LastPass soll bei Bekanntgabe des Sicherheitslecks gelogen haben

LastPass wird jetzt beschuldigt, bei der Bekanntgabe der jüngsten Sicherheitsverletzungen wissentlich gelogen zu haben. Das geht aus Medienberichten hervor. Der Passwort-Verwalter hatte dabei erst nach mehreren Wochen über das Ausmaß informiert. mehr... DesignPickle, Passwortverwaltung, passwortmanager, Password Manager, lastpass, Passwort Manager, Last Pass

Passwortverwaltung, passwortmanager, Password Manager, lastpass, Passwort Manager, Last Pass

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben

[o1] am ++2 --1

Für alle die KeePass verwenden folgende Information:

Es können Trigger definiert werden, welche z.B. nach dem öffnen des Safes alle Kennwörter nach Excel (CSV) exportieren.

Die Konfiguration der Trigger erfolgt in der User-XML-Datei ("%userprofile%\Appdata\Roaming\KeePass"). Diese XML-Datei ist mit Userrechten von außen beschreibbar.

Somit können ohne das der Anwender es mitbekommt Kennwörter exportiert werden, wenn durch einen Bug Zugriffsrechte auf das System möglich sind - in diesem Fall auch ohne Adminrechte.

Ein Workarround wäre diesem Verzeichnis User-Schreibrechte zu entziehen.
Das hat dann zur Folge das KeePass-Einstellungen nicht mehr vornehmen lassen.

Bearbeitet am 01.01.23 um 21:27 Uhr.

[re:1] am ++--1

@Leedur: auch wenn der Safe über den sicheren Desktop geöffnet wird?

[re:1] am ++1 --1

@roterteufel981:

Voraussetzungen für solch einen Angriff:
1. Sofern Dein lokaler Desktop Zuhause Online ist.
2. Wenn durch eine Sicherheitslücke z.B. im Browse Lese/Schreibrechte auf dem System möglich sind.

In diesem Fall könnte eine bösartige WebSeite gezielt die o.g. XML-Datei ändern, und den Excel-Export beim nächsten Besuchen der Webseite abholen.

Der Unterschied zu andern Angriffen ist das das mit Userrechten möglich ist.

Der o.g. Workarround verhindert das, oder man verwendet andere Programme wie z.B. KeePassXC.

Bearbeitet am 01.01.23 um 21:32 Uhr.

[re:1] am ++1 --2

@Leedur: Oder auch: ziemlich theoretischer Natur und noch fleißige Mithilfe des Anwenders notwendig.

[re:1] am ++--

@roterteufel981:

Alternativ ein vermeintlich tolles Plugin, oder eine tolle lokale Applikation.
Technisch schon morgen möglich.

Bearbeitet am 02.01.23 um 00:59 Uhr.

[re:2] am ++1 --1

@roterteufel981: Es reicht ein blödes Javascript im Browser ohne zutun des Benutzers.

[re:2] am ++--

@Leedur: wenn durch Dummheit oder eine Schwachstelle Nutzerrechte auf einem System erworben werden, sollten deswegen nicht sämtliche Passwörter rausgetragen werden können. Konfigurations- und Programmdateien gehören entsprechend Abgesichert. Dafür hat jedes OS simpelste Möglichkeiten - das gehört zum 1x1. Es läuft furchtbar viel Software im UserModus mit Abhängigkeiten aus NPM, NuGet, Maven und anderen öffentlichen Quellen. Sensible Daten wie Passwörter müssen abgesichert sein. Wenn die das nicht hinbekommen, haben die ihre Branche nicht zu suchen. Wie sieht wohl der Rest der Software aus?

[re:1] am ++1 --2

@Sprachtot47:

>> sollten deswegen nicht sämtliche Passwörter rausgetragen werden können.

Bei Keepass scheint das Out-Of-Box dann möglich sein.
Der o.g. Workarround verhindert das.

Selbstverständlich gilt aber auch:
Wenn jemand administrative Rechte enthält, kann er immer *alles* raustragen.
Bei KeePass reichen jedoch schon Userrechte.

Bearbeitet am 02.01.23 um 20:22 Uhr.