LastPass: Mobile Wiederherstellung des Master-Passwortes möglich

Der zu LogMeIn gehörende Passwort-Manager LastPass wird Neuerungen bekommen. Vergisst ein Benutzer sein Master-Passwort, kann er das Passwort direkt über sein Smartphone mit der neuen Funktion Mobile Account Recovery zurücksetzen, nachdem er sich erfolgreich mit der integrierten biometrischen Authentifizierung des Telefons authentifiziert hat. Damit bietet die LastPass-App einen einfachen Prozess, um das Master-Passwort zurückzusetzen und den Zugriff auf ein Konto wieder zu freizuschalten. Das soll sowohl unter iOS als auch unter Android funktionieren. Mehr als ein Drittel aller Neuregistrierungen bei LastPass erfolgen über die App, so der Anbieter. Darüber hinaus bietet LastPass an, den Desktop-Rechner in Kombination zu nutzen, um die Wiederherstellungsfunktionen freizuschalten. Hierfür ist zusätzlich eine E-Mail oder SMS erforderlich. Mobile Account Recovery ist ab sofort für alle LastPass-Nutzer als optionales Feature verfügbar. Dazu fordert die App Nutzer auf, diese Wiederherstellungsmethode bei der nächsten Anmeldung zu aktivieren.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten ein.

13 Kommentare

  1. Reichen die biometrischen Daten am Smartphone für einen Reset also aus?
    Na, ob das so eine gute Idee ist? Für konkrete Ziele halte ich das nicht für die beste Lösung, wenn man bedenkt, wie oft sich der CCC auf seinen Kongressen mit derlei Authentifizierungsmöglichkeiten (erfolgreich) auseinandersetzt, sie zu umgehen o.ä.
    Sicher, für den Schutz bei gewöhnlichem Taschendiebstahl sollte das ausreichend schützen. Ich finde solche Dinge nur immer so kontraproduktiv. Das Masterpasswort ist doch genau dafür da: Keine Arme, keine Kekse. Nimmt dem Anwender wieder ein bisschen mehr Verantwortung, die aber an der Stelle nicht schadet, wie ich finde. Optional zusätzlich als zweiten Faktor fände ich das sinnvoller.

    • Ich wüsste nicht, dass der CCC bislang gezeigt hätte, wie Face ID auf iOS zu umgehen ist, das ist meines Wissens nur bei Touch ID gelungen. Darüber hinaus ist es glücklicherweise ein „optionales Feature“. Wer keinen Rettungsschirm möchte, darf es weiter so handhaben. Der Nutzer soll entscheiden und das ist auch gut so.

      • Naja, ich bin ein wenig irritiert.

        Die reine Existenz einer Reset-Funktion ermöglicht es prinzipiell jedem, auf meinen gesamten Datenbestand zuzugreifen. Stichwort „Vererbung von Daten“: jemand fälscht ein Death Certificate und löst damit den Reset aus. Stichwort „Ermittlungsverfahren“: eine Behörde zwingt Lastpass zum Reset. Stichwort „Wahnsinniger Mitarbeiter“: setzt Reset und zieht Daten ab.

        Bisher war meine Einschätzung, dass niemand ohne Masterpasswort auf meine Daten zugreifen kann. Wenn man das nun ganz einfach zurücksetzen kann, ist das meiner Meinung nach eine Reduzierung der Sicherheit des gesamten Konzepts.

        • Ich denke, ganz so einfach wird das nicht gehen bei LastPass. Wenn ich richtig informiert bin, wird lediglich ein Hash immer in der lokalen Installation gespeichert, nicht in der LP Cloud. Somit hat da niemand bei LP Zugriff auf das PW bzw. den Hash. Da kannst du also zwingen oder so viele schizophrene Mitarbeiter einstellen wie du willst.
          Es stellt lediglich ein weiteres Sicherheitsrisiko dar, da nicht alle Authentifizierungslösungen hardwareseitig so sicher sind (speziell bei Android-Geräten), dass sie als unknackbar gelten würden. Somit wird das ursprünglich zugrunde liegende Prinzip ad absurdum geführt.

          Biometrische Daten als Ersatz für Passworte sind generell eher unsicher. Das gilt für sämtliche Bereiche. Siehe diese nette Liste mit aufschlussreichen Beiträgen (habe selbst noch nicht alles davon gesehen):
          https://media.ccc.de/search?q=starbug

      • Da du ein iOS Nutzer zu sein scheinst, möchte ich darauf hinweisen, dass ein nicht unerheblicher OS Anteil auf Smartphones von Android beherrscht wird, was die Wahrscheinlichkeit erhöht, wiederum einen großen Anteil an LastPass Nutzern mit Android-Geräten zu haben. Das nur zum Thema CCC/iOS.

        „Der Nutzer soll entscheiden und das ist auch gut so.“
        Spreche ich den Nutzern nicht ab. Es geht mir auch einfach um das Prinzip: Diese Funktion stellt im Tausch gegen ein bisschen Komfort ein weiteres Sicherheitsrisiko am ursprünglichen Prinzip dar. Der Mensch neigt zur Bequemlichkeit, Und warum sollte er sich sein Master Passwort noch merken, wenn er es mit einem Fingerabdruck nach belieben zurücksetzen kann?

  2. Warte, warte. Bisher hieß es, dass mein Datenbestand mit dem Master-Passwort verschlüsselt wird. Wenn ich das nun zurücksetzen kann, um wieder an meine Daten zu kommen, müssen sie entweder mein Passwort gespeichert haben um meine Daten zu entschlüsseln und dann wieder zu verschlüsseln oder meine Daten sind gar nicht mit meinem Master Passwort verschlüsselt. Das hört sich echt böse an.

    • Ich denke es läuft irgendwie so:
      Wenn du den Fingerabdruck zum entsperren von LastPass nutzt, dann wird dein Master-Passwort mit dem Fingerabdruck verschlüsselt auf dem Mobilen Gerät abgelegt, denn das wird ja definitiv benötigt für LastPass und sonst könntest du mit dem Fingerabdruck LastPass nicht öffenen. Nutzt du den Fingerabdruck wird also des Master-Passwort damit entschlüsselt und in LastPass genutzt.

      Würde der Fingerabdruck **statt** dem Master-Passwort genutzt könntest du dich nicht parallel mit dem Passwort am PC einloggen. Deswegen der Zwischenschritt. Es wird hier lediglich der Umstand genutzt, dass du zwar dein Master-Passwort vergessen hast Android/iPhone es aber noch „weiß“.

      Hast du also nun dein Master-Passwort vergessen erlaubt dir quasi LastPass nun dich mit Fingerabdruck einzuloggen und es zurückzusetzen. That’s all, no magic, sorry.

      • Ich hoffe, LP verschlüsselt gar kein Master Password mit irgend einem Fingerabdruck.

        Die werden da mit Hashes arbeiten. Das Master Password wird vermutlich – wenn es gut gemacht ist, wovon ich jetzt mal ausgehe (nutze LP nicht) – gar nicht auf dem Gerät gespeichert sein. Davon wird ein Hash erstellt, der mit dem Hash des jeweils eingegeben PW verglichen wird. Stimmen beide Hashes überein, geht der PW Safe auf.
        Bei dem Fingerabdruck wird das genauso laufen. Da wird ein Hash gespeichert. Stimmt der mit dem Hash des jeweils gescannten Abdrucks überein, wird die Genehmigung von LP erteilt, den Save mit dem Hash des Master PW zu öffnen.
        Denn würde dein PW Hash zusätzlich mit dem Hash deines Abdrucks verschlüsselt, hättest du einen neuen Hash, der nicht zu dem Master PW Hash passt. Sollte das doch so funktionieren, würde das bedeuten, es wäre mehr als ein PW möglich. Was wiederum – gelinde ausgedrückt – fahrlässig wäre.

        Ergo muss das eben genau das bedeuten, was Alex schreibt:
        Es wird eine Funktion implementiert sein, die zwar die Löschung des alten PW Hash erlaubt, aber wird das gemacht, wenn der PW Safe nicht geöffnet ist, passen alter und neuer Master PW Hash nicht und der Safe bleibt zu. Da LP das so nicht umgesetzt haben wird – wäre schließlich totaler Mist – kann man davon ausgehen, dass bei dem Vorgang/Reset der Safe mit dem alten Hash ohne weitere Authentifizierung einmalig geöffnet wird, um ihn anschließend mit dem neuen Hash wieder zu schließen.

        Genau genommen dürfte die einmalige Öffnung via Fingerabdruck auch der einzige Unterschied zum regulären Öffnen des PW Safe mit Fingerabdruck sein. Nur eben in Verbindung damit, dass der alte Master PW Hash nach dem Öffnen des PW Safe gelöscht wird. Wenns richtig gut gemacht ist, wird der alte Master PW Hash auch nicht gelöscht, sondern mit dem neuen Master PW Hash überschrieben.

        • „… wird die Genehmigung von LP erteilt, den Save mit dem Hash des Master PW zu öffnen.“

          Wie soll das gehen wenn LP die Passwörter mit meinem Master (bzw dessen Hash) verschlüsselt, dann muss der Master (bzw Hash) zwangsläufig zum entschlüsseln vorliegen. Ergo wenn ich den nicht eingebe sondern den Finngerabdruck nutze muss der Master (bzw Hash) irgendwo zwischengespeichert sein sonst geht das technisch doch gar nicht.

          • Ok gut, dann reden wir zumindest vom selben Prinzip. Ich war nicht ganz sicher, dein Kommentar war für mich da nicht ganz eindeutig verständlich.

            Sicher, sei es das PW oder der Hash dessen: Eins von beiden muss irgendwo (lokal) gespeichert werden. Es wird halt nur eben nicht noch extra mit einem zusätzlichen Faktor verschlüsselt. So hatte ich deinen Kommentar verstanden. Und jetzt habe ich auch verstanden, dass du Alex das Vorgehen beschreiben wolltest. Kam bei mir vorhin nicht so an. 🙂

            • Na, dann ist ja alles klar ^^

              Was ich meinte, ist dass Android oder eben iOS das Master PW bzw den Hash dessen verschlüsselt lokal abspeichert. Und dies eben wiederum geschieht mit dem Fingerabdruck (bzw dessen Hash). Wenn es unverschlüsselt abgespeichert wäre könnte es ja jeder mit Zugang zum Gerät mal eben auslesen.

              Das ganze Zurücksetzen basiert also darauf, dass das Mobile Gerät eben lokal noch über das Master PW / Hash verfügt. D.h. Prinzipiell ist das ganze so sicher wie dein Fingerabdruck und das lokale Gerät (das kann dann jeder für sich selbst beurteilen).

    • Ich hab für LP zusätzlich 2FA aktiviert. Sind damit diese Sicherheitsbedenken ohnehin nicht relevant für mich?

  3. Schwuppps says:

    Wie „SICHER“ biometrische Daten sind/sein können, das wurde jetzt gerade in 3Sat

    ( http://www.3sat.de/mediathek/?mode=play&obj=80535)

    eindrucksvoll gezeigt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.