LastPass Sicherheitslücke: Aktualisiert die Erweiterung!
von caschy | 9 Kommentare
LastPass kommt nicht zur Ruhe. Der Passwort-Manager machte in der letzten Zeit häufiger Schlagzeilen, wenn es um seine Sicherheit ging. Am 21. März wurde von Google-Sicherheitsforscher Tavis Ormandy eine Lücke gemeldet, die es Angreifern theoretisch erlaubt, eure Passwörter zu stehlen. LastPass reagierte und schloss die Lücke. Allerdings war das offenbar nur die halbe Miete, denn Tavis Ormandy legte nach und fand eine weitere Schwachstelle, wieder einmal in den Browser-Erweiterungen.
Wer sich für die technischen Details interessiert, der findet diese im Chromium Bug Tracker oder im LastPass-Blog. Solltet ihr auf LastPass oder deren Erweiterungen setzten, dann aktualisiert diese auf jeden Fall. Kleiner Fauxpas am Rande des Updates: LastPass veröffentlichte die Informationen und die Bitte zur Aktualisierung der Erweiterungen – ohne dass diese für alle Systeme in aktueller Version vorlagen…
Wird geladen ...
Passwörter verwalten in Verbindung mit dem Internet davon würde ich die Finger lassen. KeePass kann ich da nur sehr empfehlen.
alle deine passwörter sind im internet gespeichert.
@Andi: Das Argument kommt oft, ist aber zu kurz gegriffen. Das Problem ist nicht die Speicherung eines (verschlüsselten) Containers im Internet, sondern die Browser-Erweiterung, welche die Daten aus dem Container bereitstellt. Und diese gibt es auch für KeePass (http://stadt-bremerhaven.de/anleitung-keepass-mt-dem-browser-verheiraten/). Klar: Wenn man Kennwörter manuell aus KeePass in den Browser übernimmt, fällt dieser Angriffsvektor weg (obwohl… Zwischenablageschnüffler?), dafür aber auch die Bequemlichkeit. Und wenn man solche Erweiterungen nutzt: Da schaut dann vermutlich kein Travis drauf weil sie nicht so bekannt sind.
Was hat es den für eine große Komforteinbuße mal eben Copy&Paste zu nutzen?
Die Wahrscheinlichkeit das der PC befallen ist, ist um ein vielfaches geringer als das zentrale Plugins usw. kompromitiert werden. Es betrifft einen ≠ tausende.
@st Es estehen eben nicht alle Passwörter bei lokalen Passwortmanagern im Netz.
Vieles gehört einfach nicht ins Netz.
Aber solange die Leute nicht lernen auch individuelle Passwörter zu vergeben ist es eh sinnlos.
@st
Der war gut. Aber das hat Andi echt nicht kapiert.
Ich habe seit mehr als 12 Jahren alles bei Roboform gespeichert, Es gab noch NIE ein Problem. Und das bei hunderten von Passwörtern…
@Don
Das Hauptproblem sind die Leute die immer noch Passwörter wie „geheim123“ oder so vergeben. Neulich habe ich Passwörter überprüft von Menschen mit älteren WordPress Webseiten. Selbst die Passwörter der Admins waren teilweise nur 8 Zeichen, meist auch noch ein Wort mit 1-3 Zahlen. So wie „Hallo123“ oder ganz schlau „geheim0815“, unfassbar.
Ich bekomme in Safari und Chrome auf allen Rechnern seit 2-3 Wochen dauernd Verbindungsfehler angezeigt, ich muss dann einmal auf das Icon oben klicken, dann ist es wieder ok. Was soll das?
Und aktualisieren sich die Erweiterungen in Safari und Chrome nicht automatisch?
@fly
Lösch doch einfach mal die Erweiterungen und installiere sie neu. Normal aktualisieren sich Erweiterungen von selbst wenn sie eine Internetverbindung haben. da du aber dieses Problem mit zwei Browsern hast könnte auch ein Problem mit deiner Internetverbindung vorliegen, Ferndiagnose ist aber immer schlecht.
Internet läuft doch…