Wurde "Lastpass" Opfer eines virtuellen Angriffs?

Wirtschaft & Firmen Möglicherweise wurde der Passwortspeicher-Dienst Lastpass Opfer eines virtuellen Angriffs. Von den Betreibern werden die Nutzer jedenfalls dazu aufgefordert, aus Sicherheitsgründen ihre Masterpasswörter zu ändern. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
langsam kommt mir das ganze wie eine geplante offensive vor.erst sony, jetzt lastpass ... überall wo wichtige sache online gespeichert werden werden angegriffen ... ersteinmal die "normalen" sachen wie nur adresse, kreditkartendaten etc, was jedenfalls schon immer war.Später wenn sich die Cloud mal durchgesetzt hat wird die auch noch angegriffen und dann gehts richtig rund.Also ich werd langsam die Finger davon lassen alles online zu speichern.ich weiss ja eh nicht wofür die daten noch weiter verwendet werden ... erzählen können die Großen wie microsoft google und die anderen viel.nur ob sich dran gehalten wird .... das weiss nur gott, Amen!
 
@xerex.exe: Sag ich ja, die Aktion gegen Sony war mehr als ne "Rache" von virzuellen Robin Hoods aka Anonümus.
 
@xerex.exe: Bei allem was du in der cloud speicherst sollte dir im Vorfeld bewußt sein, dass Fremde Zugriff auf diese Daten erhalten können. Sei es nun durch den Staat , Hack Attacken oder Bugs. Sensible Daten gehören nicht in die Cloud.
 
@balini: DAs Riskio dabei minimiert sich aber bei guter Verschlüsslung, dessen Schlüssel nur der Anwender hat.
 
@mcbit: Der Schlüssel ist Sinnlos wenn die Wände aus Presspappe sind, warum soll so ein Dienst die Dateien verschlüsseln, das kostet die doch nur Rechenleistung. Ok sind Dienste wo ich Schlüssel selber produzieren kann und mir die Beschaffenheit der "Tresorwände" selber ansehen kann ( Truecrypt oder keepass)
 
@Maik1000: Ach Leute, könntet ihr euch nicht erst mal mit den Dingen befassen, über die ihr so redet. Die bei Lastpass liegenden Daten sind nicht nur stark verschlüsselt, sondern auch mit einem Schlüssel, dessen privater Teil nur auf deinem Rechner liegt. Das heisst, nur du selbst kannst ihn entschlüsseln. Und wenn man sich die Meldung mal durchliest von Lastpass, dann macht die auch Sinn: Sie befürchten, dass ein Teil der verschlüsselten Daten ausser Hause geraten sein könnte. Für Leute, die eine schwache Passphrase gewählt haben, könnte (!) eine BruteForce-Attacke auf die verschlüsselten Daten erfolgreich sein, alle anderen müssen sich sowieso keine Sorgen machen - eben wegen der Verschlüsselung.
 
@mcbit: Richtig. Programme wie truecrypt oder encfs helfen dabei ganz gut.
 
@balini: Ich nutze Keepass, da es das auch fürs Handy gibt. Somit bin ich nicht angwiesen auf dubiose Dienste im Internet
 
@mcbit: macht sinn - bei PW Diensten im Netz kann man ja auch nur abraten.
 
@balini: ich geh ja aber von dem nicht so versierten windows/"was auch immer in der cloud noch sonst so gespeichert werden kann"- Nutzer aus ... und dummerweise machen sowas ja die meisten dann ...
 
@xerex.exe: du hast ashampoo und mindfactory vergessen ;)
 
@Shakal.hh: Oder die Landesbank Berlin (LBB) und Vodafone und und und ..... viele hatten schon ihren datenskandal. Da muss man sich nicht wundern, wo die Spam Mails herkommen ;-(
 
@xerex.exe: Clouds sind meiner Meinung nach aus Glaswänden. Sensible Daten vertraue ich denen nicht an, es sei denn, ich lade ein Truecrypt verschlüsseltes Archiv hoch. Bei einem guten Passwort kann sich da jeder die Zähne dran ausbeissen.
 
lol ... passwortspeicherdienst ... ich fass es nicht
 
@hjo: Software wie 1password finde ich nicht schlecht. Allerdings sollte das ganze dann lokal gespeichert sein. In der Cloud halte ich es auch für irre.
 
@balini: Wozu dann nen Dienst? Dafür gibts Keepass. Oder war das sarkastisch gemeint?
 
@mcbit: 1 Passwort ist kein Dienst, sondern ne Software, wie Keepass auch. Hatte ich oben falsch geschrieben, hab's ausgetauscht, danke.
 
@hjo: Ja genau, ein Passwortspeicherdienst. Und ein guter dazu. Lies mal o1:re8 zum Verfahren, wie die die Daten schützen.
 
@cgd: du, das mag sein.... für mich ein absolutes no-go ;)
 
@cgd: Ist natürlich eine Entscheidung, die jeder für sich selbst treffen muss. Nur stellt dein erster Post es so hin, als ob die Idee an sich völlig indiskutabel sei. Das ist nicht der Fall. Ich habe mich länger mit dem Verfahren bei Lastpass beschäftigt, bevor ich angefangen habe, es zu nutzen. Ergebnis war, dass ich entweder ganz auf das Speichern von Passworten verzichte (auch und vor allem in den Browsern auf meinen Rechner) oder die Passworte auch bei Lastpass speichern kann - die sind nicht weniger sicher und bieten mir immerhin den Vorteil, alle Web-Passworte browser- und rechnerübergreifend gespeichert zu haben, was bei 3 Rechnern und 3 Browsern pro Rechner auch nicht zu verachten ist.
 
@cgd: Ganz egal wie die die Daten schützen, wenn sie ihre Kunden aufrufen das Masterpasswort zu ändern, kann es ganz offensichtlich nicht allzuweit her sein mit der Sicherheit.
 
@lutschboy: Lies einfach mal den Blogeintrag. Ich fass mal zusammen: Lastpass hat Unterschiede zwischen dem abgehenden Datenbanktraffic und dem ankommenden Traffic auf deren Webservern festgestellt, deren Grund sie nicht unmittelbar nachvollziehen können. Also treffen sie Vorsorge für den schlimmsten Fall: dass jemand die Daten von der Datenbank abgezogen hat. Die Datenbankdaten enthalten das verschlüsselte Masterpasswort, das man nur auf 2 Arten entschlüsseln kann: Als Besitzer, mit dem privaten Schlüssel, der nur auf dem eigenen Rechner liegt. Oder über eine Bruteforce-Attacke, sprich, ein lexikongesteuertes Ausprobieren aller möglichen Passworte - was bei einem sicheren Passwort fehlschlägt. Die vom Benutzer gespeicherten Passworte gehören nicht zu den Daten, die verschwunden sein könnten, aber die könnten mit einem bei erfolgreichem Bruteforce-Angriff ermittelten Masterpasswort dann abgerufen werden. Und darum gibts den Aufruf, das Masterpasswort sicherheitshalber zu ändern. Lastpass behandelt den Vorfall transparent und vorausschauend, meiner Meinung nach. Darüber hinaus bestätigt der Vorfall eine weitere Binsenweisheit: Jeder entscheidet mit der Wahl seines Passworts selbst über seinen Sicherheitslevel.
 
@lutschboy: also sie könnten unregelmässigkeiten im system auch einfach verschweigen ... was keiner weiss macht niemanden heiss oder wie?!
 
@McNoise: Äh, ja, genauso war's gemeint, sicher ^^. Wenn es so ist wie cgd sagt, dass die Empfehlung dass Masterpasswort zu ändern eigentlich nur ein allgemeiner Hinweis ist ein sicheres Masterpasswort zu setzen (und dadurch irgendwie unnötig, weil wieso soll ich ein sicheres Masterpasswort ändern wenn es garnicht in Gefahr ist geklaut worden zu sein?), dann will ich ja garnix gesagt haben.
 
@lutschboy: So hab ich's nicht ganz gesagt. Lastpass weiss bisher nicht, wie die Diskrepanzen zwischen in der Datenbank gezählten Anmeldungen und den vom Webserver tatsächlich angeforderten Anmeldungen zustande kommt, nimmt aber sicherheitshalber den schlimmsten Fall eines Zugriffs von aussen an. Selbst wenn das stimmt, sind die Leute mit starkem Passwort auf der sicheren Seite. Und die mit dem schwachen Passworten haben noch so lange Zeit, ihren Fehler zu korrigieren, bis eine Bruteforce-Attacke auf ihr schwaches Passwort klappt. Was vermutlich eine lange Zeit ist, denn die Datendiebe, so es sie denn überhaupt gibt, können bei ihren Versuchen nicht vorher wissen, welches Passwort schlecht ist. Egal aus welcher Perspektive man die Sache betrachtet: Angesichts der vermutlich eher geringen Gefahr scheint mir die Reaktion von Lastpass vorbildlich. Ich fühle mich nach wie vor gut aufgehoben bei denen.
 
Ich kann sowieso nicht nachvollziehen dass viele ihre Passwörter in ihren Browsern oder gar auf irgendwelchen Servern abspeichern. Aber naja, jedem das seine.
 
@kubatsch007: Sehe ich genauso, Software die selber einen Container erstellt wie zB Keepass ist OK, aber das ganze einem Dienst überlassen grenzt schon an Fahrlässigkeit. das sind die Leute, die beim Sex wegen der Nachbarn das Rollo runterziehen und das Video davon bei facebook speichern.
 
@kubatsch007: Damit manche Skripte laufen, muss das Passwort leider gespeichert werden.
 
@bluewater: lol is das geil
 
@hjo: sehr aussagekräftige Antwort, aber da hat er durchaus Recht.
 
@ds94: hab ich das gegenteil behauptet?
 
@kubatsch007: Wieso kann man Bequemlichkeit nicht nachvollziehen? Bist du so ein Arbeitstier? :) Ich persönlich speichere im Browser. Zumindest mit Masterpasswort sind die Daten dort auch ziemlich sicher vor Zugriffen und verschlüsselt. Keepass find ich da schon unsicherer, weil da gerne mal ein Makro daneben geht, zumindest war das so als ich das vor einiger Zeit mal ausprobierte. Da landete dann dass PW gerne mal im Kommentarfeld und wurd abgeschickt, oder sonstwo :D
 
@lutschboy: na, da bist du aber ziemlich ungeschickt. Mir ist sowas noch nie passiert, da KeePass, nachdem ich das Passwort in die Zwischenablage kopiere, die Zwischenablage in einem bestimmten Zeitraum von Sekunden löscht.
 
@ProSieben: Weiß nicht wie man "ungeschickt" sein soll. Ins Passwort-Feld klicken und Kommando abgeben, da kann man nix falsch machen. Das Programm hat die Fehler gemacht indem es irgendein ganz falsches Form abschickte. Mit der Zwischenablage hat das garnix zu tun. Mit Roboform hatte ich damals übrigens auch keinerlei Probleme, aber das ist halt leider nicht Open Source oder zumindest Free. Nur Keepass war zu ca. 5% nicht in der Lage das korrekte Form zum absenden zu finden. Vlt haben sie ja mittlerweile die Methodik verbessert.
 
@lutschboy: von keepass war ich bzgl. form-filler auch sehr enttäuscht und der ganze plugin-quark hat genervt ... da ist roboform und gerade lastpass schon eine sehr komfortable (kostenlose bis sehr preisgünstige) lösung - gerade wenn es um viele plattformen inkl. smartphones geht.
 
@kubatsch007: warum kannst du das nicht nachvollziehen ... es gibt menschen die brauchen zugriff auf eine menge (und damit meine ich mehr als 50) kennwörtern, von jedem rechner im netz aus und das permanent ... was bleibt einem anderes übrig, sie irgendwo zu speichern ... bspw. in nem cloud-dienst wie lastpass.
 
@winfuture: werft doch den Artikel nochmal in die Rechtschreibprüfung vom Duden, über die ihr neulich berichtet habt.
 
ich nutze nur anbieter aus der schweiz für sowas :-)
 
@rotti1970: Ich ritze meine Kennwörter in die Trennwand im UNI Klo, das merkt niemand.
 
Hoffentlich wird der Service, wo ich meine Bank-Konto-Login-Daten online speichere, nicht auf angegriffen, bzw, die PIN und TAN abgefischt, wenn dich diese an diesen dritten Zwischenservice sende.
 
@modelcaster: Also ich hab deine Daten schon :-P
 
Nutze KeePass,ist sicherer..Hab vorher auch LastPass genutzt..Auch ne gute Sache..Aber wie oben schon erwähnt wurde,seine Daten auf "fremden" Servern speichern,das ist halt mit mehr Risiko behaftet..Da nutze ich lieber KeePass,da hab ich wenigstens persönlich ein Auge drauf..Generell gilt aber,100% Sicherheit gibt´s nicht..Aber man kann dafür sorgen,das es etwas minimiert wird..Man muss sich nur mit der Thematik mal beschäftigen und nicht blind auf Drittanbieter bauen..
 
Zugegeben, seine Passwörter online speichern ist nicht die beste Idee. Differenzieren wir hier doch mal: Mein Passwort für meinen Bankaccount? Mein Forenlogin für meine Hobbyseite? Das ist nicht dasselbe. Ich benutze Lastpass z.B. für Winfuture. Wenn das Passwort (20 Zeichen, zufällig generiert durch Lastpass) jemand rausbekommt... wayn? Und genau für sowas ist Lastpass Gold wert. Keinen Menschen interessiert mein Winfuture Login, Forenlogin für XYZ oder was weiß ich ...
 
@Demiurg: du unterschätzt das.. auch wenn es aus deiner sicht ein unwichtiges login ist, man fängt klein an und kommt dem richtig wichtigen immer näher ....... außerdem würde ich doch selbst niemals bekannt geben, welches passwortspeichertool ich benutze ! lol
 
@hjo: Meine wichtigsten Passwörter, sofern vom jeweiligen Dienst nicht als Hash gespeichert, können überall ausgelesen werden. Wieso sollte ich das nicht sagen? Mein Nickname hier und Emailadresse sind völlig anders;) Mir ist Datenschutz wichtig, aber meine Forenlogins mit generierten Passwörtern bringt dich meinem "Masterpasswort" nun wirklich kein Stück näher. Dank Firmen wie Sony scheint es sowieso egal zu sein, wass man mit den Logindaten macht ;)
 
Nutze immer 12345 als Passwort für alles, ups wollte ich doch garnicht preisgeben. Schnell auf 12345678 ändern. :D
 
@simaticplc: das ist ja lustig
 
Na wenns nur ein virtueller Angriff war.....
 
Dank diesen ganzen cloud Müll und die überzeugten Anhänger von dem ganzen "Ich speicher alles online" hype geschiet den das zurecht und ich muss sogar darüber lachen.
 
@Menschenhasser: Cool.
 
@Demiurg: Sagen wir eher: Konsequent, angesichts des Benutzernamens.
 
@Menschenhasser: wie willst du deinen cloudmuell denn verbessern wenn du nicht auf solche probleme stoesst.. aus fehlern lernt man und gut.. nur so werden diese services besser
 
@-adrian-: Erst gar nicht anbieten weil es nicht gebraucht wird.
 
@Menschenhasser: ich brauchs aber.. dann koennen sie es ja fuer mich anbieten und du meldest dich einfach nicht an
 
Und gaaanz toll daß Xmarks das synchronisieren von Passwörtern auch über eigene Server gestrichen hat und jetzt auf ihr neues Herrchen LastPass verweisen. Datenschutz kann man in letzter Zeit leider echt vergessen.
 
@Johnny Cache: Und du gehst dabei ganz selbstverständlich davon aus, dass die Sicherheit bei XMarks vorher besser war. Hast du Belege für diese Annahme? Mal ganz abgesehn davon, dass es bei XMarks um Bookmarks geht, die da gespeichert werden, und keine Passworte...
 
@cgd: Wenn man davon ausgeht daß Xmarks keine Malware ist und die Speicherung die einzige Schwachstelle ist, sollte man mit einem eigenen Server absolut sicher sein, besonders wenn sich dieser auch noch im eigenen LAN befindet. Bei Xmarks ging es sehr wohl um Passworte, bis sie von LastPass übernommen wurden, was natürlich einen Interessenkonflikt darstellte. Tja, und jetzt suche ich nach einem anständigen Nachfolger für BM und PW auf einem eigenen WebDAV oder FTP...
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles