LastPass Wallet: die elektronische Geldbörse
von caschy | 20 Kommentare
LastPass werden viele von euch kennen. LastPass ist ein Dienst, der Passwörter sicher über das Internet auf verschiedene Geräte und Browser synchronisiert. Passwörter sind so überall verfügbar. Den Dienst kennen sicherlich viele, die Xmarks damals zur Synchronisation von Lesezeichen einsetzen.
Xmarks wurde von LastPass gekauft. Heute hat LastPass das nächste Projekt vorgestellt: LastPass Wallet. Eine elektronische Geldbörse in App-Form. In eben jener Geldbörse könnt ihr Kreditkartendaten, Führerschein und Software-Lizenzen hinterlegen – oder eben alles an Text und Bild, was ihr wollt, denn mit LastPass Wallet ist auch das Anhängen von Bildern und Audiomemos möglich.
Das Ganze ist kostenlos, bislang als App für iOS zu haben. Auf Nachfrage antworteten die Macher, dass die Android-App in Arbeit ist. Weitere Informationen zu LastPass Wallet findet ihr im LastPass Blog.
[appbox appstore 522512459]
Wird geladen ...
Gut, das ist optisch sicherlich schöner als das, was in LastPass bisher schon eingebaut ist. Aber grundsätzlich kann man Kreditkartendaten und ähnliches doch jetzt schon in LastPass eingeben, speichern und synchronisieren. Funktioniert tadellos.
Ich frag mich grad, warum ich Daten von meinem Führerschein speichern sollte?!
Das Ganze gibt es so in der Art schon für Android und nutze ich seit eh und je. Die App hieß witzigerweise auch vor seiner Umbenennung „Wallet“ und bietet u.a. auch Dropbox-Synchronisation: Gibt’s kostenlos und in einer werbefreien Pro-Variante:
https://play.google.com/store/apps/details?id=com.citc.wallet
Und wie sieht’s aus mit Windows phone? Gibts dafür auch ne app?
Also meine Erfahrung ist relativ geteilt. Zum einen ist es natürlich sehr praktisch, aber zum anderen nervt es mich, dass die Software alles automatisch eintragen möchte. Zumindest war es bei Mozilla so. Hat sich da was verändert?
Schön wäre eine vernünftige TAN Verwaltung (für Android).
Das was KeePass leistet ist auf dem Handy mehr als dürftig. 🙁
Hallo,
wie sieht es denn mit der Sicherheit aus?
Ich hab zur Zeit den guten alten Zettel in meiner Geldbörse, wo zum Beispiel mein MeinPaket Zugang drauf steht…
Gruß
Basti
Sensible Daten in der Cloud? Ohne die genaue Verschlüsselungsmethode zu kennen? Das war schon immer eine Superidee.
Ist schon beim klassischen Lastpass für empfindliche Passwörter eine idiotische Idee, für noch sensiblere Daten ist es einfach nur hirnrissig.
Wenn man schon seine Daten in der Cloud haben will, dann sollte man bei so empfindlichen doch eher auf ein bekanntes, offenes und bewährtes Programm zurückgreifen. Ob das jetzt Keepass ist oder ein TruecryptContainer mit einer simplen Textdatei oder einem Excelsheet ist egal, aber das intransparente LastPass halte ich in dieser Beziehung einfach nur für töricht und fahrlässig.
Sicherer als ein Zettel wird es schon sein 😀
Ich nutze unter Android die App OI Safe (http://bit.ly/LZznU1) und bin zufrieden. Safe schließt sich z.B. automatisch, wenn man das Display abschaltet.
@JGerde
Du meinst es witzig, hast aber in der Theorie Unrecht. An deinen Zettel zu kommen wäre vielleicht für so um die 500 Leute möglich, bei LastPass ist es in der Theorie jeder mit Internet, praktisch aber sicherlich einige zehntausend Blackhat-Hacker. Natürlich ist LastPass gesichert, wie auch immer, aber wie ihr Verschlüsselungsalgorithmus aussieht, ist das Geheimnis der Firma und damit – ebenso wie bei Bitlocker von Windows – ein potentielles Sicherheitsrisiko. Ein Zettel mit einer Verschlüsselung wäre in meinen Augen schon deutlich sicherer als LastPass. 😉
Keepass aufs Handy und gut ist.
@m3adow:
Laut lastpass.com Website wird AES-256 und SHA-256 eingesetzt:
https://lastpass.com/support.php?cmd=showfaq&id=1096
Trotzdem stimme ich Dir zu, das:
1. Sensible Daten NICHTS in der Cloud verloren haben (auch nicht verschlüsselt mit SuperDuper-Bruteforce-Benötigt-10^(unendlich-1)-Versuche-Open-Source-Bruce-Schneier-Certified-Encryption, ja auch TrueCrypt scheidte da aus, auch wenn es ein super Programm ist)
2. Closed-Source Verschlüsselungsprogramme nicht gerade für sich sprechen (ja, ich weiß, das open-source für so ein kommerzielles Produkt schwierig ist.) (siehe: Security by Obscurity)
Viele Grüße
Sven
PS:
Letztendlich ist es natürlich für jeden eine Abwägung, wie wertvoll sind die Daten, die ich Lastpass anvertraue und wie sicher (bzw. wie wahrscheinlich ist eine erfolgreiche Attacke) sind meine Daten. Muss jeder mit sich selbst ausmachen.
Lastpass, schöne lange Passphrase und Verknüpfung mit dem Yubikey: 100%ige-Sicherheit gibt es nicht, aber diese wird durch mehrere Faktoren annäherend erreicht. Ein Hacker müsste also erst bei Lastpass einbrechen und den Verschlüsselungsalgorithmus „knacken“ und gleichzeitig bei Yubikey meinen AES-256 verschlüsselten Yubikey knacken. Dann kann er auf mein Konto zugreifen.
@m3adow
Wenn du die Muse hast kannst du dir ja mal diesen Podcast anschauen (erst ab der 2. Stunde geht es so richtig um LastPass:
http://twit.tv/sn256
Ich selbst habe ich lange lange überlegt, nachgelesen und recherchiert und mich dann schlussendlich doch für LastPass (und gegen 1Password) entschieden.
Bank- und Kreditkartendaten kommen da nicht rein (wozu auch), aber sonst alles.
Ich lasse mir auch mittlerweile für jeden Pups ein eigenes 10-stelliges Passwort generieren.
Regards
@Patrick:
Du gehst von mehreren Annahmen aus, um mal eine zu nennen:
Falls Lastpass einen Flaw (Fehler,Schwachstelle) in ihrer Implementierung der Verschlüsselungsalgorithmen hat, ist die Sicherheit dahin, auch mit Yubikey.
@Oettinger
Die Muße werde ich in nächster Zeit nicht haben, aber trotzdem danke. 😛
@SvenS
Wie konkret kann dann die Sicherheit trotz Yubikey gefährdet werden, wenn das Sicherheitsmerkmal Yubikey nicht durch LastPass, sondern durch APIs von Yubico bereitgestellt wird? Die bräuchten dann doch letztlich immer noch meinen Key?
@Patrick:
Falls ich eben auf die schnelle richtig gelesen habe ist Yubikey für die Authentifizierung zuständig, indem es Dein Passwort durch Einmalpasswörter ersetzt und diese verschlüsselt.
Yubikey macht u.a. Dein Passwort sicherer, aber nicht die Verschlüsselung. Falls ein Fehler in dem Programm, welches Deine Daten verschlüsselt, existiert (nehmen wir mal hier Lastpass an), dann war es das mit der Verschlüsselung.
Und mal so, bevor das ausartet, es gibt derzeit nur einen beweisbar sicheren Verschlüsselungsalgorithmus (One-time Pad). Aber selbst bei Verwendung des OTP, sagt das noch nichts über die Implementierung aus (es ist ein Unterschied, ob ein Algorithmus auf dem Papier (derzeit) sicher ist, oder ob es, nachdem es als Programm vorliegt, also die Implementierung, sicher ist. Programmierer können unendlich viele Sicherheitslücken aufreißen, darin sind wir nämlich richtig gut).
Viele Grüße
Sven
PS:
Auch bei AES-256 kann morgen jemand um die Ecke kommen und es geknackt haben. (Allerdings eher unwahrscheinlich, zumindest morgen 😉 )
KeePass ist natürlich schön und gut, aber leider möchte ich das auch mit meinem Computer oder Tab syncronisieren und da kommt wieder die Frage der Sicherheit ins Spiel.
Die Zettel-Methode ist zu 90% sicher, da ich meine Passwörter so aufgeschrieben habe, dass nicht jeder gleich erkennt , wohin diese gehören 🙂
Gruß
Basti!
@Basti:
Überall wo „die Cloud“ ins Spiel kommt, sollte die Frage der Sicherheit gestellt werden. Da die Datenbank von KeePass aber verschlüsselt ist, ist die Gefahr einer Kompromittierung recht gering. Wenn man diese nun in die Dropbox (bzw. jeden anderen Cloudspeicher) packt, hat man eine Lösung, die der von Lastpass gleicht, aber keine BlackBox in der Verschlüsselung enthält.
Aber du hast Recht, die „Zettelcloud“ ist vermutlich die sicherste. 😉