Ist Lastpass sicher?

123sheep

Lt. Junior Grade
Registriert
Nov. 2015
Beiträge
415
Hallo,

ich benutze Lastpass in der Free Version mit einer 2-Stufen Verifizierung (Lastpass Authenticator). Ist Lastpass sicher genug, um dort seine Bankdaten zu speichern?
 
Ich fühl mich grad getrollt ... wieso in aller welt sollte man passwörter, pins oder andere sicherheitsrelevante dinge einer software anvertrauen?
Ergänzung ()

Okok, hab mir mal die homepage angeschaut und komme aus dem lachen nicht mehr raus.

Aber ein guter rat von mir an dieser stelle, benutz mal die graue masse zwischen deinen ohren
 
Eck schrieb:
Aber ein guter rat von mir an dieser stelle, benutz mal die graue masse zwischen deinen ohren

Alles klar Herr Neunmalklug.
 
123sheep schrieb:
Alles klar Herr Neunmalklug.

Moment, das war ein ernst gemeinter rat. Merk dir deine passwörter! Sicherer gehts nicht.
 
Eck schrieb:
Moment, das war ein ernst gemeinter rat. Merk dir deine passwörter! Sicherer gehts nicht.

Nutze ebenfalls einen Passwortmanager. In meinem Fall Keepass. Aus dem einen einfachen Grund:

So kann ich für jeden Dienst, ein eigenes, sicheres Passwort vergeben. Zusätzlich habe ich meine Datenbank natürlich nur offline und mit einem sicheren Masterpasswort gesichert. Dieses ändere ich noch alle 6 Monate.

Die Vorteile überwiegen in meinen Augen.
 
@ Eck: Siehe Anhang.

@ Dr. McCoy: Jawoll. Lücken gefixt, aber nein sagen. :rolleyes:

Eck schrieb:
Moment, das war ein ernst gemeinter rat. Merk dir deine passwörter! Sicherer gehts nicht.
Doch Herr Neunmalklug. Nenn mir bitte eine Methode, wie man sich 500 Passwörter merkt. Meine und die von der Firma. Und wenn du nach Schema X gehst und man dein Schema kennt, kann man alle Passwörter von dir herausfinden. Unsicherer als sich per Bruteforce durchzuhangeln.
 

Anhänge

  • Google_Security-practices-v6.png
    Google_Security-practices-v6.png
    43,4 KB · Aufrufe: 1.077
Ich würde mich freuen wenn die Herren/ Damen welche gegen die Password-Manager
wettern, aufzeigen könnten was den an diesen so schlecht ist.


Diese Programme verschlüsseln die dort hinterlegten Daten (Passwörter, Pins, ...),
dass somit nur die Nutzer mit einem entsprechenden Passwort für den Manager
diese auslesen können.

Natürlich hat man dann das Risiko bei Verlust des Passworts für den Manager
alle anderen Passwörter auch verloren zu haben, und das "Angreifer" nur noch
dieses eine Passwort herausfinden müssen (daher dieses lang und komplex wählen).
Wenn man damit leben kann sehe ich da nichts was dagegen spricht.
__________

Für den Passwort-Manager "KeePass" gab es auch schon eine Audit wo man nach
Hintertüren geschaut hat, bzw. ob es sonst irgendwelche Probleme gibt. Es wurde
nichts schlimmes gefunden, nur Kleinigkeiten.

Wie es bei LastPass aussieht müsste man Google für bemühen :).
 
Yuuri schrieb:
@ Dr. McCoy: Jawoll. Lücken gefixt, aber nein sagen. :rolleyes:
Genau. Weil Sicherheitslücken in besonders kritischen Anwendungen -- und das sind Passwortmanager in besonderem Maße -- sehr nachteilige Auswirkungen haben. Gerade Passwortspeicher sind für Angreifer nämlich sehr lohnenswerte Ziele, wenn die Aussicht darauf besteht, mit einem Angriff alle oder zumindest viele Zugangsdaten erlangen zu können.

Unter anderem aus diesem Grund wäre es sehr fahrlässig, würde man auch noch seine Onlinebanking-Zugangsdaten hinterlegen. Wer sich fachlich auskennt und wenigstens etwas schlau ist, wird tunlichst auf ein solches Hinterlegen konsequent verzichten.
 
Zuletzt bearbeitet:
Naja.. das sehen manche anders. Wenn der Passwort-Manager von der Programmierung was taugt und das Master-Kennwort sicher, sprich lang genug ist und man noch eine 2FA nutzt ist das besser als sich dutzende Kennwörter merken zu müssen. Ja, die PW-Safes sind dann lohnende Ziele, daher muss man seine Kennwort-DB eben entsprechend schützen und eben nicht einem wirtschaftlich agierenden Unternehmen geben ;)
 
Und was ist bei diesem Audit rausgekommen.

@Dr. Coy
Na dann kannst du uns ja sicher verraten, wie man sich zich Passwörter merken kann!
Ergänzung ()

snaxilian schrieb:
Naja.. das sehen manche anders. Wenn der Passwort-Manager von der Programmierung was taugt und das Master-Kennwort sicher, sprich lang genug ist und man noch eine 2FA nutzt ist das besser als sich dutzende Kennwörter merken zu müssen. Ja, die PW-Safes sind dann lohnende Ziele, daher muss man seine Kennwort-DB eben entsprechend schützen und eben nicht einem wirtschaftlich agierenden Unternehmen geben ;)


Oder noch besser, die Unternehmen die das anbieten müssen beim Thema Sicherheit ganz weit vorne mitspielen.
Nicht so viele Firmen, die die Daten in irgendwelche andere Länder outsourcen.
Nur weil es billiger ist.
 
Dr. McCoy schrieb:
Genau. Weil Sicherheitslücken in besonders kritischen Anwendungen -- und das sind Passwortmanager in besonderem Maße -- sehr nachteilige Auswirkungen haben. Gerade Passwortspeicher sind für Angreifer nämlich sehr lohnenswerte Ziele, wenn die Aussicht darauf besteht, mit einem Angriff alle oder zumindest viele Zugangsdaten erlangen zu können.

Unter anderem aus diesem Grund wäre es sehr fahrlässig, würde man auch noch seine Onlinebanking-Zugangsdaten hinterlegen. Wer sich fachlich auskennt und wenigstens etwas schlau ist, wird tunlichst auf ein solches Hinterlegen konsequent verzichten.

Genau das. Natürlich gibt es bestimmt relativ sichere passwortmanager, ABER alles was am netz hängt ist stehts dem risiko der kompromittierung durch dritte ausgesetzt. Und hinzu kommt noch, das auch bereits sichere software durch updates neue sicherheitslücken bekommen können.

Eine verschlüsselte datenbank, die nie online geht ist sicher vor zugriffen von aussen geschützt. Alles andere ist vieles, aber nicht sicher.
 
folgende überlegung:
jede hardware und software hat lücken, manche wurden entdeckt, manche gepatcht, manche zugepflastert und manche lücken wurden noch gar nicht entdeckt.
und mit diesem wissen musst du selber abwägen, ob du deine passwörter einem tool anvertraust, oder doch nicht. besonders mit der illusion, etwas sei besonders sicher, weil es verschlüsselt ist.... nun, wenn der angreifer nicht die verschlüsselung aushebelt, sondern nach der verschlüsselung die daten abgräbt.. so passiert bei vielen grossen onlineshops... ja sogar bei namhaften sicherheitsexperten und -firmen selber...
und ganz wichtig: wo ist dieser keepass/lastpass/wasauchimmerfürpass -server, welche garantien kriegst du vom anbieter? ersatz und geldzurückgarantie für das gesamtes vermögen (bankdatendiebstahl, kontoplünderung usw.), das geklaut wurde?.... ich sehe in den agb leider nur ähnliches wie "wir nehmen für nichts verantwortung und kohle gibt es sowieso keinen cent, wenn unser keepass/lastpasss gehackt würde"...
 
Eck schrieb:
Genau das. Natürlich gibt es bestimmt relativ sichere passwortmanager, ABER alles was am netz hängt ist stehts dem risiko der kompromittierung durch dritte ausgesetzt. Und hinzu kommt noch, das auch bereits sichere software durch updates neue sicherheitslücken bekommen können.

Hier geht es nur um Passwörter die "am Netz hängen", oder glaubst du Passwörter werden bei Webseiten im Tresor gelagert?
Ich habe zich Accounts für private Zwecke und Geschäftlich, da ist es mir einfach zu blöd jedes mal meinen Ordner mit 10 Seiten rauszusuchen und Passwörter in Form von "KA7^1X7LOjaqL3omt" einzutippen. Da brauche ich um z. B. mal schnell was bei Seolytics zu schauen 5 Minuten länger.

Ich halte es für sehr viel gefährlicher, für alle Webseiten das selbe Passwort zu verwenden, wie du das scheinbar machst, oder wie merkst du dir deine 50 Passwörter? Wie das ausgeht konnte man sich bei Aaron Barr ansehen.
 
Zuletzt bearbeitet:
50 passwörter? Ich komme auf keine 10 sicherheitsrelevante und vllt. 5 von foren, etc. die unwichtig sind. Die hand voll die ich regelmässig eingebe weiß ich und die anderen hab ich offline gesichert.
 
Habe früher auch Lastpass genutzt, aber mehr aus Bequemlichkeit, als dass ich die Zugangsdaten tatsächlich in der Cloud gebraucht hätte. Nach diversen Umbauarbeiten bei denen, wobei mir sogar ein Passwort flöten gegangen ist, und seit dem sie aufgekauft wurden, vertraue ich Lastpass nicht mehr, auch wenn Lastpass meint, keinerlei deiner Daten von dir unverschlüsselt zu speichern, geschweige denn überhaupt kennen zu können. Nutze nur noch KeePass lokal und bin zufrieden, auch wenn das Einloggen jetzt etwas länger dauert. Sachen ohne großes Risiko speicher ich auch immer noch im Browser, wie z.B. den Zugang zum Computerbaseforum. ;)
 
Zuletzt bearbeitet:
Zurück
Oben