LastPass-Server von OpenSSL-Lücke betroffen
von caschy | 48 Kommentare
Kurz notiert: ich möchte hier niemanden in Panik versetzen, der auf den Passwort Manager LastPass setzt, aber zur Stunde sieht es so aus, als sei der Dienst, bzw. der Server anfällig für die bekannt gewordene OpenSSL-Sicherheitslücke, Überprüfungen des Servers haben ergeben, dass dort immer noch nicht die aktuelle OpenSSL-Version eingesetzt wird.
Kurios ist, dass es bereits Betreiber wie Cloudflare gibt, die anscheinend im Vorfeld über die Sicherheitslücke in Kenntnis gesetzt wurden und schon seit letzter Woche auf einen Patch zugreifen konnten. Pauschal kann man nicht sagen, inwiefern Server, beziehungsweise Dienste wie LastPass angreifbar sind, denn wir wissen nicht, wie der Dienst intern strukturiert ist. Im allerschlimmsten Falle könnten Passwörter und Benutzernamen für gespeicherte Dienste gestohlen worden sein. Ich habe LastPass einmal angeschrieben und ich denke, dass es dazu bald ein Statement gibt. Ob Server anfällig sind, kann auf dieser und dieser Seite getestet werden.
Update: LastPass hat sich geäußert. Kurzform: LastPass ist nach eigenen Aussagen nicht betroffen, da unter anderem Perfect Forward Secrecy eingesetzt wird, ferner können die LastPass Server nicht auf euren verschlüsselten Key zugreifen.
Dennoch: Das Unternehmen teilt mit, dass unzählige Dienste im Web betroffen sind und hier bereits Passwörter abgefischt sein könnten. Diese Passwörter sollte man schleunigst ändern, wenn die Server des Anbieters gepatcht sind. Ein ganz schlechtes Beispiel sind Yahoo und Flickr – da kann fast spielend zugegriffen werden.
Wird geladen ...
Ich glaube, ich ziehe mich einfach aus dem Internet zurück. Sollte LastPass jemals einen Datendiebstahl vermelden, bin ich raus.
@cashy, mit dieser Meldung versetzt Du eine ganze Menge Leute in Panik….hoffentlich fixen die das bald! 🙁
@de_noogle
Der Gedanke verfestigt sich auch immer mehr bei bestimmt nicht wenigen……
Darum würde ich nie einen Online Service für die Speicherung von Passwörtern nutzen. Egal was die behaupten, es gibt immer irgendwo Sicherheitsprobleme
Ab in die Cloud… haben sie gesagt…
@de_noogle:
Lastpass hatte bereits 2008 einen Fall, wo Passwörter und co. gestohlen worden sind. siehe Google.de
Session Cookies kann man von LP schon einmal bekommen, unterhalte mich gerade parallel mit jemandem, der sich das „anschaut“.
Sieht nicht ganz so gut aus. https://cloudup.com/c86djQ1Emup
…ich glaube, bei diesem „Bug“ kann man, was seine Bedeutung und sein Ausmaß angeht, kaum übertreiben; er erschüttert die Grundlagen der Netz-Sicherheitsarchitektur für einen riesigen Teil (1/3-1/2) des Netzes (klingt emotional ist aber sachlich gemeint).
So wie ich die einschlägigen Sec.Posts verstehe kann sich kaum jemand in der näheren Zukunft sicher sein, dass seine Daten/Dienste/Apps nicht kompromittiert werden, zukünftig und/oder rückwirkend!).
Der Fehler kann einfach so zentrale Stellen der zertifikatsbasierten Sicherheitsarchitektur betreffen, dass der Fehler erst dann keine Auswirkungen mehr haben kann (jedenfalls für zukünftigen Traffic, für die Vergangenheit ist ohne PFS eh nichts mehr zu retten), wenn alle Betroffenen Dienste/Unternehmen handeln, an vielen Stellen – und das kann dauern :/.
http://security.stackexchange.com/questions/55075/does-heartbleed-mean-new-certificates-for-every-ssl-server
Was heißt das nun? Alle Passwörter im LastPass löschen und bei LastPass abmelden? Bzw. das Konto löschen. Also ich finde das ganz schön beunruhigend….:(
Sorry.. Cloud schön und gut, aber wer wirklich seine ganzen Passwörter in die Hand von einem Unternehmen gibt, dem kann echt nicht mehr geholfen werden. Ich hoffe sogar, dass es zu einem Leck gekommen ist, damit die Leute endlich mal aufwachen….
Trotz Heartbleed sollte die Vertraulichkeit der Passwörter bei Lastpass sicher sein. Lastpass setzt auf lokale Verschlüsselung der Daten mit dem Master-Passwort auf dem PC des Nutzers bevor die verschlüsselten Daten dann per SSL zu deren Server übertragen werden. D.h. selbst wenn ein Angreifer durch Heartbleed die SSL-Verbindung belauschen kann (oder die Session klauen kann), kann er damit nur auf die Master-Passwort verschlüsselten Daten zugreifen. Deren Sicherheit steht und fällt dann mit der Stärke des Master-Passworts (was aber auch so der Fall ist).
Im „Prinzip“ könnte Lastpass die Daten auch im Klartext per HTTP ohne SSL Verschlüsselung verschicken und trotzdem wäre die Vertraulichkeit der Passwörter sichergestellt. (Tun sollte man das aber natürlich trotzdem nicht.)
Hoffentlich passiert das nicht irgendwann bei 1Password.
@shay
die alternative sieht aber leider oft so aus, dass viele leute in der notiz-app auf dem smartapp völlig ungeschützt sämtliche passwörter notiert haben, oder noch besser im portmonee einen zettel mit den wichtigsten pin-nummern, zb. für die ec-karte. da finde ich es aber wesentlich sicherer die daten einem (guten) passwort-dienst anzuvertrauen.
Laut dem Test http://filippo.io/Heartbleed/ ist auch yahoo.com betroffen.
gmx.de und web.de sind beide von der Schwachstelle betroffen
EMAIL MADE IN GERMANY
@Ho
wie wäre es mit KeepassX? Man muss zwar ein wenig mehr Aufwand betreiben, wenn man die Passwort-Datei nicht über die Cloud synchronisiert haben möchte, aber der Aufwand sollte es einem Wert sein mMn.
Bin ich froh, dass ich gespeicherte Passwörter bei LastPass längst gelöscht und danach alle geändert habe. Waren aber auch nicht wirklich wichtige dort gespeichert. Meine PW sind in einer KeePass Datenbank mit PW gespeichert. Eine Kopie liegt in einem PW-geschützten 7Z File bei Wuala, welche die Datei vor dem Hochladen auch lokal mit Master-PW verschlüsseln. Diese 3 Stufen sollten ausreichen denke ich.
Das Schlimme an 1Password ist eher, dass man für einen funktionierenden Sync aller Geräte untereinander (OS X + iOS) gezwungen ist, Dropbox zu verwenden… Man kann die Daten da nicht auf einer NAS ablegen und gegen diese Syncen. Und auch das iPhone kann nicht als Transportdongle, da es Attachments nicht erhält.
Komisch, habe gerade meinen Raspberry PI geupdated, und trotzdem ist lt. der Testseite die Sicherheitslücke weiterhin vorhanden.
Gibt es irgendwas, was man da beachten muss?
vielleicht lernen caschy und co. ja jetzt das man nicht jeden scheiß für ein paar cent und klicks bewerben muss. wie ich bereits gestern schrieb..von einem technikblog erwarte ich technisches hintergrundwissen, dass leute die nicht so viel ahnung von technik haben eher an die hand genommen und vor potentiellen gefahren bewahrt werden, statt auf solche services aufmerksam gemacht werden ohne das denen mal jemand sagt wie gefährlich so ein service für den user sein kann…
ich finde es schlimm wie hier oft von euch gegen whatsapp und co. gewettert wurde und im gleichen atemzug sagt man den leuten „seht mal hier, da könnt ihr alle eure passwörter speichern“…
natürlich kann so ein „datendiebstahl“ jeden dienst treffen, aber hier oder anderswo werbung für einen dienst zu machen, der einem potentiellen dieb ermöglicht ohne großen aufwand ne menge daten und benutzerkonten abzugreifen ist höchst fahrlässig! bitte keine argumente wie „der blog richtet sich ja aber eben an technikinteressierte“…denn dabei sollte man bedenken, dass technikinteressiert nicht immer heißt, dass man sich mit der technik auskennt, sondern das man sich darüber informieren will..
mir ist egal wie die kritik aufgefasst wird. sie ist in jedem fall konstruktiv gemeint. vielleicht mal ein paar artikel über die gefahren im internet und den richtigen umgang mit diensten und der hinweis, dass man keinen dienst nutzen sollte, der sich mit anderen diensten verknüpft, da dies wie in diesem fall bedeuten kann, dass mit einem hack mehrere benutzerkonten ergattert werden können…
@5hay
klar, wenn man ein problem mit der cloud hat und das gut funktioniert auf lokaler basis. aber ich bin froh dass mir mein 1password jederzeit über die cloud zur verfügung steht und dort gesichert wird ohne dass ich was tun muss. wenn im schlimmsten fall die daten geklaut werden, dann ist das natürlich ein großes problem, aber nur mit den pins meiner ec-karten können die zum glück nichts anfangen.