Angreifer verschaffen sich Zugang zu LastPass-Accounts

  • Wenn wir schon mal beim Passwort-Thema im Smalltalk sind, will ich mir meinen Ärger von der Seele schreiben:

    Die Zugänge zu Diensteanbietern im Web von einem PC aus werden immer schärfer, wenn ich dagegen Zugang via Apps auf Handys zu gleichen Anbieter ansehe, habe ich mehr und mehr Bedenken bzgl. Sicherheit.

    Zur Geschichte:

    • Erst gab es ganz einfache Passwörter von 4 oder 6 Zeichen (mein erstes Passwort hier im Forum hatte nur sechs Zeichen, 2004),
    • dann gab es Anforderungen nach einer Mindestanzahl von Zeichen,
    • dann kamen Anforderungen bezüglich Groß-und Kleinschreibung, Ziffern, Sonderzeichen hinzu,
    • inzwischen verlangen einzelne Webseiten Zwei-Faktor-Authentifizierung.
    • Leider kocht jeder Anbieter seine eigene Suppe zum zweiten Faktor, ich verfüge notgedrungen inzwischen über:
    • 2 verschiedene Farbscanner und 1 Kartenleser als Hardware,
    • einer spezielle Push-Tan-App.
    • Andere Anbieter schreiben SMS, einen Authenticator oder Handy-Apps vor.

    Ziemlich uneinheitlich, aber dann verstehe ich nicht, daß man seine Bankgeschäfte seit einiger Zeit vom Handy aus mit nur einem 5-stelligen Pincode (einloggen, überweisen) machen kann =O . Mein Handy ist über einen Fingersensor, der regelmäßig versagt wenn ich raue oder eingefettete Hände habe, alternativ über einen 6-stelligen Pincode, zugänglich. Im Gegensatz zu meinem PC ist mein Handy schon allein wegen unregelmäßiger Sicherheitsupdates des Lieferanten (Android-Anbieter), Verlust, Diebstahl, Liegenlassen usw. in meinen Augen zu unsicher, um Bankgeschäfte via Apps/Handy zu tätigen; ich hab alle deinstalliert.

    Hab mir dann ein Android-Tablet angeschafft, auf dem Bank-Apps installiert sind. Das Tablet hat bewusst keine Verriegelung, da dies meinen Nutzungskomfort auf dem Sofa erhöht; es hat keinen Fingersensor (hab ich nicht mitgekauft, s.o.) und es verlässt meine Wohnung nicht (wegen der installierten Bank-Apps). Mit dieser Einstellung jedoch kann ich z.B. die Outlook-App von Microsoft nicht nutzen, da ich die Mails nicht lesen darf, wenn ich keine Verriegelung des Tablets eingestellt habe.

    Es wird mir langsam aber sicher zu kompliziert... :/

    "Krieg ist ein zu ernstes Geschäft, als daß man ihn den Generälen überlassen dürfte." Georges B. Clemenceau (1841-1929), Französischer Journalist und Politiker/Ministerpäsident

  • Komisch, bei mir wird es immer einfacher, trotz 2FA bei den wenigen Diensten, die das benötigen, u.a. Bank. MS Konto ja, aber nicht auf meinen Rechnern. Ergo keine MS Cloud, kein *365-Abo-Geraffel (Abo ist eh Mist bei MS), bis auf die Scan-App von MS (die ist wirklich die beste kostenlose am Markt) unter Android, die eh nicht ins Web muss/darf, nutze ich nichts von denen - ich bin doch nicht blöd.

    Fingersensor, Gesichtserkennung - taugt alles nicht die Bohne, wie du selbst festgestellt hast, und es lässt sich so einfach überlisten. Selbst das Sicherheitsmuster lässt sich aushebeln.

    Das mit Sicherheit und 2FA bei Banken hatten wir erst neulich, da gibt es Standard und was so manche Bank sich da "leistet", sind Ohrfeigen für den Kunden.

    Dass LastPass abwiegelt, abwiegeln muss, verständlich. Ist gar nicht so lang her, dass sie deswegen schon mal in den Schlagzeilen standen. KeePass wurde genannt, BitWarden ein anderer (wobei Bitwarden auf MS Azure und deren Server setzt und damit die Sicherheit MS zuschustert ;))

    kocht jeder Anbieter seine eigene Suppe

    Ist wie bei Smartphones, einheitlichen Steckern, Ladegeräten. Und man muss sich selbst drum kümmern. Sollte einem das Sicherheitsmodell eines Anbieters nicht gefallen und es bessere geben - wechseln. Der Markt reguliert sich von allein.

    Wenn du weinen möchtest, bist du falsch hier. Hier gibt es nur Lösungen!
    Oh Herr, wirf Hirn, oder Steine - Hauptsache, du triffst endlich.
    Zu viele Goofies und Dulleks vom Dienst. Schlabokka!

  • BitWarden ein anderer (wobei Bitwarden auf MS Azure und deren Server setzt und damit die Sicherheit MS zuschustert ;))

    Was soll denn das für ein Argument sein? MS-Bashing? Buh ...

    Jeder dieser Anbieter nutzt irgendwas. Wenn es nicht MS Azure ist, dann vielleicht AWS. Oder sie haben sich sonstwo eingemietet. Es kann ja nicht jede kleine Firma eine eigenes RZ betrieben. Auch er Server für dieses Forum steht bestimmt nicht bei Sören im Keller. Wenn du sagen willst, du vertraust MS nicht, dann stellt sich die Frage, warum du dann Windows verwendest. Wenn MS böse wäre, könnten sie jedes deiner Passwörter direkt bei der Eingabe abfangen. Dazu brauchen sie Azure nicht.

  • Bei LastPass wurde schon wieder erfolgreich eingebrochen. Nach eigenen Angaben sollen keine Kundendaten gefährdet sein, es fand „nur“ ein Zugriff auf die interne Entwicklungsumgebung statt, wobei technische Informationen gestohlen wurden. LastPass empfiehlt den Nutzern jedenfalls keine besondere Aktion. Ich sehe das allerdings etwas anders, denn LastPass hat schon eine gewisse Tradition dahingehend, Sicherheitsprobleme herunterzuspielen. In meinen Augen kann man nicht darauf vertrauen, dass die Daten bei LastPass noch sicher sind und ich würde als LastPass-Nutzer in jedem Fall - erneut - alle Zugangsdaten ändern. Better safe than sorry, wie der Lateiner sagt. Noch besser wäre es vermutlich, sich einen anderen Anbieter zu suchen. Denn dieser Laden hat ganz offensichtlich seine Sicherheit nicht im Griff. Und das ist eine schlechte Voraussetzung, um denen sensible Daten anzuvertrauen.

  • Klasse, spitze 8o :thumbup:

    Wie war das? Aller guten Dinge sind drei?

    Ach ne, sind die ja schon weit drüber:

    LastPass Releases Its Security Incident for 2022
    Sometimes you see stuff in the media and wonder if it’s really news.  Some celebrity broke up with some other celebrity.  Some tech company released version…
    lowendbox.com

    LastPass was hacked in 2011, 2015, 2016, 2017, 2019, 2021, and now in 2022.

    7 sollte eigentlich Glück bringen, in China ist das hier wie die 13.

    Wenn du weinen möchtest, bist du falsch hier. Hier gibt es nur Lösungen!
    Oh Herr, wirf Hirn, oder Steine - Hauptsache, du triffst endlich.
    Zu viele Goofies und Dulleks vom Dienst. Schlabokka!

  • Unter Android nutze ich (lokal) Keepass für Android. Keine Ahnung, ob Firefox das auch könnte, aber via Sync hätte ich dann die (sensiblen) Daten auch auf dem Rechner und das wollte ich nicht.

    Wenn du weinen möchtest, bist du falsch hier. Hier gibt es nur Lösungen!
    Oh Herr, wirf Hirn, oder Steine - Hauptsache, du triffst endlich.
    Zu viele Goofies und Dulleks vom Dienst. Schlabokka!

  • Klar kann Firefox für Android auch für sich Passwörter speichern. Diese kannst du doch auch in den Sync-Einstellungen abwählen, so wird dann davon nichts mit anderen Geräten synchronisiert.

    Chromebook Lenovo IdeaPad Flex 5 - chromeOS 122 (Stable Channel) - Linux Debian Bookworm: Firefox ESR 115.8.0 und Firefox Nightly, Beta und Main Release (Mozilla PPA), Android 13: Firefox Nightly und Firefox (Main Release)

    Smartphone - Firefox Main Release, Firefox Nightly, Firefox Klar (Main Release)

  • Ich weiss das! Ich will nur nicht, dass bestimmte Passwörter von Android auf Desktop gesynct werden. Sync ist aber ausdrücklich erwünscht.

    Wenn du weinen möchtest, bist du falsch hier. Hier gibt es nur Lösungen!
    Oh Herr, wirf Hirn, oder Steine - Hauptsache, du triffst endlich.
    Zu viele Goofies und Dulleks vom Dienst. Schlabokka!

  • Mit meinen Pw halte ich es wie bei dieser Anleitung; daher nie Probleme. Bisher ;)

    Einmal editiert, zuletzt von Mangrove (6. September 2022 um 17:52)

  • Wieder LastPass:

    Hinweis zu Sicherheitsvorfall - The LastPass Blog
    Update vom Mittwoch, den 30. November 2022  Sehr geehrte LastPass-Kundin, sehr geehrter LastPass-Kunde, im Sinne unseres Versprechens, stets transparent zu…
    blog.lastpass.com

    Das Unternehmen bestätigt aktuelle Aktivitäten, bei denen es Zugriff auf Kundendaten gab, wofür offenbar Informationen des letzten Hacks von August verwendet worden sind.

  • 4 ganze Tage. Die sollen den Laden verkaufen, solange den jemand haben will - und sich auskennt! Schwer, aber die sind einfach zu blöd, nur blöd. LostPass

    Wenn du weinen möchtest, bist du falsch hier. Hier gibt es nur Lösungen!
    Oh Herr, wirf Hirn, oder Steine - Hauptsache, du triffst endlich.
    Zu viele Goofies und Dulleks vom Dienst. Schlabokka!

  • Das bestärkt mich nur wieder darin, dass ich bisher um LastPass einen großen Bogen gemacht habe. Ich nutze zwar 1Password und bin damit auch sehr zufrieden, schaue aber immer wieder gern über den Tellerrand, was andere Password Manager inzwischen bieten. Ich denke, dass ich so ziemlich jeden erhältlichen Manager auf meine Bedürfnisse hin getestet habe. Dann werde ich LastPass auch weiterhin meiden.

    Ich brauche keine Signatur ... :S

  • Welche Vorteile hat man durch einen zusätzlichen Passwortmanager? Ich nutze den integrierten von Firefox, synchronisiere zwischen den einzelnen genutzten Versionen und Geräten und vermisse nichts... :/

  • Welche Vorteile hat man durch einen zusätzlichen Passwortmanager?

    Ein Vorteil wäre z. B. die Browserunabhängigkeit. Wechselst du den Browser, musst du deine gespeicherten Daten nicht umständlich exportieren und wieder importieren, wenn es denn überhaupt möglich ist.

    Außerdem habe ich immer wieder gelesen, dass man auf keinen Fall den internen Passwort-Manager eines Browsers nutzen soll. Ob das allerdings nur Werbeversprechen sind, weiß ich nicht.

    Ich persönlich nutze meinen Passwort-Manager nicht nur zum Speichern meiner Login-Daten. Bei mir ist noch einiges mehr gespeichert, was ich in einem Browser nicht unterbekommen würde. ;)

    Deshalb möchte ich auf einem separaten Passwort-Manager nicht mehr verzichten und bin bereit, dafür zu zahlen.

    Ich brauche keine Signatur ... :S

  • Danke für deine Meinung!

    Da ich zu 99 % Browser der Firefox-Familie nutze, kommt dein 1. Argument für mich nicht zum Tragen.

    Zu deiner 2. These fehlt mir eine Quelle und auch die Überzeugung einer Richtigkeit. ^^

    Zur Aussage Nummer 3: Die im Screen gezeigten Datenbereiche kommen hier entweder nicht vor oder würden hier in einem Browser nicht gespeichert werden.

  • Zu deiner 2. These fehlt mir eine Quelle und auch die Überzeugung einer Richtigkeit. ^^

    Das dachte ich mir. Muss dich da aber aktuell enttäuschen, denn ich habe aus dem Hut keine Quelle dafür. Für mich war das auf jeden Fall vor Jahren der Anstoß dazu, auf einen eigenständigen Passwort-Manager zu setzen. Falls mir eine Quelle über den Weg laufen sollte, schreibe ich sie dir. ;)

    Ich brauche keine Signatur ... :S