Lastpass - News zum Hack und was macht Ihr jetzt?

Ich bin da schon lange weg und nie wieder zurück in die Cloud, sondern nur lokal. Das Vertrauen war bei mir schon damals erschüttert, weil sie es einmal geschafft hatten, dass ich meinen Zugang verloren habe... außerdem hatte ich den Eindruck, dass alle möglichen Informationen abgeerntet wurden, wer hat welche Accounts wo usw. Muss ich einfach nicht haben.

Und durch 2FA im Allgemeinen sind einzelne Passwörter eh nicht mehr so kritisch.
 
  • Gefällt mir
Reaktionen: Retrocloud
Als ob man mit der Wand redet... verschlüsselt eure Daten, bevor ihr sie in die Cloud schiebt, dann wird auch nichts "abgeerntet". Aber das scheint echt zu schwer zu sein...

Wenn ihr es unbedingt lokal speichern wollt, fine, aber schiebt es nicht auf die Cloud, seid so ehrlich und sagt einfach dass ihr zu faul seid zu encrypten oder davon überfordert seid.
 
  • Gefällt mir
Reaktionen: sikarr, BFF und shy-Denise
thrawnx schrieb:
dann wird auch nichts "abgeerntet".
"Abgeerntet" wurden sie meiner Vermutung nach schon damals, von Lastpass selbst, denn diese "Meta-Daten" wurden eben nicht mit dem Passwort zusammen verschlüsselt, sondern separat gehalten. Hoffe, das ist nicht zu schwer für dich zu verstehen. LP wusste jederzeit, welcher Account mit welcher E-Mail-Adresse bei welchen Websites angemeldet wurde etc.
 
Ne ist es nicht, keine Sorge. Dann ist aber meine nächste und ernsthafte Frage: Zu welchem Zweck? Sie wissen dann du hast einen Account bei Netflix und weiter? Und worauf basiert deine Vermutung, hast du Mails von ihnen erhalten mit Werbung?

"LP wusste jederzeit, welcher Account mit welcher E-Mail-Adresse bei welchen Websites angemeldet wurde etc." <- Bitte näher erläutern.
 
Zuletzt bearbeitet:
@jonderson sorry aber das ist absolut keine Alternative für Keepass. Das mag vielleicht für einzelne User*innen passen aber nicht für mich.

Vor allem weil ich kein dubioses Browser Plugin möchte und weil die Datenbank Geräte uebergreifend genutzt werden soll und eben auch außerhalb von der Wohnung gelagert werden soll UND ich auch die Entscheidung darüber haben möchte wo die Daten gespeichert sind.
Ergänzung ()

thrawnx schrieb:
Als ob man mit der Wand redet... verschlüsselt eure Daten, bevor ihr sie in die Cloud schiebt, dann wird auch nichts "abgeerntet". Aber das scheint echt zu schwer zu sein...

Dafür war ja Boxcryptor da…
leider braucht man jetzt ja eine neue Alternative.
 
Evil E-Lex schrieb:
KeePass ist gewiss gut, aber nicht der heilige Gral, als das es immer dargestellt wird.
Der Test erwähnt ein Audit (nach EU FOSSA 1). Zwar schon etwas her, aber man hätte bei einem Tool, daß von so vielen benutzt wird von Lücken erfahren. Deshalb benutzt ich hier auch keine proprietäre und rein cloud-basierte Lösung.

Ging darum, daß die Behauptung Cloud wäre per se immer unsicher, einfach nicht haltbar ist, im Zusammenhang mit Keepass KDBX (Passwort + Schlüsseldatei).

Steht dir durchaus frei andere Software zu nutzen, sehe hier keinen Zwang. Optik kommt für mich immer nach Funktionalität, sonst würde ich auch Total Commander nicht nutzen.
 
  • Gefällt mir
Reaktionen: shy-Denise
jonderson schrieb:
Manche nutzen das auch unabhängig vom Browser für Tool- und System-Logins, Speichern von TOTP-Sicherheitsschlüsseln usw., da ist ein unabhängiges Programm von Vorteil ;).

Die direkte Hoheit über die Datenbank ist auch noch ein wichtiger Punkt, der für solche Programme spricht.
 
Moderative Anmerkung: Das Thema ist inzwischen sehr weit vom ursprünglichen Thema abgedriftet. Bitte ab jetzt nur noch Posts, die sich der Ausgangsfrage widmen.

Andernfalls muss ich von meinem moderativen Werkzeugkasten Gebrauch machen und die Posts versenken oder in ein neues Thema schieben.

Danke für Euer Verständnis und schöne Weihnachten!
 
  • Gefällt mir
Reaktionen: sikarr, Dr. McCoy und Clausewitz
Hallo Zusammen
ich bin vermutlich auch betroffen, habe den Verein im August/September verlassen. Eine Frage stellt sich mir aber: Ich habe meinen Tresor mit MFA /2fA abgesichert. Jetzt haben die den Tresor quasi mit nach Hause genommen. Ist dann mein Tresor immer noch mit meinem Master-Passwort und dem 2FA geschützt? Die ganzen Mechanismen sind ja nicht mehr vorhanden. Oder ?
 
llcoolj schrieb:
Ist dann mein Tresor immer noch mit meinem Master-Passwort und dem 2FA geschützt? Die ganzen Mechanismen sind ja nicht mehr vorhanden. Oder ?
Leider ja (auf Deine letzte Frage bezogen - und im Umkehrschluss bedeutet das, dass 2FA damit keine Rolle spielt), zumindest verstehe ich den Blogeintrag von LastPass so. Dort reden sie ja davon, dass man im Idealfall ein starkes Masterpasswort haben sollte. Hat man das nicht, dann brennt die Hütte, denn es heißt "In this case, as an extra security measure, you should consider minimizing risk by changing passwords of websites you have stored."
 
  • Gefällt mir
Reaktionen: Clausewitz
Bei Twitter hat ein Ex-LP Angestellter ein paar Sachen erklärt:
https://twitter.com/ejcx_/status/1606428769731878913

Bemerkenswert: LastPass hat auch zugelassen, dass die Anzahl der Verschlüsselungspasses über die Zeit nicht ansteigt. Mein Account ist von 2013 oder 2014 und hatte noch 5,000 Passes. Heute Standard sind 100,100. Also 20 mal mehr.
Es wäre ein leichtes gewesen für LP, Nutzer wie mich darüber zu informieren, wie man das mit 2 Klicks auf den neuesten Stand hochschaltet. Stattdessen diese nutzlosen Darkweb-Überwachungen.

Außerdem gibt es bei Twitter vereinzelt Berichte von Nutzern, deren Crypto-Wallet-Seeds aus LP SecureNotes anscheinend gestohlen wurden, trotz starker Master-Passwörter.
Das lässt vermuten, dass Angreifer z.B. über URLs ermitteln, welche der Vaults "wertvoll" sind und dieses dann systematisch geknackt haben. Auch wenn das mutmaßlich sehr schwer ist.

Also, ich werde LastPass verlassen, zu einem anderen cloudbasierten Anbieter mit einem besseren Track Record. Und ich habe eine Liste meiner Accounts eröffnet und gehe ich jetzt nach A/B/C-Konten durch und aktualisiere diese. Das wird mich viele Stunden kosten, aber es ist der sicherere Weg.

Besonders nervig: 2FA Recovery Keys.
Ja, ich habe diese in den SecureNotes von LP gespeichert.
Ich lerne daraus.
Was für ein Glück, dass die Codes im Online-Banking als QR-Code per Brief kommen...
 
  • Gefällt mir
Reaktionen: llcoolj und Faust2011
Sensible Daten in der Cloud => leaks sind zu erwarten. Was war’s, bei Snapchat, apple iCloud und so weiter, wo die privaten Daten halt für jedermann zugänglich gemacht wurden?

Und für alle die es nicht begreifen wollen: nicht nur die Art der chiffrierung macht eine Sache sicher oder unsicher. Weit wichtiger ist die exposure. Ein Passwort im plaintext welches sich auf dem offline Pc zuhause befindet ist ungleich sicherer als ein aufwendig nach allen Regeln der Kunst verschlüsseltes Datum “im Internet”.

Ja LP ist bequem. Der Umstand sollte bereits ausreichend sein um zu verstehen, dass dann bei der Sicherheit offensichtlich Abstriche gemacht werden mussten.
 
Iqra schrieb:
Sensible Daten in der Cloud => leaks sind zu erwarten.
Dagegen kann man nix sagen.
Iqra schrieb:
Ein Passwort im plaintext welches sich auf dem offline Pc zuhause befindet ist ungleich sicherer
Was heist sicher? Es geht bei den Passwortsafes egal ob Online, Offline oder ein Block aus Papier auch darum sich die Passwörter zu merken also der Verlust derer. Wenn du diesen PC platt machst oder die Platte stirbt oder du aus versehen die Datei löschst ist das Ergebnis das Gleiche. Das Passwort ist weg, ist also auch nicht sicherer.
Iqra schrieb:
als ein aufwendig nach allen Regeln der Kunst verschlüsseltes Datum “im Internet”.
Wenn man es anständig umsetzt, klar. Das Problem ist das sich die Anbieter gerne Hintertürchen offen halten oder einfach bei der Umsetzung schlampen. D.h. aber nicht automatisch das sowas auf dem Windows XP Rechner mit nie geupdatetem Router sicherer ist.
Iqra schrieb:
Ja LP ist bequem. Der Umstand sollte bereits ausreichend sein um zu verstehen, dass dann bei der Sicherheit offensichtlich Abstriche gemacht werden mussten.
Bequem ist also unsicher? Ich kann verstehen wenn man seine Daten, welcher Art auch immer nicht in die Cloud geben will aber sie ist deswegen nicht unsicherer. Man hat genug Stellschrauben an denen man drehen kann wie einige hier schon sagten. Die Daten liegen ja nicht Plain auf nem Fileserver.
 
Faust2011 schrieb:
Leider ja (auf Deine letzte Frage bezogen - und im Umkehrschluss bedeutet das, dass 2FA damit keine Rolle spielt), zumindest verstehe ich den Blogeintrag von LastPass so. Dort reden sie ja davon, dass man im Idealfall ein starkes Masterpasswort haben sollte. Hat man das nicht, dann brennt die Hütte, denn es heißt "In this case, as an extra security measure, you should consider minimizing risk by changing passwords of websites you have stored."
Zur Sicherheit habe ich angefangen alle Wichtigen Dienste ( alle Email Zugänge, Amaz, Bank, Mobilfunkanbieter Zugänge, usw ) zu ändern. Sehr lästig und dauert.
 
Twitter-Fund.

Ein Security Researcher nimmt die Pressemitteilung kritisch auseinander. Absolut lesenswert, denn hier steht, was einen guten PW-Manager ausmacht.
https://palant.info/2022/12/26/whats-in-a-pr-statement-lastpass-breach-explained/

Auch der Researcher kritisiert nicht das Konzept PW-Manager oder dass die Daten gestohlen wurden. Aber die Art wie LP seinen Dienst gebaut hat, und zweitens wie sie mit dem Incident umgehen.

Ich persönlich schwanke zwischen Apple KeyChain weil ich iPhone + Windows benutze, und Apple eine super Sicherheitsreputation hat; und zweitens den hier genannten. Mit denen ich mich aber noch nicht auseinandergesetzt habe.

Was mich auch sehr nervt, ist: Ich habe bestimmt fünf verschiedene Reviews von PW-Managern gelesen. Dashlane, 1Pass, keepass, LastPass etc. Und in keinem der Artikel wurden die Themen genannt die hier schief gegangen sind. Nur den kostenpflichtigen Artikel bei c't/heise habe ich nicht gekauft, aber da stand sicher nur der selbe Feature-Vergleich ohne Blick unter die Haube drin. Ja, ich bin sauer. Ich finde nicht dass ich etwas falsch gemacht hat, und nun haben die Angreifer eine Liste meiner Konten, und dafür habe ich 6 Jahre oder so auch noch ein Premium-Abo gelöhnt.

Meine Lektion: ich setze mir Google News auf meinen neuen Anbieter, damit ich mitbekomme, wenn Security Researcher den zerlegen.
 
  • Gefällt mir
Reaktionen: Evil E-Lex
Der gleiche Security-Researcher hat noch weitere Beiträge zu dem LastPass-Vorfall geschrieben. Allesamt lesenswert.

Es lohnt sich generell, bei den verschiedenen Programmen auch das "Kleingedruckte" zu lesen. Dort findet man dann oftmals abseits der blumigen Marketingsprache Artikel oder Whitepaper, die die Sicherheitsarchitektur näher beschreiben.
 
  • Gefällt mir
Reaktionen: Clausewitz

Ähnliche Themen

Zurück
Oben