstehe.
Gibt komfortablere Lösungen wie z. B. 1PW, klar. Aber ist halt immer eine Abwägung zwischen mehereren Faktoren…was bei den meisten dann zu LastPass, 1PW,… führt.
Das ist ja gruselig. Nun habt ihr glaube ich Bitwarden im Einsatz, welcher ja, so wie es verstehe, ebenfalls die schlüsselten Passwörter in der Bitwarden Cloud ablegt. Also potentiell genauso unsicher, oder?
Sind da nicht PWM sinniger welche die PW lokal ablegen wie z.B. Keypass und Derivate?
Mit einem Blöckchen wie mancher meint wollte ich nicht mehr rumlaufen. Den kann ich genauso offen liegen lassen oder Verlieren bzw. jemand diesen auf einen Kopierer legen. 🙂
Grüße und fröhliches Fest.
Ich nutze seit über einem Jahr jetzt Bitwarden als Frontend auf all melnen Familien-Devices gegen Bitwarden-Server bei mir zuhause (Vaultwarden-Server als Docker-Container auf Synology-NAS). Der Synchronisationszugriff ist transparent über das Internet möglich. Ich habe ein besseres Gefühl, wenn die Daten bei mir sind und nicht in der Cloud. Ein Restrisiko bleibt aber auch so. Das Bitwarden Frontend ist benutzerfreundlich, recht zuverlässig, und es ist Open Source.
In Summe bedeuter das längere Laufzeit und Unabhängigkeit und Sicherheit für mich. Dies ist aber eine Lösung nur für Techies und erfordert die technische Infrastruktur zuhause.
Der Image-Schaden ist natürlich enorm. Aber nüchtern betrachtet betrifft das nur jene Kunden, die ein sehr schwaches Master-Kennwort gewählt haben. Mit einem Master-Kennwort wie „1mal klingeln.“ würde ich weiterhin ruhig schlafen.
Nein, denn es wurden auch Daten wie URLs unverschlüsselt abgespeichert. Da hilft kein noch so sicheres Passwort.
“ wenn sie die kopierten Passwort-Tresore knacken können“
Wenn sich die Nicht-news in einem Nebensatz versteckt.
Ich vermute, dass locker über die Hälfte der LastPass-User ein Masterpasswort haben, das sich mit Brute Force in Minuten herausfinden lässt. Nur wer ein komplexes Passwort für seinen Tresor hatte, ist sicher, bei allen anderen ist die Verschlüsselung eine leichte Beute.
Da ist vor allem wichtig, dass alle geklauten Tresore ohne Beschränkung einfach durchgetestet werden können. Es gibt in diesem Fall keine Beschränkungen mehr in Sachen Ratelimits oder Timeouts
Bei dieser Annahme warst du breits beim Erstellen das Opfer und musst die Schuld ausschließlich bei dir suchen.
Damit können sie ihren Laden eigentlich zusperren.
Wir nutzen selber Bitwarden selbst gehostet auf der Arbeit aber das ist auch nur was für Leute die sich technisch damit auskennen. Für den Otto Normaluser ist das nichts da man sich eben dann selber darum kümmern muss das das System auf dem Bitwarden läuft sicher ist. Dazu kommt das Bitwarden keinen Offline Modus bietet, wenn das NAS oder der Server mal abraucht auf dem Bitwarden läuft kommt man erstmal nicht mehr an seine Passwörter, das sollte man wissen.
Die Passwörter liegen doch lokal auf den Clients und werden nur mit Bitwarden synchronisiert? Sonst könnte ich mich ohne Internetzugang auf meinem Rechner ja nirgends anmelden.
Genau so ist es bei mir auch.
Aber vielleicht kann man das serverseitig konfigurieren.
Ich betreibe Bitwarden mit einem Vaultwarden-Container. Da gibt es einen offline-Modus.
Kann mir nicht vorstellen, dass das beim offiziellen Bitwarden-Server nicht funktioniert.
Es ist kein richtiger Offline Modus. Für die Anmeldung muss der Container laufen, erst danach ist es egal ob Vaultwarden läuft oder nicht. Wenn du nicht angemeldet bist und Vaultwarden läuft nicht kommst du auch nicht an deine Daten. So zumindest mein aktueller Kenntnisstand.
Ich habe das ganze eben nachgestellt, indem ich einfach mal den Container gestoppt habe.
Ergebnis: Es funktioniert dann offline, wenn eine lokale Kopie existiert. So weit, so klar.
Es dürfte nicht überraschen, dass Bitwarden die Daten nicht aus dem nichts holen kann – es muss also irgendwann einmal eine Verbindung bestanden haben, durch die der lokale Bitwarden Client (Smartphone App, Browser Erweiterung oder Desktop Anwendung) eine zu dem Zeitpunkt aktuelle Kopie ziehen konnte.
Gibt es hier vielleicht ein Missverständnis bei den Begriffen?
Anmelden heißt bei Bitwarden: Du „aktivierst“ den Accountauf deinem Gerät. Dabei musst du Nutzername, Serveradresse und Passwort übertragen – die Serveradresse wird standardmäßig bei der vorher genutzten belassen. Dann wird eine Kopie der Datenbank heruntergeladen.
Sperren heißt: Du bleibst angemeldet, die lokale Kopie bleibt erhalten – es ist beim entsperren eben nur die Eingabe des Masterpassworts nötig.
Sperren/Entsperren funktioniert vollkommen offline – das habe ich gerade getestet. Ich kann Einträge anlegen, ändern, abrufen – was auch immer.
Anmelden geht logischerweise nur dann, wenn eine Verbindung zum Server besteht.
Vielleicht ist der Client so eingestellt, dass bei Inaktivität abgemeldet wird? Das ist meines Wissens nach aber NICHT die Standardeinstellung.
Jein. Wenn du angemeldet bist und die Vaultwarden App gesperrt ist funktioniert es, das ist aber kein Offline Modus. Wenn dir über Nacht Vaultwarden bzw. der Server oder das NAS abraucht und du startest am nächsten Morgen den Rechner hast du keinen Zugriff mehr auf deine Passwörter weil du dich bei Vaultwarden zunächst anmelden musst obwohl die Passwörter ja technisch gesehen bereits auf deiner Platte liegen. Keeper zb bietet einen richtigen Offline Modus, wenn du da einmal eine erfolgreiche Authentifizierung gemacht hast ist es egal ob du online oder offline bist, du kommst trotzdem jederzeit an deine Passwörter auch bei einem Neustart.
Da muss ich dir wirklich widersprechen. Ich habe Vaultwarden auch schon eine Zeit lang hinter einem VPN betrieben. Da hatten manche Clients über Tage keine aktive Verbindung, haben aber trotzdem ihren Dienst getan – obnwohl der Server ja nicht erreichbar war.
Jetzt das Passwort zu ändern bringt ja theoretisch nichts mehr. Die haben einen Snapshot vom Tresor mit schwachem Passwort. Also zumindest um Brute Force abzuwenden ist es jetzt zu spät.
Deswegen ist die Empfehlung auch, die Kennwörter der genutzen Dienste zu ändern. Das des Tresors zu ändern, würde allerdings auch nicht schaden.
Der einzig richtige Rat kann nur sein, sämtliche Passwörter schnellstmöglich zu ändern, die in einem Tresor sind, welcher bei Lastpass lag – das sollte jeder asap machen.
Der zweite Schritt ist sich einen anderen Passwortmanager zu suchen.
Ich glaube er meint nicht das Masterpasswort sondern alle deine Passwörter. Dann würde der Download den Angreifern nichts mehr nutzen, selbst wenn sie den Tresor knacken.
Ich speicher in meiner PW-Datenbank auch die Antworten auf die Sicherheitsfrage. Selbst wenn man das PW ändert, darüber haben die immer noch alle Möglichkeiten… Sollte man vielleicht überdenken, aber ich habe meine PW auch nicht in der Cloud.
Du sollst ja nicht (nur) dein Masterpasswort ändern, sondern alle Passwörter die darin gespeichert sind… Bin ich froh, dass ich Keepass, synchronisiert über eigne Synology Cloud, nutze! Achja, der Masterschlüssel ist Yubikey Challange Response + Passwort, also selbst wenn es weg kommt, knacken tut das keiner die nächsten 100 Jahre!
Du sollst ja auch nicht das Masterpasswort ändern (was trotzdem nicht verkehrt wäre, wenn es vorher ein schwaches Passwort war), sondern die Passwörter bei den einzelnen Diensten. Dann kann jemand deinen Tresor knacken, so oft er will, wenn die Passwörter darin nicht mehr stimmen, bringt ihm das rein gar nichts.
So etwas hätte nicht passieren dürfen und genau aus dem Grund bin ich schon vor Jahren von Lastpass weg. Nach der Übernahme durch Logmein hatte ich einfach kein gutes Gefühl mehr. Trotzdem finde ich die Nachricht jetzt auch für aktuelle User nur mäßig beunruhigend. Wer einen Passworttresor in der Cloud mit einem schwachen Masterpasswort nutzt, hat es nicht anders verdient. Und alle anderen haben eigentlich nichts zu befürchten.
Was mich an der News allerdings viel mehr irritiert: Die URLs wurden nicht verschlüsselt gespeichert? Habe ich das richtig verstanden? DAS ist der eigentliche Skandal!
Ich gebe zu. Ich habe meine Passwörter teilweise auch in und bei Google Chrome, Mozilla oder Samsung Pass gespeichert.
In soweit bin ich wahrscheinlich nicht einen deut besser. Aber Passwörter sonst bei einem Clouddienst speichern? Man sieht was dann passiert…
Ich nutze Keepass. Der Container liegt auch in der Cloud. Aber hier bestimme ich, wo die Datei liegt und wie diese heißt und ob diese als Keepass Container zu erkennen ist. Das ist mit dann doch sicherer.
keepass auf Desktop und mobil die Datenbankdatei aber in einer Cloud. Da die Datenbank verschlüsselt ist hab ich kein Problem damit das die irgendwo liegt. natürlich nicht bezeichnet als TopSecretPass
Verstehe die ganze Aufregung nicht!
Die meldung hat auch jeder Kunde bekommen! Das Masterpasswort ist nicht bekannt & gespeichert, also ???
Bei manchen ist das Master-PW aber vielleicht trivial, so dass wenn die die Datenbank lokal vorliegen haben ein Brutforce in Sekunden alles öffnet.
Naja, die Betroffenen sind alle Opfer der eigenen Faulheit, die Ihre sensiblen Passwörter in der Cloud Dienst speichern.
Sicher gespeichert ist es eben auf einem Papier im Safe.
Das ist eben der Nachteil, wenn man die Sicherheit aus eigener Hand gibt und fremden vertrauliche Daten anvertraut.
Wer nur wenige sensible Passwörter hat und den Raum mit dem Safe nicht verlässt, die Hütte nicht abbrennt usw.: Ist sicherlich nicht die schlechteste Lösung, auch wenn das Abtippen von 30-stelligen per Zufall generierten Passwörtern doch eine ziemliche Herausforderung für den Fleiß des Einzelnen darstellen dürfte… 😉
Meine knapp 800 Einträge (wir nutzen dasselbe Passwort bekanntlich nie mehrfach) im Bitwarden Vault sind für diese Option eher ungeeignet: ich brauche die Daten auch unterwegs, kann keinen Safe sicher mit mir herumtragen und das Abtippen sicherer Passwörter ist doch ein ziemlicher Zeitfaktor.
Mein Bitwarden Vault _könnte_ auch lokal auf meinem NAS liegen, allerdings habe ich Zweifel, dass ich besser darin bin, mein NAS abzusichern als es Bitwarden ist.
Was bei Cloudlösungen Pflicht ist:
Nicht nur ein sicheres Master-Passwort, sondern ein sicherer zweiter Faktor für den Login. Bei mir sind das zwei verschiedene Yubikeys (falls einer defekt sein oder verlorengehen sollte). Mir ist das sicher genug.
LastPass würde ich auch niemandem mehr empfehlen, denn es ist eine Sache, dass man ständig erwischt wird, weil es mit der Sicherheit hapert, es ist aber eine völlig andere, wenn man mit der Wahrheit nicht oder aber in Scheiben herausrückt -und dann zu einer Zeit, wo so eine Meldung im Weihnachtstrubel eher untergeht und nächstes Jahr vergessen ist. Das ist kein Zufall, da hat man bei LastPass mit Sicherheit vorausgeplant.
Genau, und wenn ich schnell mal bei Amazon bestellen möchte, laufe ich eben zum Safe und hol meine Liste raus, tippe mein 20 stelliges PW ab und leg die Liste dann brav wieder zurück. Wer möchte schon von unterwegs mal etwas bestellen oder sich irgendwo einloggen?
Sorry, aber ich halte das für weltfremd.
Wenn Du nicht gerade in der WG oder Hotel wohnst, ist der Safe eher so der Langzeit Speicher.
Kannst Deine 800 Accounts doch einfach lokal auf USB Stick Bitlocker verschlüsselt wo Parken und den Zettel am PC legen. Deine PSw sund auf dem Stick zumindest besser wie in der Cloud aufgehoben.
Ich kenne mich in der Materie absolut nicht aus, aber wozu eigentlich einen extra Dienst für die Passwörter. Wenn man sie nur auf dem iPhone benutzt sollte doch eigentlich der iOS Schlüsselbund ausreichend sein, oder?
Ja wenn.
Oh, nein! Ist doch alles sicher! Oder doch nicht?) haha)
> 1Password, Enpass
Und wer steckt hinter dieser Firmen? Vielleicht eine chinesisch-russische Crypto AG? (Die Amis haben die Daten sowieso. Durch Microsoft, Google und Apple.)
Man ist nicht besonders intelligent, wenn man sensible Daten in einer „Klaut“ speichert und die Daten nicht selbst verschlüsselt hat.
> Man ist nicht besonders intelligent, wenn man sensible Daten in einer „Klaut“ speichert
Man ist aber auch nicht besonders intelligent, wenn man solche Beiträge schreibt.
Deine Intelligenz hast du gezeigt, indem du die Hälfte des Satzes in der Zitat weggelassen hast.
Spott und Häme sind hier komplett fehl am Platz. Natürlich ist es ideal, wenn der Passwort-Container gar nicht erst gestohlen wird und das Master-Passwort maximal komplex ist. Leider trifft sowohl das eine, als auch das andere desöfteren offenbar nicht zu.
Ansonsten ist die Frage nach dem Personen hinter solchen Firmen natürlich legitim. Und der Umstand, dass die Personen heute vertrauenswürdig sind, heißt nicht, dass das so bleibt. Und es kommt ja auch durchaus vor, dass solche Firmen inkl. Datenbestand weiterverkauft werden und ob der neue Eigentümer ähnlich vertrauensvoll mit den Daten umgeht, sei mal dahin gestellt. Ich bin auch kein großer Freund vom Cloud-Speicherung, gehe aber schwer davon aus, dass daran mittelfristig kein Weg vorbei führt – nicht nur bei Passwortmanagern, sondern allgemein.
Wer ein einfaches Synology NAS im Haus hat, kann damit viele der aktuellen und zukünftigen Probleme lösen, vermeiden und stark damit umgehen. (Besser sein)
Es hat so viele Vorteile, seinen Kram, selber aufzubewahren.
Kann ich wirklich nur bestätigen… Obs am Ende Enpass, Bitwarden, 1Password, oder KeePass ist, wird egal sein. Solange ich meinen Tresor lokal bei mir auf meinem NAS habe und nicht über eine dritte Partei synchronisiere. Klar muss ich mir ein wenig Gedanken über die Sicherheit machen (https, Firewall, Geofencing, VPN etc.). Wenn man aber weiß was man tut, ist das meiner Meinung nach die sicherste und komfortabelste Lösung. Ich nutze WebDAV + Enpass seit mehr als vier Jahren ohne Probleme.
Wenn Du genug Zeit und Wissen hast um Synology, Docker, Vaultwarden immer auf dem neuesten Stand zu halten und regelmäßig externe, verschlüsselte Backups an zwei verschiedenen Orten machst und dazu noch griffbereite Ersatzhardware bereit hälst, kann dass für Freaks und Nerds eine teure Alternative sein.
Ich behaupte mal, dass die Absicherung der NAS *erheblich* schlechter ist als z. B. die Server von 1Password. Von deren zusätzlich implementierten Sicherheitsschichten (Secret Key etc.) mal ganz abgesehen.
Abgesehen davon: Deine NAS raucht ab, was dann?
Ich behaupte das du da Käse schreibst. Keine Cloud ist wirklich Sicher!
Aber eine NAS zu Hause kann man sehr gut selbst absichern.
Regelmäßig mit Sicherheitsupdates versorgen und die Portlisten in der NAS entsprechend pflegen.
Das Außerdem Updatedienst keiner nach Extern kommuniziert. usw.
Backup der NAS usw. Das bekommen heute die 12 Jährigen in der Hauptschule schon gelernt.
Zu behaupten eine Cloud wäre Sicher… ich Lache mich tot.
Bitte erstmal richtig lesen! Denn das habe ich nicht geschrieben.
Wenn Du soviel Aufwand treiben willst (und das Know How dazu hast!), dann bitte…
Es gibt die Möglichkeit eine lokale, automatische Sicherung auf einem Datenträger (externe USB) zu machen. Zudem kannst Du Deine Daten auf eine Cloud-Plattform nochmal verschlüsselt speichern. Ich habe meinen Keepass-Container zudem lokal auf dem Handy. Man benötigt keine Cloud.
Selbst wenn die Kiste abraucht und kein Backup der Platten vorliegt, who cares?
Ich synchronisiere den Tresor mit mindestens drei Endgeräten. Ich habe also immer eine dezentrale Kopie vorliegen. Vielleicht ist diese dann nicht brandaktuell und im schlimmsten Falle fehlt mir das zuletzt generierte Passwort. Das Risiko gehe ich ein.
Zur Sicherheit. Du hast damit vielleicht Recht, dass ein Cloud-Dienst einer Firma ein besseres Sicherheitskonzept vorweisen kann, als ich, der sein NAS neben zwei Bierkästen in der Speisekammer betreibt. Ob du dadurch aber besser vor einem gezielten Angriff geschützt sein wirst, wage ich zu bezweifeln. Welcher ambitionierte Hacker versucht sich denn Zutritt zu einem privatbetriebenen NAS zu verschaffen, um womöglich auf eine wiederum verschlüsselten Passwort-Tresor zu stoßen. Richtig -> Keiner. Was ich damit sagen will. Man steht einfach nicht in der Schusslinie.
Wenn ich vor knapp 2 Wochen alle Daten in Lastpass gelöscht habe, könnten die Hacker wenn sie jetzt den Tresor entschlüsseln könnten,noch meine Daten sehen oder nicht mehr ?
Da wird es stark darauf ankommen, zu welchem Zeitpunkt die Angreifer die Tresor-Daten in die Hände bekommen haben. Ich persönlich würde meine Passwörter der gespeicherten Seiten ändern. Wenn du Vertrauen in dein Masterpasswort hast, also Zahlen + Buchstaben (klein, groß) + Zeichen mit einer länge von 12 Zeichen verwendet hast, sollte das aber theoretisch sicher sein. Am Ende liegt die Entscheidung aber bei dir.
Dann würde ich mal schnell alle PW’s ändern.
Kann ja nix schaden. Ich mach alle meine Passwörter meist zwischen Weihnachten und Neujahr 1x neu. Anfangen mit Banking, dann die WebShops, dann die anderen Accounts…
Das sind aktuell zum Glück nur um die 450 Passwörter.