10
Apropos Passwort-Manager: How did LastPass master passwords get compromised?
Moin,
Für diejenigen die Paßwortmanager nutzen: Ihr solltet Euch die ganz genau anschauen, weil, wenn die Cloudbasiert sind, ein zu einem offenen Buffet für "pöhse Purschen" werden können.
Aktuell sind bei Lastpass anscheinend die Masterpasswörter abhanden gekommen oder besser gesagt mit vielen Leuten geteilt worden.
https://palant.info/2021/12/29/how-did-lastpass-master-passwords-get-com ...
lks
Für diejenigen die Paßwortmanager nutzen: Ihr solltet Euch die ganz genau anschauen, weil, wenn die Cloudbasiert sind, ein zu einem offenen Buffet für "pöhse Purschen" werden können.
Aktuell sind bei Lastpass anscheinend die Masterpasswörter abhanden gekommen oder besser gesagt mit vielen Leuten geteilt worden.
https://palant.info/2021/12/29/how-did-lastpass-master-passwords-get-com ...
lks
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1673658480
Url: https://administrator.de/contentid/1673658480
Printed on: May 20, 2024 at 16:05 o'clock
10 Comments
Latest comment
Fand's irgendwie schon immer absurd, einen cloudbasierten Passwort-Manager zu nutzen.
Wer seine Passwort-Datenbank auf mehreren Geräten verfügbar haben möchte, soll z.B. KeePass + WebDAV nutzen. Optimalerweise mit Passwort + Zertifikat für die Verschlüsselung.
Persönliches Setup: Eigener Server mit WebDAV-Verzeichnis, darin die Datenbank. Auf meinem PC habe ich eine vollständige Kopie, welche beim Speichern mit der DB auf dem Server synchronisiert wird (Stichwort: Trigger).
Auf dem Handy wird direkt die WebDAV-DB geöffnet.
Wer seine Passwort-Datenbank auf mehreren Geräten verfügbar haben möchte, soll z.B. KeePass + WebDAV nutzen. Optimalerweise mit Passwort + Zertifikat für die Verschlüsselung.
Persönliches Setup: Eigener Server mit WebDAV-Verzeichnis, darin die Datenbank. Auf meinem PC habe ich eine vollständige Kopie, welche beim Speichern mit der DB auf dem Server synchronisiert wird (Stichwort: Trigger).
Auf dem Handy wird direkt die WebDAV-DB geöffnet.
2
tja so wie Leute rote Ampeln vor ÜBerwachungskameras überfahren wenn sie mal 5 Minuten länger auf rot stehen gibts auch welche die "irgendwo in der Cloud" eine Kennwortsammlung ablegen. Genauso beliebt die online-Kennwort-Generatoren. Keiner kann mir garantieren daß es wirklich auf der Clientseite im Browser generiert wurde...
Gut habe ich nie LastPass empfohlen, sonst sähe ich jetzt schön blöde aus.
Faulheit ist der Feind der Sicherheit.
Faulheit ist der Feind der Sicherheit.
Der Artikel im Internet bekam ein Update, bitte lesen.
Generell kann man auch Passwörter in einer "Klaut" ablegen, wenn die Daten sowohl während der Übertragung als auch im Speicher (also Server) so abgelegt sind, dass ein Zugriff durch andere nicht möglich ist. 100%ige Sicherheit gibt's nirgends. Es ist z.B. denkbar, dass bei einem Zugriff als "root" auf so einen Server ein Dump des Arbeitsspeichers erstellt wird und daraus Informationen ausgelesen werden können.
Eine Speicherung in "Keepass" ist im Schnitt genauso unsicher, weil man da auch nur das Hauptpasswort benötigt.
Die eigentliche Schwachstelle - so wie es der Internet-Beitrag auch darlegt - heisst "Mensch". Zu schwache Hauptpasswörter oder Passwörter, die aus Bequemlichkeit immer wieder für andere Dienste verwendet werden, machen es den Angreifern leicht. Dazu besteht noch die Möglichkeit, dass der Rechner, auf dem das Passwort für die Keepass-Datenbank eingegeben wird, kompromittiert wurde.
Es gibt nur sehr wenige Menschen, die ihre Keepass-Datenbanken so gesichert haben, dass ein Diebstahl der Datenbank für die Diebe nutzlos ist.
Generell kann man auch Passwörter in einer "Klaut" ablegen, wenn die Daten sowohl während der Übertragung als auch im Speicher (also Server) so abgelegt sind, dass ein Zugriff durch andere nicht möglich ist. 100%ige Sicherheit gibt's nirgends. Es ist z.B. denkbar, dass bei einem Zugriff als "root" auf so einen Server ein Dump des Arbeitsspeichers erstellt wird und daraus Informationen ausgelesen werden können.
Eine Speicherung in "Keepass" ist im Schnitt genauso unsicher, weil man da auch nur das Hauptpasswort benötigt.
Die eigentliche Schwachstelle - so wie es der Internet-Beitrag auch darlegt - heisst "Mensch". Zu schwache Hauptpasswörter oder Passwörter, die aus Bequemlichkeit immer wieder für andere Dienste verwendet werden, machen es den Angreifern leicht. Dazu besteht noch die Möglichkeit, dass der Rechner, auf dem das Passwort für die Keepass-Datenbank eingegeben wird, kompromittiert wurde.
Es gibt nur sehr wenige Menschen, die ihre Keepass-Datenbanken so gesichert haben, dass ein Diebstahl der Datenbank für die Diebe nutzlos ist.
Zitat von @137960:
Eine Speicherung in "Keepass" ist im Schnitt genauso unsicher, weil man da auch nur das Hauptpasswort benötigt.
Eine Speicherung in "Keepass" ist im Schnitt genauso unsicher, weil man da auch nur das Hauptpasswort benötigt.
Wenn man es richtig macht braucht man dazu auch noch das Keyfile das lokal auf jeder Kiste liegt, die damit arbeitet, wir sind hier bei den Admins, keiner arbeitet wirklich noch ohne Multifaktor oder?
Zitat von @rzlbrnft:
Wenn man es richtig macht braucht man dazu auch noch das Keyfile das lokal auf jeder Kiste liegt, die damit arbeitet, wir sind hier bei den Admins, keiner arbeitet wirklich noch ohne Multifaktor oder?
Zitat von @137960:
Eine Speicherung in "Keepass" ist im Schnitt genauso unsicher, weil man da auch nur das Hauptpasswort benötigt.
Eine Speicherung in "Keepass" ist im Schnitt genauso unsicher, weil man da auch nur das Hauptpasswort benötigt.
Wenn man es richtig macht braucht man dazu auch noch das Keyfile das lokal auf jeder Kiste liegt, die damit arbeitet, wir sind hier bei den Admins, keiner arbeitet wirklich noch ohne Multifaktor oder?
Ok. Das ist Realsatire, oder?
Mit "Wir" kannst Du nur dich selber meinen. Ich kenne genug "Admins" (bewusst in Anführungszeichen gesetzt), die auf vielen Systemen arbeiten und für 2FA zu faul sind und deshalb die gängigsten Accountdaten in Excel gespeichert haben. Geht ja schneller als die 5 Sekunden für 2FA.
Der unsicherste Faktor bei Multifaktorauthentifizierung ist der Mensch.
Und Keepass mit Schlüsseldatei funktioniert nicht mehr wirklich, wenn man anfängt, eine Keepass-Datei mit mehreren Personen zu nutzen. Einer findet sich garantiert wieder, der eine höher bezahlte Meinung pflegt und sich spontan gegen 2FA entscheidet, weil ihn das viel zu viel Zeit und Aufwand beim Öffnen der KDB-Datei kostet.
Wie der Lateiner sagt: been there, done that. Alles schon erlebt.
Zitat von @137960:
Wie der Lateiner sagt: been there, done that. Alles schon erlebt.
Wie der Lateiner sagt: been there, done that. Alles schon erlebt.
Der Lateiner sacht :romanes eunt domus.
lks
Zitat von @137960:
Ok. Das ist Realsatire, oder?
Mit "Wir" kannst Du nur dich selber meinen. Ich kenne genug "Admins" (bewusst in Anführungszeichen gesetzt), die auf vielen Systemen arbeiten und für 2FA zu faul sind und deshalb die gängigsten Accountdaten in Excel gespeichert haben. Geht ja schneller als die 5 Sekunden für 2FA.
Ok. Das ist Realsatire, oder?
Mit "Wir" kannst Du nur dich selber meinen. Ich kenne genug "Admins" (bewusst in Anführungszeichen gesetzt), die auf vielen Systemen arbeiten und für 2FA zu faul sind und deshalb die gängigsten Accountdaten in Excel gespeichert haben. Geht ja schneller als die 5 Sekunden für 2FA.
Sorry aber dann sollten sie sich einen anderen Beruf aussuchen. Wir schreiben das Jahr 2022, mit solchem Verhalten falle ich durch jedes IT-Sicherheitsaudit. Das Leute zu doof sind, eine Software richtig zu benutzen, macht die Software nicht gleich schlecht.
Muss das "eunt" nicht "ite" lauten, weil imperativ? Und das "romanes" hört sich eher spanisch als lateinisch an @Lochkartenstanzer.
@rzlbrnft: Ich hab ja Anführungszeichen ums "Admin" gemacht. Man muss sich nur mal die aufkommenden Fragen hier im Forum durchlesen, dann bekommt man eine Ahnung, auf welchem Niveau man die Kentnisse der Admins einzuordnen hat. Ist nicht böse gemeint - jeder hat mal angefangen.
- Mens sana in compari soda.
@Lochkartenstanzer.@rzlbrnft: Ich hab ja Anführungszeichen ums "Admin" gemacht. Man muss sich nur mal die aufkommenden Fragen hier im Forum durchlesen, dann bekommt man eine Ahnung, auf welchem Niveau man die Kentnisse der Admins einzuordnen hat. Ist nicht böse gemeint - jeder hat mal angefangen.
- Mens sana in compari soda.
Zitat von @137960:
Muss das "eunt" nicht "ite" lauten, weil imperativ? Und das "romanes" hört sich eher spanisch als lateinisch an @Lochkartenstanzer.
Muss das "eunt" nicht "ite" lauten, weil imperativ? Und das "romanes" hört sich eher spanisch als lateinisch an
@Lochkartenstanzer.Folge dem Link, dann gehet Dir ein Lichte auf.
lks
