Ärger bei LastPass -> schnellstmöglich auf anderen Passwort Manager umziehen

[MKE]

Wenn ich als Anbieter eines Passwort Managers nicht allzuviel Zeit für Sicherheit verschwende und meine Daten in der Cloud ablege...

https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/

 

[MKE]

Wo ich gerade die Überschrift noch mal lese:

- und natürlich alle Passwörter ändern, dabei von wichtig nach unwichtig arbeiten.

Wenn ich mir so ansehe, was sich über die Jahre in meinem Passwort Manager so angesamelt hat, dann hätte ich viel zu tun...

By the way: Meinen Passwort Manager habe ich per Yubikey 2FA-abgesichert. Macht ihr das auch so? Falls nein, warum?

[skunk]

vor 1 Stunde schrieb MKE:

Meinen Passwort Manager habe ich per Yubikey 2FA-abgesichert.

2FA hilft im Falle von LastPass nur wenig. Das Problem bei LastPass ist, dass deine Passwort Datenbank auf deren Server liegt. Wenn die Angreifer sich dazu Zugang verschaffen ist es nur noch eine Frage der Zeit bis sie die Datenbank entschlüsseln und öffnen können. 2FA schützt ja nur den Zugang über das Frontend.

Ich nutze stattdessen ausschließlich Passwort Manager bei denen die Passwort Datenbank bei mir lokal und auch nur dort liegt. Die Passwort Datenbank ist natürlich verschlüsselt und die "Difficulty" dabei soweit hochgesetzt, dass jede Eingabe selbst auf einem aktuellen PC locker 10 Sekunden dauert. Das zieht einen Brute Force Angriff selbst mit einfachen Passwörtern derartig in die Länge, dass es einfach zu lange dauert. Und das tolle ist wenn mein Rechner schneller wird, kann ich den Wert einfach weiter hoch setzen damit es weiterhin 10 Sekunden dauert.

Idealerweise kombiniert man natürlich beides. Difficulty hoch setzten und ein sicheres Passwort. Ein Yubikey kann neben der 2FA Geschichte auch ein sicheres Passwort generieren. Das ist aber ein Stück weit witzlos weil es ein statisches Passwort ist und von einem Keylogger kopiert werden kann. Da kann ich auch gleich ein ähnlich starkes Passwort selbst generieren anstelle den Yubikey dafür zu nutzen. Außerdem will man ja auch noch an die Recovery Codes rankommen wenn der Yubikey nicht mehr funktioniert.

[Maaz]

vor 20 Minuten schrieb skunk:

2FA hilft im Falle von LastPass nur wenig. Das Problem bei LastPass ist, dass deine Passwort Datenbank auf deren Server liegt. Wenn die Angreifer sich dazu Zugang verschaffen ist es nur noch eine Frage der Zeit bis sie die Datenbank entschlüsseln und öffnen können. 2FA schützt ja nur den Zugang über das Frontend.

Sie hätten es schon so bauen können, dass sich die Passwörter nur mit dem Passwort des Benutzers entschlüsseln lassen.

Ehrlich gesagt, hätte ich das auch erwartet. Man vertraut doch niemandem seine Passwörter im Klartext an. Don't Trust, ...

Da können sich die Admins ja schön die Taschen voll machen.

Meine Empfehlung wäre KeePass. Die verschlüsselte Datei liegt bei mir auf einem webdav-Verzeichnis, so kann ich mit allen Geräten darauf zugreifen. Es gibt Clients für Android, Linux, Windows, ... Alles Open Source. Nofalls geht das auch über die Google/Apple/Amazon-Cloud.

2FA nutze ich ebenfalls nicht, aus den von Skunk erwähnten Gründen. Stattdessen sind die brisanten Zugänge mit 2FA gesichert, also Bank, Mail, ...

[Aktienspekulaant]

Ein Zettel  Papier und Bleistift eignen sich auch hervorrang als Passwort-Manager. Bißchen old-school, ich weiß, aber soll funktionieren

[Maaz]

vor 10 Minuten schrieb Aktienspekulaant:

Ein Zettel  Papier und Bleistift eignen sich auch hervorrang als Passwort-Manager. Bißchen old-school, ich weiß, aber soll funktionieren

Geht so... Backups machst Du wie?

[Aktienspekulaant]

vor 51 Minuten schrieb Maaz:

Geht so... Backups machst Du wie?

Kopie auf meinem Drucker. 

[bulsan]

vor 46 Minuten schrieb Maaz:

Geht so... Backups machst Du wie?

Das Jungvolk kennt offenbar Kohlepapier nicht mehr 😉

Ich selbst bevorzuge KeePassXC, hat ein paar kleine Komfortfeatures mehr als das klassische KeePass, und ist auf allen Systemen verfügbar (Android als KeePassDX). Datenbank liegt auf einem Netzlaufwerk, Netz ist per Wireguard auch sicher von unterwegs erreichbar.

Bei YubiKey und anderen Hardwarelösungen ist mir das Ausfallrisiko zu hoch, bzw. das Vorhalten von Reservegerät zu teuer.

[Cricktor]

Ich möchte nicht schönreden, was sich LastPass da wieder geleistet hat, da anscheinend die Eindringlinge diesmal deutlich tiefer ins System eingedrungen sind. Ich selbst verwende noch LastPass, werde wohl aber auch auf eine andere Lösung umsteigen. Lokale Vaults sind etwas nervig, weil man sich um die Synchronisation über mehrere Geräte kümmern muss bzw. eine sichere Lösung dafür braucht.
 

Am 23.12.2022 um 19:00 schrieb Maaz:

Am 23.12.2022 um 18:23 schrieb skunk:

2FA hilft im Falle von LastPass nur wenig. Das Problem bei LastPass ist, dass deine Passwort Datenbank auf deren Server liegt. Wenn die Angreifer sich dazu Zugang verschaffen ist es nur noch eine Frage der Zeit bis sie die Datenbank entschlüsseln und öffnen können. 2FA schützt ja nur den Zugang über das Frontend.

Sie hätten es schon so bauen können, dass sich die Passwörter nur mit dem Passwort des Benutzers entschlüsseln lassen.

Hä, @Maaz und @skunk wie meint ihr das? Ausschließlich deine mit dem Master-Passwort verschlüsselte PW-Datenbank, der Vault-Blob, lagert auf den Servern von LastPass und leider auch einige Dinge unverschlüsselt, die nicht unverschlüsselt gelagert gehörten. Allerdings wurden eben diese verschlüsselten Vaults und einiges der unverschlüsselten Sachen von den Eindringlingen erbeutet (in welchem Umfang ist mir unbekannt). D.h. natürlich, daß schwache Master-Passwörter jetzt richtig richtig blöd sind, aber das wären sie so auch eh gewesen. Wer ein lausiges Master-Passwort für seinen Passwort-Manager verwendet, der ist meiner Meinung nach einfach nicht zurechnungsfähig und handelt grob fahrlässig.

Ein Aspekt, der jetzt natürlich auch richtig blöd ist und von LastPass gut hätte vermieden werden können: mit Zero-Knowledge ist es bei LastPass leider nicht ganz so toll, wenn sie, wie allerdings schon etwas länger bekannt ist, URLs von Passwort-Einträgen unverschlüsselt speichern. Das fällt einem natürlich jetzt, wo diese Daten abgeflossen sind, z.B. bei URLs der Form https://account:passwort@address:port/... voll auf die Füße.

Naja, das ergibt natürlich erneut kein so tolles Bild vom Sicherheitsbewusstsein von LastPass. Bei mir ist so langsam der Geduldsfaden mit denen gerissen. Schade eigentlich, das Tool hat mir lange Zeit treu gedient. Immerhin geht LastPass mit den Problemen anscheinend einigermaßen transparent um, was ich wichtig finde. Daß man bei den anderen ernstzunehmenden Konkurrenten u.U. nicht so viel hört, kann man ja unterschiedlich interpretieren.

 

Bearbeitet 25. Dezember 2022 von Cricktor

[..::. o.Z.o.n.e .::..]

Immer wieder ein spannendes Thema. : )

Wozu ein Passwortmanager benutzen, wenn es andere Möglichkeiten gibt?

Wozu ein sicheres Passwort benutzen, wenn dann sowieso ein 2FA-Verfahren genutzt wird?

 

Fragen über Fragen. – Frohe Weihnachten. : ) ) )

 

/SCNR

[skunk]

vor 5 Minuten schrieb Cricktor:

Lokale Vaults sind etwas nervig, weil man sich um die Synchronisation über mehrere Geräte kümmern muss bzw. eine sichere Lösung dafür braucht.

Wie wäre es mit einer Bitwarden Instanz im lokalen Netzwerk? Dann hast du nur eine Passwort Datenbank und kannst die von mehreren Endgeräten erreichen.

Ansonsten ist das mit der Synchronisation aber sowieso schon kein Problem. Ich nutze aktuell KeePass. Die Passwortdatenbank liegt lokal und wird per Syncthing auf alle meine Endgeräte syncronisiert. Interessant dabei ist, dass KeePass eine eingebaute Schutzvorrichtung hat. Man kann die Passwort Datenbank an allen Endgeräten verändern ohne dabei versehentlich eine Änderung zu überschreiben. KeePass erkennt beim Speichern der lokalen Änderung, dass die Passwort Datenbank von einem anderen Endgerät verändert wurde und fragt nach ob die beiden Änderungen zusammen geführt werden sollen. Funktioniert recht gut.

vor 14 Minuten schrieb Cricktor:

D.h. natürlich, daß schwache Master-Passwörter jetzt richtig richtig blöd sind, aber das wären sie so auch eh gewesen. Wer ein lausiges Master-Passwort für seinen Passwort-Manager verwendet, der ist meiner Meinung nach einfach nicht zurechnungsfähig und handelt grob fahrlässig.

Nein nicht zwingend. Bei KeePass kannst du die "Difficulty" soweit hoch stellen, dass der Angreifer mit einem Handelsüblichen PC sehr lange für jeden Versuch braucht. In meinem Fall habe ich das auf 10 Sekunden pro Versuch gestellt. Das bedeutet 8 Ziffern wären dann durchschnittliche 50 Millionen Versuche mit je 10 Sekunden notwendig. Das sind ganze 15 Jahre. Leider bietet LastPass nicht an Einfluss auf die dafür Notwendigen Parameter zu nehmen.

[skunk]

vor 10 Minuten schrieb ..::. o.Z.o.n.e .::..:

Wozu ein sicheres Passwort benutzen, wenn dann sowieso ein 2FA-Verfahren genutzt wird?

2FA lässt sich bei einigen Seiten auch recht unproblematisch deaktivieren. Einfach beim Login auf 2FA nicht verfügbar gehen und schon trennt sich die Spreu vom Weizen. Einige Seiten senden eine Email mit einem Link oder Code zum Deaktivieren von 2FA. Dazu noch 24 oder 48 Stunden Kontosperre um zu verhindern, dass unbefugte davon gebrauch machen.

Wählst du ein unsichere Passwort, werde ich versuchen mich in dein Email Account einzuloggen. Dann richte ich auf dem Email Server eine Weiterleitung ein damit du die 2FA Deaktivierungs Email nicht sehen kannst. Nach 48 Stunden räume ich dann dein Account leer. 2FA allein schützt nur bedingt. Es gibt noch eine Reihe von anderen Schwachstellen wie zum Beispiel die Nutzung einer 2FA App auf einem Handy, dass gerootet / jailbreak wurde. Da haben andere Apps dann plötzlich ebenfalls root Zugriff auf die 2FA App....

[..::. o.Z.o.n.e .::..]

vor 41 Minuten schrieb skunk:

2FA lässt sich bei einigen Seiten auch recht unproblematisch deaktivieren. Einfach beim Login auf 2FA nicht verfügbar gehen und schon trennt sich die Spreu vom Weizen. Einige Seiten senden eine Email mit einem Link oder Code zum Deaktivieren von 2FA. Dazu noch 24 oder 48 Stunden Kontosperre um zu verhindern, dass unbefugte davon gebrauch machen.

Wählst du ein unsichere Passwort, werde ich versuchen mich in dein Email Account einzuloggen. Dann richte ich auf dem Email Server eine Weiterleitung ein damit du die 2FA Deaktivierungs Email nicht sehen kannst. Nach 48 Stunden räume ich dann dein Account leer. 2FA allein schützt nur bedingt. Es gibt noch eine Reihe von anderen Schwachstellen wie zum Beispiel die Nutzung einer 2FA App auf einem Handy, dass gerootet / jailbreak wurde. Da haben andere Apps dann plötzlich ebenfalls root Zugriff auf die 2FA App....

Das ist ja alles ganz nette Theorie, aber nach meiner Erfahrung liegt der Fehler eben zwischen Monitor und Stuhl.

Meine Passwörter sind, so es denn geht, über 15 Zeichen lang. Jedoch basieren sie auf einem bestimmten System.

Falls jemand einige Accounts von mir hacken würde … haha … würde womöglich eine AI verstehen wie dieses System funktioniert.

Von daher … ist mein kleines Passwort-System unsicher, denn es basiert auf einem recht banalen System meiner selbst. ; )

Dies ist jedoch in den meisten Fällen absolut egal, denn da ich bei –> 97,5% <– Achtung lustige Schätzung — der Accounts OTP benutze,

ist die Wahrscheinlichkeit, nicht die Möglichkeit, sondern die Wahrscheinlichkeit – sehr gering.

Es gibt tatsächlich andere „Glitches“ die zu so einigen Problemchen führen können.

 

/Just my two pence!

 

... to be continued. ;o))

 

PS. Ich bitte um Verzeihung, denn eigentlich dachte ich an –> Sicheres Passwort ist nicht zu merken, also ein String ala 23Ss52052hfp02072385467zhfG5HF32FaadSDSuperSichAaltAFalt3AaoLkiGgB.GnarF;

PPS. Dabei ist dies absolut unnötig. – Aber das weißt Du selba! XD

Bearbeitet 25. Dezember 2022 von ..::. o.Z.o.n.e .::..
PS + PPS … ; P

[rheingold]

vor 8 Stunden schrieb skunk:

Wie wäre es mit einer Bitwarden Instanz im lokalen Netzwerk? Dann hast du nur eine Passwort Datenbank und kannst die von mehreren Endgeräten erreichen.

Benutze ein selfhosted Bitwarden-Docker und bin damit absolut zufrieden. Es gibt Clients für fast alle Endgeräte/Browser. Der Bitwarden-Server läuft allerdings nur auf einem x86er System. Es gibt aber ein Vaultwarden-Docker, der auf einem  PI läuft.  Bitwarden/Vaultwarden kann auch Lastpass-Paswörter(csv) importieren.

Bearbeitet 25. Dezember 2022 von rheingold

[Arther]

On 12/23/2022 at 7:00 PM, Maaz said:

Sie hätten es schon so bauen können, dass sich die Passwörter nur mit dem Passwort des Benutzers entschlüsseln lassen.

Ehrlich gesagt, hätte ich das auch erwartet. Man vertraut doch niemandem seine Passwörter im Klartext an. Don't Trust, ...

Bevor hier jetzt alle möglichen Behauptungen als Fakt hingestellt werden: LastPass hat selbstredend keinerlei Zugang auf die Passwörter und die Hacker haben auch nur Zugriff auf die sicher verschlüsselten Passwörter. 2FA bei LastPass weiß ich es nicht genau, aber ich vermute auch hier ist das nicht nur für den Frontend-Zugriff, sondern das der Safe selber mit 2FA gesichert ist.

 

8 hours ago, Cricktor said:

Lokale Vaults sind etwas nervig, weil man sich um die Synchronisation über mehrere Geräte kümmern muss bzw. eine sichere Lösung dafür braucht.

So ist es, security vs. safety.

8 hours ago, skunk said:

Bei KeePass kannst du die "Difficulty" soweit hoch stellen, dass der Angreifer mit einem Handelsüblichen PC sehr lange für jeden Versuch braucht.

So ist es btw. auch bei LastPass soweit ich weiß.

 

Ich selber benutze KeePass mit 2FA und Cloudspeicher. Meiner Meinung nach der beste Kompromiss aus Safety und Security.

[skunk]

vor einer Stunde schrieb Arther:

2FA bei LastPass weiß ich es nicht genau, aber ich vermute auch hier ist das nicht nur für den Frontend-Zugriff, sondern das der Safe selber mit 2FA gesichert ist.

[...]

Ich selber benutze KeePass mit 2FA und Cloudspeicher. Meiner Meinung nach der beste Kompromiss aus Safety und Security.

Du verwechselst gerade 2FA mit dem zweiten Passwort Slot eines Yubikey. Der Yubikey kann neben 2FA auch ein statisches Passwort generieren was dann auf einem PC mit Keylogger sofort kopiert werden würde. Also genau die Art von Angriff vor der 2FA eigentlich schützen sollte. Die beiden Funktionen eines Yubikey bitte nicht vermischen. Der Yubikey generiert zwar ein sicheres Passwort aber das Gefühl man wäre damit in allen Fällen sicher unterwegs ist trügerisch.

vor einer Stunde schrieb Arther:

So ist es btw. auch bei LastPass soweit ich weiß.

Hilft im Falle von LastPass leider nichts. LastPass nutzt dein Master Passwort ebenfalls zum Login und dort nur mit einem Durchlauf. Auch werden Teile deiner Daten nicht Client Side sondern Server Side verschlüsselte. Die Sicherheitseinstellungen die du vornehmen kannst betreffen nur den Client Side Anteil nicht aber den Server Side Anteil.

Alles was der Angreifer machen muss ist deine Passwort Datenbank zusammen mit deinem Login Hash zu kopieren. Dann kann er mit einem Brute Force Angriff gegen den Login Hash starten mit Tausenden wenn nicht sogar Millionen von Versuchen pro Sekunden. Ist das Master Passwort gefunden dauert es einmalig 10 Sekunden um damit die Client Side Verschlüsselung zu öffnen. Da kann man sich die Sicherheitseinstellungen auch gleich sparen  

Bearbeitet 25. Dezember 2022 von skunk

[Arther]

6 hours ago, skunk said:

Du verwechselst gerade 2FA mit dem zweiten Passwort Slot eines Yubikey. Der Yubikey kann neben 2FA auch ein statisches Passwort generieren was dann auf einem PC mit Keylogger sofort kopiert werden würde. Also genau die Art von Angriff vor der 2FA eigentlich schützen sollte.

2FA ist ein eher allgemeiner Begriff und hat erstmal nichts mit Yubikey zu tun. Auch die abgedeckten Angriffsszenarien können sich unterscheiden, generell hat 2FA nicht den Sinn den Zugriff auch dann nicht offen zu legen, wenn der Computer kompromittiert ist. Das ist eine Besonderheit von ganz spezifischen Verfahren wie sie bei Sticks wie dem Yubikey zum Einsatz kommen.

6 hours ago, skunk said:

Hilft im Falle von LastPass leider nichts. LastPass nutzt dein Master Passwort ebenfalls zum Login und dort nur mit einem Durchlauf. Auch werden Teile deiner Daten nicht Client Side sondern Server Side verschlüsselte. Die Sicherheitseinstellungen die du vornehmen kannst betreffen nur den Client Side Anteil nicht aber den Server Side Anteil.

Alles was der Angreifer machen muss ist deine Passwort Datenbank zusammen mit deinem Login Hash zu kopieren. Dann kann er mit einem Brute Force Angriff gegen den Login Hash starten mit Tausenden wenn nicht sogar Millionen von Versuchen pro Sekunden. Ist das Master Passwort gefunden dauert es einmalig 10 Sekunden um damit die Client Side Verschlüsselung zu öffnen. Da kann man sich die Sicherheitseinstellungen auch gleich sparen  

Das scheint mir nicht richtig zu sein, siehe z.B. hier Link.