ComputerBase Menü
Aktuelles

Lastpass - News zum Hack und was macht Ihr jetzt?

@Highspeed Opi Security through Obscurity (in der Masse verschwinden) ist nie ein guter Ansatz, darum ist deine NAS auch nicht sicher. Keine Ahnung ob du schon mal in die Logs deiner NAS geguckt hast, wieviele Port Scans da drüber laufen.

Stell mal z.B. einen Teamspeak Server auf deiner NAS online, ich garantiere dir dass es keine 24h dauert bis du in den Logs die erste Bruteforce Versuche siehst von russischen/polnischen/ukrainischen IPs. Und das bei so etwas banalem wie ein TS Server...

In einem richtigen DC laufen Systeme zur Intrusion Detection und Abwehr die mehr kosten als dein Auto/Haus
 
  • Gefällt mir
Reaktionen: shy-Denise
Highspeed Opi schrieb:
@thrawnx
Der Angriff auf einer Cloudinfrastruktur ist auch um Potenzen vielversprechender, weshalb sich kein Profi um dein NAS interessiert.
Ordentlich verschlüsselt, ist auch dein NAS sicher.
Zum Vergrößern anklicken....

Die NAS ist so sicher, wie die Qualität der Softwareentwicklung, insbes. Qualität der Krypto und Behebung von Sicherheitslücken.
Auch LastPass ist so sicher, wie die Qualität der Softwareentwicklung, gleiche Kriterien.

Der Unterschied ist, dass LastPass jeden Monat Geld bekommt für diese Aufgabe. Der NAS-Hersteller wird irgedwann keine Lust mehr haben, die Firmware für die alte Karotte upzudaten. Natürlich kann es auch sein, dass LastPass sagt, sie sparen hier.

Wenn es hier noch eine relevante Handlungsoption gibt, dann die, von LastPass hin zu einem PW-Manager von einem größeren Anbieter mit noch mehr Ressourcen umzuziehen, wie z.B. Microsoft, Apple oder Google.
 
@thrawnx @Clausewitz
Ich habe und brauche keine NAS, weil ich dem System ebenfalls nicht traue.

Meine Lösung ist eine 3x 256 Bit Verschlüsselung mit sehr langem Passwort und Keyfiles.
Völlig unnötig sicher, aber da es kein Nachteil hat, habe ich es einfach gemacht.
Dabei kann man aus meinen Daten auch nicht reich werden. Es geht mir nur ums Prinzip.

@sikarr
Es ist überhaupt kein Bullshit es generell als unsicher zu betrachten. Ganz im Gegenteil! Es wäre Bullshit es als sicher zu betrachten. Nichts ist sicher, das ist Fakt.
Es geht um Wahrscheinlichkeiten und wenn kriminelle Profi-Teams Geld verdienen wollen, versuchen sie nicht ihre Zeit mit deinen wahrscheinlich unwichtigen und wertlosen Daten zu verschwenden.
Sie gehen an die Quelle, wo die Anzahl wichtiger und wertvoller Daten tausend- oder millionenfach höher ist.
 
Zuletzt bearbeitet:
Highspeed Opi schrieb:
Meine Lösung ist eine 3x 256 Bit Verschlüsselung mit sehr langem Passwort und Keyfiles.
Völlig unnötig sicher, aber da es kein Nachteil hat, habe ich es einfach gemacht.
Zum Vergrößern anklicken....

Dann ist doch alles gut. So einen Container kannst du hier als Dateianhang public stellen und niemand wird es knacken können.

Wobei du aufpassen solltest, da zuviele Encryption Layer übereinander zu einer Schwächung der Verschlüsselung führen können. 1x AES256 mit einem Passwort >16 Stellen ist mehr als ausreichend
 
Highspeed Opi schrieb:
Meine Lösung ist eine 3x 256 Bit Verschlüsselung
Zum Vergrößern anklicken....
Mehrmaliges (hintereinander) Verschlüsseln mit unterschiedlichen Schlüsseln gleicher länger, bringt nicht mehr Sicherheit. :)
 
  • Gefällt mir
Reaktionen: Azdak
thrawnx schrieb:
und weil ein Angriff auf eine Cloudinfrastruktur um Potenzen schwerer durchzuführen ist als auf deine NAS.
Zum Vergrößern anklicken....

Aber auch um Potenzen lohnender. Wenn die Software auf dem eigenen NAS robust genug ist (würde ich bei größeren Open Source Projekten annehmen), dann ist die Wahrscheinlichkeit eines Diebstahls auf der eigenen Hardware wohl unwahrscheinlicher als in einer gemeinschaftlichen Cloud. Ist aber generell nur eine Vermutung, meinerseits.
 
Highspeed Opi schrieb:
@thrawnx @Clausewitz
Ich habe und brauche keine NAS, weil ich dem System ebenfalls nicht traue.

Meine Lösung ist eine 3x 256 Bit Verschlüsselung mit sehr langem Passwort und Keyfiles.
Völlig unnötig sicher, aber da es kein Nachteil hat, habe ich es einfach gemacht.
Zum Vergrößern anklicken....

Das halte ich hingegen für eine noch sicherere Lösung. Von der Usability her wäre es für mich aber nicht nutzbar - zu viele verschiedene Geräte, ich würde das Vorgehen nicht durchhalten. Und das wichtigste ist ja, dass man die Sicherheitsfunktionen überhaupt nutzt.
Aber wenn man wenige Geräte hat oder sich einen Workflow dafür macht, dann super.

Ich würde aber nicht soweit gehen wie Du und ableiten, dass eine cloud-basierte Lösung per se unsicher ist oder "es gehört nicht in die Cloud."
 
Ich hab bis jetzt immer Keepass benutzt. Die Datenbank liegt in bei einem Cloudanbieter und ist mit 2FA (Kennwort + keyfile) gesichert und zusätzlich mit Boxcryptor verschluesselt.

Das keyfile liegt selbstverständlich nicht in der Cloud sondern nur auf den Endgeräten/Smartphones.

Das Problem ist: Boxcryptor wurde von Dropbox aufgekauft und der Dienst wird zum Januar hin eingestellt.

Gibt es gute Alternativen zu Boxcryptor ?

Ich hab in dem Boxcryptor Laufwerk noch andere Sachen drin wie wichtige Bilder oder Bitlocker Restore keys
 
Falc410 schrieb:
Mehrmaliges (hintereinander) Verschlüsseln mit unterschiedlichen Schlüsseln gleicher länger, bringt nicht mehr Sicherheit. :)
Zum Vergrößern anklicken....

Könntest Du bitte kurz erklären, warum das so ist?
 
@TrueAzrael

Eher nicht. Die Erfahrung sagt dass Menschen faul sind. Sprich wenn du nicht die absolute Ahnung hast, die NAS härtest und beim Aufsetzen der NAS schon alles automatisierst an Updates, dümpeln viele NAS oftmals monatelang ohne kritische Updates dahin und sind verwundbar. Siehe die Schwachstellen die es in SSH gab uvm.

Sowas passiert in einem RZ normalerweise nicht.

Ja, wenn man sich regelmäßig kümmert, CVE im Blick hat, falls etwas auftaucht was einen selbst betrifft direkt patched (und da ist man oftmals vom NAS Hersteller abhängig, bei den 0815 NAS), ja dann kann eine private NAS okay sein, sicherer als ein RZ wird sie aber nicht, da einfach Hardware Firewalls, Intrusion Detection uvm. fehlt.
 
  • Gefällt mir
Reaktionen: shy-Denise und sikarr
@Clausewitz
Ich bleibe dabei, dass eine Cloud für wichtige Daten unsicher ist.
Die News der vergangenen Jahre haben eindeutig bewiesen, dass diese Daten ständig gehackt werden, ein Fehler die Daten unverschlüsselt für alle zugänglich macht, Daten falschen Personen zugeordnet wurden, interne Mitarbeiter die Daten verkauft haben, staatliche Behörden mit unlimitierten Ressourcen einen Direktzugriff darauf haben oder gesetzlich verpflichten, usw.

Ich habe natürlich selbst eine Cloud und viele Daten hochgeladen.
Aber diese Daten sind nicht wichtig. Und trotzdem habe ich sie mit Cryptomator verschlüsselt.

Passwörter sind eben das Letzte, was ich in die Cloud hochladen würde.
 
Also, an die Krypto-Profis hier.
Ich hab in diversen CCC-Vorträgen gehört, dass ein größeres Sicherheitsrisiko eine schlecht implementierte Krypto sei. Als Beispiel wird genannt Browser-Plugins, die mit dem SSL schlecht umgehen, oder allgemein Websiten die SSL falsch implementieren oder auch Anti-Malware von Drittherstellern, die Sicherheitsfunktionen des OS aushebeln.

Eine Sorge die ich habe, ist, dass LastPass bei der Verschlüsselung in ihrer "Zero-Knowledge-Architektur" (wie sie es selbst nennen) das nicht optimal gebaut haben, und z.B. Schlüssel aus irgendwelchen Dumps mit abgezogen werden können o.ä..

Hier würde mich eure Einschätzung interessieren. Wie groß ist dieses Risiko? Macht die Frage Sinn?
 
Clausewitz schrieb:
Könntest Du bitte kurz erklären, warum das so ist?
Zum Vergrößern anklicken....

Ist lange her dass ich mich viel damit beschäftigt habe und viel dazu gelesen habe, damals ging es um verschachtelte Container. Grob gesagt ging es darum dass man die Anzahl der Angriffsvektoren erhöht. Sprich nicht nur AES hat, sondern auch noch Blowfish, SHA und womit man auch immer den Ursprungscontainer ummantelt.
Hatte auch etwas gelesen dass man die Ursprungsencryption schwächt, aber kann mich da nur noch sehr dunkel daran erinnern. Mal gucken, vielleicht finde ich da noch was.
 
  • Gefällt mir
Reaktionen: Clausewitz
Clausewitz schrieb:
Könntest Du bitte kurz erklären, warum das so ist?
Zum Vergrößern anklicken....
Der Angreifer kennt dein Passwort nicht, bzw. den Schlüssel (Passwort, Passphrase, Schlüssel, Geheimnis, alles Synonyme). Jetzt verschlüsselst du deine Daten mit 256 Bit und dann noch einmal mit 256 Bit (anderer Schlüssel) und noch einmal. Der Schlüsselraum bleibt aber bei 256 Bit. D.h. der Angreifer wird per Bruteforce irgendeinen Schlüssel finden der unterschiedlich zu deinen 3en ist aber die Daten ebenso entschlüsselt und halt 256 Bit lang ist.
Gut bei AES rechnen moderne Rechner selbst da noch viele Jahre dran aber wenn es einen Fehler im Verfahren gibt bzw. bei der Implementierung, dann kann man das oft um mehrere Faktoren verringern.

Trotzdem bringt dir mehrfaches verschlüsseln keinen Vorteil gegenüber Bruteforce Attacken (also ausprobieren aller möglichen Kombinationen).
 
  • Gefällt mir
Reaktionen: Azdak, TomH22 und Clausewitz
Clausewitz schrieb:
Hier würde mich eure Einschätzung interessieren. Wie groß ist dieses Risiko? Macht die Frage Sinn?
Zum Vergrößern anklicken....

Ich persönlich meide Browser Addons, weil es da eben schon Leaks in Chrome etc gab. Es braucht keinen Dump, so lange der Browser offen ist und das Addon geladen, liegen die Passwörter unverschlüsselt im RAM, was sie relativ leicht angreifbar macht.
Ergänzung ()

jonderson schrieb:
Der Grund weswegen ich keine Passwörter in der Cloud speicher, sondern masterpasswordapp.com nutze
https://www.heise.de/select/ct/archiv/2014/18/seite-82/pdf
Zum Vergrößern anklicken....

Hab das jetzt nur kurz überflogen, werde es gleich ganz lesen, aber schon mal LOL@InputStick. Wirst du nirgendwo nutzen können wo sich Leute gegen BadUSB Attacken wehren wollen.
 
  • Gefällt mir
Reaktionen: Clausewitz
thrawnx schrieb:
Hab das jetzt nur kurz überflogen, werde es gleich ganz lesen, aber schon mal LOL@InputStick. Wirst du nirgendwo nutzen können wo sich Leute gegen BadUSB Attacken wehren wollen.
Zum Vergrößern anklicken....
Ist auch nur ein Anwendungstipp der c't, nutze keinerlei Sticks und trotzdem das Konzept.
So ein Stick kann ich mir trotzdem als nützlich vorstellen an Fremden Rechnern wo man nicht einfach die Masterpasswordapp Addons für Firefox/Chrome installieren will...
Oder auch in Umgebungen wo (noch) kein Browser zur Verfügung steht.
 
Ich hab mein sehr kryptisches KeePass Masterpasswort in der Maus gespeichert
Funktioniert in allen meinen Windows und Linux Installationen sehr bequem und ohne Maustreiber der im Hintergrund läuft
Es geht also auch ohne Cloud
 
Und wenn du deine Passwörter woanders mitnehmen willst, musst du die Maus mitschleppen? Klingt sehr praktisch ;)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Raucherdackel!
  • Geschlossen
Lycamobile von Hackerangriff betroffen.
Antworten
1
Aufrufe
1.081
Markchen
Markchen
A
Nextcloud nicht erreichbar
Antworten
12
Aufrufe
6.565
hsitt
H
R
Jitsi-Meet: Schlechte Bildqualität
Antworten
7
Aufrufe
12.984
Gonzo the Great
G
tarifa
TBird und Mailmerge: Alternativen zum De-Facto-Standard - habt ihr hier Tipps?
Antworten
1
Aufrufe
1.941
netzgestaltung
netzgestaltung
David7
Wie effektiv vor Malware schützen?
2
Antworten
20
Aufrufe
10.156
sandreas
S
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz