ComputerBase Menü
Aktuelles

Risiken von Cloud-basierten Passwortmanagern?

S

Schmitzibaer

Newbie
Registriert
Juli 2015
Beiträge
1
Tach zusammen!

Nachdem ich nun lange nur mitgelesen habe und auch schon einige interessante Thread gefunden habe, habe ich mich nun durchgerungen, mich auch mal anzumelden und mitzudiskutieren :)

In den letzten Wochen gab es hier ja schon einige Diskussionen zum Thema Passwortmanager. Wie viele andere auch bin ich seit nun knapp 2 Jahren beim Anbieter LASTPASS. Es gab zwar 2011 und jetzt vor kurzem Angriffe auf den Anbieter (kann man bei so einem tendenziell lohnenden Ziel ja auch noch nachvollziehen), aufgrund der Technik, die Lastpass einsetzt wurde im Grunde aber nichts erbeutet. Nur wenn wirklich schwache Masterpasswörter zum Einsatz kamen, kann es rein theoretisch möglich sein, aufgrund der Authentification-Hashes und Server per User Salts (mehr wurde ja nicht abgezogen) auf das Passwort zu schließen. Folgt man dem Rat von Lastpass und ändert sein PW, hat sich das eh alles erledigt, weil die komplette Datenbank neu verschlüsselt wird. Wenn man dann auch noch 2-Faktor-Anmeldung nutzt, sollte man ohnehin auf der sicheren Seite.

Insofern frage ich mich immer wieder, warum bei Diskussionen über solche Dienste immer sofort die Leute aus dem Busch kommen die schreien "Wie blöd seid Ihr denn?", "Sagt nicht, wir hätten Euch nicht gewarnt!" usw.

Natürlich, Lastpass ist kein Open Source und ja, der Anbieter kommt (wie wohl die meisten) aus den US of A. Nur selbst wenn man richterlich gezwungen wird, irgendwelche Daten an Behörden auszuliefern, wäre das nicht mehr als ein verschlüsselter Blog, den selbst der Anbieter nicht entschlüsseln kann. Zudem finde ich, dass die Kommunikationspolitik von Lastpass absolut vorbildlich ist. Schon beim 2011er Angriff (wenn es denn einer war!) war man sehr offen und hat die User informiert, obwohl man auf einem Server nur eine erhöhte Aktivität registriert hat.

Wo liegt also das Risiko?

Vielen Dank für die Beteiligung!

Grüße aus Hamburg,
Stefan
 
Man braucht nur dein Handy und dein Passwort ^^

Massenweise kann man da nicht rankommen, aber unmöglich ist das auch nicht. Würd mir aber keine Gedanken machen an deiner Stelle, so wichtig bist du nicht ;)
 
Woher weißt du daß nur du auf deinem Gerät die Passworte verschlüsselst? hast du deinen Key überhaupt schon jemals gesehen? Wie wurde dein Key genau erstellt, weißt du das?

Wenn du sicher sein willst, dann ist so ein Dienst das Letzte was du nutzen darfst. Und jeder der closed source Verschlüsselung akzeptiert, dem ist eh nicht mehr zu helfen. Bei ernsthafter Verschlüsselung gibt es nur eine Person der man vertraut: sich selber. Sonst niemandem, und bei so einem tollen, einfachen, praktischen Cloud Dienst ist das niemals gegeben. Da gibts es immer nur 1 Person mit wirklichem Zugriff, und das bist ganz sicher nicht du. Ja es ist bequem, es ist toll. aber sicher ist es niemals.
 
Ohne jetzt nachgelesen zu haben, wie Lastpass in Detail hinein funktioniert und die Passwörter managed würde ich denken, daß das Management der eigenen Passwörter in einer öffentlich erreichbaren und einer uns fremden Gesetzgebung unterliegenden Cloud etwa so fahrlässig ist wie das Errichten einer Feuerwerks- oder Düngemittelfabrik inmitten einer größeren Stadt. Gerade in den USA gibt es ja sogar Gesetze, nach denen einem Unternehmen untersagt wird, Kunden mitzuteilen, wenn der Staat Informationen mitgeteilt haben möchte. Davon ab, kennst du sämtliche Mitarbeiter deines Anbieters und kannst denen ausreichend vertrauen? Wie wichtig bist du denen in Endeffekt?

Egal wie soetwas technisch angeblich gelöst ist, wirklich wichtige Passwörter gehören nicht in eine Cloud und definitiv nicht in eine, auf die du keinerlei Kontrolle ausübst. Da ist das aufschreiben auf einen Zettel zuhause definitiv sicherer. Aber der Komfort ist leider den meisten wichtiger als Sicherheit, Privatpersonen sowie Unternehmen.

Mr.Smith schrieb:
Würd mir aber keine Gedanken machen an deiner Stelle, so wichtig bist du nicht ;)
Zum Vergrößern anklicken....

Auf seine eigene Sicherheit zu vertrauen aufgrund des Faktors, daß du niemand wichtiges bist ist aber sehr gewagt.
 
Ich nutze die 2-Faktor Anmeldung bei LastPass und dadurch ist die Sicherheit bei LastPaas wirklich ausreichend gewährleistet wie ich finde, und werde auch weiterhin ausser fürs Online-Banking und PayPal alle meine Passwörter mit LastPaas erstellen und verwalten, weil es einfach nichts komfortableres und vergleichbares gibt. :)
 
Tja du vertraust Lastpass hochsensible Daten an ohne die zu kennen und deren Aussagen auch nur Ansatzweise kontrollieren zu können ... finde den Fehler ;p

Sicherheit <--> Komfortabel ;p ... das geht nicht! entweder Sicher oder Komfortabel!

Ist aber in diesem Sinne sowieso irrelevant: denn wer auf Komfort anstatt Sicherheit setzt hat auch nix das wirklich sicher verschlüsselt sein muss! Ansonsten würde er sowas niemals tun!

Das sind nur Wichtigtuer: ala Huuuh ich bin ja so wichtig so interesssant ich muss da was tun, das sich nicht mal ein Schwein in der Realität für einem interssiert wird da ausgeblendet! Wäre dem nämlich wirklich so würdest du sowas von vornerein nie nutzen! Wie immer gilt da die Standard Universal Antwort: musst du erst fragen brauchst du es nicht!
 
Zuletzt bearbeitet:
Ich habe auch Lastpass über Jahre genutzt - und okni hat schon recht: rein von der Usability ist Lastpass ungeschlagen. Allerdings ist das, was Luxuspur schreibt auch richtig: Bequemlichkeit und Sicherheit passt - grundsätzlich - nicht so ganz zusammen.

Man muss dem Anbieter zu 100% vertrauen. Kann man das bei einem US-Anbieter? Ich meine nein. Was insbesondere in den USA abgeht, geht auf keine Kuhhaut - ich erinnere nur an die aktuelle Diskussion, dass der US-Senat sichere Verschlüsselung verbieten will. Gruselig :eek:

Ich habe für mich meine Konsequenz gezogen und bin zu Keepass gewechselt. Open Source, für jeden auditierbar und ebenfalls mit doppelter Anmeldesicherheit (Master-PW und Keyfile). Unter Chrome OS ist das zwr etwas eingeschränkt, funktioniert grundsätzlich aber auch.

Und besser schlafen kann ich seitdem auch ;)
 
So etwas wie Lastpass ist proprietär. Also definitiv nicht sicher.
Du bist, wie die Vorredner schon richtig konstatiert haben, absolut auf den Anbieter angewiesen.
Woher weißt du denn, dass es keine Backdoor gibt? Abgesehen von der schon erwähnten Geschichte, dass in den USA Unternehmen verpflichtet sind dem Kunden zu verschweigen, ob seitens der Regierung auf die Daten zugegriffen worden ist, ist es auch gängige Praxis, dass z.B. die NSA sich Backdoors bei den größeren Unternehmen schafft. Die greifen ja auch die Clouddaten von Google, Microsoft, Dropbox, ... ab. Bei einem so attraktivem Ziel wie Lastpass ganz sicher auch.

Keepass, wie hier schon erwähnt, ist OpenSource und von der Community bis jetzt als sicher eingestuft...keine Sicherheitslücke gefunden. Das verwende ich. 60-stelliges Masterpasswort und sicher verwahrtes, extra verschlüsseltes Keyfile.
Damit ich das ganze überall und auf all meinen Geräten nutzen kann, store ich das ganze in Dropbox. Allerdings logischerweise, um die Sicherheit zu erhöhen, in einem TrueCrypt-Container, den ich nur lokal entschlüssel. Das einzige, worauf Dropbox also Zugriff hat, ist der verschlüsselte Container.
Der Container wiederum ist 3-fach verschlüsselt: AES, Serpent, Twofish. 80-stelliges Passwort.
Abgesehen von der Datenbank sind in dem Container natürlich auch Dummydaten, um die Komplexität künstlich zu erhöhen.

Da Keepass als sicher eingeschätzt ist, TrueCrypt nicht nur als sicher eingestuft sondern mittlerweile ja auch mehrere Security-Audits ohne Sicherheitslücken hinter sich hat, kann diese Methode wohl als sicher angesehen werden. Ebenso ist ja bekannt, dass die NSA in ihrem Utah-Datacenter enorme Rechenkapazitäten aufbaut um AES-verschlüsseltes Zeugs zu knacken...was sie wohl nicht machen würden, wenn es eine Bruteforce-Alternative gäbe. Bei Keepass in TrueCrypt mit derartig langen Passwörtern wird selbst die NSA höchstpersönlich nicht mehr auf herkömmlichen Wege an die Daten kommen.

Unabhängig davon meide ich Apple-Geräte und verwende meine Keepass-Datenbank auch nicht unter Windows. Nur unter Linux. Wer weiß schon was Windows und OSX so nach Hause telefoniert - garantiert jede Menge.
 
Zuletzt bearbeitet:
60 Zeichen Password?
Zusätzlich Truecrypt?
80 Zeichen Passwort?
Nur unter Linux?

Muss ja jeder selbst wissen, aber m. E. ist das leicht übertrieben...nutze ja nun auch Keepass mit einem Keyfile, aber das ganze muss ja auch noch halbwegs bedienbar bleiben, sonst kann ich mir das ganze gleich sparen. Aluhut, ich hör' Dir trapsen...

Just my 2 cent of course.
 
Zuletzt bearbeitet:
Naja, wie gesagt, sowas kriegt dann eben selbst die NSA mit 'nem Supercomputer nicht mehr mit herkömmlichen Mitteln raus...eine vernünftige Sicherheit finde ich schon recht wichtig.

Zumal die meisten Leute heutzutage doch relativ schnell tippen. Für das Eintippen von den Passwörtern brauche ich i.d.R. (hin und wieder passiert ja jedem mal ein Typo) keine 10 Sekunden...selbst wenn es jetzt 10 Sekunden pro Passwort wären -> so viel ist das doch nun auch nicht. Zumal man KeePass ja nicht 50x am Tag auf und zu macht.
 
Wie Matze schon richtig sagt, man kann es auch übertreiben....
 
@Luzifer666:

Sowas ist zwar immer lustig, aber so @Topic bitte richtig lesen. Ich schrieb, dass selbst solche Institutionen wie die NSA die Daten...

(...) nicht mehr mit herkömmlichen Mitteln (...)
Zum Vergrößern anklicken....

...ermitteln können. D.h. meine Daten fallen damit definitiv aus dem automatisiertem Überwachungsnetz raus. Ebenso bei den Automatisierten Crackern. Nichts anderes wollte ich erreichen und mir ist schon klar, dass man mittels Kryptografie auch nichts anderes erreichen kann.

Da meine Wenigkeit als deutscher Staatsbürger aber sicher nicht einfach so aus trivialen Gründen im schwarzen Transporter landet und meine Daten für mich nur wegen der Wahrung meiner Privatsphäre wichtig sind, nicht aber aus Gründen der nationalen Sicherheit o.Ä., ist doch die Wahrscheinlichkeit des aktiven Personaleinsatzes eines Geheimdienstes gegen mich recht gering.

Ob nun per Folter, Kompromittierung meiner Linux-Workstations, abgreifen meiner Daten direkt bei Dienstanbietern oder anderen denkbaren Szenarien...es gibt natürlich immer Möglichkeiten die Daten anderweitig abzugreifen.
Bei meiner Verschlüsselung sind aber eben meine Daten selbst an sich sicher vor dem automatischen Sammeln/Knacken. Sie müssten eben einen Analysten, das Kommando mit der Brechstange oder andersartig Personal einsetzen und genau das ist, was ich erreichen wollte...da meine Wenigkeit wohl, wie gesagt, bei weitem nicht wichtig genug ist um den Personaleinsatz zu rechtfertigen.


Wichtige Daten lägen, wenn ich denn überhaupt welche hätte, selbstredend nur auf USB-Sticks, in einem TrueCrypt Shadowvolume, welches nur in einer nicht direkt vernetzen Sandbox aufgerufen wird. Damit failen dann zu großer Wahrscheinlichkeit auch die Analysten und das Brechstangenkommando ;)
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz