Wie sicher ist Lastpass?

Hi alle,

hab mir für meinen Firefox Lastpass runtergeladen und entdeckt, dass das ein super Programm ist. Die Technologie: Passwörter werden verschlüsselt in einer Onlinedatenbank irgendwo in USA eingetragen, über das Netz werden nur die verschlüsselten Daten geschickt und und erst in meinem Rechner entschlüsselt. Das Ding funktioniert super. Aber:

Ich hab im Netz recherchiert zu der Frage „Wie sicher ist Lastpass?“ und nichts brauchbares gefunden. Außer natürlich solche Allgemeinplätze wie „Ich würde meine Passwörter niemals einem Onlinedienst anvertrauen.“

Weiß jemand was über die Sicherheit, kennt jemand die Schwächen von Lastpass und die daraus folgenden Gefahren? Kann ich Lastpass ALLES anvertrauen?

Danke für Eure Beiträge.
Achim aus Bochum

PS: Keepass, KeepassX sind mir bekannt! Da KeepassX noch immer keine offizielle Version für Autofill hat (Mac-User!), taugt das noch nicht. Andere Passwortprogramme kosten teilweise richtig Geld. Die Passwort-Funktionen der Browser finde ich zu schwach im Schutz. PINS war das beste Programm für den PC - den ich jetzt abgeschafft habe. Das geht natürlich nicht auf Mac. So weit war ich also schon mal.

hab mir für meinen Firefox Lastpass runtergeladen und
entdeckt, dass das ein super Programm ist. Die Technologie:
Passwörter werden verschlüsselt in einer Onlinedatenbank
irgendwo in USA eingetragen, über das Netz werden nur die
verschlüsselten Daten geschickt und und erst in meinem Rechner
entschlüsselt. Das Ding funktioniert super. Aber:

Warum in aller Welt, schickst Du Deine Paßwörter an fremde Leute? Ich kenne Lastpass nicht und will denen nichts unterstellen, aber egal wie toll die verschlüsseln, weißt Du nicht, wer das implementiert hat und ob man sich absichtlich oder versehentlich Hintertüren offengehalten hat. Es gibt zig Tool die Deine Datei mit Paßwörtern drin lokal auf Deinem Rechner verschlüsseln können.

Ich hab im Netz recherchiert zu der Frage „Wie sicher ist
Lastpass?“ und nichts brauchbares gefunden. Außer natürlich
solche Allgemeinplätze wie „Ich würde meine Passwörter niemals
einem Onlinedienst anvertrauen.“

Der Satz ist ja auch exakt richtig.

Weiß jemand was über die Sicherheit, kennt jemand die
Schwächen von Lastpass und die daraus folgenden Gefahren? Kann
ich Lastpass ALLES anvertrauen?

Ich vertraue anderen Leuten GAR NICHTS AN, egal was die mir tolles vom Himmel versprechen!

Hi Lorgarn,

wie ich geschrieben habe, ist Deine Antwort einer der Allgemeinplätze, die ich sonst auch gefunden habe. Eine Duplikation dieser Antwort macht sie für mich nicht wertvoller, denn meine Frage war ja gerade, ob jemand etwas WEISS über Lastpass.

Danke Dir.

Gruß, Achim

Eine
Duplikation dieser Antwort macht sie für mich nicht
wertvoller, denn meine Frage war ja gerade, ob jemand etwas
WEISS über Lastpass.

Es tut mir aufrichtig leid, daß es Dir nicht gefällt, was ich sage aber es gibt unabhängig vom Anbieter KEINERLEI GRUND, wirklich gar keinen, den ich mir denken kann, meine Paßworte extern bei jemand anderem auszulagern, völlig unabhänig von dessen Reputation.

Ok - weiss jemand was über Lastpass?
Lorgarn weiss schon mal nix - hat er ja schon selber geschrieben. Hab keine Lust, hier über Allgemeinplätze zu streiten, weil sie an meiner Frage vorbeigehn. Echt jetzt.

Gruss, Achim

Hallo,

u.a. hast Du nach der Sicherheit von Lastpass gefragt.

In diesem Zusammenhang ist die Antwort von „lorgarn“ absolut korrekt und zutreffend, da das Konzept von Lastpass strukturell unsicherer als die lokale Speicherung von Passworten ist.

Konkretere Antworten auf Deine Fragen findest Du vielleicht hier:

http://hydra.geht.net/tino/opinion/tino/nixda/lastpass/

mfg, tf

Hy,

Weiß jemand was über die Sicherheit, kennt jemand die
Schwächen von Lastpass und die daraus folgenden Gefahren? Kann
ich Lastpass ALLES anvertrauen?

Alaso aus technischer Sicht machen die nichts supercooles oder so. DIE speichern DEINE Passwörter in Ihrer eigenen Datenbank. Sie sagen Sie verwenden 256-bit AES Verschlüsselung was schonmal nicht sooo schlecht ist. Das war es dann aber auch schon mit der realaussage. Wie GENAU die das machen und WAS steht leider nirgends. Du kannst denen vertrauen. DAS ist dann aber DEIN persönliches Risiko. Es steht nichts genaueres drin.

Gedankenspiel: Ich biete Dir an, das Du Deine Passwörter auf meinem Server ablegen kannst. Ich stell Dir dazu eine Datenbank zur Verfügung. Du greifst mit einem Firefox Plugin drauf zu.
Gehst Du drauf ein oder bist Du skeptisch?

Du kannst das glauben, musst es aber nicht. Du kannst jetzt versuchen ein bischen zu recherchieren was die für mechanismen verwenden und das ggf. nachvollziehen ob das auch WIRKLICH stimmt was die sagen oder ob das nur wieder einmal ein allgemeines marketing blabla ist ohne tieferen Hintergrundoder blauäugig sagen „wenn die das sagen, dann stimmt das schon so“.
Die Antworten haben wie Du merkst eher was mit dem gefühl an sich zu tun - ebenso wie bei einem schmierigen Autoverkäufer - es ist ein Bauchgefühl.

PS: Keepass, KeepassX sind mir bekannt! Da KeepassX noch immer
keine offizielle Version für Autofill hat (Mac-User!), taugt
das noch nicht. Andere Passwortprogramme kosten teilweise
richtig Geld.

Da merkst Du aber schon einen Ansatz. Das sind Programme und Daten, die DU unter Kontrolle hast und nicht irgendwem anvertraust, den Du nicht kennst und wo Du nicht weisst was der mit den Daten macht, ob die auf einem Server unter dem Küchentisch gelagert sind und sich die nachbarsjungen über Deine passwörter bei wer-weiss-was kaputtlachen…

Die Passwort-Funktionen der Browser finde ich zu
schwach im Schutz.

Schwach für was? Du sollst Passwörter nun mal nicht aufschreiben. Alles andere sind halt Verwässerungen dieser regel.

PINS war das beste Programm für den PC -
den ich jetzt abgeschafft habe. Das geht natürlich nicht auf
Mac. So weit war ich also schon mal.

Dann frag am besten weiter unten im mac Brett nach eine Tool dazu.

gruß
h.

Lorgarn weiss schon mal nix - hat er ja schon selber
geschrieben. Hab keine Lust, hier über Allgemeinplätze zu
streiten, weil sie an meiner Frage vorbeigehn. Echt jetzt.

Wenn du deinen eigenen Verstand mal fuer ein paar Minuten nutzt, wirst selbst du feststellen, dass du deine Frage an die Falschen richtest. Wende dich an Lastpass selbst und frage nach, ob sie bereit sind, dir den Sourcecode zur Verfuegung zu stellen.

Solange das nicht der Fall ist, weiss ich ganz sicher, dass der Dienst nicht vertrauenswuerdig ist.

HTH

Hi,

Solange das nicht der Fall ist, weiss ich ganz sicher, dass
der Dienst nicht vertrauenswuerdig ist.

solange du den Quellcode nicht kennst, weißt du nur, dass der Dienst vertrauensunwürdig sein kann. Genausogut könnte er auch vertrauenswürdig sein. Anders gesagt weißt du also gar nichts.

Es ist sicher nicht falsch, aufgrund dieser Tatsache vorsichtig zu sein, aber einen Dienst ohne Grundlage als nicht vertrauenswürdig zu bezeichnen halte ich doch für etwas gewagt.

Benutzt du eigentlich Windows?

lg
ventrue

Das kann man auch andersherum formulieren, einen Dienst als Vertrauenswürdig zu bezeichnen halt ich eher für fragwürdig. Du vertraust darauf, dass der Dienst keine Programmierfehler, keine Designfehler, keine Backdoors etc. hat und das der Anbieter selbst vertrauenswürdig ist. In einem Hochglanzprospekt der PR-Abteilung sieht alles toll aus.

Ich persönlich halte es für sicherer wenn ich meine Kennwörter auswendig lerne. Wenn man auf welche Art auch immer seine ganzen Passwörter an einer zentralen Stelle lagert muss ein Angreifer nur noch ein Passwort knacken/ausspionieren und hat all Deine Passwörter. Dabei ist es egal ob diese zentrale Stelle auf Deinem PC im Internet oder in Deiner Brieftasche ist.

Ich beende meinen Beitrag mit dem Satz: Ich vertraue niemandem außer mir selbst.

Dabei ist es egal ob diese zentrale

Stelle auf Deinem PC im Internet oder in Deiner Brieftasche
ist.

Zwar gebe ich Dir in sofern recht, daß die sicherste Methode natürlich die ist, sich alle Zugangsdaten zu merken, aber ein Zettel in der Brieftasche, eine Verschlüsselte Datei auf einem lokalen Rechner oder ein mysteriöser Dienst im Internet können alle verschieden angegeriffen werden. Daher sind einige der Methoden sicherer als andere, weil sie bestimmte Angriffssenarien ausschließen. Und deshalb ist ein Webdienst für sowas meiner Meinung nach auch failure by design.

ja klar
Hi Thomas,

ja klar ist das strukturell unsicherer als eine lokale Speicherung (solange, bis die dt. Computer offiziell vom Staat durchsucht werden dürfen). Deshalb habe ich ja diesen Threat erstellt, weil ich wissen wollte, ob jemand etwas über die Firma wüßte - wäre ich SICHER gewesen, hätte ich dieses Thema nicht angefangen.

Der Tino-Link (danke!) ist nett, aber der Typ (bei allen Medallien, die der beruflich trägt) ist sowas von dermaßen zynisch und unangenehm. Ich würde ihm erstmal dringend raten, den Artikel sachlich zu gestalten und nicht aufgrund von Indizien und Ironie. Das Wort „lügen“ kommt auffallend oft vor. Ist eine schwere Anschuldigung, die er nicht beweisen kann, sondern auch nur vermuten.

Letztendlich weiß NIEMAND von uns, ob es nicht Backdoors usw. in der Software gibt, die wir für unsere Passwörter nutzen. Und wenn wir sie auf Zettel schreiben, bricht jemand ein und nimmt sie mit. Wenn wir alles richtig gemacht haben, hält uns jemand eine Pistole an den Kopf und fordert uns zur Passworteingabe auf. Das Thema ist nicht das angenehmste zum Diskutieren, weil es viel Potiential für persönliche Angriffe hat.

Im Grunde aber ist meine Frage erledigt, denn niemand weiss was über die Firma. Dazu müßte jemand guter Freund sein von einem der Programmierer und selbst DANN ist es eine Frage auf Glaube und Vertrauen. Dass es strukturell unsicherer ist, Passwörter (egal wie) übers Netz zu schicken, ist mir klar. Aber MUSS es das sein? Ist es unmöglich, dass das, was Lastpass von sich behauptet, wahr ist?

Tja. Da hat sich die Katze dann wieder beim Schwanz.

Gruß, Achim

wie ich geschrieben habe, ist Deine Antwort einer der
Allgemeinplätze, die ich sonst auch gefunden habe. Eine
Duplikation dieser Antwort macht sie für mich nicht
wertvoller, denn meine Frage war ja gerade, ob jemand etwas
WEISS über Lastpass.

Lieber Achim, wie soll irgendjemand externer etwas wissen, was nur einem Mitarbeiter von Lastpass bekannt sein kann, der mit der Programmierung und Wartung von deren Systemen beschäftigt ist?

Auf deine Frage kann dir nur einer eine Antwort geben, und das ist Lastpass selbst. Und ob diese Antwort dann stimmt, kannst du auch nicht mal überprüfen, denn die werden mit Sicherheit sagen, dass bei ihnen alles super-sicher ist. Genau wie auf dem billigsten Kochschinken beim ALDI „Premium Qualität“ drauf steht, obwohl das mit Sicherheit nicht so sein wird…

Und die Antwort von Lorgarn ist deshalb auch kein „Allgemeinplatz“, weil dir eben kein Mensch sagen kann, ob das „sicher“ ist. Im Prinzip musst du Lastpass vollkommen blind und absolut vertrauen, wenn du denen deine Passwörter anvertraust.
Denn mal ganz im Ernst: Das Risiko dabei steht - egal welcher Anbieter - IMO in keinem Verhältnis zum Nutzen. Wenn du deine Passwörter lokal bei dir ablegst, dann interessiert das kaum jemanden. Eine Datenbank die aber die Passwörter von eventuell hundertausenden Leuten enthält, ist aber ein soooo lohnendes Ziel für Kriminelle, dass alleine daraus eine so große Bedrohung erwächst, dass Lastpass wirklich super-sicher sein müsste, um dem gewachsen zu sein. Und das KANN dir kein Mensch garantieren.

Ich definiere alle als unsicher, somit ist eines nur etwas weniger unsicher als das andere ;p

P.S.: ich meinte natürlich verschlüsselt in der Brieftasche, nicht in plain text.

Dass es strukturell unsicherer ist,
Passwörter (egal wie) übers Netz zu schicken, ist mir klar.
Aber MUSS es das sein?

Ja, das muss es zwingend sein. Denn über die Sicherheit entscheidet das schwächste Glied in der Kette. Und bei einem externen Anbieter ist so eine Kette deutlich länger und unkontrollierbarer als bei dir selbst lokal auf dem PC.

Ganz zu schweigen davon, dass eine Datenbank mit hunderttausenden von Passwörtern ein 1000x lohnenderes Ziel abgibt, als dein kleiner Rechner zuhause. Das heißt, dass so eine Datenbank auch viel ausgefeilteren und heftigeren Angriffen ausgesetzt sein wird. Und allein das macht die Sache schon viel unsicherer.

Ist es unmöglich, dass das, was
Lastpass von sich behauptet, wahr ist?

Sicher *könnte* das wahr sein. Nur kann dir das keiner garantieren und die Bedrohungen für so einen Dienst sind exorbitant hoch. Damit das also halbwegs sicher ist, *dürfen* die bei Lastpass auch keine Fehler machen. Nur kann das keiner prüfen, da sie ja nicht mal den Quellcode ihrer Client-Applikation heraus rücken, der ja für die Verschlüsselung zuständig sein soll.

stimmt
Hi,

ja, das stimmt. Selbst wenn ich einen von Lastpass kennen würde, habe ich noch immer keine Sicherheit, dass DER mir die Wahrheit sagt. Die Welt ist schlecht.

Logisch ist das schon: je mehr Passwörter sich in einer Datenbank sammeln, um so lohnender für Böse.

Dann … 1Password … 40$. Speicherung lokal. Oder im Vault oder in dropbox … hahaha, das ist doch fast dasselbe, nur dass sich die Passwörter von 1000den nicht in einer einzigen Datenbank knubbeln (dropbox) oder eben doch (vault). Ist 1Password allein schon deshalb vertrauenswürdiger?

Immer ratloser, Achim

Ich definiere alle als unsicher, somit ist eines nur etwas
weniger unsicher als das andere ;p

Das ist ja immer so. Absolute Sicherheit kann dir kein Verfahren garantieren, es wird immer ein Restrisiko geben.

Aber wie hoch dieses Risiko ist, hängt ja nicht nur davon ab, wie sicher das Verfahren ist, sondern auch wie groß die Bedrohung ist. Eine stärker bedrohte Sache muss daher auch viel sicherer sein, um dir das gleiche Restrisiko bieten zu können. Und ein Dienst, der hundertausende von Passwörtern speichert, der ist definitiv einer um mehrere Größenordnungen stärkeren Bedrohung ausgesetzt, als ein lokaler Passwort-Store.

Wenn also beide gleich „sicher“ programmiert sind, dann bietet dir der lokale Store also so oder so immer noch das um Längen kleinere Restrisiko.

Beispiel:
Du fährst mit einem gepanzerten Fahrzeug mit US-Flagge durch München oder durch afghanisches Taliban-Land. Da beide Fahrzeuge baugleich sind, sind beide Fahrzeuge demnach auch gleich „sicher“. Trotzdem hat die Fahrt durch München wohl das viel geringere Risiko…

Meine bescheidene Meinung (leicht geduckt angesichts all der Profis hier) ist - man möge mir meine Blauäugigkeit verzeihen, dass wenn Lastpass sowas auch nur EIN MAL passiert, dass das sofort im Netz um die ganze Welt geht und die Sache sofort platt ist. Die werden sonstwas tun, damit das nicht passiert.

Ähm, und welche Firma, die Geld verdienen will und muss, wird den Quellcode ihrer Client-Applikation heraus rücken, der ja Teil ihrer Investition ist? Ist ja kein Opensorce. IMHO würde diese Forderung von jeder IT-Firma belächelt. Oder?

Gruß, Achim

Meine bescheidene Meinung (leicht geduckt angesichts all der
Profis hier) ist - man möge mir meine Blauäugigkeit verzeihen,
dass wenn Lastpass sowas auch nur EIN MAL passiert, dass das
sofort im Netz um die ganze Welt geht und die Sache sofort
platt ist. Die werden sonstwas tun, damit das nicht passiert.

HAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHA…

HAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHA…
Ganz im ernst. Wenn die von sich aus im Hintergrund die Daten lustig an andere Verkaufen, die damit die diveren Accounts der Userbase kompromitieren (was ich denen hier nicht unterstellen möchte) dann kann denen das recht egal sein, ob das irgendwann mal herauskommt. Schau Dir die dutzenden Dienste an, die persönliche Daten speichern, Facebook und wie sie alle heißen. Alle stehen sie in den Medien, weil sie schlampig damit umgehen und keine Sau interessiert es.
Für einen ganzen Haufen MMORPG aus Asien, mußt Du Dir den sogenannten Gameguard installieren (der nebenbei nicht Gegenstand der EULA ist, der Du zustimmen mußt) weil die böse Cheatprogramme aufspühren wollen. Das Teil installiert ein Rootkit auf Deinem Rechner und ist nicht nur aktiv wenn das Spiel aufgerufen wird sondern IMMER. Das kann überigends nach Hause telefonieren, Screenshots und ähnliches übermitteln. Interessiert auch kein Schwein.
Und jetzt willst Du mir sagen, daß ich irgendeiner Hinz und Kunz Firma ruhig online meine Paßwörter zu E-Mail, Banking etc. anvertrauen kann, weil die ja bestimmt um ihre Reputation besorgt sind, wenn das was schief geht? Das ist naiv, sorry.

Hallo A.D. Köhler,
zu deiner Frage kann ich wenig sagen will dir aber einen Tip geben wen du deine Passwörter sichern musst solltest du das in jedem Fall so machen das du die Kontrolle darüber behältst.

Eine recht gute Methode die auch am Mac gut läuft sind Passwort Generatoren die auf grösstmögliche Komplexität achten und die generierten Passwörter in einer lokal verschlüsselten Datenbank ablegen.
Letztere wird mit einem Master Passwort ab gespeichert und nur das musst du kennen alle anderen werden per Autofill oder Copy Paste ausgefüllt und Wöchentlich gesichert (nicht auf dem Mac !!)

Das Szenario eignet sich aber aus meiner Sicht auch nur für Web Passwörter zb für Foren Mail und Shop Anmeldungen etc., Passwörter für Bankanwendungen oder Logins in reale Computer gehören nur an einer einzigen Stelle gespeichert diese sitzt auf deinem Hals

Ein gutes Mac Programm ist 1 Password (ca 50 Euro) es macht eben das was ich beschrieben habe wie weit du das und wofür benutzt ist ja deine Sache ich nutze es ausschliesslich dafür das meine diversen Logins im Netz alle verschiedene und auch komplexe Passwörter haben, mein Master Passwort ist über 20 Zeichen lang und besteht aus Gross Klein Buchstaben Zahlen und Sonderzeichen es ist keine einzige zusammenhängende Silbe darin mit etwas Übung lässt sich auch so etwas auswendig lernen zb mit einer Eselsbrücke wie:

Es waren 13 Wikinger die schrieben 7 Mails an [email protected]

[email protected]

MfG

Andre