LastPass hatte Sicherheitslücke in Bookmarklet und Einmal-Passwörtern

LastPass kennen viele von Euch, schließlich handelt es sich um einen sehr beliebten Passwortmanager. Umso wichtiger ist es, dass auf Problematiken aufmerksam gemacht wird, die in Bezug auf Sicherheit bestehen. Dies tut LastPass vorbildlich in einem aktuellen Blog-Eintrag. Es geht um zwei Lücken, die im August 2013 entdeckt wurden. Diese wurden an LastPass berichtet und auch umgehend geschlossen. Die Entdecker der Lücke konnten ihre Untersuchung so veröffentlichen, bevor LastPass darüber informierte. Normales Vorgehen.

Auth-LastPass

LastPass ist sich auch ziemlich sicher, dass die Lücke nicht aktiv ausgenutzt wurde. Etwas ungewöhnlich, wird man heutzutage doch lieber einmal mehr aufgefordert, seine Login-Daten zu ändern, wenn etwas komisch läuft. LastPass meint aber, dass es nicht nötig ist, selbst wenn man das fragliche Bookmarklet vor September 2013 genutzt hat (das Bookmarklet nutzen 1% der LastPass-Nutzer). Es gibt keine Anzeichen, dass versucht wurde, die Lücke an echten Accounts auszunutzen.

Die zweite Lücke betrifft die sogenannten One Time Passwords (OTP), die man mit LastPass kreieren lassen kann. Hat ein potentieller Angreifer den Nutzernamen eines LastPass-Anwenders, kann er eine gezielte Attacke ausführen. Aber selbst wenn diese gelingt, ist der LastPass-Schlüssel immer noch sicher. Kein Grund zur Aufregung also, zumal keinerlei solche Attacken gemessen wurden.

Wer LastPass nutzt, kann dies also auch weiterhin tun. Die beiden Lücken wurden schnell geschlossen, die Öffentlichkeit informiert, Schaden entstand keiner. Dennoch erfolgte Aufklärung, etwas, das sich andere Firmen gerne als nachzuahmendes Beispiel ansehen können.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

19 Kommentare

  1. Eisfreak7 says:

    Ich überlege derzeit mir auch einen Passwort Manager zuzulegen. Empfehlungen? Ich höre hier immer wieder von LastPass und 1Password, sind die gut?

  2. Oettinger says:

    Ich war einst auch auf der Suche und habe LastPass und 1Password getestet.
    LastPass hat mir, auch wegen dem Komfort es quasi überall dabei zu haben, deutlich besser gefallen.
    Bei 1Password konnte man „damals“ nur über Dropbox (am besten mit TrueCrypt verschlüsselt) syncen.

    Ich hatte dann noch länger überlegt und viel gelesen, so von wegen LastPass ist ja quasi die Cloud, der ich meine Passwörter anvertraue. Entscheidung viel dann trotzdem zu gunsten von LastPass.

    Bin seit einigen Jahren nun zufriedener Nutzer und lasse mir für jeden Mist brav ein neues Passwort generieren – statt wie früher nur wenige Verschiedene zu haben.
    Zwecks mobilem Zugriff über die App zahle ich auch die 12$ im Jahr.

    Regards

  3. Bin mit KeePass sehr zufrieden.

  4. Bin auch seit gut einem Monat von Lastpass zu KeePass gewechselt.
    Vorteile:
    – Neben meiner Windows App auch eine Android & Linux App
    – Neben Masterpassword auch zusätzlich Keyfile Support

    Gerade das mit dem Keyfile ist interessant wenn man die DB in der Cloud speichern möchte. Die DB ist somit mit einem Masterpassword + einem 4096 Keyfile Gesichert. Nur wer beides hat kann entschlüsseln. Masterpassword kenne ich auswendig, das Keyfile liegt in einem „sicherem“ bereich auf den von mir verwendeten Geräten.

    Etwas schade ist das der Linux Client nur per MONO Läuft und nicht Nativ. Der Alternative KeePassX ist leider etwas dürftig.

  5. Nutze LastPass jetzt seid 2Jahren in der Pro Version und bin Super zufrieden. Das einzige was ich unnötig finde, ist daß LastPass auf dem SP ein eigenen Browser anbietet..auch finde ich Blöd das die Passwörter Online, nur über den Umweg bearbeiten erreicht werden können.

  6. Bin auch Lastpass-Premium-User, danke Deinem Blog hier, Caschy. Bin 150% zufrieden und könnte nicht mehr ohne…

  7. Keepass und Keepass2Android.

    Open-Source und gut. Ich vertraue meine Passwörter doch nicht blind irgendeinem Dienst an, der sich nicht in den Source schauen lassen will.

  8. da lastpass was kostet werde ich zumindest im smartphone auf keepass setzen. leider, am PC bin ich sehr zufrienden.

  9. Oettinger says:

    @st
    Äh ja…normalerweise will ich als (ehemaliger?) Sparfuchs ja nicht meckern, wenn einem etwas zu teuer ist.
    Aber 12$ (also 8,81€) im Jahr – oder anders ausgedrückt 1$ oder 73 Cent im Monat – und dann „leider“ schreiben passt einfach nicht zusammen…

    Regards

  10. Oettinger
    Wenn man 1Password für einen einmaligen Preis bekommen kann schon.
    Da sehe ich keinen Grund ein ABO abzuschließen und meine Passörter unverschlüsselt bei LastPass abzulegen. ^^

  11. ich hab echt eine ahnung wie lange ich lastpass nutze, habe jetzt aber mal dafür gelöffelt weil es mal an der zeit war geld zum entwickeln und für nen kaffee zu geben.
    sehr zufrieden, kaum vorstellbar ohne und die browser apps machen das ganze so extrem einfach.
    das einzige was echt kaum funktioniert ist der formularassistent. ähnliches gab es im guten alten opera und da funktionierte es immer 100%.

  12. bin von lastpasst zu 1Password gewechselt um meine Passwörter nicht in der Cloud speichern zu müssen.

  13. Oettinger says:

    @Hans
    Er schreibt aber zum einen nichts von 1Password und zum anderen ist unverschlüsselt auch falsch. Wenn das so wäre würde wohl kaum jemand LastPass verwenden, ich auch nicht.

    Regards

  14. Nutze KeePass. Das kann mit passenden Addons wie Keefox passifox auch Automatisch im Firefox ausfüllen. Keefox gibt es für fast alle Plattformen.

    Ich würde niemals meine Passwörter Online Speichern.

  15. Passwörter in der Cloud. Was kann da schon schief gehen -_-

  16. Die Passwörter sind bei last Pass in der cloud verschlüsselt, diese werden erst im Browser entschlüsselt. Das einzigste was mich stört ist das die Server“noch“ in der USA stehen soweit ich gelesen hab soll man schon ein Rechenzentrum in Deutschland wählen können welches aber noch im beta Stadium läuft. Ich persönlich kann lass Pass wärmsten empfehlen was einfacheres gibt es nicht 😉
    Und die paar Kröten für die app ist mir wayne denn ich finde so unterstützt man die Entwickler gleich aber bei einigen ist eben noch Geiz ist geil.

  17. Eisfreak7 says:

    Wow danke für die vielen Empfehlungen. So wies aussieht werde ich wohl erst mal KeePass (open source) ausprobieren, und dann evtl noch LastPass. Es gefällt mir jedenfalls sehr gut das beide scheinbar für Linux verfügbar sind, sowas ist ja leider nicht selbstverständlich.

  18. Wie, erst nach fast einem ganzen Jahr wird über ein Sicherheitsproblem berichtet? Und das soll dann positive Transparenz sein?

  19. Ein deutsches RZ wird nichts bringen… Mit dem USA Patriot Abkommen müssen amerikanische Firmen auch Ihre Daten aus anderen Ländern herausgeben, selbst wenn es dort gesetzlich Verboten ist…
    Das Hauptproblem bei LastPass ist, dass es ein amerikanisches Unternehme ist und somit dem Patriot Abkommen unterliegt.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.