LastPass: Bug ermöglicht Passwortklau

Publiziert am 31. März 2017 von Günter Born

Die Meldung ist zwar schon ein paar Tage alt – aber ich erwähne es trotzdem mal. Wer auf einen Passwort-Manager setzt, lebt riskant. Zu häufig gab es bereits Lücken, die einen Passwortklau ermöglichten.

Anzeige

Im Passwort-Manager LastPass gab es Bugs, die es Webseiten ermöglichten, Kennwörter auszulesen. Dies betraf vor allem Erweiterungen zur Kennwortverwaltung in Browsern wie Chrome und Firefox. Ein paar Details finden sich hier sowie bei heise.de. Diese Sau wurde bereits am 22./23.3.2017 durch die Gasse getrieben.

Am 27.3.2017 berichtet heise.de in diesem Beitrag von einer weiteren Zero-Day-Lücke in LastPass, Über diese kann ein Angreifer Code auf der Maschine zur Ausführung bringen. LastPass hat zwar in einem Blog-Eintrag reagiert. Aber die Summe der unzureichenden Fixes häufen sich. Mein Ratschlag ist, die Finger von solchen Passwortmanagern zu lassen.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu LastPass: Bug ermöglicht Passwortklau

  1. Ralf sagt:
    31. März 2017 um 17:13 Uhr

    Diesen Ratschlag solltest Du noch einmal überdenken. Das Resultat ist nur, dass nur noch einfache Passworte verwendet werden, möglichst noch auf mehreren Diensten gleichzeitig.

    Ich finde einen Passwortmanager sinnvoll, wenn man die Passwortdatei lokal in einem verschlüsselten Container speichtert (und auf das automische Passworteintragen im Browser verzichtet). In die Cloud gehört eine Passwortdatei sicher nicht, da jede Datei irgendwann einmal entschlüsselt werden kann.

    Das jeweilige Passwort kann man dann über die Zwischenablage kopieren, wobei gute Passwortmanager überwachen, dass keine andere Anwendung im gleichen Moment die Zwischenablage auswertet.

    Antworten
  2. Andreas sagt:
    1. April 2017 um 11:03 Uhr

    Ich finde den Ratschlag gut! Ich nutze komplizierte Passworte und für jede Anwendung ein anderes. Manche, die oft eingegeben werden müssen, kann ich mir merken, andere schreibe ich mir auf. Auch Papier und Kuli haben manchmal ihre Berechtigung! ;-)

    Antworten
  3. Nobody Private sagt:
    1. April 2017 um 11:26 Uhr

    Passwort Manager sind okay, nur halt die Finger von den Browsererweiterungen lassen; sicher und bequem geht halt nicht so ohne weiteres.
    Papier ist sicher eine Alternative solange der Zettel halt nicht für andere greifbar / einsehbar rum liegt und er dennoch verfügbar ist wenn gebraucht ;)

    Antworten
  4. Tim sagt:
    1. April 2017 um 11:30 Uhr

    *schmunzel*

    Das Drama Passwörter…

    Egal wie man es macht, ist es falsch. Es gibt halt kein sicheres System, sondern nur das, mit dem man selbst am besten klar kommt.

    @Andreas: Auch Papier und Kuli haben schon versagt…

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.