[English]Der Dienst LastPass informierte vor einigen Stunden seine Kunden, dass kürzlich "ungewöhnliche Aktivitäten" bei einem Cloud-Speicherdienst eines Drittanbieters entdeckt wurden. Dieser Cloud-Speicherdienst wird derzeit sowohl von LastPass als auch von dessen Tochtergesellschaft GoTo genutzt. Wer den Dienst LastPass verwendet, um Passwörter zu speichern, sollte sich laut Anbieter aber keine Sorgen machen. Die Passwörter der Kunden bleiben aufgrund der Zero Knowledge-Architektur von LastPass sicher verschlüsselt.
Anzeige
Fremdzugriff auf Cloud-Speicher
Ich hatte es diese Nacht zwar gesehen, aber noch keine Zeit das hier im Blog einzustellen. Der Anbieter LastPass hat einen Sicherheitsvorfall angezeigt – danke auch an die Benutzer für den Hinweis per E-Mail.
In dieser Mitteilung bestätigt LastPass am 30. November 2022 den Sicherheitsvorfall, der auch die Tochtergesellschaft GoTo betrifft. Die Goto-Meldung findet sich in diesem Blog-Beitrag. In beiden Beiträgen wird angegeben, dass man kürzlich ungewöhnliche Aktivitäten bei einem Cloud-Speicherdienst eines Drittanbieters entdeckt habe. Dieser Cloud-Speicherdienst ist sowohl von LastPass als auch von dessen Tochterunternehmen GoTo in Verwendung.
Es wurde dann festgestellt, dass eine unbefugte Partei unter Verwendung von Informationen, die sie im August 2022 erlangte, in der Lage war, Zugang zu bestimmten Informationen von LastPass (und wohl auch GoTo) Kunden zu erlangen. Direkt nach der Entdeckung wurde das Sicherheitsunternehmen Mandiant mit der Analyse des Vorfalls beauftragt und LastPass hat die Strafverfolgungsbehörden informiert.
Anzeige
Aktuell arbeitet LastPass mit Mandiant zusammen daran, das Ausmaß des Cybervorfalls zu verstehen und herauszufinden, auf welche spezifischen Informationen zugegriffen worden ist.
Nicht der erste Hack
Beim Hinweis, dass die Angreifer im August 2022 die Informationen zum Zugriff auf den Cloud-Speicher erlangten, klingeln bei mir alle Alarmglocken. Denn im August 2022 wurde die PastPass Entwicklungsumgebung gehackt (siehe mein Blog-Beitrag LastPass Sicherheitsvorfall: Entwicklungsumgebung gehackt (25. August 2022)). Die LastPass-Entwickler schrieben damals, dass sie keine Beweise dafür hatten, dass dieser Vorfall irgendeinen Zugang zu Kundendaten oder verschlüsselten Passwort-Tresoren beinhaltete. Später wurde bekannt, dass die Angreifer vier Tage in den LastPass IT-Systemen aktiv waren, bis der Angriff entdeckt wurde – siehe meinen Blog-Beitrag LastPass bestätigt: Angreifer hatten vier Tage Zugriff auf interne Systeme.
Sind die Nutzerpasswörter sicher?
LastPass schreibt, dass die LastPass-Produkte und -Dienste weiterhin voll funktionsfähig seien. Wäre für mich als LastPass-Benutzer nicht wirklich beruhigend, denn das wurde auch im August 2022 behauptet (siehe meine oben verlinkten Beiträge). Aber es sieht so aus, als ob Kunden, die LastPass als Passwort-Speicher verwenden, unbeschadet davon kommen. Das Unternehmen behauptet jedenfalls, dass die Passwörter der LastPass-Kunden sicher seien, da diese aufgrund der Zero Knowledge-Architektur von LastPass verschlüsselt abgelegt werden.
Klingt auch einleuchtend. Allerdings machen mich einzelne Nutzerposts recht hibbelig, die ich auf Twitter direkt als Antwort auf die LastPass-Meldung gefunden habe. Hier schreibt jemand:
My fb, youtube, spotify, hotmail, was login by hackers, and the hacker posted video on my behalf, hundred of video against fb and youtube policy, and I wake up with a disable fb and youtube account, I cannot revive it, because they deny my appeal, how last pass can responsible?
Gut, das kann ein Fake sein oder es gibt eine andere Ursache für dieses Verhalten. Möglich ist auch, dass der Nutzer entgegen den LastPass-Empfehlungen kein starkes Master-Passwort zur Absicherung des Kundenkontos verwendet hat – oder dieses Passwort auf zig anderen Seiten verwendet wurde und dann in Listen mit durchgesickerten Kennwörtern auftaucht. Und auch dieser Nutzer behauptet, dass seine Kennwörter beim August 2022-Vorfall kompromittiert worden seien. Hier kann ich LastPass-Nutzer nur empfehlen, sich sehr genau anzuschauen, ob mit den Kennwörtern Missbrauch passiert. Ich schätze, dass jetzt wohl einige Leute diese Plattform verlassen.
Anzeige
mal wieder … kwt
Genau wegen solcher Vorkommnisse und weil man dem Anbieter dann zu 110 % vertrauen muss, empfehle ich Kunden und Bekannten ausschließlich https://de.wikipedia.org/wiki/KeePass
und zwar ausschliesslich offline auf dem eigenen pc.
Immer die Frage wie komfortabel man es haben möchte/muss. Nutzt man auch mobile Geräte wird es mit Keepass schon wieder kritisch, wenn man die kdbx irgendwie synchronisieren muss.
Da wäre dann z.B. Bitwarden bzw. Vaultwarden die bessere Alternative.
Den Sync kann man recht einfach automatisieren:
Die *.kdbx per Keepass' "Triggers" mit einer 'zentralen' DB (auf PC/Server/NAS/…) syncen, die man dann als Datei z.B. mit Syncthing mit dem Mobile synct.
Ich traue hier der Kompetenz von Microsoft bzgl. OneDrive for Business deutlich mehr als anderen Anbietern.
Witzig, wir waren in den letzten Wochen dabei, lastpass als Enterprise-Lösung für 1000+ Benutzer zu evaluieren. Hat sich damit für uns erledigt…
Kann hier jemand einen guten Enterprise PW-Manager empfehlen?
@Martin
Schau dir doch mal Devoltions (Password + RDM Manager). Alternativ Imprivata Privileged Access Management.
Password Safe von Mateso.
Hi Martin,
wir verwenden Mateso PasswordSafe und sind damit sehr zufrieden.
LG Frank
Kann dir auch Bitwarden empfehlen.
Ich empfehle ebenfalls Bitwarden. Kann man problemlos selber hosten und ist im Vergleich zur Mateso Lösung deutlich schneller und weniger ressourcenhungrig; Mateso kann dafür mehr.
Mateso wurde vor kurzem von Netwrix aufgekauft; da hat für mich das Vetrauen in diese Firma nicht unbedingt gestärkt.
1Password, bitwarden oder vaultwarden
BitWarden
Bitwarden nutze ich privat.
Im Enterprise Bereich ist 1Password sehr mächtig.
Nächstes Jahr kommt die Möglichkeit Passkeys zu sichern.
So ist man nicht mehr auf iCloud oder Google Cloud angewiesen, um seine FIDO2 Daten im Vendor Lock in zu sichern.
Was ein wenig bei 1Password stört, dass -wie bei Bitwarden- auf Electron gesetzt wird.
Damit gab es zuviele böse Vorfälle, wie Remote Code Execution, usw.
Ist seit v8 nicht „alles" auf Rust gebaut?
Gar keinen.
Wird der Zugang zu dem PW-Manager erfolgreich gehackt, sind alle dort abgelegten Passwörter gehackt.
Ohne PW-Manager nur das eine Passwort.
Ich benutze so etwas nicht, sondern merke mir die Passwörter (und die sind durchaus allesamt etwas komplexer: Mindestens 8 Stellen, Groß/Kleinbuchstaben, Ziffern, Sonderzeichen, keine aussprechbaren Konstrukte wie z.B. 8Tung!).
Ich bin noch besser, ich benutze zusätzlich FIDO2 Hardware 2FA mit PIN. Wenn die weg ist fehlen immer noch Passwörter und Account-Name. Wiederherstellungscodes liegen im Feuerschutztresor. Good luck hackers!
Kann man machen, wird dann nur irgendwann unübersichtlich bis unmöglich, wenn man sich hunderte Passwörter merken muss…
Eine Cloud mag ja in vielen Szenarien seine Berechtigung haben, aber warum man in einem extrem sensiblen Bereich wie Passwörter auf eine Cloud-Lösung setzt, ist für mich unverständlich.
PS: ich verwende (lokal) KeePass.
@Matze
"Warum Cloud?"
Weil C(K)loud das neue "must-have" ist, immer und überall! Sicherheitsbedenken: keine.
Persönlich nutze ich Bruce Schneier's "Password Safe" ->
Hässlich wie die Nacht, aber absolut ausreichend und "sicher".
Ein PW Safe ist nie sicher! Eine Kompromitierung reicht und all deine PW sind verbrannt! Der Analoge PW Safe, sprich Notizbuch in nem F90 (feuerfest) Wandsafe ist der einzig sichere Safe!
Da müsste schon jemand einbrechen und den Safe knacken, dann wüsstest du aber sofort Bescheid.
So ist das eben, du kannst es bequem oder sicher haben, Beides zusammen geht nicht!
Ich Handhabe das so:
nen 10stelligens komplexes PW (Zahlen; Goß/kleine Ziffern; Sonderzeichen) + Dienstanhang + Dienstanhang nach meinem Algo kodiert.
So muss ich mir genau ein einziges PW merken und habe doch für jeden Dienst ein eigenes sicheres PW.Wo möglich auch immer 2FA aktiviert. Zur Vorsichet (sprich Alzheimer & Co) ist dieses PW + Algo in einem Notizbuch in jenem Wandsafe hinterlegt.
Tja sollten Quantencomputer sich mal durchsetzen ist das auch nicht mehr sicher, aber bis dahin ;-P
/Edit/ und du siehst mit dieser Methode sofort welcher Dienst versagt hat und gehackt wurde …
Hab ich auch mal gemacht, aber wie änderst Du das "10stelligens komplexes PW"? Wenn Du eines änderst (ändern MUSST, weil z.B. Vorgabe), änderst Du dann ALLE anderen auch, damit man sich wieder nur "eines" merken musst?
Hab ich mal gemacht, mach ich nicht mehr. Wandelt sich von einfach nach komplex.
Mehr als Hardware 2FA war schon immer sinnlos, weil:
1) der Staat kommt eh in deine accounts über anbieter
2) der anbieter kann vollumfänglich gehackt werden
3) ich kann auf meine PWs sehr gut aufpassen und prüfe Serverzertifikate und schreibe nicht wahllos in anmeldemasken
4) das ganze zeug ist schuldabwälzung auf den user, aber die anbieter sind nach wie vor immer die die gehackt werden und nicht mein PC
Wenn ich mal so dumm sein sollte und selbst einen Fehler mache würde ich das hier anonym zugeben, aber meine Daten wurden bisher immer über den Anbieter selbst gezogen.
Was soll man da als Kunde schon tun? Am besten sich überall wo geht immer mit pseudonym anmelden, wegwerf Mail-Alias, wie das jeder hoffentlich macht. Ihr seid ja auch nicht von gestern!