Mal wieder ein Beispiel, dass nichts im IT-Bereich sicher ist. Der beliebte Passwort-Manager Last Past ist gehackt worden, wie die Betreiber im Blog melden.
Anzeige
Der LastPass-Dienst merkt sich laut eigener Website die Passwörter seiner Nutzer, damit sie sich auf die "wichtigen Dinge des Lebens" konzentrieren können. Auch für Unternehmen bietet man eine günstige Kennwortverwaltung für Gruppenpasswörter als Cloud-Lösung an. Es sollen 7 Millionen Kunden vorhanden sein.
Doof nur, dass der Cloud-Dienst des Anbieters mit den Nutzerkonten gehackt wurde. Laut diesem gestrigen LastPass-Blog-Eintrag fand der Hack bereits letzten Freitag statt. Die Angreifer erhielten Zugriff auf die zentral verwaltete Login-Daten seiner Nutzer (E-Mail-Adresse, Kennwort). Diese sollten dringendst ihre Master-Kennwörter ändern. Die Inhalt der verschlüsselten Passwort-Container sollen aber sicher sein. Wer diese Login-Daten anderweitig verwendet, sollte diese dort auch ändern. Ein paar Infos findet ihr auch hier.
2015
Bequemlichkeit hat seinen Preis … *facepalm*
Wenn das Passwort wie dort beschrieben gut ge-salt-ed ist und dazu noch lang, dann sollte auch bekanntgewordenen Hashes nichts passieren können (in vertretbarer/möglicher Zeit).
Wichtige Dienst lege ich selbst dort eh nicht ab und sichere wichtige Dinge wenn möglich über 2-Faktor ab.
Ich sag immer,Passwort in ein Büchlein schreiben und unter die Matratze schieben ist viel sicherer als irgend ein Ort im Computer!
Ich kann zumindest dem ersten Kommentar nicht zustimmen. Wenn man gut 100 Passwörter hat und alles richtig machen will (und muss), braucht man einen passenden Manager. Die Wörter sollen unterschiedlich sein, lang genug und regelmäßig geändert werden. Da hat eine Hilfe überhaupt nichts mit "Bequemlichkeit" zu tun. Alles andere wäre leichtsinnig. Und wenn der benutzte Container richtig verschlüsselt ist, ist es auch egal, ob er in der Hosentasche oder in der Cloud ist. (Das scheint ja auch bei diesem Hack der Fall zu sein.)
"Bequemlickeit" bezog sich auf die Nutzung des Dienstes eines Drittanbieter, anstatt selbst z.B. zu Hause ein kleinen Raspi & Co mit ownCloud und Keepass zu nutzen.
Hi Oliver, zum Thema Drittanbieter hatte ich schon leidenschaftliche Diskussionen. Eine eigene Lösung zu Hause zu bauen würde ich vielleicht noch hinbekommen, aber richtig absichern kann ich so etwas nicht. Schließlich muss man dann obendrein immer auf dem Laufenden sein. Also was soll ein Normaluser machen, wenn jeder Drittanbieter verteufelt wird?
Für mich ganz einfach… Mit dem Thema beschäftigen und sich selbst sensibilisieren und agieren. Es ist immer nur eine Frage der Zeit, bis es dann doch "jeder" kann wenn wer will ;-)
Vor Jahren war es schwer das Internet zu nutzen, vor Jahren bis dato ist die Nutzung von Gummis immer noch Sicher ;-D Für alle Windows Flüchtlinge ist es schwer sich an einen anderes OS wie Apple/Linux umzugewöhnen etc etc etc …
IMHO muss man "leider" sich die Zeit nehmen und seine Daten zu sichern, egal wo was wie. Als ich meine DIAs digitalisiert habe, hat es auch gedauert und war nicht günstig, aber ich habe es jetzt Digital und das verblassen der DIAs ist mir jetzt "egal", aber diese Zeit festhalten und sichern ist jetzt wichtig.
Legst Du Deine Kontaktliste, Passwörter, Bilder etc denn vor die Haustür, verpackt in ein Paket mit einem Schloß?
Sicherlich kann manN da sich leidenschaftliche endlose Diskussionen hingeben. Ich für meinen Teil ziehe daraus Konsequenzen und schau das ich alles zu Hause behalte was Privat ist, egal wie …
Ein bisschen schade, wieder mal. Es kommt nie eine brauchbare Diskussion zustande. Nur als Beispiel: Wenn ich also vor 8 Sekretärinen stehe und die Geheimnisse des Serienbriefs erkläre, kommt früher oder später auch die Frage, wie man denn mit mehreren Passwörtern umgehen soll. Dann soll ich was von Raspi, ownCloud usw. erzählen? Weltfremd, unbrauchbar. Wie gesagt, war nur ein Beispiel. Egal, ich habe meine Lösung :-)
@Hannes
bei 8 Sek. geh ich von einem Unternehmen aus und da gibt sicherlich solche Unternehmenslösungen, wie ein eigenen Passwordstore bzw. Single Sign On, geh ich mal sehr naiv von aus :-D
Die ultimative Lösung ist imho back to the roots … Papier und Stift! Die Gefahr das das zufällig das mal geklaut wird ist imho niederiger, wie das Online das passiert bzw. NSA und Konsorten es irgendwo/wann mal in die Finger bekommen werden.
@Oliver
Um die Belange im Unternehmen ging es mir nicht, das waren schon fast private Fragen. Wie von meinem Schwager :-) Aber Zettel fällt aus. Das ist ja wie Karten-Pin im Geldbeutel. Dann schon eher USB-Stick und Keepass. Ich für meinen Teil bin einen Schritt weiter und habe mich teilweise in die Cloud "zurückgezogen", so gut es eben geht.
Blätter mal in dem Buch Post-Privacy: Prima leben ohne Privatsphäre von Christian Heller. Irgendwie ermutigt es einen, trotz allem.
@ Hannes: „ …Und wenn der benutzte Container richtig verschlüsselt ist, ist es auch egal, ob er in der Hosentasche oder in der Cloud ist. …"
Meine Oma hätte gesagt: Das ist jugendlicher Leichtsinn. Ich würde sagen: Das ist eine gewagte These. Egal ist es ganz bestimmt nicht, wo meine Daten gespeichert sind und vor allem: wer die Kontrolle und das Verfügungsrecht über den physischen Datenträger hat, auf dem meine Daten abgelegt sind. Um es deutlich zu sagen: Daten, die einmal in der Cloud gespeichert werden, sind weg und meinem Verfügungsrecht entzogen. Der Eigentümer des Rechenzentrums, wo die Cloud-Daten gespeichert werden, kann mit dem physischen Datenträger und mit den Daten, die darauf gespeichert sind, de facto machen, was er will. Ich als Anwender kann die Daten nicht einmal löschen. Ich kann zwar auf meinem heimischen Rechner die Löschtaste drücken, ob die Daten dann aber tatsächlich im Rechenzentrum auf dem physischen Cloud-Datenträger gelöscht werden, weiß ich nicht, und ich habe keine Möglichkeit, das zu prüfen. Für eine solche Prüfung müsste ich ins Rechenzentrum gehen und den physischen Datenträger mit einem entsprechenden Tool überprüfen. Es bedarf keiner tiefschürfenden Ausführungen, um zu verstehen: Das ist in der Praxis unmöglich.
Was die Verschlüsselung betrifft: Eine Verschlüsselung ist dann richtig, wenn sie sicher ist. Ob eine Verschlüsselung, die heute als sicher gilt, morgen noch sicher ist oder in paar Jahren…, kann heute seriös kein Menschen sagen. Ich erinnere in diesem Zusammenhang an TrueCrypt. TrueCrypt war sozusagen Inbegriff eines seriösen und sicheren Verschlüsselungstools, bis die Entwickler im vergangenen Jahr der schockierten Öffentlichkeit mitteilten, es sei nicht sicher, und alle Anwendern dringend empfahlen, TrueCrypt nicht weiter zu nutzen…
@Hannes: „ …Und wenn der benutzte Container richtig verschlüsselt ist, ist es auch egal, ob er in der Hosentasche oder in der Cloud ist. …"
Meine Oma hätte gesagt: Das ist jugendlicher Leichtsinn. Egal ist es ganz bestimmt nicht, wo meine Daten gespeichert sind und vor allem: wer die Kontrolle über den physischen Datenträger hat, auf dem meine Daten abgelegt sind. Um es deutlich zu sagen: Daten, die einmal in der Cloud gespeichert werden, sind weg und meiner Kontrolle entzogen. Der Eigentümer des Rechenzentrums, wo die Cloud-Daten gespeichert werden, kann mit dem physischen Datenträger und mit den Daten, die darauf gespeichert sind, de facto machen, was er will. Ich als Anwender kann die Daten nicht einmal löschen. Ich kann zwar auf meinem heimischen Rechner die Löschtaste drücken, ob die Daten dann aber tatsächlich im Rechenzentrum auf dem physischen Cloud-Datenträger gelöscht werden, weiß ich nicht, und ich habe keine Möglichkeit, das zu prüfen. Für eine solche Prüfung müsste ich ins Rechenzentrum gehen und den physischen Datenträger mit einem entsprechenden Tool überprüfen. Es bedarf keiner tiefschürfenden Ausführungen, um zu verstehen: Das ist in der Praxis unmöglich.
Was die Verschlüsselung betrifft: Eine Verschlüsselung ist dann richtig, wenn sie sicher ist. Ob eine Verschlüsselung, die heute als sicher gilt, morgen noch sicher ist oder in paar Jahren…, kann heute seriös kein Menschen sagen. Ich erinnere in diesem Zusammenhang an TrueCrypt. TrueCrypt war sozusagen Inbegriff eines seriösen und sicheren Verschlüsselungstools, bis die Entwickler im vergangenen Jahr der schockierten Öffentlichkeit mitteilten, es sei nicht sicher, und alle Anwendern dringend empfahlen, TrueCrypt nicht weiter zu nutzen…
Ihr hab im grunde genommen nichts zu befürchten, es würde ewig dauern ein Masterpasswort zu bruteforcen (jede mögliche kombination ausprobieren) aus einem der Hashes aus der Datenbank.
Sogar ein kurzes Passwort ist in diesem Fall schwer zu knacken, da jeder Nutzer einen eigenen salt hat und sogar die Benutzernamen als Hash in der Datenbank gespeichert sind.
Das Masterpasswort wird auf dem rechner des Benutzers 5000 mal mit PBKDF2-SHA256 gehasht, daraus ergibt sich ein einmaliger Key, welcher dann noch mal mit einem anderen Algorythmus gehasht wird. Dieser Key wird an den Server gesendet, welcher das ganze noch 100000 mal mit einem für jeden Nutzer anderen Salt hasht.
Durch dieses aufwändige verfahren ist es quasie unmöglich einen Last Pass Tresor zu knacken, da man erst den Benutzernamen – Hash knacken muss, dann den salt rausbekommen muss und dann jedes mögliche Passwort mal 105001 teilweise verschiedene Hashes erstellen muss.
PS: Ein Salt wird quasie hinten an den Klartext angehängt vor dem Hashen dadurch wird das Passwort sozusagen länger
Wenn ich "passwort" mit MD5 Hashe erhalte ich folgenden hash:
e22a63fb76874c99488435f26b117e37
mit dem anghängten salt "SALT"(also der hash von "passwortSALT":
ca16375813e0b5508568f5c9ee69efda
Wenn man den Salt nicht weiß, ist es quasi unmöglich eine Wortliste zum cracken zu benutzen, mann muss quasi bruteforcen.
Ich hoffe das war halbwegs verständlich.
Danke für die Ergänzungen. Das Problem liegt auf einer anderen Ebene: Auch diesem Anbieter ist es scheinbar nicht gelungen, seine Benutzerdatenbanken vor dem Zugriff Dritter zu schützen. Zeigt, dass deine Daten nie sicher sind, sobald sie öffentlich gespeichert wurden.