LastPass soll bei Bekanntgabe des Sicherheitslecks gelogen haben

LastPass wird jetzt beschuldigt, bei der Bekanntgabe der jüngsten Sicherheitsverletzungen wissentlich gelogen zu haben. Das geht aus Medienberichten hervor. Der Passwort-Verwalter hatte dabei erst nach mehreren Wochen über das Ausmaß informiert. mehr... DesignPickle, Passwortverwaltung, passwortmanager, Password Manager, lastpass, Passwort Manager, Last Pass Passwortverwaltung, passwortmanager, Password Manager, lastpass, Passwort Manager, Last Pass

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Für alle die KeePass verwenden folgende Information:

Es können Trigger definiert werden, welche z.B. nach dem öffnen des Safes alle Kennwörter nach Excel (CSV) exportieren.

Die Konfiguration der Trigger erfolgt in der User-XML-Datei ("%userprofile%\Appdata\Roaming\KeePass"). Diese XML-Datei ist mit Userrechten von außen beschreibbar.

Somit können ohne das der Anwender es mitbekommt Kennwörter exportiert werden, wenn durch einen Bug Zugriffsrechte auf das System möglich sind - in diesem Fall auch ohne Adminrechte.

Ein Workarround wäre diesem Verzeichnis User-Schreibrechte zu entziehen.
Das hat dann zur Folge das KeePass-Einstellungen nicht mehr vornehmen lassen.
 
@Leedur: auch wenn der Safe über den sicheren Desktop geöffnet wird?
 
@roterteufel981:

Voraussetzungen für solch einen Angriff:
1. Sofern Dein lokaler Desktop Zuhause Online ist.
2. Wenn durch eine Sicherheitslücke z.B. im Browse Lese/Schreibrechte auf dem System möglich sind.

In diesem Fall könnte eine bösartige WebSeite gezielt die o.g. XML-Datei ändern, und den Excel-Export beim nächsten Besuchen der Webseite abholen.

Der Unterschied zu andern Angriffen ist das das mit Userrechten möglich ist.

Der o.g. Workarround verhindert das, oder man verwendet andere Programme wie z.B. KeePassXC.
 
@Leedur: Oder auch: ziemlich theoretischer Natur und noch fleißige Mithilfe des Anwenders notwendig.
 
@roterteufel981:

Alternativ ein vermeintlich tolles Plugin, oder eine tolle lokale Applikation.
Technisch schon morgen möglich.
 
@roterteufel981: Es reicht ein blödes Javascript im Browser ohne zutun des Benutzers.
 
@Leedur: wenn durch Dummheit oder eine Schwachstelle Nutzerrechte auf einem System erworben werden, sollten deswegen nicht sämtliche Passwörter rausgetragen werden können. Konfigurations- und Programmdateien gehören entsprechend Abgesichert. Dafür hat jedes OS simpelste Möglichkeiten - das gehört zum 1x1. Es läuft furchtbar viel Software im UserModus mit Abhängigkeiten aus NPM, NuGet, Maven und anderen öffentlichen Quellen. Sensible Daten wie Passwörter müssen abgesichert sein. Wenn die das nicht hinbekommen, haben die ihre Branche nicht zu suchen. Wie sieht wohl der Rest der Software aus?
 
@Sprachtot47:

>> sollten deswegen nicht sämtliche Passwörter rausgetragen werden können.

Bei Keepass scheint das Out-Of-Box dann möglich sein.
Der o.g. Workarround verhindert das.

Selbstverständlich gilt aber auch:
Wenn jemand administrative Rechte enthält, kann er immer *alles* raustragen.
Bei KeePass reichen jedoch schon Userrechte.
 
Verstehe den Aufriss 0,0. In der Vergangenheit haben doch alle Unternehmen erstmal alles abgestritten, und dann die Salami Taktik gefahren.
 
@Akkon31/41: Ein Online-Passwort-Verwalter ist kein xbeliebiger Dienstleister.
 
Hoch lebe die Cloud
Kommentar abgeben Netiquette beachten!
Einloggen
Video-Empfehlungen
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!