Kennwort-Manager LastPass wurde gehackt
Falls ihr den Passwortmanager LastPass im Einsatz habt, wird euch die folgende Meldung nicht sonderlich erfreuen. Die Server der Betreiber wurden offenbar gehackt und es scheint, als hätten die Angreifer zumindest teilweise auch Zugriff auf persönliche Daten der Nutzer gehabt.
Die in LastPass gespeicherten Kennwörter seien allerdings weiterhin sicher, ein Zugriff auf die verschlüsselten Passwort-Tresore sei keinesfalls möglich. Allerdings hätten die Angreifer Daten wie E-Mail-Adressen und Kennwort-Erinnerungshilfen sowie verschlüsselte Authentifizierungsdateien auslesen können.
Um Missbrauch auszuschließen, müssen LastPass-Nutzer beim Zugriff von einem bislang nicht genutzten Gerät oder einer neuen IP-Adresse aus sofern keine 2-Faktor-Authentifizierung aktiviert ist zunächst ihre E-Mail-Adresse verifizieren. Zudem regen die Betreiber an, das Masterpasswort für den Dienst zu erneuern – insbesondere, wenn hier bislang ein eher schwaches Kennwort verwendet wurde.
Die in LastPass gespeicherten Kennwörter seien dagegen sicher. Die Angreifer hätten keinen Zugriff auf diese verschlüsselten Daten gehabt.
LastPass ist in den Basis-Versionen für Mac und für iOS kostenlos erhältlich. Wer seine Kennwortdatenbank über die Last-Pass-Server synchronisieren will, muss 12 Euro pro Jahr für einen Premium-Pass investieren.
Ohje – da bin ich mal gespannt was da noch bei rum kommt am Ende.
Leider ja mittlerweile sehr lohnenswerte Ziele – genau wie 1Password
Nur mit dem Unterschied, dass bei 1password so etwas nie vorkam, obwohl es viel länger existiert. Und als dieser schreckliche Fehler in OpenSSL bekannt wurde und daher auch alle iOS-Geräte potentiell betroffen waren, war 1password nicht betroffen, weil es nicht diese Systembibliothek für die Verschlüsselung nutzt.
Deshalb nutze ich ja auch 1pw ;)
50 % der Firmen weltweit werden gehackt und geben es zu, die anderen bekommen es gar nicht mit oder geben es nicht zu
Ach, Pseudobadenser Sohn… Bei diesem Fehler konnte man die möglicherweise betroffenen Produkte testen. 1password wurde natürlich auch getestet und 1passwordgab diese Erklärung, warum bei diesem schlimmen Fehler sie nicht betroffen waren. Lastpass musste sagen, dass sie betroffen waren, da laut Tests nachgewiesen wurde, dass sie betroffen sind. Oder bist du so naiv zu glauben, dass Lastpass dies nur zugab, weil sie angeblich ehrlich sind?
Nur das bei 1Password, die Passwörter nicht auf deren Servern liegen sondern auf Dropbox oder wo man halt sonst so seinen Tresor hinlegt.
Der beste Tresor für Passwörter ist immernoch der Kopf.
Praktisch unhackbar.
Falsch, man kann dir Medikamente verabreichen, wodurch es durchaus sein kann, dass du von dir Unvorstellbares tun kannst und dich danach noch nicht einmal erinnerst dies jemals getan zu haben. Absolut alle Menschen sind subjektiv. Man kann leider nie vollkommene Objektivität erreichen.
In dem Fall nicht aber nicht deine Passwörter das Problem…
Die genialste Art mit Passwörtern umzugehen ist meiner Meinung nach i MobileSitter.
Den Ansatz finde ich toll. So ähnlich bastle ich mir auch meine Passwörter:
[domain][masterpasswort] (z.B. „ifunpasswort“) in SHA-256, vom Ergebnis die ersten 16 Zeichen („e3bda0e28448abf0“) – sichere und jederzeit reproduzierbare Passwörter, nicht nötig, die in irgendeiner Datenbank zu sichern.
… sorry, die Kommentarfunktion hatte Schluckauf. ._.
und jedesmal, wenn du ein passwort brauchst hashst du [domain][masterpasswort] ?!
Ja… ich weiß, umständlich, aber da gibt’s zig Seiten und Apps dafür, und es ist zukunftssicher. :)
Hier übrigens die App, die mich darauf gebracht hat: https://github.com/mdznr/iOS-Passcode
Ganz hervorragender Tipp. Danke!
Den Ansatz finde ich toll, muß ich mir mal genauer anschauen.
Bisher bastle ich mir meine eigenen Passwörter, die ich nirgendwo speichern muß:
[domain][masterpasswort] (z.B. „ifunpasswort“) in SHA-256, vom Ergebnis die ersten 16 Zeichen („e3bda0e28448abf0“) – sichere und jederzeit reproduzierbare Passwörter, nicht nötig, die in irgendeiner Datenbank zu sichern.
@nina: danke für den Tipp. Aber wie löst Du es, wenn als Passwort Großbuchstaben oder Sonderzeichen vorausgesetzt werden?
Kommt selten vor, aber wenn’s nötig ist, verfahre ich immer gleich – als Beispiel zweiter Buchstabe vom Hash groß, danach Bindestrich.
genau das musste doch mal passieren… War mir immer schleierhaft, wie man einer App seine ganzen Passwörter anvertrauen sollte!
Genau! Deshalb habe ich meine Passwörter analog in meinem Wandtresor! Und die zwei, die ich mobil brauche, habe ich im Kopf. Ich wünsche allen, die ihre Passwörter irgendeiner Cloud anvertrauen gaaaaanz viel Spaß!
Das Gedächtnis-Passwort lautet bestimmt Passwort, damit es leicht zu merken ist.
Die App ist nicht das Problem sondern die cloud Speicherung. Es war nur eine Frage der Zeit wann so etwas passiert.
+1
Gut dass ich sowas nicht nutze.
Es braucht ein gutes Zahlen-/Buchstabengedächtnis und solche Apps sind überflüssig. Dazu nur dort anmelden wo zwingend notwendig meine persönliche Meinung.
Cool. > 150 PWs, mind. 20 Zeichen lang, inkl. Zahlen und Sonderzeichen, keine Duden-Wörter und alle PWs regelmäßig wechselnd.
DAS auswendig zu lernen ist wirklich eine Kunst. Aber die beherrschen eben nur wenige, zu denen du offenbar gehörst. Alle anderen brauchen gute und verlässliche Software dafür, ich auch.
Man bist du gut! Ich habe eine vierstellige Zahl von Passwörtern. Da kann ich mir die letzten 50 nicht mehr merken.
bestätigt sich mein Misstrauen gegen Cloud-Sync von Kennwörtern.
Naja was lernt man darauf? Offline ist sicher. Fertig. Deshalb lobe ich mir 1Password. Meine Passwörter sind auf meinen Platten auf meinen Geräten und diese werden über mein Netzwerk synchronisiert. Wenn es 3.te schaffen dort reinzukommen können sich auch mein Notizbuch klauen…
ist doch alles verschlüsselt in der Cloud.
Ist es unmöglich ein Schloss aufzubrechen?
Nö aber wenn man es versucht, dauert es je nach Stabilität des Schlosses und der Geschwkndigkeit, in der man Kombinantionen versuchen kann so um die 200 Jahre ;)
@ JD: für ein achtstelliges (gängiges oder aus dem Duden) Passwort braucht man mit richtigen Tools und Rechenkapazität unter einer Minute zur Entschlüsselung. Bei Verwendung von Sonderzeichen vllt. ein Tag.
Wer sich 18-Stellage kryptische Passwörter merken will, kommt fast an einer Software nicht vorbei.
Hatte LastPass mal angetestet. Bin aber schon länger bei 1Password und Sync über WLAN aus genau diesem Grund. Passwörter in der Cloud zu speichern ist einfach keine gute Idee.
Wenn beispielsweise einmal bei 1Password über die AppleCloud synchronisiert habe und dann nur noch WLAN-Sync mache. Wie bekomme ich das aus der AppleCloud wieder raus?
ios: settings –> icloud –> storage –> manage storage –> 1pass daten löschen
ob es dann wirklich gelöscht ist, weißt du natürlich nicht;)
Bloß nicht, dann werden alle Passwörter gelöscht. Auch auf dem Gerät selber!
In 1Password selber gibt es unter Einstellungen- Erweitert- die Möglichkeit nur den iCloud Speicher zu löschen.
Danke
Wow, gerade noch rechtzeitig von diesem ‚Honigtopf‘ weggegangen, auch wenn ich Zweifaktor über einen Yubi-Key gemacht habe. Nun mache ich Keepass mit Sync über meine eigene Owncloud, ich bin ganz zufrieden damit.
owncloud besteht quasi aus sicherheitslücken, nicht wirklich sinnvoll für hochsensible daten
Genau das ist auch meine Einschätzung. Ständig höre ich vollen Lobes von OwnCloud, weshalb ich es mehrere Jahre lang beobachtet habe. Heraus kam, dass es ständig riesige Sicherheitslücken hat. Viele haben anscheinend ein Kurzzeitgedächtnis.
Worin liegt eigentlich der Vorteil von einem passwortmanager programm, im Vergleich zum iCloud-Schlüsselbund?
Es ist Platformübergreifend.
Außerhalb der eigenen 4 Wände, an einem fremden Rechner und anderem Betriebssystem schon sehr praktisch, zumal man ja für jeden Log in ein anderes Passwort benutzt, welches ja lang, mind. 16 Zeichen, und schwer zu erraten ist, also sehr kryptisch oder zumindest zusammenhanglos.
Ja, synct eure Passwörter weiter über fremde Server – Hauptsache fun haben!
Im ernst: selbst schuld!! Wer die Eigenschaften eines Passwortes nicht verstanden hat (privat, keine Cloud o.Ä.) hat’s nicht besser verdient!
Und dafür auch noch Geld bezahlen…
Ich warte ja noch gespannt auf den Tag, an dem die Server von 1Password gehackt werden… wird das Geheule im Lande groß sein…
Diese Cloud-Manie wird erst ein Ende haben, wenn sich Nachrichten über finanzielle Schäden von Usern häufen. Das wird noch ein paar Jahre so gehen.
Schön wär’s – glaub‘ ich aber nicht.
Die Masse ist einfach zu bequem – Hauptsache einfach (und fun haben!)
Und was immer gerne vergessen wird:
DIESE (bequeme / fun) MASSE setzt negative Maßstäbe, welche von Marktbeobachtern mit höchstem Interesse beobachtet wird:
Ihr vertraut eure Passwörter fremden Servern an?
Ihr schei… auf Datenschutz?
Ihr unterschreibt ungesehen jede noch so absurde Datenschutzerklärung / AGB?
Ihr habt gegen LoudnessWar nichts einzuwenden?
Ihr gebt euch auch mit MP3 „Qualität“ zufrieden?
Ihr verschwendet kritiklos weiter eure Zeit mit volksverdummendem Fernseheninhalten?
Jaaaa, sehr gut, da haben wir genau die richtigen Produkte für euch:
Facebook, Whatsapp, Youtube, Streamingdienste, RTL (II)…
… und verdienen eben damit weiter unser Geld – Yeehaw!
Sehr erfrischend so etwas hier zu lesen. Du hast ja Recht. Andererseits ist Bequemlichkeit nun einmal eine der herausragensten Eigenschaften des Menschen und solange die Computerindustrie ihre Krakenarme mit in der Tat nützlichen Features tarnt, werden auch viele kritische Seelen immer versucht sein den einen oder anderen Kompromiss einzugehen. Was fehlt, ist ein Alternativ-Wirtschaftszweig, der kritischen Usern mit einfachen Mitteln hilft bsw.weise eine eigene Cloud einzurichten und zu pflegen. Ich habe in meiner Stadt zig professionelle Computerschrauber, aber keiner davon ist in der Lage mir ein entsprechendes Angebot abzugeben.
Wenn dann doch jemand deine PWs abgegriffen hat, weil dein HomeServer eben nicht so gut gesichert war wie du gedacht hattest, ist bestimmt der mp3-User Schuld, weil er eine Komödie auf RTL II nicht nur geguckt, sondern sich (Schande!) auch noch amüsiert hat. Immerhin kannst du dann sagen: „Mein Herz ist rein, ich habe stets nur selbstgedrehte, bio-dynamische Reportagen geguckt“. Das ist toll.
P.S. Achtung mit sog. „alternativen Clouds“, @Addams: Die sind nur (in der Tat alternativ aufgebaute und oft ja gut funktionierende) Tarnung für die Krakenarme von du-weißt-schon-wem.
Welche 1Pasdword Server? Die Passwörter liegen entweder bei dir oder z.B. in iCloud.
Sorry, mein Fehler:
ich meinte natürlich die vertrauenswürdigen Cloudanbieter, wie bspw. Dropbox…
Sag‘ mal, kannst du klar denken? Gerade deshalb kann man 1password bedenkenlos mit irgendeiner Cloud verwenden (wenn das Masterpasswort stark genug ist). Sonst würde es keinen Sinn machen einen Passwort-Manager zu benutzen, wenn die Cloud unbedingt sicher sein müsste.
Richtig. Aber nicht so wichtig wie der Subkontext, also das Wettern gegen (sich moralisch erheben über) Dropbox/FB/YT/WA/mp3-User. ;)
Wobei auch klar ist, dass eine Sicherung mit doppeltem Boden immer mehr Wert ist, denn natürlich ist nicht völlig ausgeschlossen, dass auch 1PW einmal kompromittiert werden könnte, v.a. wenn das Master-PW, das man sich ja merken können muss, nicht so streng ist, wie es vielleicht sein sollte. Das ist halt immer eine Frage des Vertrauens und eine Abwägung von Notwendigkeiten.
Ich habe nicht gegen FB/YT/WA/mp3-user gewettert. Ich habe lediglich noch einmal betont, da es hier im Kontext relevant ist, dass Dropbox unsicher ist, aber dies egal ist, weil gute Passwortmanager die gesammelten Passwörter verschlüsselt ablegen. Und dass Dropbox unsicher ist, ist überhaupt kein Bashing, sondern Fakt. Dropbox kann man problemlos weiterhin nutzen, wenn einem dies bewusst ist und man daher Dropbox mit Vorsicht nutzt.
.
Unsicheres Masterpasswort ist unsinnig. Absolut alles Verschlüsselte kann man entschlüsseln. Es kommt nur darauf, wieviel Zeit und Rechenkraft man hat um das Masterpasswort herauszufinden. Daher ist es immer unbedingt notwendig ein sicheres und komplexes Passwort zu wählen, damit man nicht so schnell das Masterpasswort errechnen kann. Dabei sollte man bei der Wahl des sicheren Passworts darauf achten, dass es auch vor möglichen Quantencomputern lang genug stand hält, auch wenn seit ca. 20 Jahren noch immer kein absolut deterministischer Quantencomputer erzeugt werden konnte.
Hat bestimmt mit der Sicherheit des iPhone zutun weil Apple Es mal wieder mit der Sicherheit nicht so voll nehmt die seit Januar bekannt war .
Nein.
Sagt mal Leute, wo steckt eigentlich DenkNN, der Typ von der Apple-Propaganda-Abteilung?
Mal den Teufel nicht an die Wand! ;)
Wahnsinnig viele schlaue Kommentare… Wer rund 120 Passwörter (PW) nutzt, diese auch mitunter zwischen 20–40 Stellen haben, soll mir mal erzählen, dass er diese alle im Kopf hat. Unüberlegt handelt man vor allem, wenn man die PW über eine Cloud synct. Meine liegen zu Hause auf dem Rechner! Basta!
Wie schaut es bei der App 1Key aus? Wo werden da die Passwörter gespeichert?
Steht in der App-Beschreibung.
äääähh, habt ihr gelesen und verstandenes dort passiert ist? Es wurden verschlüsselteund gesalzene Daten entwendet. Verschlüsselt wird grundsätzlich im Client. Wenn das Masterpasswort sicher war und jetzt auch noch geändert wurde kann mit diesen Daten niemand etwas anfangen. Nur gültige Email Adressen zu klauen ist anderweitig erheblich einfacher
Es wird Zeit, dass immer mehr Anbieter die Zwei-Faktor-Autorisierung unterstützen. Am besten mit mit einem Hardware-Token wie den Yubikey.
… dem Yubikey. Sorry.
Na ja…..Private Rechner sind wahrscheinlich im Vergleich zu einem Service wie Last Pass deutlich leichter zu knacken. Die meisten Privatpersonen würden es wahrscheinlich gar nicht merken, dass sie gehackt worden sind. Insofern ist es dann eher eine Frage der Wahrscheinlichkeit? ist die Wahrscheinlichkeit höher, dass ich als Privatperson gehackt werde oder mein Account bei Lastpass? Ist ein bisschen so wie Gold – lagere ich es im Tresor Daheim oder in Fort Knox? Absolute Sicherheit gibt es nicht. Man kann das Risiko minimieren. Empfehle Zweiwege-Authentifizierung. Erhöht die Sicherheit deutlich man kann aber immer noch die Bequemlichkeit eines Cloud Passwort Services nutzen. Und hier ist Lastpass für mich sehr weit vorne.