Lastpass - News zum Hack und was macht Ihr jetzt?

Ja, es ist praktisch da ich meine Maus an einem Switch habe und zwischen den PCs hin- und herschalten kann ;-)
 
Die Diskussion hier artet doch wie das Thema des überschreibens con HDDs zur Verhinderung von Widerherstellung in total theoretischen Bullshit ab.

Mit einem brauchbaren Masterpasswort ist jeder Vault so sicher, dass Angriffe nur auf Lücken in der Verschlüsselung abzielen oder das Masterpasswort im Klartext abzugreifen.

Solange kein von beidem erfüllt ist, sielt es keine Rolle wenn jemand deinen Vault abgreift. Er kommt in praktisch relevanter Zeit nicht rein.

Hier mal eine kleine Visualisierungshilfe:
https://bitwarden.com/de-DE/password-strength/
Selbst ein eher simples PW wie Apfel%Baum5 wird hier mit 4 Monaten angegeben.
Wer brute forced denn 4 Monate am Container einer Privatperson rum?
Und das berücksichtigt ja entsprechende Rechenpower, man kann also nicht hunderte Container gleichzeitig über mehrere Monate brute-forcen.

für mein pw werden ~40 Jahre ausgespuckt und bereits eine weitere Zeichen macht Jahrhunderte draus.

Die eigentliche Frage ist:
Wenn Lastpass die Server nicht abgesichert bekommt, kann man ihnen vertauen dass der Quellcode und die Containerverschlüsselung keine Schwachstellen hat? Ich sage ja, die Vaults von Lastpass genauso sicher wie von den anderen Anbietern.
 
  • Gefällt mir
Reaktionen: Faust2011
Update:
Ich habe gerade mit dem LP Support telefoniert, und anscheinend speichert LP die Websites anders als die Credentials. Es gibt ein Verfahren zur Nutzerauthentifizierung, wo sie Anwender fragen, welche Websites sie besucht haben, und das dann gegen eine Liste verifizieren. Damit sind die besuchten Websites schonmal kompromittiert.

Also wer da was zu verbergen hatte, tja, das ist dann jetzt wohl öffentlich. ;-)

Ich finde das sehr enttäuschend. Mir war dies nicht bewusst. Ich dachte, die URLs gehören zu den geschützten Secrets dazu.
 
  • Gefällt mir
Reaktionen: Faust2011
Retrocloud schrieb:
Solche News finde ich immer amüsant
Ist schon ein Unterschied, ob das ein rein cloudbasierter Service mit proprietärer Technik ist oder FOSS wie Keepass mit zahlreichen Audits zur Sicherheit. Wenn ich bei letzterem die KDBX auf meinem 2FA gesicherten GDrive speichere und die Schlüsseldatei lokal, ist das ein himmelweiter Unterschied. Nicht alles über einen Kamm scheren.
 
  • Gefällt mir
Reaktionen: Eletron und Der Lord
Grundsätzlich finde ich es ja gut dass immer mehr Leute ein Sicherheitsbewusstsein entwickeln, was aber super toll wäre, wenn Leute sich erstmal über sowas wie masked email/aliases und sichere Passwörter informieren und sich abgewöhnen eine Email/Password Kombi für alle Logins zu nutzen, statt sich Gedanken zu machen wie lange es dauert bis man ihren AES256 Vault bruteforced hat.
 
mae1cum77 schrieb:
Ist schon ein Unterschied, ob das ein rein cloudbasierter Service mit proprietärer Technik ist oder FOSS wie Keepass mit zahlreichen Audits zur Sicherheit.
Immer dieses Scheinargument mit den angeblich zahlreichen Audits. Leute, was wurde denn audititiert? Das OG KeePass was kaum noch jemand nutzt, weil es aussieht und sich bedienen lässt wie Software aus den 90ern. KeePassXC wurde bislang nicht auditiert:
Has KeePassXC ever had an external security audit? Why not?At the time of writing, No. Having a third-party security audit comes with a considerable price and at the moment, KeePassXC is a purely community-driven project.
Das gleiche gilt für die diversen Smartphone-Apps.
 
h00bi schrieb:
Mit einem brauchbaren Masterpasswort ist jeder Vault so sicher, dass Angriffe nur auf Lücken in der Verschlüsselung abzielen
Die Nicht-Existenz einer solchen Lücke lässt sich jedoch nicht beweisen. Es stellt sich auch die Frage, wieso Geld investieren um LastPass anzugreifen. Das sind ja keine 14 jährigen Kellerkinder, sondern Organisationen die häufig ganz normal wie Unternehmen organisiert sind. Welchen ROI haben die sich erhofft?
 
mae1cum77 schrieb:
https://restoreprivacy.com/password-manager/reviews/keepass/

Wen interessiert Optik, wenn der Rest überzeugen kann ;).
Das ist kein Audit, sondern ein Testbericht. Und mich interessiert Optik sehr wohl. Ich will auf meinen Betriebssystemen keine Software die sich anfühlt wie ein Fremdkörper.
Außerdem sagt die Überschrift in dem Test schon alles:
"KeePass Review 2022 – Open Source, but Lacking Features".
KeePass ist gewiss gut, aber nicht der heilige Gral, als das es immer dargestellt wird.
 
Highspeed Opi schrieb:
Es wäre Bullshit es als sicher zu betrachten. Nichts ist sicher, das ist Fakt.
Das hat niemand behauptet, sondern nur das es Bullshit ist zusagen die Cloud wäre per se unsicher. Wenn du zuhause einen Wasserschaden durch z.B. deinen Nachbarn hast und dein Block unleserlich geworden ist was dann, oder wenn ein Feuer diese Zerstört oder Einbrecher stoßen durch Zufall drauf und nehmen sie mit? Das passiert täglich, ist also auch nicht sicherer als in einer Cloud mit entsprechenden Sicherheitsvorkehrungen nur das bis auf den Diebstahl Verlust durch Elemente durch Backups und Redundanzen in andere RZ quasi ausgeschlossen ist.
Highspeed Opi schrieb:
Es geht um Wahrscheinlichkeiten
Wahrscheinlichkeiten sind aber keine Sicherheiten. Wenn ich als Passwort "password" nehme dann brauch ich mich nicht wundern und das gibt der Benutzer vor.
Highspeed Opi schrieb:
kriminelle Profi-Teams Geld verdienen wollen, versuchen sie nicht ihre Zeit mit deinen wahrscheinlich unwichtigen und wertlosen Daten zu verschwenden.
Woher sollen sie den wissen was sich Datentechnisch lohnen könnte und was nicht? Klar große Dienste und Unternehmen bieten schon von Grund aus eine hohe Angriffsfläche. Das bedeutet aber nicht das durch div. Lücken in NAS, Routern, PCs usw. nicht doch zugriff erlangt werden kann.
Highspeed Opi schrieb:
Sie gehen an die Quelle, wo die Anzahl wichtiger und wertvoller Daten tausend- oder millionenfach höher ist.
Deswegen haben die ganzen Verschlüsselungstrojaner auch so wenig Privatleute getroffen, da saß keiner da und hat selektiert. Da waren Bots, Crawler usw. am Werk die einfach Stumpf alles durchprobiert haben bis es Erfolg gab. Hört auf zu denken das ihr sicher seit nur weil euch für unwichtig haltet.
TrueAzrael schrieb:
Wenn die Software auf dem eigenen NAS robust genug ist (würde ich bei größeren Open Source Projekten annehmen), dann ist die Wahrscheinlichkeit eines Diebstahls auf der eigenen Hardware wohl unwahrscheinlicher als in einer gemeinschaftlichen Cloud. Ist aber generell nur eine Vermutung, meinerseits.
Dazu wirds wohl leider keine Statistiken geben. Aber zum Thema NAS, man muss es ja nicht direkt angreifen. Sobald jemand in deinem Netz ist hat er ja schon gewonnen und kann sich in Ruhe umsehen. Gerade Privat gehen die meisten sehr unbedacht mit der Wartung ihrer Hard- und Software um. In kommerziellen Cloud Umgebungen wird permanent alles überwacht und auditiert um eben so gut wie keine Angriffspunkte zu geben.
Highspeed Opi schrieb:
Die News der vergangenen Jahre haben eindeutig bewiesen, dass diese Daten ständig gehackt werden, ein Fehler die Daten unverschlüsselt für alle zugänglich macht, Daten falschen Personen zugeordnet wurden, interne Mitarbeiter die Daten verkauft haben, staatliche Behörden mit unlimitierten Ressourcen einen Direktzugriff darauf haben oder gesetzlich verpflichten, usw.
Die News spiegeln aber auch nur das wieder womit die Portale/Zeitungen etc Klicks erzielen, Sensationsjournalismus sag ich da nur. Interessanter wären die, die eben nicht in den News genannt werden, die gehackt und erpresst wurden und es eben nicht publik wurde weil zu kleine oder einfach nicht gemeldet.

Privatpersonen mal komplett rausgenommen, Niemand interessiert es ob Hans Peter aus Buxtehude gehackt wurde, wenn das Lastpass passiert ist das ein ganz anderes Thema.
Highspeed Opi schrieb:
Passwörter sind eben das Letzte, was ich in die Cloud hochladen würde.
Es gibt viel Lohnenswertere Dinge als Passwörter die in den Clouds liegen.
h00bi schrieb:
Hier mal eine kleine Visualisierungshilfe:
https://bitwarden.com/de-DE/password-strength/
....

für mein pw werden ~40 Jahre ausgespuckt und bereits eine weitere Zeichen macht Jahrhunderte draus.
Hmm da wird aber wohl mehr die Länge, und als die Kompläxität geprüft. Mein Passwort soll Jahrunderte standhalten aber sobal ich eine Stelle wegnehme sind es nur noch 30 Jahre.

Abgesehen davon werden bei angriffen eher Wörterbuchattacken gefahren als blosses Zeichen durchtesten, das müsste man mit dem Apfelmuss Passwort mal testen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Clausewitz
sikarr schrieb:
Hmm da wird aber wohl mehr die Länge, und als die Kompläxität geprüft.
Es ist untern drunter verlinkt wie die Bewertung zustande kommt incl. Vergleich verschiedender "Bewertungssysteme".
sikarr schrieb:
Abgesehen davon werden da eher Wörterbuchattacken gefahren als blosses Zeichen durchtesten
Ich keine keine dumme brute force Attacke die stupide durchprobiert, die tatsächlich für sowas verwendet wird.
Alle probieren i.d.R. erstmal die vielversprechendesten Passwörter aus Leaks, Wörterbüchern und Substitutionsverfahren, bevor sie ans echte brute forcen gehen.
Warum sollte ich 5f3"24!s testen bevor ich password1 teste?
 
  • Gefällt mir
Reaktionen: Azdak
Dann kennst du nicht sehr viel. Ja, natürlich werden erstmal Wörterbücher/Leaks usw durchprobiert, wenn davon nichts trifft, dann werden da stumpf Zeichen durchprobiert, hat @sikarr aber auch nicht anders behauptet. Es gibt Software, z.B. sowas hier Click, die versucht genau so in TC Container und anderen Dingen rein zu kommen und lässt sich mit GPU und Clustern hochskalieren. Wird unter anderem vom Zoll und anderen Behörden benutzt. Das ist übrigens noch relativ harmlos, sonst hätten sie keine Website. Die richtigen Profis die sich custom ASICS für ihre Tasks anfertigen lassen, kennen wir meistens gar nicht.
 
  • Gefällt mir
Reaktionen: Clausewitz
@jonderson
Und was ist an masterpasswordapp besser für einzelne User?
Für Gruppen bzw. Enterprise Anwendungen gibt es deutlich bessere Alternativen als Keepas, zum Beispiel weil schon alleine Sachen wie AD Anbindung fehlen.
 
shy-Denise schrieb:
@jonderson
Und was ist an masterpasswordapp besser für einzelne User?
Er muss nicht erst eine Datenbank öffnen, braucht keine Datenbank mitschleppen.
(Die Datenbank ist quasi dein selbst ausgedachter Benutzername und zugehöriges Passwort)
Passwörter werden auf klick eingefügt.
(Auch bei masterpasswordapp ist allerdings nicht alles Gold was glänzt, besonders wenn die Webseiten keine schwierigen Passwörter erlauben muss man die Sicherheit runterschrauben und sich das merken/aufschreiben)
 
Passwörter? Nirgends
Es werden aber Einstellungen zu Passwörtern gespeichert.

Vielleicht mal anhand eines Screenshot von einem Masterpassword Browserplugins erklärt:
masterpassword.png

Gehen wir von unten nach oben.
1. Am roten sieht man, dass das Programm gemerkt hat, dass mein Benutzer sich seit dem letzen einloggen geändert hat.
Wenn man nicht mehrere Benutzer hat, sollte man jetzt am besten wieder oben rechts drauf klicken und seine Daten nochmals eingeben und sich dieses mal nicht vertippen ;)
2. An dem verify kann man nochmal kontrollieren, ob man sein Benutzername und Passwort richtig eingegeben hat. (z.B. bei einem cleanen Browser)
3. Generation: Wenn man warum auch immer ein neues Passwort für die Seite braucht, kann man hier eins hochzählen. Wie schon gesagt kommt hier einer der größten Nachteile zum tragen. Bisher hat keiner was gebastelt, dass dies Synchronisiert wird. Also merken oder irgendwo aufschreiben.
4. Type: Genau das gleiche wie bei 3. wenn eine Seite so Starke Passwörter nicht erlaubt muss man hier umstellen.
5. [user name]: nie benutzt, sollte aber genau das gleiche wie 3. und 4. sein.
6. k^... Das ist das Passwort was automatisch ins Feld eingetragen wird, welches man vor dem klicken auf die 3 Punkte oben rechts angeklickt hat.
7. example.com Das ist die Webseite und wird beim Browser Addon automatisch ermittelt, muss in den Apps eingegeben werden. Ratsam ist es hier bei Seiten wie Amazon, wo das Passwort Länderübergreifend gültig ist, sich einen Standard auzudenken. z.B. immer .com als Ende.

Wie gesagt ist der Nachteil an Masterpasswordapp, dass alles was man manuell ändert nur im Browser gespeichert wird und nicht synchronisiert wird. Also merken oder irgendwo aufschreiben.
Deswegen nur ändern wenn nötig, aber diese Daten sind dann auch nicht so schützenswert...

€dit:
Es gibt in dein Einstellungen:
Let Browser sync data
Also scheinbar scheint es da doch was zu geben.
Muss ich mir mal anschauen, wenn ich zeit haben.
Befürchte aber es baut auf Firefox Sync auf...
 
Zuletzt bearbeitet:

Ähnliche Themen

Zurück
Oben