Passwort-Manager LastPass gehackt

[Stegan]

<p><img src="/images/stories/logos-2015/lastpass.jpg" width="100" height="100" alt="lastpass" style="margin: 10px; float: left;" />Eigentlich sollten Passwort-Manager die Sicherheit im Internet erhöhen und zudem das Anfertigen und Einprägen neuer Kennwörter aus der Welt schaffen. Ist Dritten aber das Initial-Passwort bekannt, können sich diese Zutritt auf die gesamte Datenbank mit allen darin abgelegten Zugangsdaten zu allen möglichen Diensten im Internet verschaffen. Das sollte jedem Nutzer eines solchen Dienstes bewusst sein. Wie schnell so etwas passieren oder zumindest die Sicherheit der eigenen Daten gefährdet sein kann, das zeigte sich am vergangenen Wochenende beim Passwort-Manager LastPass.</p>
<p>Denn wie CEO Joe Siegrist am Monat in einem Blogeintrag bekannt gab,...<br /><br /><a href="/index.php/news/software/browser-und-internet/35749-passwort-manager-lastpass-gehackt.html" style="font-weight:bold;">... weiterlesen</a></p>

 

[Verata]

Die Information via E-Mail kann ich bestätigen. Kam heute Vormittag.

 

[Brainorg]

Noch eine Bestätigung weshalb ich alle PW´s nur in meinem Kopf speichere
Trotzdem bitter für die Kunden.

 

[trkiller]

Ich habe auch alle meine Passwörter im Kopf.

Wann kommt denn die Meldung das Russland oder China daran beteiligt ist

 

[Jester]

Eine "Mehrstufigen Anmeldung" einrichten in Lastpass und zwischen den acht! Methoden wählen oder kombinieren und schon ist das Masterpasswort alleine Null wert wenn es gehackt ist/wird. Überall wo das geht z.b. Outlook, Google, PayPal, eBay, usw. sollte man diese möglichkeit nutzen.

Außerdem wurde kein einziges Masterpasswort gehackt, sondern nur Hashes erlangt. Damit was anzufangen, naja wird schwer. Irgendwo auf dem eigenen PC oder der Cloud eine Datei mit "Daten" zu haben ist immernoch unsicherer als Lastpass zu nutzen .

mfg

 

[Smagjus]

Noch eine Bestätigung weshalb ich alle PW´s nur in meinem Kopf speichere

Würde ich auch gern, aber bei 200 Passwörtern wird's etwas schwierig

Ich verwende persönlich KeePass und habe damit alles auf der Platte. Online könnte ich mir das nur als Truecrypt Container vorstellen.

 

[fax668]

Ich verwende persönlich KeePass und habe damit alles auf der Platte. Online könnte ich mir das nur als Truecrypt Container vorstellen.

Ich habe die KeePass Datei in der Dropbox. Was versprichst du dir denn durch Truecrypt stattdessen?

 

[Smagjus]

Wenn es eine Schwachstelle bei KeePass gibt, dann habe ich ein Problem. Truecrypt hingegen wurde bereits sicher bewertet, weshalb hier praktisch nichts passieren kann.

 

[fax668]

Die Truecrypt Auditoren sind auch nur Menschen und können Lücken übersehen. KeepAss wurde übrigens 2011 von der französischen ANSSI (ähnlich zu deutschem BSI) zertifiziert: KeePass Version 2.10 Portable | Agence nationale de la sécurité des systèmes d'information

 

[Smagjus]

Hmm, Recht hast du. Dann bin ich wohl einfach ein bisschen übervorsichtig.

 

[BessereHälfte]

"oder zumindest die Sicherheit der eigenen Daten gefährdet sein kann"
Ist das nicht bisschen ZU sehr Spiegel-like? Also man möchte eine bestimmte Schlagzeile, obwohl das Ereignis keine solche hergibt?

Wurde jetzt LastPass gehackt oder die Server des Herstellers? Ist mehr abgesaugt worden, als wenn jemand einen PC des Benutzers hackt und die verschlüsselte Datenbank runterzieht? Was kann man mit den Hashes anfangen?

Ist jeder Benutzer davon betroffen, nur weil er LastPass nutzt?

Die wichtigste Frage aber: Können wir uns keine bodenständigere Aufmacher zu News und Artikel leisten?

 

[Hexcode]

Also ich finde an der Aussage nichts falsches - ich denke grundsätzlich ist es erstmal unbekannt wie genau die Funktionen umgesetzt wurden um die Passwörter zu sichern und zu speichern.
Und demnach besteht potentiell gesehen eine Gefahr für die eigenen Daten...

 

[KurantRubys]

Ich hab das ganze bei mir über Passwordsafe laufen, keine Cloud-Backups oder irgendwas außer eine Mail-Adresse auf den Servern von denen. Backups laufen auf meinen Hausinternen Server und n Nas. Online speichern würde ich das ganze niemals, allerhöchstens ein Cloud-Backup auf der dann noch Cloudzer läuft.

 

[TCM]

Ich verstehe die Aufregung nicht.

Die Daten verschlüsselt dem Anbieter anzuvertrauen, ist OK, aber wenn die Daten geklaut werden, bricht Panik aus? Entweder man vertraut der Verschlüsselung[1] oder nicht. Welche Rolle spielt es dann, welcher externe Dritte die Daten hat?

1) Wenn ihr den Angreifern nicht vertraut, stellt euch mal die Frage, wie clever es ist, die Daten überhaupt irgendwohin zu senden.
2) Oder aber ihr habt unerschütterliches Vertrauen in die Verschlüsselung, dann machts auch nichts, wenn die Daten abhandenkommen.

Eins von beiden geht nur, sonst wirds paradox. Es ist eher so: Leute, die jetzt Panik kriegen, hatten vorher schon kein richtiges Vertrauen und haben nur irgendwie gehofft, dass das "schon passen wird", weil die Bequemlichkeit über der echten Datensicherheit stand.


[1] Und dass die Verschlüsselung richtig angewandt wird!

 

[DragonTear]

@TCM In etwa das was du schreibst wird ja auch im Artikel genannt.
Trotzdem ist es halt schlichtweg "doof" dass Daten abhanden gekommen sein könnten.
Die Antworten auf Passwort-Erinnerungshinweise sind halt auch etwas..

Am Ende hängt die Sicherheit neben der Verschlüsselung, auch davon ab dass man ein vernünftig langes Passwort verwendet hat. Die Angreifer konzentrieren sich eher auf kürzere.