Fremdzugriff beim Passwort-Manager LastPass

Und sind auch offensichtlich deutlich unsicherer….

Naja es gab in der Vergangenheit aber auch diverse Zugriffe auf die iCloud durch fremde. Da wurden ja diverse US Promis „gehackt“.

Einfach keine gute Idee die Application und die „verschlüsselte“ Datenbank beim Anbieter zu haben. Wir kennen weder den Quellcode der Application noch können wir darauf vertrauen das die Datenbanken nicht doch gestohlen wurden. Die App und die Datenbank sollte beim Anwender liegen, das schützt zwar nicht den einzelnen Anwender direkt aber es ist somit nicht möglich mit einem Angriff an alle Daten aller Kunden zu kommen. Ich persönlich würde den Aussagen von Lastpass zu diesem Vorfall nicht vorbehaltlos vertrauen, denn es betrifft ihr Geschäftsmodell das durch so einen Vorfall vollständig gefährdet ist.

Und kosten extra Geld.

Das ist richtig, aber dennoch sind die Passwörter mit einer Ende-zu-Ende-Verschlüsselung versehen. Wie schnell das Passwort dann geknackt wird ist natürlich eine andere Frage.

Aus dieser Sicht betrachtet mag das Stimmen aber für mich als Kunde spricht es nicht gerade von einer guten Transparents wenn da 2 Wochen lang geschwiegen wird. Zumal hier zwar nun keine Kundendaten abhanden gekommen sind aber dafür der Teile des Quellcodes und wie wollen wir als Kunden nun beurteilen können ob diese Teile des Quellcodes nicht langen um das System zu anzugreifen und so dann wirklich an die Daten ran zu kommen?

2Tage ist immer noch Zeitnäher als 2 Wochen wie bei LastPass.

Ich habe den Text gelesen und verstanden. D.h. sie sollten was mitteilen? Das sie es nicht wissen? Oder was in den eure konkrete Forderung an Transparenz?

Allein der unnötige Account-Zwang bei Plex ist schon ein Witz! Hätten die diesen nicht wären meine Daten bei dem Verein nicht gestohlen wurden.

@lars, dass stimmt so nicht. Mein Plex funktioniert wunderbar Lokal wenn ich den Router das DSL Kabel ziehe. Einzige was nicht mehr geht ist dann neue Metadaten sich zu neuen Filmen holen.

Bei der Einrichtung scheint bei dir da was falsch gelaufen zu sein oder Plex hat die Einrichtung geändert.

Kannst du weiterhelfen? Ich finde nur das „List of IP addresses and networks that are allowed without auth“. Meinst du das? Das löst mein Problem nicht. Ich mache auf dem TV die Plex app auf und bekomme sofort die Meldung „Keine Verbindung zum Internet“ und dann geht es nicht weiter. Aber damit ich einen „offline Dienst“ mit meinen eigenen Daten offline verwenden kann muss ich was tun. Ich muss ehrlich sagen, wenn ich das vor dem Kauf gewusst hätte, dann wäre Plex sofort raus.

@ichy
danke für die Info. Ich probiere es nachher nochmals. Wenn ich die plex App auf dem LG TV öffne kommt sofort die Meldung, dass keine Internetverbindung besteht. Aber ich probiere es nachher nochmals. Aber eigentlich ein Witz, dass plex das per Standard nicht kann. Das ist ja der Sinn von der ganzen Sache alles lokal zu haben.

Privat nutze ich noch 1Password, geschäftlich KeePass. Die Integration von 1P in Browser etc. ist aber viel besser als bei KeePass. KeePass ist ziemlich umständlich was das angeht. Wenn ich die Anmeldefelder ausfüllen will, muss ich die KeePass App gestartet haben und entsperrt. Das bringt mir nichts, dann kann ich die Zugangsdaten gleich in der App ablesen/ kopieren. Bei 1P muss ich mich lediglich authentifizieren und das geht auch mit Fingerabdruck, was alles extrem schnell macht, dank der Mini-App.
Ansonsten bin ich schon lange am suchen zum Umsteigen. Da ich keine Lust habe ab v8 meine Daten bei 1P in der Cloud zu speichern.

Welche App nutzt ihr für KeePass? Offiziell gibt es ja keine für OS X vom Entwickler. Ich verwende KeePassXC und MacPass und werde mit beiden nicht so warm.

@chilacho
Wie hier schon geschrieben wurde gibt es zum Beispiel Strongbox. Das nutzt KeePass Datenbanken, sodass du nicht einmal am Strongbox selbst gebunden bist, sondern eines der vielen Programme nutzen kannst, die es dafür gibt. Das Ausfüllen von Passwörtern läuft dabei genauso, wie mit dem Schlüsselbund von Apple. Man muss auch nicht die App dafür gestartet haben. Allerdings sollte man sie hin und wieder dennoch öffnen, um eine Aktualisierung anzustoßen. So war es ja auch mit 1Password bevor sie auf iOS eine Browsererweiterung herausgebracht haben

@chilacho
Sowohl Strongbox als auch Strongbox Pro sind auf iPhone, iPad und Mac nutzbar und zwar als Universal-App. Beide bieten die gleichen Funktionen, nur dass bei der Pro-Version direkt 80€ gezahlt werden müssen und bei der anderen in-App-Käufe zu tätigen sind. Man kann die App auch komplett kostenlos nutzen, hat dann aber eben zum Beispiel keine Unterstützung für TouchID. Ansonsten sind, wenn man bezahlt hat, beide Apps identisch. Der Grund warum es mehrere Mac-Versionen gibt ist, dass es bis vor kurzem noch keine Universal-App gab und man am Mac die Pro-Version direkt und einzeln kaufen musste. Deshalb Legacy. Der Import von 1Password geht mit Logins gut, da Strongbox sich auf .1pif versteht. Einzig bei Kreditkarten und ähnlichem ist die Darstellung unschöner. Meine Empfehlung wäre, sich die kostenlose Version herunterzuladen, eine Woche ein Test-Abo abzuschließen und dann zu schauen wie das Importieren und das Handling klappt.

Ehrlich. Verstehe das Argument nicht. Man speichert keine Passwörter bei einem Dienstleister.

Genau das ist der Punkt und der entscheidenden Unterschied. Die Passwörter sind verschlüsselt(!) auf einem anderen Gerät, welches das auch immer sein mag. Nehmen wir iCloud als Beispiel. Man brächte ja erstmal Zugang zum Tresor auf iCloud. Und dann? Dann bräuchte man erst mal das Masterpasswort, um die Datei zu entschlüsseln. Und viele nehmen noch den 2-Faktor, Zertifikat, Stick etc. Bis heute ist es niemandem gelungen so ein Angriff umzusetzen. Passwörter offline speichern ist, wie du schon sagst, nahezu unmöglich. Wer schreibt sich wahllose 32 lange Zeichenketten auf? So ein Dokument müßte man ja auch im Tresor verschließen. Ein Passwort-Manger sperrt sich nach 30 Sekunden von selbst. Wie will man sich im Urlaub mit einem offline Papier irgendwo einloggen? Wer seine Passwörter kennt, der macht in 2022 eh was falsch. Es gibt eine Handvoll Passwörter, die lang und bekannt sein sollten; Masterpasswort und icloud-Passwort, PIN von der Bankkarte und das wars auch schon. Mit einem Passwort-Manager ist man an die Bedürfnisse in der heutigen in jeglicher Lage sicherer und komfortabler. Des Weiteren kann kann man auch seinen Tresor nochmals in ein Laufwerk von Cryptomator etc. werfen. Aber das wäre echt over the top. Immer mehr Zugänge wollen 2FA mit OTP, den private key muss man ja auch irgendwo speichern und ohne App kann man den OTP gar nicht ableiten. Deshalb ist das eingangs eingebrachte Argument 12345 hier einfach falsch. Es bleibt nur noch Verzicht auf heutige Technik.

+1

Nein. Die Datei wird lokal verschlüsselt und dann hoch geladen. Das ist aus meiner Sicht was völlig anderes, als die Aussage „Kontrolle in andere Hände“. Wer das so bewertet, der hat mit allem im Internet ein Problem. Jeder Login ist nur eine Schranke zu Daten und keine Verschlüsselung. Mit der Sichtweise über „Kontrolle“ könnte man keine email mehr schreiben etc. Kurz: lokal verschlüsselt ist nach heutigem Stand der sicherste weg und auch Standard unserer Zeit. Was hat man für einen Nutzen, wenn man die verschlüsselte Datei hätte? Keinen. Richtig ist, aber dass das Gefühl komisch ist. Aber eben mit dieser Denkweise, wenn man die an sich heran lässt, dann kann man nichts mit Internet benutzen.

Das mag sein, aber sowas ähnliches ist bei LastPass ja schonmal vorgekommen.
Das finde ich schon erschreckend.