Apropos Passwort-Manager: How did LastPass master passwords get compromised?

Lochkartenstanzer
Moin,

Für diejenigen die Paßwortmanager nutzen: Ihr solltet Euch die ganz genau anschauen, weil, wenn die Cloudbasiert sind, ein zu einem offenen Buffet für "pöhse Purschen" werden können.

Aktuell sind bei Lastpass anscheinend die Masterpasswörter abhanden gekommen oder besser gesagt mit vielen Leuten geteilt worden. :-) face-smile

https://palant.info/2021/12/29/how-did-lastpass-master-passwords-get-com ...

lks

Content-Key: 1673658480

Url: https://administrator.de/contentid/1673658480

Ausgedruckt am: 28.01.2022 um 16:01 Uhr

Mitglied: Snowman25
Snowman25 30.12.2021 um 18:05:08 Uhr
Goto Top
Fand's irgendwie schon immer absurd, einen cloudbasierten Passwort-Manager zu nutzen.

Wer seine Passwort-Datenbank auf mehreren Geräten verfügbar haben möchte, soll z.B. KeePass + WebDAV nutzen. Optimalerweise mit Passwort + Zertifikat für die Verschlüsselung.
Persönliches Setup: Eigener Server mit WebDAV-Verzeichnis, darin die Datenbank. Auf meinem PC habe ich eine vollständige Kopie, welche beim Speichern mit der DB auf dem Server synchronisiert wird (Stichwort: Trigger).
Auf dem Handy wird direkt die WebDAV-DB geöffnet.
Mitglied: GrueneSosseMitSpeck
GrueneSosseMitSpeck 30.12.2021 um 20:37:41 Uhr
Goto Top
tja so wie Leute rote Ampeln vor ÜBerwachungskameras überfahren wenn sie mal 5 Minuten länger auf rot stehen gibts auch welche die "irgendwo in der Cloud" eine Kennwortsammlung ablegen. Genauso beliebt die online-Kennwort-Generatoren. Keiner kann mir garantieren daß es wirklich auf der Clientseite im Browser generiert wurde...
Mitglied: EliteHacker
EliteHacker 31.12.2021 um 11:20:51 Uhr
Goto Top
Gut habe ich nie LastPass empfohlen, sonst sähe ich jetzt schön blöde aus.
Faulheit ist der Feind der Sicherheit.
Mitglied: yoppi1
yoppi1 01.01.2022 um 08:32:52 Uhr
Goto Top
Der Artikel im Internet bekam ein Update, bitte lesen.

Generell kann man auch Passwörter in einer "Klaut" ablegen, wenn die Daten sowohl während der Übertragung als auch im Speicher (also Server) so abgelegt sind, dass ein Zugriff durch andere nicht möglich ist. 100%ige Sicherheit gibt's nirgends. Es ist z.B. denkbar, dass bei einem Zugriff als "root" auf so einen Server ein Dump des Arbeitsspeichers erstellt wird und daraus Informationen ausgelesen werden können.

Eine Speicherung in "Keepass" ist im Schnitt genauso unsicher, weil man da auch nur das Hauptpasswort benötigt.

Die eigentliche Schwachstelle - so wie es der Internet-Beitrag auch darlegt - heisst "Mensch". Zu schwache Hauptpasswörter oder Passwörter, die aus Bequemlichkeit immer wieder für andere Dienste verwendet werden, machen es den Angreifern leicht. Dazu besteht noch die Möglichkeit, dass der Rechner, auf dem das Passwort für die Keepass-Datenbank eingegeben wird, kompromittiert wurde.

Es gibt nur sehr wenige Menschen, die ihre Keepass-Datenbanken so gesichert haben, dass ein Diebstahl der Datenbank für die Diebe nutzlos ist.
Mitglied: rzlbrnft
rzlbrnft 21.01.2022 um 11:57:40 Uhr
Goto Top
Zitat von @yoppi1:
Eine Speicherung in "Keepass" ist im Schnitt genauso unsicher, weil man da auch nur das Hauptpasswort benötigt.

Wenn man es richtig macht braucht man dazu auch noch das Keyfile das lokal auf jeder Kiste liegt, die damit arbeitet, wir sind hier bei den Admins, keiner arbeitet wirklich noch ohne Multifaktor oder?
Mitglied: yoppi1
yoppi1 24.01.2022 um 11:06:15 Uhr
Goto Top
Zitat von @rzlbrnft:

Zitat von @yoppi1:
Eine Speicherung in "Keepass" ist im Schnitt genauso unsicher, weil man da auch nur das Hauptpasswort benötigt.

Wenn man es richtig macht braucht man dazu auch noch das Keyfile das lokal auf jeder Kiste liegt, die damit arbeitet, wir sind hier bei den Admins, keiner arbeitet wirklich noch ohne Multifaktor oder?

Ok. Das ist Realsatire, oder? ;-) face-wink
Mit "Wir" kannst Du nur dich selber meinen. Ich kenne genug "Admins" (bewusst in Anführungszeichen gesetzt), die auf vielen Systemen arbeiten und für 2FA zu faul sind und deshalb die gängigsten Accountdaten in Excel gespeichert haben. Geht ja schneller als die 5 Sekunden für 2FA.
Der unsicherste Faktor bei Multifaktorauthentifizierung ist der Mensch.

Und Keepass mit Schlüsseldatei funktioniert nicht mehr wirklich, wenn man anfängt, eine Keepass-Datei mit mehreren Personen zu nutzen. Einer findet sich garantiert wieder, der eine höher bezahlte Meinung pflegt und sich spontan gegen 2FA entscheidet, weil ihn das viel zu viel Zeit und Aufwand beim Öffnen der KDB-Datei kostet.
Wie der Lateiner sagt: been there, done that. Alles schon erlebt.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 24.01.2022 um 12:31:56 Uhr
Goto Top
Zitat von @yoppi1:

Wie der Lateiner sagt: been there, done that. Alles schon erlebt.

Der Lateiner sacht :romanes eunt domus.

lks
Mitglied: rzlbrnft
rzlbrnft 24.01.2022 um 13:42:44 Uhr
Goto Top
Zitat von @yoppi1:
Ok. Das ist Realsatire, oder? ;-) face-wink
Mit "Wir" kannst Du nur dich selber meinen. Ich kenne genug "Admins" (bewusst in Anführungszeichen gesetzt), die auf vielen Systemen arbeiten und für 2FA zu faul sind und deshalb die gängigsten Accountdaten in Excel gespeichert haben. Geht ja schneller als die 5 Sekunden für 2FA.

Sorry aber dann sollten sie sich einen anderen Beruf aussuchen. Wir schreiben das Jahr 2022, mit solchem Verhalten falle ich durch jedes IT-Sicherheitsaudit. Das Leute zu doof sind, eine Software richtig zu benutzen, macht die Software nicht gleich schlecht.
Mitglied: yoppi1
yoppi1 24.01.2022 um 14:22:34 Uhr
Goto Top
Muss das "eunt" nicht "ite" lauten, weil imperativ? Und das "romanes" hört sich eher spanisch als lateinisch an ;-) face-wink @lochkartenstanzer.

@rzlbrnft: Ich hab ja Anführungszeichen ums "Admin" gemacht. Man muss sich nur mal die aufkommenden Fragen hier im Forum durchlesen, dann bekommt man eine Ahnung, auf welchem Niveau man die Kentnisse der Admins einzuordnen hat. Ist nicht böse gemeint - jeder hat mal angefangen.


- Mens sana in compari soda.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 24.01.2022 um 14:36:21 Uhr
Goto Top
Zitat von @yoppi1:

Muss das "eunt" nicht "ite" lauten, weil imperativ? Und das "romanes" hört sich eher spanisch als lateinisch an ;-) face-wink @lochkartenstanzer.

Folge dem Link, dann gehet Dir ein Lichte auf. :-) face-smile

lks
Heiß diskutierte Beiträge
general
FYI: In zwei Tagen zieht LetsEncrypt zahlreiche Zertifikate zurückipzipzapVor 1 TagAllgemeinVerschlüsselung & Zertifikate1 Kommentar

Hallo, zur Info, falls bei Euch übermorgen was knallt: Ruhiges Wochenende! ipzipzap ...

question
Abschätzung Nutzungsdauer von neuer Serverhardware gelöst lcer00Vor 1 TagFrageHardware9 Kommentare

Hallo zusammen, bei uns stehen 2022 Neuanschaffungen an. Dabei geht es um einen Backupserver (das Cloud-Konzept überzeugt mich immer noch nicht vollständig ) und demnächst ...

question
Vorkehrungen für einen StromausfallahussainVor 1 TagFrageNetzwerke10 Kommentare

Hallo, wir betreiben ein Netzwerk mit 8 Clients, Router, Switches, IP-Telefonen, NAS und einem kleinen Anwendungsserver. Unsere einzige Vorkehrung gegen einen Stromausfall/Blackout ist aktuell eine ...

tutorial
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry PiaquiVor 1 TagAnleitungLAN, WAN, Wireless1 Kommentar

Einleitung Das folgende Tutorial erhebt keinen Anspruch auf Vollständigkeit und ist ein einfaches Framework was die Funktion eines IPsec VPN Servers im groben Rahmen aufzeigt. ...

question
PfSense: nach 27-stündigem Ausfall der Deutschen Telekom streiken IPSec + OpenVPN gelöst vafk18Vor 1 TagFrageNetzwerke9 Kommentare

Einen Gruß aus der Eifel, nachdem wir wieder mal von einer großflächigen Störung der Telekom-Anschlüsse (Ausfall eines DSLAM mit mehreren Tausend Teilnehmern) heimgesucht wurden, deren ...

question
Acrobat Reader in 32bit? kein 64?Cougar77Vor 1 TagFrageMultimedia8 Kommentare

Hi, ich versteh grade den Acrobat Reader nicht Wenn ich den aktuellen Reader für die Verteilung im Unternehmen runterlade, installiert es den Reader in der ...

question
Zwei Glasfaseranschlüsse zu einem Lan Netzwerk verbinden gelöst Moritz2009Vor 1 TagFrageNetzwerke7 Kommentare

Hallo zusammen, ist es möglich zwei Glasfaser (FTTH-500Mbits/s) Anschlüsse, mit je einer Fritz!Box 7590 und 7530, in einem Netzwerk zu betreiben? Die Fritz!Boxen werden jeweils ...

question
Backup Software für PostgreSQLDaniVor 1 TagFrageDatenbanken11 Kommentare

Moin, für eine Anwendung kommt PostgreSQL 13.5 zum Einsatz. Leider nicht unter Linux, sondern läuft unter Windows Server 2019. Nun gibt es für jeden Kollegen ...