LastPass: Master-Passwort muss nun länger sein
von caschy | 17 Kommentare
LastPass war vor ganz vielen Jahren für viele ein passabler, kostenlos nutzbarer Passwortmanager, der dann aber Geld verdienen musste. Funktionen wurden eingeschränkt, dazu kamen einige Datenschutzprobleme. Dennoch wird man sicherlich noch zahlende Kundschaft haben. Die muss nun unter Umständen etwas umdenken. Demnächst müssen alle Master-Passwörter von LastPass mindestens 12?Zeichen lang sein.? Zwar sind Master-Passwörter bei LastPass bereits seit 2018 standardmäßig zwölf Zeichen lang, allerdings konnten Benutzer die empfohlenen Standardeinstellungen bisher umgehen und auf Wunsch ein kürzeres Master-Passwort erstellen.
Seit April 2023 müssen alle neuen LastPass-Kunden (sowie alle bestehenden Kunden, wenn sie ihr Master-Passwort zurücksetzen) eine Passwort-Mindestlänge von zwölf Zeichen einhalten. Ab Januar 2024 wird diese Vorgabe auf die Konten aller LastPass-Kunden ausgeweitet.
Um die Einhaltung dieser Vorgabe sicherzustellen, müssen Kunden sich zunächst bei ihrem LastPass-Konto anmelden und eines der folgenden zwei Szenarien bestätigen:
- Kunden, deren Master-Passwort bereits mindestens zwölf Zeichen lang ist, müssen nichts weiter tun, da sie die Vorgabe bereits erfüllen.
- Kunden, deren Master-Passwort zu kurz ist, werden aufgefordert, ein neues, aus mindestens zwölf Zeichen bestehendes Passwort zu erstellen.
Beim Erstellen eines neuen Master-Passworts ist Folgendes zu beachten:
- Ihr Passwort muss mindestens zwölf Zeichen umfassen, aber ein längeres Passwort ist noch besser
- Verwenden Sie folgende Zeichentypen mindestens je einmal: Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen
- Sie sollten sich das Passwort leicht merken können, es sollte aber nicht leicht zu erraten sein – eine Passphrase ist eine gute Lösung
- Verwenden Sie etwas, das nur Sie kennen
- Verwenden Sie nicht Ihre E-Mail-Adresse als Master-Passwort
- Fügen Sie keine persönlichen Informationen in Ihr Master-Passwort ein
- Verwenden Sie keine Zeichenfolgen wie „1234“ oder Zeichenverdoppelungen wie „aaaa“
- Verwenden Sie Ihr Master-Passwort nicht mehrmals, z. B. für ein weiteres Konto oder eine Anwendung
| Vorschau | Produkt | Preis | |
|---|---|---|---|
|
Apple Watch Series 9 (GPS, 45 mm) Smartwatch mit Aluminiumgehäuse und Sport... |
429,00 EUR |
Bei Amazon ansehen |
|
Apple iPhone 15 (128 GB) - Schwarz |
799,00 EUR |
Bei Amazon ansehen |
|
Apple iPhone 15 Pro (128 GB) - Titan Natur |
1.019,00 EUR |
Bei Amazon ansehen |
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Der Lastpass Hack ist nun über 1 Jahr her. Erst jetzt wird diese Maßnahme umgesetzt und erzwungen. Diese lange Zeitspanne ist ein No-Go für einen Passwortsafeanbieter. Vertrauen ist von LastPass komplett verspielt worden. Ich hatte es auch im Einsatz.
+1 bin zu Bitwarden gewechselt und bin sehr zufrieden, dazu noch kostenlos
Naja…hast nicht ganz unrecht. Aber das man die User „zwingen“ muss ein starkes Passwort zu wählen ist der eigendliche Skandal 😉 Da kann man als Nutzer auch selbst drauf kommen, das man hier NICHT an Sicherheit sparen sollte.
Klar ist der Nutzer schuld, aber wie soll der Normalo ein Gefühl dafür bekommen? 😉
Wenn seit Jahrzehnten alle Bank Karten und Kredit Karten mit 4 Stelliger Ziffer Pin auskommen!
Normal müssten in Zukunft bei jedem Bank Missbrauch ausschließlich die Bank haftbar gemacht werden!
Aber selbst da gibt es ja genügend Urteile, wo der Verbraucher schuld ist.
Dabei gibt die Bank die kurzen Pins vor, und nicht der Verbraucher.
Der Vergleich mit Bankkarten hinkt. Und zwar heftig.
Ich sage Dir auch gerne, warum: Die PIN einer Bankkarte kann nur 3 mal „geraten“ werden, dann wird die Karte gesperrt und zwar dauerhaft (bis zur Entsperrung durch die ausgebende Bank mit entsprechendem Aufwand).
Und wie hoch ist die Chance, das man eine 4-stellige PIN in 3 Versuchen errät?
Da man 10 verschiedene Zahlen pro Stelle hat, sind 10^4 Möglichkeiten gegeben, also 10.000. Das in der Praxis einige Kombinationen nicht genutzt werden dürfen, z.B. 4 gleiche Ziffern, spielt für die Gesamtbetrachtung kaum eine Rolle.
Sagen wir mal großzügig, 50 Kombinationen sind nicht erlaubt, bleiben also 9.950 übrig. Dann hast Du 3/9.950, also eine Chance von 0,03 (!) Prozent. Oder 0,3 Promille.
Das ist praktisch ausgeschlossen, das eine relevante Zahl von Angriffen erfolgreich ist.
Wenn natürlich ein Schlaufuchs seine PIN der Bankkarte als Wunschpin auf seinen Geburtstag konfiguriert, gilt mal wieder: Selbst schuld!
Ebenso, wenn die PIN auf der Karte notiert wird.
Praktisch dürfte es eher so sein, das die PINs ausgespäht werden per Kamera. Dagegen würde es aber auch nicht helfen, wenn sie 6 stellig oder 12 stellig oder alphanumerisch wären.
Absolut, zumal man auch eine längere PIN vergeben kann … wenn man sich mit dem Thema beschäftigt und den Text bei der Änderung liest, statt nur zu mutmaßen.
Beste Passwordmanager war MyKi nach LastPass-Hack. Bitwarden ist leider extrem langsam, bietet kaum Features zum Verwalten und die App ist sehr sehr langsam, wenn man entsperrt dauert es ewig bis etwas angezeigt wird. MyKi war lokal verschlüsselt und ohne diese ganze Cloud-Rotze…. leider wurde der Service eingestellt
Schwächt diese Vorgabe nicht die Passwortsicherheit? Man braucht nun nicht mehr nach 1-11 stelligen Passwörtern suchen.
Theoretisch ja, praktische Relevanz hat das nicht. Mal vom Worst Case ausgegangen und alle Benutzer wählen ausschließlich ein 12-stelliges Passwort. Bei 95 möglichen Zeichen auf der Tastatur und 12 Stellen gibt es 95^12 ~ 5,4*10^23 Kombinationen. Minus 95^11 ~ 5,7*10^21 bleiben immer noch 5,3*10^21 Kombinationen übrig. Oder wie es viele Passwortgeneratoren ausdrücken würden, der Schlüssellänge bleibt bei ca. 68 Bit.
Vertipper: es bleiben 5,3*10^23 Kombinationen übrig. Kleiner Unterschied :-).
Nein.
Auch hier bitte mal nachrechnen.
Wenn man ein Passwort alphanumerisch setzt, hat man 26 Großbuchstaben + 26 Kleinbuchstaben + 10 Ziffern + Sonderzeichen (weiß nicht, wie viele akzeptiert werden).
Aus Vereinfachungsgründen nehmen wir an, wir haben 100 verschiedene Zeichen, die wir setzen können.
Einstellige Passwörter sind also 100^1 Möglichkeiten, also 100
Zweistellige 100^2, also 10.000
Dreistellige 100^3, also 1.000.000 usw.
…
Elfstellige gibt Excel als 1E+22 aus, also als 22 stelligen Wert
Wenn man nun alle Werte für einstellige bis incl. elfstellige Passwörter addiert, ist man bei 1,0101E+22, also immer noch einem 22 stelligen Wert
Dagegen hat man im Raum der 12 stelligen Passwörter schon 1E+24 Möglichkeiten (und bei 13 Stellen 1E+26 usw.)
Anders gesagt: Alleine im Bereich der 12 stelligen Passwörter hat man schon so viel mehr Kombinatorik, das es den Verlust der 1-11 stelligen locker (!) wieder aufwiegt.
Ok. Danke für die Rechenarbeit.
Was ist denn der derzeit die alternative zu LastPass, wenn man sein Passwort auf dem PC, im Browser, auf IOS & Android nutzen will mit Familienfreigabe und Berechtigunsgstruktur? Dazu Passwordless authentication.
Bitwarden war, wie oben schon erwähnt. viel zu langsam und leider auch Featurelos.
Gibts alternativen?
Hast du mal versucht bei Bitwarden den Algorithmus auf argon2id umzustellen.
Das hat meine Performance exterm verbessert.
https://bitwarden.com/de-DE/help/kdf-algorithms/#argon2id
Features vermisse ich eigentlich keine. Familienfreigabe gibt es doch?
Passwordless funktiontioniert mit PassKeys ja mittlerweile auch.
1Password, Dashlane etc. einfach zu finden über die Google-Suche. Ich bin von Lastpass zu 1Password gewechselt und bin auch in Bezug auf die Funktionalität viel zufriedener.
Es wird halt gern vergessen – besonders im Bereich der Passwortsicherheit: Länge ist alles! (und da gehts nicht um gefühlte 20 cm). Aber Sonderzeichen, Zahlen und so weiter werden halt oft auch noch als das „non plus ultra“ verkauft. Und natürlich regelmäßiges Wechseln. Bullshit!
Besser ein 30 Zeichen langes Passwort aus verschiedenen Buchstaben das man sich auch noch merken kann als 12 Zeichen (die man vorzugsweise noch alle Monate wechseln muss). Sorgt nämlich dafür dass 1: Die User sich ihr passwort nicht merken. Oder 2: Einfach nur „01“, „02“,… hinten dran hängen
Das kann man so bestätigen, siehe Rechenbeispiel oben.
Ein einziges Zeichen mehr bringt ein zigfaches an Sicherheit, denn mehr ist nicht nur mehr, sondern exponentiell mehr!
Da ich meine Passwörter (wie hier sicher die Meisten) mit Passwortmanager verwalte, verwende ich auch per Default 30-stellige Passwörter und die meisten Dienste akzeptieren diese auch, nur noch sehr selten findet man Längenbeschränkungen auf 16 Stellen oder ähnliches.
Ich hatte schon mal (leider nur durch Ausprobieren 😉 ) herausgefunden, dass das Passwort für ein IPSec-VPN in der Fritzbox nur 32 Stellen haben darf 😀 Das ist mit Wireguard besser geworden.
Mein Preshared Key für das heimische WLAN hat die erlaubten 63 Stellen, warum auch nicht? Mehr ist mehr… Zum Übertragen gibt es Passwortmanager, QR-Codes oder zur Not auch mal temporär WPS.
Zum Thema lange Passwörter erstellen und merken können: Ich kann immer noch sehr die „Satzmethode“ empfehlen, vielleicht ist die auch unter einem anderen Namen bekannt, weiß ich nicht.
Beispiel:
Man denke sich einen markanten Satz aus, den kann man sich deutlich besser merken als das Passwort selbst
„Wenn man ein sehr langes Passwort braucht, zum Beispiel 20 Zeichen lang, kann man sich einfach einen Satz merken.“
Jetzt nimmt man von jedem der obigen Wörter den Anfangsbuchstaben in Originalschreibweise. Zahlen sind Ziffern, Satzzeichen sind Sonderzeichen. In diesem Fall:
„WmeslPb,zB20Zl,kmseeSm.“
Mit dieser Methode kann man in der Regel auch alle Regeln erfüllen, die manche Webseiten/Services verlangen (z.B. das man min. ein Zeichen aus jeder der vier Gruppen haben muss)