Lastpass - News zum Hack und was macht Ihr jetzt?

[llcoolj]

Dieser Beitrag hilft leider nicht zur Beruhigung. Aber interessant
https://blog.1password.com/not-in-a-million-years/

 

[Evil E-Lex]

Naja. Der Artikel stammt von einem Mitbewerber und ist als solches in erster Linie als Marketing für das eigene Produkt zu sehen. Essentiell macht der Artikel zwei Punkte:

1. Menschen sind nicht der Lage, sich komplett zufällige Passwörter auszudenken. Daher ist der Claim mit "One million years to crack a password" von LastPass falsch. Stimmt, ist aber nichts neues.
2. Der "Secret Key" von 1Password wird als "unique feature" hervorgehoben. Ist quatsch, nahezu alle Passwortmanager unterstützen neben dem Masterpasswort einen zweiten Faktor.

 

[llcoolj]

habe ich da was übersehen? Der Blogeintrag ist doch von Jeffrey Goldberg und der ist Leitender Sicherheitsarchitekt bei 1Password.

1 ja
2. Soweit ich das verstanden habe ist das bei 1password anders. Der "secret KEy" ist bestandteil deiner Datenbank/Tresor. Sollte, wie ja beschrieben wird das teil mal gestohlen werden, ist der Secred Key weiterhin notwendig auch ohne die Infrastruktur des Hosters (1Password). Bei LP ist das anders. Nach dem Diebstahl ist nur noch das MasterPSW notwendig.

und die 100 Seiten Security design habe ich noch nicht gelsen

aber ich glaube das hier ist interessant

These differences in entropy and memorability allow your Account Password and Secret Key to protect you from different kinds of threats:

• Your 1Password account password protects your data on your devices. Someone who has access to your devices or backups won’t be able to unlock 1Password without your account password, which only you know.
• Your Secret Key protects your data off your devices. Someone who attempts a brute-force attack on our servers won’t be able to decrypt your data without your Secret Key, which we never have.

Quelle: https://support.1password.com/secret-key-security/

 

[s1ave77]

https://www.golem.de/news/sicherhei...gen-pr-und-luegen-kritisiert-2212-170807.html

 

[Evil E-Lex]

https://www.golem.de/news/sicherhei...gen-pr-und-luegen-kritisiert-2212-170807.html

Das ist nichts neues. Golem zitiert The Verge, die wiederrum wortreich den Blogpost von Palant wiedergeben. Den hatten wir hier im Thread bereits. @Clausewitz hatte den Blogpost in Beitrag #79 erwähnt.

Soweit ich das verstanden habe ist das bei 1password anders. Der "secret KEy" ist bestandteil deiner Datenbank/Tresor.

Natürlich ist er das. Das war aber nicht mein Punkt. Es handelt sich um eine vollkommen übliche Zwei-Faktor-Authentisierung (2FA). Nur weil LastPass das nicht kann, macht es die Implementierung bei 1Password nicht "unique". Was 1Password von den meisten Mitbewerbern unterscheidet ist, dass der zweite Faktor zwingend erforderlich ist.

 

[T. Smith]

Ich fand diesen Beitrag ganz interessant, vielleicht geht das ja noch jemandem so: https://infosec.exchange/@epixoip/109585049354200263

 

[llcoolj]

Nur weil LastPass das nicht kann, macht es die Implementierung bei 1Password nicht "einzigartig". Was 1Password von den meisten Mitbewerbern unterscheidet ist, dass der zweite Faktor zwingend erforderlich ist.

Kann sein, das das nicht einzigartig ist. Aber ich finde dennoch sehr wichtig. Und können oder nicht. Am Ende Zählt Vertrauen bei einem Cloud Dienst. Und der Teil "2FA ist fester bestandteil der Datenbank" ein trifitger Grund diesen Anbieter in die Favorieten liste zu nehemen. Immer mit dem Hintergrund. " ES IST EIN CLOUD DIENST" (und nur durch solche Diskussionen bekomme ich das Wissen welches ich vorher von LP und 1P nicht hatte)
Es gibt ja immerhin sehr viele die das überhaupt nicht gut finden. Schließlich muss man ja nicht und hat Alternativen.

 

[Faust2011]

Es gibt Neues von Lastpass: Lastpass: Längere Masterpasswörter, Dark-Web-Überprüfung und MFA-Neustart

Hatte diese News auch direkt von Lastpass in meinem Postfach. An sich finde ich es ja gut, dass ein komplex(eres) Passwort jetzt verpflichtend wird. Aber eigentlich sollte sowas für jeden selbstverständlich sein, der einen Passwortmanager einsetzt.

Und davon abgesehen: Selbst wer jetzt durch diese neue Regel gezwungen wird, ein komplexes Masterpasswort zu vergeben, so hilft das nichts gegen die gestohlenen Wallets in der Vergangenheit. Wer sich da unsicher ist und befürchtet, dass sein Wallet geknackt werden könnte, muss die Passwörter seiner einzelnen Dienste ändern. Jetzt. Sofort.

 

[Clausewitz]

Hahaha. Meine Tochter ist jetzt 1 Jahr alt. Der Incident ist passiert 4 Monate vor der Geburt. Die Information über den Incident zwei Tage vor der Geburt. Im Kreißsaal habe ich mich nebenher mit dem Passwort-Fiasko auseinandergesetzt. Im Wochenbett nachts, als die kleine schlief, Passwörter geändert.
Thank you for nothing, LastPass.

Jetzt nach einem Jahr räumen sie auf.

Lächerlich.

Anyhow, danke für die Info. Und teile die Empfehlung, die Passwörter zu ändern. Wenigstens für A-Websiten.

Aber unbedingt als erstes entweder
(1) alle Empfehlungen von LastPass umsetzen oder
(2) zu einem besseren Anbieter switchen. Welche, findet sich hier im Thread.

 

[andy_m4]

Ein großes Problem sind ja immer solche Sachen wie Cloud. Das liefert den Leuten zwar Bequemlichkeit, weil sie dann von überall aus her auf ihre Passwörter zugreifen können. Ist natürlich auch ein Sicherheitsrisiko.

Und klar. Wirklich sicher sind die Passwörter auf der heimischen Festplatte auch nicht. Auch da kann eine Malware dazu führen, das die rausgetragen werden. Aber bei einer Cloud erhöht man das noch mal zusätzlich, weil dann nicht mehr nur die Sicherheit des eigenen Rechners wichtig ist,sondern auch der des Cloud-Betreibers. Der dann noch zusätzlich ein begehrtes Angriffsziel für Kriminelle ist. Weil ne Einzelperson anzugreifen ist mühsam und wer weiß, was sich da überhaupt rausholen lässt, aber ne zentrale Instanz mit Millionen Passwörter, da ist man dann schon eher mal bereit Energie auf den Angriff aufzuwenden.

Und jetzt kann man natürlich auf Lastpass einprügeln und das trifft die auch sicher nicht unverdient. Aber man sollte halt auch mal bei sich selbst gucken, ob man da für seine Passwortaufbewahrung nicht auf ein Konstrukt gesetzt hat, was vom Prinzip her schon seine Sollbruchstellen hat.
Da sollte sich dann jeder auch mal ein bisschen ehrlich machen und zugeben, das er da selbst in der Balance zwischen Sicherheit und Bequemlichkeit vielleicht ein bisschen zu sehr in Richtung Bequemlichkeit gedacht hat.

Mal davon abgesehen, das ein starkes Masterpasswort zu wählen immer eine gute Sache ist. Wer so Sicherheit als notwendiges Übel sieht und als anstrengend empfindet und deshalb das ja auch an einen kommerziellen Anbieter weg-delegiert, der hat vielleicht auch kein ultrakomplexes Passwort. Aber das ist jetzt nur reine Spekulation. :-)

 

[xxMuahdibxx]

Problem ist auch das man fast überall ein Passwort braucht und nach Client 10 ... Game Nr 50 und Shop Nr 30 sowie mehrere Mailadressen.. ist man halt auch raus aus aus dem ich kann mir alles merken auch nicht mit Kreativität geht da wenig.

Also ja man verlässt sich dann gerne auf einen Service..

 

[andy_m4]

Ja. Daher sind grundsätzlich Passwortmanager ja auch eine gute Sache. Ist dann zwar immer noch ein Kompromiss. Aber eigentlich ein relativ guter und praktikabler Kompromiss aus Bequemlichkeit und Sicherheit. Wenn man das dann natürlich noch weiter schwächt, in dem man das irgendwie in ne Cloud schiebt und qwertz123 benutzt, dann ist halt Asche.

 

[Oli_P]

Problem ist auch das man fast überall ein Passwort braucht und nach Client 10 ... Game Nr 50 und Shop Nr 30 sowie mehrere Mailadressen.. ist man halt auch raus aus aus dem ich kann mir alles merken auch nicht mit Kreativität geht da wenig. Also ja man verlässt sich dann gerne auf einen Service..

Bequemlichkeit ist der größte Feind der IT-Sicherheit. Mit etwas Umgewöhnung und ein bisschen Arbeit zu Beginn kann man das Problem lösen, ohne seine ganzen Zugangsdaten in irgendeine Cloud zu ballern. Und soooo unkomfortabel ist das alles am Ende gar nicht mehr

 

[thrawnx]

Ein großes Problem sind ja immer solche Sachen wie Cloud. Das liefert den Leuten zwar Bequemlichkeit, weil sie dann von überall aus her auf ihre Passwörter zugreifen können. Ist natürlich auch ein Sicherheitsrisiko.

Ne, eben nicht. Ja ich gebe auch Daten ungerne aus der Hand, aber den meist AES256 verschlüsselten Container eines Passwortmanagers in die Cloud zu packen, ist so gut wie risikofrei, starkes Master Passwort vorausgesetzt.

Abgesehen davon dass Cloudanbieter eine weitaus stärkere Verteidigung auf Soft- UND Hardwarebasis haben, schneller Updates einspielen und Gefahrenprävention hauptberuflich betreiben, macht sich absolut NIEMAND die Mühe die Container von Hans_Wurst339 zu bruteforcen, einfach weil die Leute schon seit Jahrtausenden tot sein werden, bis das gelingt, starkes Master Passwort vorausgesetzt.

Da ist es weitaus gefährlicher das auf der heimischen NAS zu betreiben.

Die größte Gefahr eines Passwordmanagers ist dass alle Passwörter kompromitiert sind, so bald das Master Passwort durch einen Trojaner, Keylogger, MITM (die Mühe macht sich keiner) bekannt ist.

Aber mehr Sicherheit als ein guter PW Manager + Masked Emails mit unique Addys für jede Website wo man sich registriert, wirst du momentan kaum hinkriegen, wenn es trotzdem praktikabel bleiben soll.

P.S. Wer erst von Lastpass dazu gezwungen werden muss, 12+ Zeichen für ein so wichtiges Passwort zu benutzen, ist ein Trottel und hats nicht anders verdient IMHO.

 

[Faust2011]

Ja ich gebe auch Daten ungerne aus der Hand, aber den meist AES256 verschlüsselten Container eines Passwortmanagers in die Cloud zu packen, ist so gut wie risikofrei, starkes Master Passwort vorausgesetzt.

Sehe ich auch so. Der Container ist sicher. Ein ungutes Gefühl habe ich dann, wenn ich im Browser / Lastpass-Plugin mein Masterpasswort eingeben muss und auch dann, wenn Passwörter abgerufen werden (denn dann liegen sie ja auch entschüsselt im RAM).

Die größte Gefahr eines Passwordmanagers ist dass alle Passwörter kompromitiert sind, so bald das Master Passwort durch einen Trojaner, Keylogger, MITM (die Mühe macht sich keiner) bekannt ist.

Genau das war mein Punkt oben.

P.S. Wer erst von Lastpass dazu gezwungen werden muss, 12+ Zeichen für so ein wichtiges Passwort zu benutzen, ist ein Trottel und hats nicht anders verdient IMHO.

Würde es nicht so hart ausdrücken, aber der Kern der Aussage (-> Passwort falsch gewählt, weil zu kurz) ist vollkommen richtig.

 

[thrawnx]

Ein ungutes Gefühl habe ich dann, wenn ich im Browser / Lastpass-Plugin mein Masterpasswort eingeben muss und auch dann, wenn Passwörter abgerufen werden (denn dann liegen sie ja auch entschüsselt im RAM).

Das stimmt, da habe ich auch etwas Bauchschmerzen, aber afaik gibt es da keine bessere Lösung. Irgendwo muss es ja auch decrypted werden, damit es benutzt werden kann.

 

[andy_m4]

aber den meist AES256 verschlüsselten Container eines Passwortmanagers in die Cloud zu packen, ist so gut wie risikofrei, starkes Master Passwort vorausgesetzt.

Na selbst wenn nur ein kleines Risiko besteht ist ja das zu haben schlechter als es nicht zu haben.

Abgesehen davon dass Cloudanbieter eine weitaus stärkere Verteidigung auf Soft- UND Hardwarebasis haben, schneller Updates einspielen und Gefahrenprävention hauptberuflich betreiben,

Mag ja alles sein. Aber letztlich müssen die Passwörter ja eh zum User an den Rechner. Spätestens wenn er sie eintippt. Hast Du keine Cloud-Lsöung muss der lokale Rechner sicher sein. Hast Du eine Cloud-Lösung musst der lokale Rechner UND die Cloud sicher sein. Und wie gesagt: Selbst wenn die Cloud gut abgesichert ist, ist immer noch ein Restrisiko da das Du mitträgst gegenüber dem, das Du keine Cloud benutzt.
Eigentlich ganz banale Logik.

Da ist es weitaus gefährlicher das auf der heimischen NAS zu betreiben.

Richtig. Das war aber auch gar nicht meine Behauptung, das ein heimisches NAS sicherer ist als eine Cloud.

Wer erst von Lastpass dazu gezwungen werden muss, 12+ Zeichen für ein so wichtiges Passwort zu benutzen, ist ein Trottel und hats nicht anders verdient IMHO.

Ja. Auch. Aber wer Lastpass mit deren Security-Record jetzt noch einsetzt, hat es auch nicht anders verdient. :-)

Klar. Kann man sagen: Fehler passieren.
Aber insbesondere beim Umgang damit und der Kommunikation darüber ist noch deutlich Luft nach oben.

 

[thrawnx]

Na selbst wenn nur ein kleines Risiko besteht ist ja das zu haben schlechter als es nicht zu haben.

Ich glaube ab 20 Zeichen (könnten auch 22 gewesen sein, nicht mehr sicher) braucht die gesamte Rechenkraft des Planeten länger als unsere Sonne noch leuchten wird, bevor es AES256 bruteforced. Dieses geringe Restrisiko sind Quantencomputer und speziell dafür konzipierte ASICs, so wichtig ist keiner von uns.

Mag ja alles sein. Aber letztlich müssen die Passwörter ja eh zum User an den Rechner. Spätestens wenn er sie eintippt.

Das wäre die MITM Attack, die keine Banalität und highly targeted ist. Wieder, so wichtig bist du nicht.

Wirf nicht mit Begriffen wie "banale Logik" um dich, wenn du mit völlig abstrusen Szenarien argumentierst bzw. schlichtweg falsch liegst.
Ja, nichts ist 100% sicher, aber diese 0,00001% betreffen Leute die das Ziel staatlicher Akteure sind und die speichern ihre Zugangsdaten sicher nicht in Lastpass.

Verstehe mich nicht falsch, ich versuche nicht Lastpass zu verteidigen, da es mir schlichtweg egal ist, weil ich einen anderen Manager nutze. Mich ärgert es nur wenn Leute wahnwitzige Stories als Beispiele nehmen um gegen Password Manager und Cloud zu argumentieren. Es gibt Argumente dagegen (Ein Passwort kompromittiert alle anderen, man traut den Herstellern nicht etc. pp) und man kann absolut ohne Password Manager auskommen, ist für die meisten Leute aber sehr unpraktisch und sie verfallen zurück in noch unsicherere Muster.