Wichtiger Hinweis: Gestern Abend hat LastPass in einem Beitrag bestätigt, dass Hacker auf eine Cloud-basierte Speicherumgebung zugegriffen haben. Dabei wurde eine Sicherungskopie der Kundentresordateien aus dem verschlüsselten Speichercontainer abgegriffen. Dies wurde möglich, da im August 2022 auf den Quellcode aus der Entwicklungsumgebung zugegriffen wurde.
LastPass schreibt aber weiterhin, dass die Daten ohne das von euch angelegte Masterpasswort kaum zu knacken ist. Das Erraten der Passwörter durch eine Brute-Force-Methode wird dadurch erheblich erschwert.
LastPass weist darauf hin, dass die Firma niemals eine SMS, E-Mail oder einen Anruf tätigt, um eure persönlichen Daten zu verifizieren. Das Master-Passwort wird nur in der Anwendung selber abgefragt. Alles andere wäre ein Phishing-Angriff.
Wer sich den ganzen Beitrag durchlesen möchte: blog.lastpass.com/notice-of-recent-security-incident
Das wievielte mal ist das nun? 2te oder 3te mal soweit ich das mitbekommen habe.
Vertrauen in Online Speicher gleich welcher Art baut man so nicht auf
Genau: Wenn den Leuten ständig mit großen Scheinen direkt vor der Nase rumgefuchtelt wird – irgendwann schnappt halt jemand zu!
Oder – wie man schon seit hunderten Jahren zu sagen pflegt: Gelegenheit macht Diebe !!!
Was hat denn das jetzt mit dem allgemeinen Cloudspeicher zu tun, wenn Lastpass schlicht zu dumm ist?
Nur, weil die es nicht hinbekommen ihre Hard- und Software richtig zu sichern, heißt das nicht, dass das jetzt bei allen so ist….
Bin bei 1Password und da läuft alles rund..
KeePass mit „Kee“ als Browser AddOn
Bitte
Gerne
Backup (2mb) 1x im Monat verschlüsselt per Mail und aufs USB Stick.
@ MiaSamenstroem
Kee scheint seit über 1,5 Jahren nicht mehr weiterentwickelt worden zu sein. Ist das dennoch noch zu empfehlen? Ich nutze Keepass schon seit Ewigkeiten und würde mich über etwas mehr Nutzungserleichterung freuen – wenn es denn sicher ist.
Wobei ich mir aber nicht zu 100% im Klaren bin, was Kee überhaupt für einen Mehrwert bietet.
KeePass würde ich nicht nehmen (etwas altbacken), persönlich nutze ich KeePassXC.
Hinter KeePass steckt deutlich größere Community, es bietet daher mehr Support und Möglichkeiten. Benutzeroberfläche ist mir ehrlich gesagt egal bei sensiblen Daten. Funktionalität vor Design. Im Zweifelsfall immer Funktionalität vor Design
KeePass hat einen echten Nachteil:
Jeder mit Zugriff auf die config (Klartext-XML) kann Deine Daten(bank) im Klartext exportieren, indem er einen „Trigger“ für das Event „Datenbank öffnen“ einfügt, der einen Dump nach CSV macht.
Idee/Quelle: https://www.borncity.com/blog/2022/12/23/lastpass-sagt-dass-hacker-die-verschlsselte-vault-datenbank-mit-nutzerdaten-abgezogen-haben/#comment-138797
Falls Angreifer auf deinem System Wurzeln geschlagen hat, ja. Und auch dann längst nicht trivial. Sonst vernachlässigbar.
Danke für den Link!!
Doch, supertrivial:
Copy&Paste von ~20 Zeilen Text (XML).
Und der ‚Angreifer‘ kann z.B. die eigene Brut sein oder auch die „evil maid“, wenn man keine FDE hat.
Hab 1Std versucht herauszufinden wie XC automatisch entsperrt wird mit Win11 Quickunlock(Pin beim LogIn) aber vergeblich. Es muss immer das MasterPW eingegeben werden (Pin optional). Es entsperrt leider nicht im Hintergrund von allein. Das ist mir zu unpraktisch. Das Programm selbst bremst merklich beim Start. Kee hat zudem auch eine bessere Browserintegration und ist deutlich schneller. Schade, dunkle Oberfläche XC hat mir sehr gefallen.
Rufst du eine Seite auf mit LogIn, werden die 2 Felder von Kee im selben Moment ausgefüllt. Unheimlich praktisch. Etwas umständlich bei Einrichtung. KeePass Step_by_step_Anleitung zum Glück präzise.
Ob es weiter entwickelt wird? Mir egal. Funktionalität ist banal, funktioniert wie Schweizer Uhrwerk. Volle Punktzahl von mir.
Einfach Bitwarden verwenden und gut ist. Wer noch immer LastPass ernsthaft verwendet, ist selbst schuld.
Du meinst wohl VaultWarden (alternativer Server für upstream-klienten). Self-Hosting ist immer besser als einer Firma deine Datenbanken anvertrauen. Verschlüsselt oder nicht.
„Cloud“ ist halt ein schickes Wort – das weckt vertrauen. Würde man den Leuten erzählen, Ihr Tresor wird auf einem fremden Rechner gespeichert, auf den man keine wirkliche Zugriffskontrolle hat, würde es sich vielleicht der eine oder andere noch einmal überlegen.
da vertraue ich aber keinem einzigen Browser um ihn meine Keepass Daten anzuvertrauen. No Go
schöne Weihanchtstage allen
😉
Warum benutzt man das noch wenn es doch so viele bessere Alternativen gibt. Sogar umsonst. Wenn man schon die Datenbank auf der Cloud speichert, was durchaus Vorteile haben kann, dann mit extra Schlüsseldatei welche man dann logischerweise nur lokal speichert. KeePass kann genau dieses Verschlüsselungssystem nutzen und ist einfach die bessere Alternative. Bei uns in der Firma eine Standard Anwendung wenn es um Passwort Management geht.
„KAUM zu knacken …. erheblich erschwert“ … ach komm im Zeitalter wo jedes Kellerkind ne GPU-Serverfarm im Keller hat doch nicht.
… passend: https://www.extremetech.com/computing/340307-rtx-4090-sets-new-records-in-password-cracking-benchmarks
Was früher rechnerisch länger gedauert hätte als die Erde alt ist, real dann aber doch in wenigen Monaten durch war hat man heute im kleinen schon in wenigen Tagen durch.
Bzgl. Passwörter kann mir einer sagen was er will, der gute alte Post-It Zettel am Monitor ist noch immer die sicherste Lösung im privaten!
Du verstehst leider nicht wie Argon2id funktioniert:
https://security.stackexchange.com/questions/247936/since-gpus-have-gigabytes-of-memory-does-argon2id-need-to-use-gigabytes-of-memo/249384#249384
Und bei KeePass(XC) nutze ich eben dies. Hoffe du hast 1TB RAM um da irgendwas zu parallelisieren.
Wenn ich 2 GiB pro key habe kann deine 4090 nicht mehr als 12 Keys gleichzeitig testen. Mit der nötigen anzahl Runden bremse ich das noch auf ein paar Sekunden aus. Also alle 2 Sekunden 12 Keys testen. Dann warte mal bis zum Sankt nimmerleinstag, haha!
Ich glaube du hast keine Wort in deinem alten Artikel verstanden und wie dazu uralt was GPU Leistung angeht und auch was den Stand der Crack-Software angeht. Weiter schreib der Typ über dir von Server-Farmen was dank Mining heute auch für den kleinkrimminellen kein Hinderniss mehr ist an „10000de von GPUs“ zu kommen.
Ähem. Was du leider nicht erfasst: Man kann Argon2id jederzeit an den derzeitigen Stand der Technik anpassen und „schwerer machen“ um es für dich greifbar zu exemplifizieren
Da nützt dir auch eine „schnelle“ GPU nichts wenn ich jedes Jahr die runden um 10% erhöhe und den Speicherbedarf so halte das nur wenige keys gleichzeitig im RAM gelöst werden können. Vielleicht kommt dir noch der Geistesblitz.. morgen
10000 GPUs? Ich glaube die machen lieber Cryptowildwestgeld statt mich zu bruten. Da verdienen die mehr. Und ein Staat braucht nicht hacken. Der zwingt einfach Google alle Daten rauszugeben. So ein Quark!
Außerdem geht es hier um das Knacken von Hashes (Die dazu gedacht sind, nicht rückgängig gemacht werden zu können). Verschlüsselung (Du kommst mit einem geheimen Code/Master-Passwort wieder an die Daten) ist was komplett anderes. Lastpass speichert keine Hashes (Weil die für einen Passwort-Manager sinnlos wären, die werden nur von den Webseiten genutzt, auf denen du dich anmeldest, damit die das Passwort gar nicht erst haben), dieses Tool wäre also nutzlos.
Nein das ist auch falsch.
https://www.lastpass.com/de/security/zero-knowledge-security
siehe Flussdiagramm der Produktarchitektur
Was ich gesagt habe, stimmt doch. Lastpass speichert dir Passwörter verschlüsselt, nicht als Hash. Ein Passwortmanager **kann** nicht einfach nur Hashes speichern, sondern die Daten müssen verschlüsselt sein, was etwas komplett anderes ist. Das Master-PW wird zwar als Hash gespeichert, aber das war vom Leak angeblich nicht betroffen. Die verlinkte Seite, bestätigt einfach, was ich gesagt habe.
„Bzgl. Passwörter kann mir einer sagen was er will, der gute alte Post-It Zettel am Monitor ist noch immer die sicherste Lösung im privaten!“
so einen quatsch habe ich schon lange nicht mehr gelesen!
und jeder der bei dir in der wohnung ist, kann den Post-It zettel sehen und sich notieren???
kopfschüttel!
Wüsste nicht das ein Fremder in meiner Wohnung herum schnüffeln würde und gezielt Passwörter klauen will und dem gemeinen polnischen Einbrecher dürfte ein schmieriger Zettel mit Gekritzel und Kaffeeflecken am PC wohl auch am Popo vorbei gehen und selbst dann hat er keinen Bezug für was die sein sollen wärend man bei der Cloudgeschichte die Passwörter in der Regel fest mit einem Dienst verbunden hat.
Da ist die Chance bei einem Clouddiebstahl, was ein Angriffsziel von vielen 67347234627347364723 Hackern weltweit ist, ist ja wohl X fach höher als dass hier irgendjemand in mein Wohnung einbricht und meine Schmierzettel mit nimmt.
Meine Angriffsfläche überhaupt Opfer zu werden geht gegen Null mit einem Stück Schmierpapier Wohnhaft am Arsch der Welt.
ich möchte hier kein fass aufmachen,
aber deine einstellung ist einfach nur blödsinnig!
ernsthaft!
Blödsinn ist es seine Passwörter zu externen Dritten auszulagern wie man immer wieder sieht!
Passwörter in der Cloud? Verfügungsfreigabe an Dritte? Never!!!
Sticks kommen ja langsam aus der Mode; wer also unbedingt in
die Cloud möchte sollte das als eine mit Challenger verschlüsselte
TXT tun. Sicherheit steht immer über Bequemlichkeit!!!
Das ist der Hauptgrund das ich meine Passwörter niemals in der Cloud Speichern würde. Auch das sync der Passwörter in Chrome oder Edge finde ich einfach nicht sicher
Die Chancen, dass Passwörter durch die zahlreichen Sicherheitslücken immer wieder in allen Browsern abgegriffen werden können, ist denke viel größer als bei LastPass oder Bitwarden. Nutze den 2 genannten Service schon Jahre und hatte noch nie Probleme. Und wer nach einer 100 % Sicherung sucht, der darf sein ganzes Leben danach suchen. Gibts nämlich nicht.
Also manchmal sind die Kommentare hier für eine doch technisch eher versierte Nutzerschaft echt wild…
Wenn ihr ein schlechtes Gefühl habt, wenn irgendwer eure Datenbank besitzt, dann hättet ihr diesen Passwortmanager niemals benutzen dürfen, weil ihr entweder an seinem verwendeten Verschlüsselungsalgorithmus zweifelt oder an der Implementierung von Selbigem. Sollte beides nicht der Fall sein, kann das Problem eigentlich nur noch bei euch und eurer Fähigkeit ein sicheres Masterpasswort zu erstellen, liegen… die Verschlüsselung gibt die Sicherheit, NICHT der Ablageort des Datenbankcontainers. Bei jedem Tool, ob das nun Lastpass, Bitwarden oder Keypass ist. Fühlt ihr euch „unsicher“, wenn ein Dritter eure Datenbank hat, hättet ihr das Tool nie verwenden (oder respektive richtig verwenden) sollen. Traue ich der Verschlüsselung nicht, ist keins der Tools mehr wert, wie eine Klartextdatei auf dem Desktop.
Nun kann man natürlich argumentieren, dass so oft wie es bei LastPass irgendwelche Lecks, Lücken oder sonstige Sicherheitsprobleme gibt, möglicherweise auch die Implementierung der Verschlüsselung dahingeschlampt wurde – und ich würde dieser Überlegung zweifelsfrei zustimmen – aber das ist eben schon eine andere Baustelle als der scheinbare Tenor hier, der im Kern simultan schreit „die haben Zugriff auf meine Datenbank, damit ist alles am Arsch“. Und wenn ich dann noch lese, dass genau diese Leute aber natürlich gern den Komfort von Autofill im Browser und Co nutzen wollen und da überhaupt keine potentielle Schwachstelle in ihrer Sicherheitskette sehen, weiß ich, dass ihr von Kryptografie und Systemsicherheit ungefähr so viel Plan habt, wie ich von Atomphysik. Keinen. Absolut keinen.
PW „Autofill“ aber sehr gern, von Kee (Keepass Browser Extension). Funktioniert jedoch nur auf Websites für die man das PW erstellt hat. Für keine andere URL. Zum Glück..
Lecks sind mir eigentlich auch egal, solange das Masterpw halbwegs sicher ist.
LastPass würde ich nach all den Leaks meine PW Dateien niemals anvertrauen. Unter der Annahme KeePass macht dicht und ich müsste eine andere Lösung suchen. Auf keinen Fall Lastpass
Tu ich ebenso. Aber der Unterschied ist: mir ist bewusst, dass ich mit Autofill (oder jedem anderen externen Zugriff auf entschlüsselte Daten in meinen Container) ein Stück Sicherheit gegen Komfort eintausche. Ich tue das also bewusst. In dem Kontext werde ich aber niemanden vorhalten, dass er doch bitte… beispielsweise… seinen Keepass-Safe nicht in seinem OneDrive speichern soll. DAS ist nämlich kein(!) „bewusst eingegangenes Sicherheitsrisiko“ – auch wenn einige Kommentatoren das hier warum auch immer so darstellen. Wie gesagt, wo der verschlüsselte Container liegt, spielt keine Rolle für dessen Sicherheit. Würde ich Keepass jetzt nicht trauen, meine Daten sicher zu verschlüsseln, wäre das eine Lücke – egal ob die Datenbank nun lokal oder online vorliegt, die ich, bei sensiblen Daten, so oder so nicht eingehen sollte. Das mit „aber wer sollte sich schon für mich interessieren…“ begründen zu wollen scheitert spätestens dann, wenn man etwas weiter drüber nachdenkt. Denn wenn sich niemand dafür interessiert, deine Datenbank von deinem NAS zu klauen, warum verschlüsselst du sie dann eigentlich? Immerhin würde sich dann ja dieser Logik zufolge auch niemand dafür interessieren, wenn er die Daten dann im Klartext hat, weil sich ja niemand für dich interessiert. Da ist ein kompletter Konflikt in der Logik… „ich verschlüssele, um mich zu schützen, aber… eigentlich brauch ich keinen Schutz… niemand kann zwar meine offenbar (weil ich zu unwichtig bin) nicht schützenswerten Daten lesen, aber ich will trotzdem nicht, dass die Chance besteht, dass jemand verschlüsselte Zeichensuppe sieht“. Rational gesehen ist das einfach gaaanz großer Unsinn. Gefühlt kann man das natürlich trotzdem unangenehm finden – aber damit, auf Basis „gefühlter Wahrheiten“ anderen Hinweise in Bezug auf Sicherheit geben zu wollen, ist… bestenfalls riskant.
Aber ja, LastPass käme für mich auch niemals in die Tüte. Dabei hatte ich ja sogar mal einen Account dort… als die damals vor vielen Jahren XMarks übernommen haben, wurden die Accounts zusammen gelegt und ich dachte „gut, hast ja jetzt eh zwangsweise einen Account, kannste dir ja mal ankucken“. Aber genau wie XMarks ist LastPass für mich einfach kurze Zeit später Geschichte gewesen.
Ich nutze KeepassXC auf dem Desktop und KeepassDX auf Android. Die Datenbank wird mit ResilioSync zwischen diesen beiden synchronisiert. Echt praktisch und man muss keine Angst haben dass jemand Zugriff auf ALL seine Passwörter bekommt
die können dicht machen
gepostet mit der Deskmodder.de-App