![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Manche Nutzer verwenden Passwort-Manager f\u00fcr die Speicherung ihrer Kennw\u00f6rter. Wie sich herausstellt, ist der Passwort-Manager LastPass f\u00fcr Phishing-Angriffe anf\u00e4llig.<\/p>\nManche Nutzer verwenden Passwort-Manager f\u00fcr die Speicherung ihrer Kennw\u00f6rter. Wie sich herausstellt, ist der Passwort-Manager LastPass f\u00fcr Phishing-Angriffe anf\u00e4llig.<\/p>\n
<\/p>\n
Kennwort-Manager lassen sich sowohl lokal als Anwendungen auf dem Betriebssystem installieren, oder in Form von Betriebssystemfunktionen oder als Online-Dienst nutzen. So haben sowohl Mac OS X als auch Windows eigene Manager zur Verwaltung von Schl\u00fcsselw\u00f6rter. Keepass<\/a> und LastPass<\/a> sind Beispiele f\u00fcr solche externen Kennwort-Verwaltungsprogramme, die lokal bzw. im Web funktionieren. <\/p>\n So bequem es ist, Kennw\u00f6rter in einem \"Safe\" in Form eines Passwort-Managers zu speichern \u2013 gelingt es Dritten, das Master-Passwort zu knacken, haben diese nat\u00fcrlich Zugriff auf alle Daten von Benutzerkonten samt Zugangsnamen und Kennw\u00f6rter. <\/p>\n Mein Beitrag Vorsicht bei 1Password<\/a> weist darauf hin, dass eine solche Anwendung oder App nur zu dem Zweck programmiert wurde, um die Kennw\u00f6rter und Anmeldedaten weiterzureichen \u2013 quasi der Wolf im Schafspelz \u2013 wenn auch im aktuellen Fall die Implementierung lausig war, so dass Kennw\u00f6rter im Klartext \u00fcbertragen wurden. <\/p>\n Und im Beitrag Trojaner attackiert Passwort-Manager<\/a> hatte ich vor einiger Zeit \u00fcber das Risiko berichtet. Ein Trojaner war in der Lage, das Keepass Master-Kennwort auszusp\u00e4hen und den Passwort-Safe des Programms an die Kriminellen zu \u00fcbertragen. <\/p>\n Wer die in Windows enthaltene Anmeldeinformationsverwaltung verwendet, kann diese als Passwort-Safe f\u00fcr das Internet verwenden (siehe auch mein Beitrag Windows 8: Schutz der digitalen Identit\u00e4t<\/a>). Unsch\u00f6n ist, dass man die Dateien sichern und zur\u00fccksichern kann, was m\u00f6glicherweise eine Missbrauchsm\u00f6glichkeit bietet. Hier verweise ich auf den recht aktuellen Malwarebytes-Beitrag The Windows Vaults, der auf das Thema eingeht.<\/p>\n Auf der LastPass-Webseite<\/a> hei\u00dft es: \"LastPass merkt sich Ihre Passw\u00f6rter, damit Sie sich auf die wichtigen Dinge im Leben konzentrieren k\u00f6nnen.\" Man kann eine App oder einen Browser verwenden, um sich mit einer E-Mail-Adresse und einem \"starken\" Master-Passwort am LastPass-Konto anzumelden, also dort, wo die Kennw\u00f6rter f\u00fcr Online-Angebote verwaltet werden. <\/p>\n (Quelle: LastPass)<\/p>\n Wenn diese Anmeldung ausgehebelt wird, ist der Passwort-Safte geknackt. Bereits im Sommer 2015 hatte ich den Beitrag LastPass gehackt!<\/a>, wo ruchbar wurde, dass deren Datenbank gehackt wurde. Damals wurde zwar betont, dass die verwendeten Passwort-Container sicher seien. Aber die Nutzer wurden aufgefordert, ihre Master-Passw\u00f6rter zu \u00e4ndern. <\/p>\n Es ist leider noch eine andere Angriffsmethode denkbar. Auf der letzten Samstag stattgefundenen ShmooCon hat nun Sean Cassidy, CTO von Praesidio, darauf hingewiesen, dass LastPass anf\u00e4llig f\u00fcr Phishing sei. Das Ganze hat er in seinem Blog in diesem englischsprachigen Beitrag<\/a> beschrieben. Das Problem: LastPass zeigt Meldungen im Browser an, die Phisher auch f\u00e4lschen k\u00f6nnen. Gelingt es einem Phisher solche Meldungen anzuzeigen, kann er dem Benutzer das LastPass-Anmeldeformular einblenden und zur Eingabe seiner Zugangsdaten aufzufordern.<\/p>\n (Quelle: Sean Cassidy<\/a>)<\/p>\n Laut Cassidy hat LastPass eine eigene API, die auch remote genutzt werden kann. Cassidy hat diesen Ansatz genutzt, um eine Phishing-Attacke zu demonstrieren. Wenn der Benutzer eine Website mit entsprechendem Code besucht, wird ihm das Anmeldeformular f\u00fcr die LastPass-Anmeldung gezeigt. Gibt er seine Zugangsdaten ein, fischt die Webseite diese ab und hat damit das Master-Passwort zum Zugriff auf den Passwort-Safe. Details sind in diesem Artikel<\/a> nachzulesen. (via<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":" Manche Nutzer verwenden Passwort-Manager f\u00fcr die Speicherung ihrer Kennw\u00f6rter. Wie sich herausstellt, ist der Passwort-Manager LastPass f\u00fcr Phishing-Angriffe anf\u00e4llig.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[908,426],"tags":[4167,3575,4328],"class_list":["post-172881","post","type-post","status-publish","format-standard","hentry","category-internet","category-sicherheit","tag-lastpass","tag-passwort-manager","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/172881","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=172881"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/172881\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=172881"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=172881"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=172881"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/01\/Tresor.jpg\"\/)
<\/p>\nUnd LastPass ist auch kritisch zu sehen<\/h3>\n