Bei Twitter hat ein Ex-LP Angestellter ein paar Sachen erklärt:
https://twitter.com/ejcx_/status/1606428769731878913
Bemerkenswert: LastPass hat auch zugelassen, dass die Anzahl der Verschlüsselungspasses über die Zeit nicht ansteigt. Mein Account ist von 2013 oder 2014 und hatte noch 5,000 Passes. Heute Standard sind 100,100. Also 20 mal mehr.
Es wäre ein leichtes gewesen für LP, Nutzer wie mich darüber zu informieren, wie man das mit 2 Klicks auf den neuesten Stand hochschaltet. Stattdessen diese nutzlosen Darkweb-Überwachungen.
Außerdem gibt es bei Twitter vereinzelt Berichte von Nutzern, deren Crypto-Wallet-Seeds aus LP SecureNotes anscheinend gestohlen wurden, trotz starker Master-Passwörter.
Das lässt vermuten, dass Angreifer z.B. über URLs ermitteln, welche der Vaults "wertvoll" sind und dieses dann systematisch geknackt haben. Auch wenn das mutmaßlich sehr schwer ist.
Also, ich werde LastPass verlassen, zu einem anderen cloudbasierten Anbieter mit einem besseren Track Record. Und ich habe eine Liste meiner Accounts eröffnet und gehe ich jetzt nach A/B/C-Konten durch und aktualisiere diese. Das wird mich viele Stunden kosten, aber es ist der sicherere Weg.
Besonders nervig: 2FA Recovery Keys.
Ja, ich habe diese in den SecureNotes von LP gespeichert.
Ich lerne daraus.
Was für ein Glück, dass die Codes im Online-Banking als QR-Code per Brief kommen...