Mastodawn

Johannes Bebermeier Dec 23, 2022

Passwortmanager: LastPass-Hacker haben Zugriff auf Kennworttresore von Kunden

Bei einem IT-Sicherheitsvorfall beim Anbieter des Passwortmanagers LastPass konnten Angreifer doch auf Kundendaten inklusive gespeicherter Passwörter zugreifen.

https://www.heise.de/news/Passwortmanager-LastPass-Hacker-haben-Zugriff-auf-Kennworttresore-von-Kunden-7441929.html?wt_mc=sm.red.ho.mastodon.mastodon.-.-

#Datenleak #Hacking #Lastpass #Passwörter #Security #News #Alert

Passwortmanager: LastPass-Hacker haben Zugriff auf Kennworttresore von Kunden

Bei einem IT-Sicherheitsvorfall beim Anbieter des Passwortmanagers LastPass konnten Angreifer doch auf Kundendaten inklusive gespeicherter Passwörter zugreifen.

heise online

ProKRAS-TinaTor!Dec 23, 2022

Was heißt das jetzt für den geneigten User? Hab gerade angefangen meine Passwörter von Bitwarden generieren und einlagern zu lassen.

So eine Restunsicherheit ist kein gutes Gefühl zu Weihnachten.

virkon Dec 23, 2022

@badmax0815 @heiseonline Ja die Cloud. So schoen bequem von ueberall zu erreichen 😉 KeePass finde ich gut. Speichert alles lokal. In Kombination mit einem veracrypt container kommt da so schnell euch nichts weg. Ist aber umstaendlicher.

Secunergy 🐧Dec 23, 2022

@heiseonline @virkon42 @badmax0815 So umständlich auch nicht. Weniger umständlich als die Panikattacken, wenn mal wieder der Cloud-Dienst für Passwörter gehackt wurde

Jonathan Weber Dec 23, 2022

@badmax0815 @heiseonline Bitwarden entschlüsselt den Tresor ausschließlich client seitig. Das ist natürlich keine 100%ige Sicherheit (so wie nichts auf der Welt), aber wenn einfach nur die Daten deines Bitwarden Servers geklaut werden können die Angreifer, gutes Passwort vorrausgesetzt, damit nichts anfangen. Andere Angriffe wie manipulierte Client Software ausliefern etc. sind natürlich trotzdem möglich, aber ja auch schon wieder eine ganz andere Angriffskomplexität.

Jonathan Weber Dec 23, 2022

@badmax0815 @heiseonline Was ich mit ausschließlich clientseitig entschlüsseln meine: Zu keinem Zeitpunkt bekommt der Server das Passwort für deinen Tresor. Damit ist es unmöglich dieses Passwort als Angreifer auf dem Server irgendwo abzugreifen.

Philip Kaufmann Dec 23, 2022

@heiseonline Geht in die Cloud, es ist voll sicher da haben sie gesagt 😂!

PMX Dec 23, 2022

@heiseonline Passwortspeicher as a Service... Was kann da schon schief gehen...?

3d3f4ul3r Dec 23, 2022

@heiseonline oooooh ja wie schön ist es die Daten in der Cloud des Anbieters zu haben.....

R(i)SK Dec 23, 2022

@heiseonline Ich war schon immer der Meinung, dass ein Passwort-Manager, der darauf ausgelget ist, seine Daten in einer fremden Cloud zu speichern, schon per se unsicher ist. 🤷‍♂️ Da lobe ich mir die offenen Systeme a la KeePass und seine Derivate.

Deathcat2508 Dec 23, 2022

@heiseonline
Wer speichert denn schon freiwillig seine ganzen Passwörter in einer Cloud 🤦

Artur Weigandt Dec 23, 2022

@heiseonline
Die Technik hinter #LastPass ist vermutlich gut durchdacht und sicher umgesetzt. Aber für Passwörter sind große zentrale Server einfach eine richtig schlechte Idee. Wo ein Trog ist, sammeln sich die Schweine.

/ˈhæŋi/ ⩜⃝⚛Dec 24, 2022

@art4
Ob die Technik gut umgesetzt ist, weiß ich nicht … angeblich wurden die URLs unverschlüsselt gespeichert, damit Favicons angezeigt werden können.
@heiseonline

@heiseonline ... bestätigt mein generelle Skepsis gegenüber Cloudlösungen für Passwörter. Da fühle ich mich mit der Desktop-Software #KeePassXC nach wie vor sicherer und bin nicht von einem Dienstleister abhängig.

multiburst Dec 23, 2022

@felixberthold @heiseonline Man kann die Keepass Key Datei aber auch in die Nextcloud legen...will sagen: cloud!=cloud.

blackfyre Dec 23, 2022

@heiseonline Egal wie gut oder schlecht die (proprietäre!) Verschlüsselung ist und was man von Cloud-Passwortdiensten hält: eine Firma die mit Sicherheit wirbt und dann ihre Kunden über Monate über ein Sicherheitsproblem im Dunkeln lässt hat in dem Geschäft nichts zu suchen.

Digitalcourage Dec 23, 2022

Weil solche Datenunfälle vorhersehbar sind, empfehlen wir seit eh und je #Passwortmanager-Software, die auf dem eigenen Computer läuft statt irgendwo in der „Cloud“: https://digitalcourage.de/digitale-selbstverteidigung/sicherheit-beginnt-mit-starken-passwoertern#passw%C3%B6rter_aufbewahren /c

Sicherheit beginnt mit starken Passwörtern |

Bloß nicht „Passwort“ auf dem Post-it am Monitor! Tipps und Tricks für kluge Passwörter und ihre Verwaltung

hambier Dec 23, 2022

@digitalcourage @heiseonline Das Problem ist nur: Was tun wenn man viele Accounts regelmäßig auf Linux, Android, Windows nutzt und man eine bequeme synchronisierte crossplatform Lösung braucht? Da wird die Luft dann halt dünn. Wie viel Wartung braucht Bitwarden self-hosted auf lange Sicht? 🤔

800mi Dec 23, 2022

@heiseonline @digitalcourage @hambier oder keepass in der eigenen cloud. Clients gibts für (fast) jeden Client und funktioniert bei mir reibungslos.

hambier Dec 23, 2022

@800mi @heiseonline @digitalcourage Mit keypass (und Varianten) habe ich vor einigen Jahren rumexperimentiert, aber mit crossplatform und Autofill-Plugins für gänginge Browser wurde es schnell frickelig. Es ist aber gut möglich, dass es seitdem größere Fortschritte gegeben hat.

800mi Dec 23, 2022

@hambier möglich. Autofill nutze ich selbst nicht und frickelig ist es schon für die normalo Nutzer*innen. 2 Clicks sind einer zu viel und je mehr konfigurierbar ist, desto komplizierter/ unakzeptierter. 🙈 leider. Da hat sich nicht viel geändert.

hambier Dec 23, 2022

@800mi Zum Glück bin ich nicht normalo User 🤓. Das Problem ist auch nicht die Konfigurierbarkeit (ist ein Vorteil) sondern dass frickelig in der Regel Unzuverlässigkeit zur Folge hat und immer wieder Wartung verlangt. Und ohne Plugin bedeutet schnell dass man jedesmal manuell das richtige Kennwort raussuchen muss und copy paste. Das wird schnell mehr als nur ein zusätzlicher Klick. Echtes Autofill muss nicht unbedingt sein aber Erkennung der Webseite schon.

boimchen Dec 23, 2022

@hambier dafür gibt es Sachen wie Syncthing um die Datenbank auf den verschiedenen Geräten aktuell zu halten. Also um zb Keepass zu nutzen auf mehreren Geräten.

Sven222 Dec 23, 2022

@digitalcourage @heiseonline @hambier KeepassXC mit Nextcloud gesynct?

hambier Dec 23, 2022

@sven222 @digitalcourage @heiseonline Vor Jahren habe ich diverse Open Souce Dateisynchronisierungslösungen durchprobiert. Owncloud war damals konkurrenzlos ... träge. Ich werde mir aber Keypass&Varianten (Kompatibilität) erneut näher anschauen.

Sven222 Dec 24, 2022

@digitalcourage @heiseonline @hambier Bin mit Nextcloud im Moment sehr zufrieden, sync ausreichend schnell, und es gibt es eben für alle vernünftigen Betriebssysteme, aber eben auch für Win, Mac und Co.

Reiko Enghardt Dec 23, 2022

@hambier @digitalcourage @heiseonline macht mir auch irgendwie Bauchschmerzen. Die Cross Platform Sync ist schon wichtig … wer mag schon am Telefon Passworte manuell eintippen die man sich wegen der Komplexität nur Zeichen für Zeichen … naja, meine Grundskepsis bestätigt sich wiedermachen , leider…

Frotee Dec 23, 2022

@digitalcourage @heiseonline Ja, aber was mache ich dann, wenn ich die Passwörter regelmäßig auf mehr als einem Gerät oder gar unterwegs auf meinem Smartphone brauche?

Michael Hilgenstock Dec 23, 2022

@frotee
Es gibt verschiedene Möglichkeiten, die Passwortdatenbank eines lokal speichernden Passwortmanagers zwischen mehreren Geräten zu synchronisieren. Syncthing zum Beispiel, oder DScloud von Synology.
Es muss nur ein Plattform übergreifender Manager sein. PasswdSafe funktioniert für mich gut.
@digitalcourage @heiseonline

Michael Hilgenstock Dec 23, 2022

@frotee
Wenn ein Gerät längere Zeit nicht synchronisiert (z. B. bei Nichtbenutzung) kann es allerdings zu Kollisionen kommen. Wenn z. B. mehrere Geräte in der Zwischenzeit Änderungen gespeichert haben und auf dem nicht synchronisierten Gerät eine Änderung gespeichert werden soll, bevor synchronisiert werden kann.
@digitalcourage @heiseonline

Michael Hilgenstock Dec 23, 2022

@frotee
Dieses Problem wird weniger wahrscheinlich, wenn alle Geräte per VPN ständig in der Lage sind zu synchronisieren. Die wichtigsten Aspekte sind, dass die PW-Datenbank auch bei unberechtigter Kopie nicht entschlüsselt werden kann.
Ebenso wichtig ist, dass bei Verlust eines oder mehrerer Geräte eine Kopie verfügbar bleibt.
@digitalcourage @heiseonline

Michael Hilgenstock Dec 23, 2022

@frotee
Deshalb ist eine separate Speicherung und Synchronisation über mehrere Geräte besser als die Speicherung zB auf einer Netzfreigabe.
@digitalcourage @heiseonline

Frotee Dec 23, 2022

@kannznichkaufen @digitalcourage @heiseonline Um ständig per VPN synchronisieren zu können müssten die Geräte aber auch ständig und vor allem gleichzeitig an sein, oder? Klingt schon reichlich umständlich 😥

Michael Hilgenstock Dec 23, 2022

@frotee
Ständig an sein muss neben dem aktuell genutzten Gerät eigentlich nur eins. z.B. ein NAS.
Bei der zentralisierten Variante muss der Server ja auch laufen.
@digitalcourage @heiseonline

Frotee Dec 23, 2022

@kannznichkaufen @digitalcourage @heiseonline Schau, für den generischen Enduser ist das jetzt schon wieder viel zu kompliziert.

Michael Hilgenstock Dec 23, 2022

@frotee
Das Leben wird insgesamt nicht weniger kompliziert. Einfachheit und Komfort haben zur Zeit noch den Preis gewisser Risiken. Die kann ich in Kauf nehmen oder komplett ignorieren. Meine digitale Identität ist mir wichtig genug, dass ich mir darum viele Gedanken mache, mich laufend informiere.
@digitalcourage @heiseonline

Frotee Dec 23, 2022

@kannznichkaufen @digitalcourage @heiseonline Es ist leider auch eine Ressourcenfrage - zwischen Kind, Haushalt und Erwerbsarbeit habe ich ohnehin nur super wenig Zeit und Energie, mich mit sowas zu befassen.
Ich habe aber zumindest noch das nötige Grundwissen.
Was soll denn aus der großen Mehrheit werden, die technisch so gar nicht affin ist?

Michael Hilgenstock Dec 23, 2022

@frotee
Das ist ein wichtiger Bildungsauftrag für alle, die sich der Risiken bewusst sind, diese den anderen vor Augen zu führen. Ich hab in meinem Umfeld schon mehreren Leuten bei der Installation von PW-Managern geholfen und auch Syncthing eingerichtet. Wenn mich jemand bittet, bei der Einrichtung eines NAS für die Fimsammlung zu helfen, bestehe ich drauf, das erst Backup und PW-Management erledigt werden. Backup ist der nächste Punkt, der nicht einfach ist 😎
@digitalcourage @heiseonline

Hauke Brandt Dec 24, 2022

@heiseonline @digitalcourage Was bei solchen Diskussionen wie hier gern übersehen wird: Hier schreiben größtenteils tech-affine Menschen. Ca. 90% aller User sind aber Otto-Normal-Anwender. Für die ist es oft schon eine mittelgroße Herausforderung, z.B. auf einem neuen Gerät ihr E-Mail-Konto einzurichten. Die sind keinesfalls dazu in der Lage, z.B. eine eigene Vaultwarden-Installation durchzuführen. Kann man es denen verdenken, wenn sie auf eine für sie leichte Lösung zurückgreifen?

Chris K.Dec 23, 2022

@heiseonline Deshalb gehören Passwörter keinem SAAS Anbieter anvertraut. Insbesondere die Cloudpasswortmanager sind doch wohl die Königsdisziplin für Diebe. #lastpass #lastpassdatabreach

@heiseonline Passwörter in der Cloud speichern war ja schon immer ne verdammt gute Idee. Nicht.

Deswegen #selfhost #vpn #nextcloud #dezentral

Ansonsten noch 2FA drüber, wann immer es geht.

Louis Meier Dec 23, 2022

@heiseonline
Haha,
Wegen dem habe ich Zettel und Stift

4linblue Dec 23, 2022

@heiseonline unschön.

Metafrastis Dec 23, 2022

@heiseonline Es gibt eigentlich nur zwei Firmen weltweit, denen ich zutraue, solche sensible Daten vor externem Zugriff sicher aufzubewahren: Apple und Google. Und nur eine, die diese Daten auch intern nicht zur Monetarisierung auswertet.
Da braucht es keine Auflösung.

Wurstsemmel 🕊🇺🇦 #SlavaUkraïni Dec 23, 2022

@heiseonline Ein Wort: KeePass.

@heiseonline Warum soll ich meine Passwörter mit einem zusätzlichen Programm sichern, wenn alle Apple Produkte dies allein erledigen?

Frotee Dec 23, 2022

@heiseonline Der Grundsätzliche Leak war ja von August - haben die jetzt einen statischen Tresor erbeutet oder wären, falls mein mit 2FA gesichertes Master-PW geknackt würde, auch aktuelle PWs futsch?

Aidexe 🦎 (👣)Dec 23, 2022

@heiseonline schön, das der Arbeitgeber einen aufgefordert hat alle Passwörter nur noch darüber zu teilen. Das wäre Slack sicher gewesen...

Biontechnisierter 🐡

@heiseonline Bin ja schon froh, dass mein Passwortmanager ein Schreibblock ist.

»ƑŗǡǹǩƁĮǡċǩ⁷⁸«Dec 23, 2022

@heiseonline Ich finde ja die Klugscheißerei der "Ich hab's ja gesagt"-Fraktion fast schlimmer als den Vorfall an sich. Das ist, wie immer, wenig hilfreich.

norderik Dec 24, 2022

@heiseonline Cloud heißt Cloud, weil man dort so gerne klaut.
Besser: keepassXC und wenn es sein muss, das File auf Google Drive, nextcloud, o.ä. ablegen. Brute force auf die keepass-Datei ist immer noch aufwändig genug.

Stefan Losch Dec 24, 2022

@heiseonline
Wer alle seine Passwörter online auf einem Server speichert, der ist selbst schuld, wenn #Hacker ihn beklauen.

Viel schlimmer ist, dass #Google und #Apple unmassen an Passwörtern und vertraulichen Daten auf ihren Servern speichern, ohne dass die meisten Benutzer das überhaupt ahnen.

Der nächste #hackerangriff kommt bestimmt.

Marc Langer Dec 26, 2022

@heiseonline Passwörter bei einem Fremden in der Cloud speichern. Herrliche Idee!! 🤣🤣🤣