Angreifer verschaffen sich Zugang zu LastPass-Accounts

  • Nur mal kurz mit meiner neuen Suchmaschine Qwant ( :D ) gesucht und direkt die ersten Treffer bekommen ...

    Sollte ich Passwörter im Browser speichern? - Trusted Shops Magazin
    Wer behält bei Passwörtern schon den Überblick? Doch sollten Sie Passwörter im Browser speichern? Lernen Sie Risiken und Alternativen kennen.
    www.trustedshops.de

    Speichern von Passwörtern im Browser: Bequem, aber meist nicht sicher
    Speichern von Passwörtern im Browser: Welches Risiko Sie damit eingehen und wo Sie sämtliche Passwörter sicher und verschlüsselt abspeichern können.
    www.onlinesicherheit.gv.at

    Passwörter besser nicht im Browser speichern
    Viele Browser bieten an, eingegebene Passwörter zu speichern. Das ist bequem....
    www.t-online.de


    Inwieweit diese Artikel vertrauenswürdig sind, kann ich dir jedoch nicht sagen. Aber ich denke, dass es sicher noch weitere Meinungen dazu gibt. ;)

    Ich brauche keine Signatur ... :S

  • Aus dem 2. Beitrag nehme ich folgenden Hinweis gerne auf:


    :)

    Die Möglichkeit der Eventualität ist mir schlicht zu klein, das ich einem Drittprogramm meine Zugangsdaten anvertrauen möchte.

    Jeder legt einen anderen Fokus. Ich befolge mein Sicherheitskonzept seit 25 Jahren, bislang ohne negative Erlebnisse.. du kannst es in der Signatur nachlesen. ;)

  • das ich einem Drittprogramm meine Zugangsdaten anvertrauen möchte

    Hallo :)

    KeePass is a free open source password manager, which helps you to manage your passwords in a secure way. You can store all your passwords in one database, which is locked with a master key. So you only have to remember one single master key to unlock the whole database. Database files are encrypted using the best and most secure encryption algorithms currently known (AES-256, ChaCha20 and Twofish). For more information, see the features page.

    [...]

    KeePass [...] is open source (OSI certified). You can have a look at its full source code and check whether the security features are implemented correctly.

    Was stört Dich daran? Der Autor ist übrigens Deutscher.


    Gruß Ingo

  • Moin, ob das ein deutsches oder ausländisches Produkt ist, spielt für mich keinerlei Rolle. :)

    Das was dort beschrieben wird, trifft im Groben auch für Firefox zu... und nochmal: Ich schrieb lediglich, was MEINE Meinung ist. Ich verteufele ja die anderen Lösungen nicht, es ist nur nicht meine und das wollte ich mitteilen. ;)

  • Außerdem habe ich immer wieder gelesen, dass man auf keinen Fall den internen Passwort-Manager eines Browsers nutzen soll.


    Ich habe das vor ein paar Monaten ausführlich beschrieben, wieso ich die Annahme, man sollte den Passwort-Manager des Browsers nicht verwenden, für Quatsch halte:


  • Ich habe das vor ein paar Monaten ausführlich beschrieben ...

    Ich denke, dass das genau so ein Thema wie bei den Fragen "AMD oder Intel?" und "AMD oder Nvidia?" ist. Jeder hat dazu eine Meinung und sowohl die Pros als auch Contras werden von der Fachpresse diskutiert. Letztendlich hört jeder auf sein (Bauch-)Gefühl, weil es vermutlich auch hier weder eine richtige noch eine falsche Entscheidung gibt.

    Ich brauche keine Signatur ... :S

  • Ich denke, dass das genau so ein Thema wie bei den Fragen "AMD oder Intel?" und "AMD oder Nvidia?" ist.


    Nein, kein bisschen. Diese Fragen, mit denen du das vergleichst, lassen sich gar nicht pauschal beantworten. Es gibt Produkte, die anderen Produkten überlegen sind, aber keinen pauschal besseren Hersteller. Die Diskussionen darüber, welcher Hersteller der bessere ist, sind oft im wahrsten Sinne des Wortes Glaubensfragen, das wird teilweise fast schon religiös behandelt. Aber die Aussage, dass man „auf keinen Fall“ die Passwort-Verwaltung des Browsers nutzen sollte, ist keine Glaubensfrage, sondern tatsächlich ganz großer Quatsch, wie ich es im verlinkten Beitrag ja auch begründet habe - ohne im Gegenzug zu behaupten, dass niemand einen externen Passwort-Manager nutzen sollte. In meinem Beitrag ging es schließlich nicht darum, dass das eine pauschal besser als das andere sei. Ganz im Gegenteil habe ich sogar ausdrücklich hervorgehoben, dass beides im Normalfall sehr sicher ist, und es bei beidem auch ganz blöd laufen kann. Es ging in meinem Beitrag um die Entkräftung der falschen Behauptung, man sei mit der Browser-Funktion in jedem Fall schlechter dran, was nachgewiesenermaßen nicht stimmt, wie es durch zahlreiche Vorfälle externer Passwort-Manager, die es bei Firefox noch nie (!) gab, auch dokumentiert ist.

  • Nein, kein bisschen. Diese Fragen, mit denen du das vergleichst, lassen sich gar nicht pauschal beantworten. Es gibt Produkte, die anderen Produkten überlegen sind, aber keinen pauschal besseren Hersteller.

    Da hast du recht. Das meinte ich auch nicht ... Ich meinte die Entscheidung, einen externen Passwort-Manager zu nutzen, oder nicht. Hier kommt es eben auf mein Gefühl und meine Bedürfnisse an. Ist halt auch eine Kopfsache. Manche haben ein ungutes Gefühl dabei, wenn Passwort-Manager ihre Daten in einer Cloud abspeichern und andere haben ein ungutes Gefühl dabei, ihre Daten innerhalb eines Internetbrowsers zu speichern. ;)


    Die Frage der Sicherheit eines internen Passwort-Managers vom Browser - in diesem Fall Firefox - hast du definitiv beantwortet. :thumbup:

    Ich brauche keine Signatur ... :S

  • Es ist schlimmer, als bisher dargestellt wurde:

    Notice of Recent Security Incident - The LastPass Blog
    We are working diligently to understand the scope of the incident and identify what specific information has been accessed.
    blog.lastpass.com

    Zitat

    While no customer data was accessed during the August 2022 incident, some source code and technical information were stolen from our development environment and used to target another employee, obtaining credentials and keys which were used to access and decrypt some storage volumes within the cloud-based storage service.


    [...]

    The threat actor was also able to copy a backup of customer vault data from the encrypted storage container which is stored in a proprietary binary format that contains both unencrypted data, such as website URLs, as well as fully-encrypted sensitive fields such as website usernames and passwords, secure notes, and form-filled data. These encrypted fields remain secured with 256-bit AES encryption and can only be decrypted with a unique encryption key derived from each user’s master password using our Zero Knowledge architecture. As a reminder, the master password is never known to LastPass and is not stored or maintained by LastPass. The encryption and decryption of data is performed only on the local LastPass client.

    Kan man nur hoffen, dass das Masterpasswort sicher genug ist.

    Hier sollte etwas stehen, aber ich befürchte, du könntest es nicht ertragen. Daher ist dein Einfallsreichtum gefragt, überrasche mich.