Ist Lastpass sicher?
- Ersteller 123sheep
- Erstellt am
Eck
Lt. Commander
- Registriert
- Juli 2015
- Beiträge
- 1.109
Ich fühl mich grad getrollt ... wieso in aller welt sollte man passwörter, pins oder andere sicherheitsrelevante dinge einer software anvertrauen?
Okok, hab mir mal die homepage angeschaut und komme aus dem lachen nicht mehr raus.
Aber ein guter rat von mir an dieser stelle, benutz mal die graue masse zwischen deinen ohren
Ergänzung ()
Okok, hab mir mal die homepage angeschaut und komme aus dem lachen nicht mehr raus.
Aber ein guter rat von mir an dieser stelle, benutz mal die graue masse zwischen deinen ohren
Dr. McCoy
Fleet Admiral
- Registriert
- Aug. 2015
- Beiträge
- 12.116
Hoffentlich nur für "Spielzeugzugänge".123sheep schrieb:
Natürlich nicht. Unter anderem:
-> http://www.zdnet.de/88288992/fraunhofer-viele-android-passwort-manager-unsicher/
Eck schrieb:
Nutze ebenfalls einen Passwortmanager. In meinem Fall Keepass. Aus dem einen einfachen Grund:
So kann ich für jeden Dienst, ein eigenes, sicheres Passwort vergeben. Zusätzlich habe ich meine Datenbank natürlich nur offline und mit einem sicheren Masterpasswort gesichert. Dieses ändere ich noch alle 6 Monate.
Die Vorteile überwiegen in meinen Augen.
Yuuri
Fleet Admiral
- Registriert
- Okt. 2010
- Beiträge
- 13.928
@ Eck: Siehe Anhang.
@ Dr. McCoy: Jawoll. Lücken gefixt, aber nein sagen.
@ Dr. McCoy: Jawoll. Lücken gefixt, aber nein sagen.
Doch Herr Neunmalklug. Nenn mir bitte eine Methode, wie man sich 500 Passwörter merkt. Meine und die von der Firma. Und wenn du nach Schema X gehst und man dein Schema kennt, kann man alle Passwörter von dir herausfinden. Unsicherer als sich per Bruteforce durchzuhangeln.Eck schrieb:
Anhänge
BartS
Commodore
- Registriert
- Apr. 2008
- Beiträge
- 4.953
Ich würde mich freuen wenn die Herren/ Damen welche gegen die Password-Manager
wettern, aufzeigen könnten was den an diesen so schlecht ist.
Diese Programme verschlüsseln die dort hinterlegten Daten (Passwörter, Pins, ...),
dass somit nur die Nutzer mit einem entsprechenden Passwort für den Manager
diese auslesen können.
Natürlich hat man dann das Risiko bei Verlust des Passworts für den Manager
alle anderen Passwörter auch verloren zu haben, und das "Angreifer" nur noch
dieses eine Passwort herausfinden müssen (daher dieses lang und komplex wählen).
Wenn man damit leben kann sehe ich da nichts was dagegen spricht.
__________
Für den Passwort-Manager "KeePass" gab es auch schon eine Audit wo man nach
Hintertüren geschaut hat, bzw. ob es sonst irgendwelche Probleme gibt. Es wurde
nichts schlimmes gefunden, nur Kleinigkeiten.
Wie es bei LastPass aussieht müsste man Google für bemühen
.
wettern, aufzeigen könnten was den an diesen so schlecht ist.
Diese Programme verschlüsseln die dort hinterlegten Daten (Passwörter, Pins, ...),
dass somit nur die Nutzer mit einem entsprechenden Passwort für den Manager
diese auslesen können.
Natürlich hat man dann das Risiko bei Verlust des Passworts für den Manager
alle anderen Passwörter auch verloren zu haben, und das "Angreifer" nur noch
dieses eine Passwort herausfinden müssen (daher dieses lang und komplex wählen).
Wenn man damit leben kann sehe ich da nichts was dagegen spricht.
__________
Für den Passwort-Manager "KeePass" gab es auch schon eine Audit wo man nach
Hintertüren geschaut hat, bzw. ob es sonst irgendwelche Probleme gibt. Es wurde
nichts schlimmes gefunden, nur Kleinigkeiten.
Wie es bei LastPass aussieht müsste man Google für bemühen
.
Dr. McCoy
Fleet Admiral
- Registriert
- Aug. 2015
- Beiträge
- 12.116
Genau. Weil Sicherheitslücken in besonders kritischen Anwendungen -- und das sind Passwortmanager in besonderem Maße -- sehr nachteilige Auswirkungen haben. Gerade Passwortspeicher sind für Angreifer nämlich sehr lohnenswerte Ziele, wenn die Aussicht darauf besteht, mit einem Angriff alle oder zumindest viele Zugangsdaten erlangen zu können.Yuuri schrieb:@ Dr. McCoy: Jawoll. Lücken gefixt, aber nein sagen.
Unter anderem aus diesem Grund wäre es sehr fahrlässig, würde man auch noch seine Onlinebanking-Zugangsdaten hinterlegen. Wer sich fachlich auskennt und wenigstens etwas schlau ist, wird tunlichst auf ein solches Hinterlegen konsequent verzichten.
Zuletzt bearbeitet:
Naja.. das sehen manche anders. Wenn der Passwort-Manager von der Programmierung was taugt und das Master-Kennwort sicher, sprich lang genug ist und man noch eine 2FA nutzt ist das besser als sich dutzende Kennwörter merken zu müssen. Ja, die PW-Safes sind dann lohnende Ziele, daher muss man seine Kennwort-DB eben entsprechend schützen und eben nicht einem wirtschaftlich agierenden Unternehmen geben 
Und was ist bei diesem Audit rausgekommen.
@Dr. Coy
Na dann kannst du uns ja sicher verraten, wie man sich zich Passwörter merken kann!
Oder noch besser, die Unternehmen die das anbieten müssen beim Thema Sicherheit ganz weit vorne mitspielen.
Nicht so viele Firmen, die die Daten in irgendwelche andere Länder outsourcen.
Nur weil es billiger ist.
@Dr. Coy
Na dann kannst du uns ja sicher verraten, wie man sich zich Passwörter merken kann!
Ergänzung ()
snaxilian schrieb:Naja.. das sehen manche anders. Wenn der Passwort-Manager von der Programmierung was taugt und das Master-Kennwort sicher, sprich lang genug ist und man noch eine 2FA nutzt ist das besser als sich dutzende Kennwörter merken zu müssen. Ja, die PW-Safes sind dann lohnende Ziele, daher muss man seine Kennwort-DB eben entsprechend schützen und eben nicht einem wirtschaftlich agierenden Unternehmen geben
Oder noch besser, die Unternehmen die das anbieten müssen beim Thema Sicherheit ganz weit vorne mitspielen.
Nicht so viele Firmen, die die Daten in irgendwelche andere Länder outsourcen.
Nur weil es billiger ist.
Eck
Lt. Commander
- Registriert
- Juli 2015
- Beiträge
- 1.109
Dr. McCoy schrieb:
Genau das. Natürlich gibt es bestimmt relativ sichere passwortmanager, ABER alles was am netz hängt ist stehts dem risiko der kompromittierung durch dritte ausgesetzt. Und hinzu kommt noch, das auch bereits sichere software durch updates neue sicherheitslücken bekommen können.
Eine verschlüsselte datenbank, die nie online geht ist sicher vor zugriffen von aussen geschützt. Alles andere ist vieles, aber nicht sicher.
chrigu
Fleet Admiral
- Registriert
- Mai 2012
- Beiträge
- 32.697
folgende überlegung:
jede hardware und software hat lücken, manche wurden entdeckt, manche gepatcht, manche zugepflastert und manche lücken wurden noch gar nicht entdeckt.
und mit diesem wissen musst du selber abwägen, ob du deine passwörter einem tool anvertraust, oder doch nicht. besonders mit der illusion, etwas sei besonders sicher, weil es verschlüsselt ist.... nun, wenn der angreifer nicht die verschlüsselung aushebelt, sondern nach der verschlüsselung die daten abgräbt.. so passiert bei vielen grossen onlineshops... ja sogar bei namhaften sicherheitsexperten und -firmen selber...
und ganz wichtig: wo ist dieser keepass/lastpass/wasauchimmerfürpass -server, welche garantien kriegst du vom anbieter? ersatz und geldzurückgarantie für das gesamtes vermögen (bankdatendiebstahl, kontoplünderung usw.), das geklaut wurde?.... ich sehe in den agb leider nur ähnliches wie "wir nehmen für nichts verantwortung und kohle gibt es sowieso keinen cent, wenn unser keepass/lastpasss gehackt würde"...
jede hardware und software hat lücken, manche wurden entdeckt, manche gepatcht, manche zugepflastert und manche lücken wurden noch gar nicht entdeckt.
und mit diesem wissen musst du selber abwägen, ob du deine passwörter einem tool anvertraust, oder doch nicht. besonders mit der illusion, etwas sei besonders sicher, weil es verschlüsselt ist.... nun, wenn der angreifer nicht die verschlüsselung aushebelt, sondern nach der verschlüsselung die daten abgräbt.. so passiert bei vielen grossen onlineshops... ja sogar bei namhaften sicherheitsexperten und -firmen selber...
und ganz wichtig: wo ist dieser keepass/lastpass/wasauchimmerfürpass -server, welche garantien kriegst du vom anbieter? ersatz und geldzurückgarantie für das gesamtes vermögen (bankdatendiebstahl, kontoplünderung usw.), das geklaut wurde?.... ich sehe in den agb leider nur ähnliches wie "wir nehmen für nichts verantwortung und kohle gibt es sowieso keinen cent, wenn unser keepass/lastpasss gehackt würde"...
- Registriert
- Nov. 2015
- Beiträge
- 415
Eck schrieb:
Hier geht es nur um Passwörter die "am Netz hängen", oder glaubst du Passwörter werden bei Webseiten im Tresor gelagert?
Ich habe zich Accounts für private Zwecke und Geschäftlich, da ist es mir einfach zu blöd jedes mal meinen Ordner mit 10 Seiten rauszusuchen und Passwörter in Form von "KA7^1X7LOjaqL3omt" einzutippen. Da brauche ich um z. B. mal schnell was bei Seolytics zu schauen 5 Minuten länger.
Ich halte es für sehr viel gefährlicher, für alle Webseiten das selbe Passwort zu verwenden, wie du das scheinbar machst, oder wie merkst du dir deine 50 Passwörter? Wie das ausgeht konnte man sich bei Aaron Barr ansehen.
Zuletzt bearbeitet:
brianmolko
Lt. Commander
- Registriert
- März 2014
- Beiträge
- 1.044
Lastpast: Nein, nicht sicher.
Keepass: Ja, sicher.
Keepass: Ja, sicher.
Bob.Dig
Captain
- Registriert
- Dez. 2006
- Beiträge
- 4.091
Habe früher auch Lastpass genutzt, aber mehr aus Bequemlichkeit, als dass ich die Zugangsdaten tatsächlich in der Cloud gebraucht hätte. Nach diversen Umbauarbeiten bei denen, wobei mir sogar ein Passwort flöten gegangen ist, und seit dem sie aufgekauft wurden, vertraue ich Lastpass nicht mehr, auch wenn Lastpass meint, keinerlei deiner Daten von dir unverschlüsselt zu speichern, geschweige denn überhaupt kennen zu können. Nutze nur noch KeePass lokal und bin zufrieden, auch wenn das Einloggen jetzt etwas länger dauert. Sachen ohne großes Risiko speicher ich auch immer noch im Browser, wie z.B. den Zugang zum Computerbaseforum.
Zuletzt bearbeitet:
