Lastpass - News zum Hack und was macht Ihr jetzt?
- Ersteller Faust2011
- Erstellt am
brianmolko
Lt. Commander
- Registriert
- März 2014
- Beiträge
- 1.044
thrawnx schrieb:
Was hat die Stadtsparkasse München mit schwachen Kennwörtern zu tun? Zahlen die Geld für schwache Kennwörter?
h00bi
Fleet Admiral
- Registriert
- Aug. 2006
- Beiträge
- 21.283
Die Diskussion hier artet doch wie das Thema des überschreibens con HDDs zur Verhinderung von Widerherstellung in total theoretischen Bullshit ab.
Mit einem brauchbaren Masterpasswort ist jeder Vault so sicher, dass Angriffe nur auf Lücken in der Verschlüsselung abzielen oder das Masterpasswort im Klartext abzugreifen.
Solange kein von beidem erfüllt ist, sielt es keine Rolle wenn jemand deinen Vault abgreift. Er kommt in praktisch relevanter Zeit nicht rein.
Hier mal eine kleine Visualisierungshilfe:
https://bitwarden.com/de-DE/password-strength/
Selbst ein eher simples PW wie Apfel%Baum5 wird hier mit 4 Monaten angegeben.
Wer brute forced denn 4 Monate am Container einer Privatperson rum?
Und das berücksichtigt ja entsprechende Rechenpower, man kann also nicht hunderte Container gleichzeitig über mehrere Monate brute-forcen.
für mein pw werden ~40 Jahre ausgespuckt und bereits eine weitere Zeichen macht Jahrhunderte draus.
Die eigentliche Frage ist:
Wenn Lastpass die Server nicht abgesichert bekommt, kann man ihnen vertauen dass der Quellcode und die Containerverschlüsselung keine Schwachstellen hat? Ich sage ja, die Vaults von Lastpass genauso sicher wie von den anderen Anbietern.
Mit einem brauchbaren Masterpasswort ist jeder Vault so sicher, dass Angriffe nur auf Lücken in der Verschlüsselung abzielen oder das Masterpasswort im Klartext abzugreifen.
Solange kein von beidem erfüllt ist, sielt es keine Rolle wenn jemand deinen Vault abgreift. Er kommt in praktisch relevanter Zeit nicht rein.
Hier mal eine kleine Visualisierungshilfe:
https://bitwarden.com/de-DE/password-strength/
Selbst ein eher simples PW wie Apfel%Baum5 wird hier mit 4 Monaten angegeben.
Wer brute forced denn 4 Monate am Container einer Privatperson rum?
Und das berücksichtigt ja entsprechende Rechenpower, man kann also nicht hunderte Container gleichzeitig über mehrere Monate brute-forcen.
für mein pw werden ~40 Jahre ausgespuckt und bereits eine weitere Zeichen macht Jahrhunderte draus.
Die eigentliche Frage ist:
Wenn Lastpass die Server nicht abgesichert bekommt, kann man ihnen vertauen dass der Quellcode und die Containerverschlüsselung keine Schwachstellen hat? Ich sage ja, die Vaults von Lastpass genauso sicher wie von den anderen Anbietern.
Clausewitz
Lieutenant
- Registriert
- Jan. 2006
- Beiträge
- 775
Update:
Ich habe gerade mit dem LP Support telefoniert, und anscheinend speichert LP die Websites anders als die Credentials. Es gibt ein Verfahren zur Nutzerauthentifizierung, wo sie Anwender fragen, welche Websites sie besucht haben, und das dann gegen eine Liste verifizieren. Damit sind die besuchten Websites schonmal kompromittiert.
Also wer da was zu verbergen hatte, tja, das ist dann jetzt wohl öffentlich. ;-)
Ich finde das sehr enttäuschend. Mir war dies nicht bewusst. Ich dachte, die URLs gehören zu den geschützten Secrets dazu.
Ich habe gerade mit dem LP Support telefoniert, und anscheinend speichert LP die Websites anders als die Credentials. Es gibt ein Verfahren zur Nutzerauthentifizierung, wo sie Anwender fragen, welche Websites sie besucht haben, und das dann gegen eine Liste verifizieren. Damit sind die besuchten Websites schonmal kompromittiert.
Also wer da was zu verbergen hatte, tja, das ist dann jetzt wohl öffentlich. ;-)
Ich finde das sehr enttäuschend. Mir war dies nicht bewusst. Ich dachte, die URLs gehören zu den geschützten Secrets dazu.
Retrocloud
Lt. Commander
- Registriert
- März 2009
- Beiträge
- 1.252
@M-X
Wie war das noch mit Cloud?
https://www.computerbase.de/forum/threads/passwortmanager.2103329/#post-27294461
Solche News finde ich immer amüsant
Wie war das noch mit Cloud?
https://www.computerbase.de/forum/threads/passwortmanager.2103329/#post-27294461
Solche News finde ich immer amüsant
S
s1ave77
Gast
Ist schon ein Unterschied, ob das ein rein cloudbasierter Service mit proprietärer Technik ist oder FOSS wie Keepass mit zahlreichen Audits zur Sicherheit. Wenn ich bei letzterem die KDBX auf meinem 2FA gesicherten GDrive speichere und die Schlüsseldatei lokal, ist das ein himmelweiter Unterschied. Nicht alles über einen Kamm scheren.Retrocloud schrieb:
Grundsätzlich finde ich es ja gut dass immer mehr Leute ein Sicherheitsbewusstsein entwickeln, was aber super toll wäre, wenn Leute sich erstmal über sowas wie masked email/aliases und sichere Passwörter informieren und sich abgewöhnen eine Email/Password Kombi für alle Logins zu nutzen, statt sich Gedanken zu machen wie lange es dauert bis man ihren AES256 Vault bruteforced hat.
Evil E-Lex
Commander
- Registriert
- Apr. 2013
- Beiträge
- 2.854
Immer dieses Scheinargument mit den angeblich zahlreichen Audits. Leute, was wurde denn audititiert? Das OG KeePass was kaum noch jemand nutzt, weil es aussieht und sich bedienen lässt wie Software aus den 90ern. KeePassXC wurde bislang nicht auditiert:mae1cum77 schrieb:
Das gleiche gilt für die diversen Smartphone-Apps.
S
s1ave77
Gast
https://restoreprivacy.com/password-manager/reviews/keepass/Evil E-Lex schrieb:
Wen interessiert Optik, wenn der Rest überzeugen kann
.Die Nicht-Existenz einer solchen Lücke lässt sich jedoch nicht beweisen. Es stellt sich auch die Frage, wieso Geld investieren um LastPass anzugreifen. Das sind ja keine 14 jährigen Kellerkinder, sondern Organisationen die häufig ganz normal wie Unternehmen organisiert sind. Welchen ROI haben die sich erhofft?h00bi schrieb:
Evil E-Lex
Commander
- Registriert
- Apr. 2013
- Beiträge
- 2.854
Das ist kein Audit, sondern ein Testbericht. Und mich interessiert Optik sehr wohl. Ich will auf meinen Betriebssystemen keine Software die sich anfühlt wie ein Fremdkörper.mae1cum77 schrieb:https://restoreprivacy.com/password-manager/reviews/keepass/
Wen interessiert Optik, wenn der Rest überzeugen kann
Außerdem sagt die Überschrift in dem Test schon alles:
"KeePass Review 2022 – Open Source, but Lacking Features".
KeePass ist gewiss gut, aber nicht der heilige Gral, als das es immer dargestellt wird.
S
shy-Denise
Gast
Evil E-Lex schrieb:
Die private Personen sehr wohl.
sikarr
Vice Admiral
- Registriert
- Mai 2010
- Beiträge
- 6.392
Das hat niemand behauptet, sondern nur das es Bullshit ist zusagen die Cloud wäre per se unsicher. Wenn du zuhause einen Wasserschaden durch z.B. deinen Nachbarn hast und dein Block unleserlich geworden ist was dann, oder wenn ein Feuer diese Zerstört oder Einbrecher stoßen durch Zufall drauf und nehmen sie mit? Das passiert täglich, ist also auch nicht sicherer als in einer Cloud mit entsprechenden Sicherheitsvorkehrungen nur das bis auf den Diebstahl Verlust durch Elemente durch Backups und Redundanzen in andere RZ quasi ausgeschlossen ist.Highspeed Opi schrieb:
Wahrscheinlichkeiten sind aber keine Sicherheiten. Wenn ich als Passwort "password" nehme dann brauch ich mich nicht wundern und das gibt der Benutzer vor.Highspeed Opi schrieb:
Woher sollen sie den wissen was sich Datentechnisch lohnen könnte und was nicht? Klar große Dienste und Unternehmen bieten schon von Grund aus eine hohe Angriffsfläche. Das bedeutet aber nicht das durch div. Lücken in NAS, Routern, PCs usw. nicht doch zugriff erlangt werden kann.Highspeed Opi schrieb:
Deswegen haben die ganzen Verschlüsselungstrojaner auch so wenig Privatleute getroffen, da saß keiner da und hat selektiert. Da waren Bots, Crawler usw. am Werk die einfach Stumpf alles durchprobiert haben bis es Erfolg gab. Hört auf zu denken das ihr sicher seit nur weil euch für unwichtig haltet.Highspeed Opi schrieb:
Dazu wirds wohl leider keine Statistiken geben. Aber zum Thema NAS, man muss es ja nicht direkt angreifen. Sobald jemand in deinem Netz ist hat er ja schon gewonnen und kann sich in Ruhe umsehen. Gerade Privat gehen die meisten sehr unbedacht mit der Wartung ihrer Hard- und Software um. In kommerziellen Cloud Umgebungen wird permanent alles überwacht und auditiert um eben so gut wie keine Angriffspunkte zu geben.TrueAzrael schrieb:
Die News spiegeln aber auch nur das wieder womit die Portale/Zeitungen etc Klicks erzielen, Sensationsjournalismus sag ich da nur. Interessanter wären die, die eben nicht in den News genannt werden, die gehackt und erpresst wurden und es eben nicht publik wurde weil zu kleine oder einfach nicht gemeldet.Highspeed Opi schrieb:
Privatpersonen mal komplett rausgenommen, Niemand interessiert es ob Hans Peter aus Buxtehude gehackt wurde, wenn das Lastpass passiert ist das ein ganz anderes Thema.
Es gibt viel Lohnenswertere Dinge als Passwörter die in den Clouds liegen.Highspeed Opi schrieb:
Hmm da wird aber wohl mehr die Länge, und als die Kompläxität geprüft. Mein Passwort soll Jahrunderte standhalten aber sobal ich eine Stelle wegnehme sind es nur noch 30 Jahre.h00bi schrieb:
Abgesehen davon werden bei angriffen eher Wörterbuchattacken gefahren als blosses Zeichen durchtesten, das müsste man mit dem Apfelmuss Passwort mal testen.
Zuletzt bearbeitet:
h00bi
Fleet Admiral
- Registriert
- Aug. 2006
- Beiträge
- 21.283
Es ist untern drunter verlinkt wie die Bewertung zustande kommt incl. Vergleich verschiedender "Bewertungssysteme".sikarr schrieb:
Ich keine keine dumme brute force Attacke die stupide durchprobiert, die tatsächlich für sowas verwendet wird.sikarr schrieb:
Alle probieren i.d.R. erstmal die vielversprechendesten Passwörter aus Leaks, Wörterbüchern und Substitutionsverfahren, bevor sie ans echte brute forcen gehen.
Warum sollte ich 5f3"24!s testen bevor ich password1 teste?
Dann kennst du nicht sehr viel. Ja, natürlich werden erstmal Wörterbücher/Leaks usw durchprobiert, wenn davon nichts trifft, dann werden da stumpf Zeichen durchprobiert, hat @sikarr aber auch nicht anders behauptet. Es gibt Software, z.B. sowas hier Click, die versucht genau so in TC Container und anderen Dingen rein zu kommen und lässt sich mit GPU und Clustern hochskalieren. Wird unter anderem vom Zoll und anderen Behörden benutzt. Das ist übrigens noch relativ harmlos, sonst hätten sie keine Website. Die richtigen Profis die sich custom ASICS für ihre Tasks anfertigen lassen, kennen wir meistens gar nicht.
S
shy-Denise
Gast
@jonderson
Und was ist an masterpasswordapp besser für einzelne User?
Für Gruppen bzw. Enterprise Anwendungen gibt es deutlich bessere Alternativen als Keepas, zum Beispiel weil schon alleine Sachen wie AD Anbindung fehlen.
Und was ist an masterpasswordapp besser für einzelne User?
Für Gruppen bzw. Enterprise Anwendungen gibt es deutlich bessere Alternativen als Keepas, zum Beispiel weil schon alleine Sachen wie AD Anbindung fehlen.
Er muss nicht erst eine Datenbank öffnen, braucht keine Datenbank mitschleppen.shy-Denise schrieb:
(Die Datenbank ist quasi dein selbst ausgedachter Benutzername und zugehöriges Passwort)
Passwörter werden auf klick eingefügt.
(Auch bei masterpasswordapp ist allerdings nicht alles Gold was glänzt, besonders wenn die Webseiten keine schwierigen Passwörter erlauben muss man die Sicherheit runterschrauben und sich das merken/aufschreiben)
S
shy-Denise
Gast
@jonderson und wo werden die Daten gespeichert?
Passwörter? Nirgends
Es werden aber Einstellungen zu Passwörtern gespeichert.
Vielleicht mal anhand eines Screenshot von einem Masterpassword Browserplugins erklärt:
Gehen wir von unten nach oben.
1. Am roten sieht man, dass das Programm gemerkt hat, dass mein Benutzer sich seit dem letzen einloggen geändert hat.
Wenn man nicht mehrere Benutzer hat, sollte man jetzt am besten wieder oben rechts drauf klicken und seine Daten nochmals eingeben und sich dieses mal nicht vertippen
2. An dem verify kann man nochmal kontrollieren, ob man sein Benutzername und Passwort richtig eingegeben hat. (z.B. bei einem cleanen Browser)
3. Generation: Wenn man warum auch immer ein neues Passwort für die Seite braucht, kann man hier eins hochzählen. Wie schon gesagt kommt hier einer der größten Nachteile zum tragen. Bisher hat keiner was gebastelt, dass dies Synchronisiert wird. Also merken oder irgendwo aufschreiben.
4. Type: Genau das gleiche wie bei 3. wenn eine Seite so Starke Passwörter nicht erlaubt muss man hier umstellen.
5. [user name]: nie benutzt, sollte aber genau das gleiche wie 3. und 4. sein.
6. k^... Das ist das Passwort was automatisch ins Feld eingetragen wird, welches man vor dem klicken auf die 3 Punkte oben rechts angeklickt hat.
7. example.com Das ist die Webseite und wird beim Browser Addon automatisch ermittelt, muss in den Apps eingegeben werden. Ratsam ist es hier bei Seiten wie Amazon, wo das Passwort Länderübergreifend gültig ist, sich einen Standard auzudenken. z.B. immer .com als Ende.
Wie gesagt ist der Nachteil an Masterpasswordapp, dass alles was man manuell ändert nur im Browser gespeichert wird und nicht synchronisiert wird. Also merken oder irgendwo aufschreiben.
Deswegen nur ändern wenn nötig, aber diese Daten sind dann auch nicht so schützenswert...
€dit:
Es gibt in dein Einstellungen:
Let Browser sync data
Also scheinbar scheint es da doch was zu geben.
Muss ich mir mal anschauen, wenn ich zeit haben.
Befürchte aber es baut auf Firefox Sync auf...
Es werden aber Einstellungen zu Passwörtern gespeichert.
Vielleicht mal anhand eines Screenshot von einem Masterpassword Browserplugins erklärt:
Gehen wir von unten nach oben.
1. Am roten sieht man, dass das Programm gemerkt hat, dass mein Benutzer sich seit dem letzen einloggen geändert hat.
Wenn man nicht mehrere Benutzer hat, sollte man jetzt am besten wieder oben rechts drauf klicken und seine Daten nochmals eingeben und sich dieses mal nicht vertippen
2. An dem verify kann man nochmal kontrollieren, ob man sein Benutzername und Passwort richtig eingegeben hat. (z.B. bei einem cleanen Browser)
3. Generation: Wenn man warum auch immer ein neues Passwort für die Seite braucht, kann man hier eins hochzählen. Wie schon gesagt kommt hier einer der größten Nachteile zum tragen. Bisher hat keiner was gebastelt, dass dies Synchronisiert wird. Also merken oder irgendwo aufschreiben.
4. Type: Genau das gleiche wie bei 3. wenn eine Seite so Starke Passwörter nicht erlaubt muss man hier umstellen.
5. [user name]: nie benutzt, sollte aber genau das gleiche wie 3. und 4. sein.
6. k^... Das ist das Passwort was automatisch ins Feld eingetragen wird, welches man vor dem klicken auf die 3 Punkte oben rechts angeklickt hat.
7. example.com Das ist die Webseite und wird beim Browser Addon automatisch ermittelt, muss in den Apps eingegeben werden. Ratsam ist es hier bei Seiten wie Amazon, wo das Passwort Länderübergreifend gültig ist, sich einen Standard auzudenken. z.B. immer .com als Ende.
Wie gesagt ist der Nachteil an Masterpasswordapp, dass alles was man manuell ändert nur im Browser gespeichert wird und nicht synchronisiert wird. Also merken oder irgendwo aufschreiben.
Deswegen nur ändern wenn nötig, aber diese Daten sind dann auch nicht so schützenswert...
€dit:
Es gibt in dein Einstellungen:
Let Browser sync data
Also scheinbar scheint es da doch was zu geben.
Muss ich mir mal anschauen, wenn ich zeit haben.
Befürchte aber es baut auf Firefox Sync auf...
Zuletzt bearbeitet:
