wie komme ich zum Lastpass

[letterbox]

Hallo,
ich hoffe, ich bin im richtigen Unterforum (nicht dass ich gleich wieder die Rote Karte bekomme ). Ich habe heute bei Lastpass (Firefox addon) meine Email Adresse geändert und wurde demzufolge nach meinem Masterpasswort gefragt; dieses wußte ich nicht mehr und all meine Versuche (raten) schlugen fehl.
Nun meine Frage: Wie komme ich zum richtigen Masterpasswort? Zwischenzeitlich habe ich mir einen neuen LP-Account zugelegt, das klappt auch, aber kann ich die Einträge vom ursprünglichen Account irgendwie übernehmen oder geht das nicht?

 

[Faust2011]

Hast Du schon das "Passwort zurücksetzen" für den Account probiert, siehe hier?

 

[Autokiller677]

Ohne Masterpasswort kommt man nicht ran.
Wenn das irgendwie ginge, wäre das ganze Sicherheitskonzept kaputt.

EDIT: Ok, ich sehe LastPass hat da irgendwas eingebaut. Wird wohl Zeit zum Wechseln. Passwordsafe mit Backdoor, nee danke...

 

[letterbox]

Danke Autokiller667 für Deine Antwort, dann muß ich mich wohl mit dem Neuerarbeiten begnügen.

 

[Yuuri]

Ok, ich sehe LastPass hat da irgendwas eingebaut. Wird wohl Zeit zum Wechseln. Passwordsafe mit Backdoor, nee danke...

Na zum Glück haben solche Sachen immer eine Implementierung eines Recovery Codes. Jeder Dienst, der auch 2FA anbietet, generiert dir ebenso Recovery Codes. Nutzt du deswegen 2FA nun nicht mehr und deklarierst es als "unsicher"?

 

[Wilhelm14]

Blöde Frage, aber man kann die E-Mail-Adresse ändern und wird danach nach dem Masterpasswort gefragt? Zur Änderung ist das Masterpasswort nicht nötig? Was ist, wenn man wieder die alte E-Mail-Adresse nimmt? Kann man sich also aussperren ohne das Masterpasswort zu kennen? Kann man dann nicht Leute ärgern, indem man auf deren Lastpass eine andere E-Mail-Adresse setzt?

 

[Nixdorf]

wurde demzufolge nach meinem Masterpasswort gefragt; dieses wußte ich nicht mehr

Das Master-Passwort nicht zu vergessen ist bei einem Passwort-Manager so wichtig, wie im normalen Leben das Atmen nicht zu vergessen. Sorge bitte dafür, dass das nie wieder passiert.

Hast Du schon das "Passwort zurücksetzen" für den Account probiert

Wie @Autokiller677 korrekt erkannt hat:

Wenn das irgendwie ginge, wäre das ganze Sicherheitskonzept kaputt.

Genau. Falls man ein vergessenes Master-Passwort über irgendeine Funktionalität zurücksetzen, also umgehen kann, dann hat der Anbieter dieselbe Möglichkeit auch ohne den Endkunden und somit logischerweise auch die Möglichkeit, alle Passwörter des Kunden zu entschlüsseln. Das disqualifiziert dann den Anbieter sofort in jeder Hinsicht und erzwingt somit, dass man die Geschäftsbeziehung kündigt, eine andere Lösung sucht, und dann alle Passwörter ändert.

Letztendlich kann man keinem Anbieter vertrauen, der seine Softwarebasis nicht als Open Source veröffentlicht, und keine unabhängigen Code-Audits vorweisen kann. Ich empfehle daher KeePass, auch wenn es hierbei zu Beginn deutlich komplizierter ist, dass mit allen Geräte parallel zu nutzen. Man hat da jederzeit selber die Kontrolle über alle Daten.

 

[Yuuri]

Letztendlich kann man keinem Anbieter vertrauen, der seine Softwarebasis nicht als Open Source veröffentlicht, und keine unabhängigen Code-Audits vorweisen kann. Ich empfehle daher KeePass

KeePass in seiner aktuellen Version hatte nie einen Audit. OSS bringt dir auch nichts, wenn niemand drüber schaut.

 

[Nixdorf]

Na zum Glück haben solche Sachen immer eine Implementierung eines Recovery Codes.

Ich habe mal nachgeschaut (Recover Your Lost Master Password, die deutscher Version ist grausam automatisch übersetzt). Ja, es gibt einige Schutzmechanismen wie Einmal-Passwörter, welche dann an eine bestimmte Kombination aus Computer und Browser gebunden sind. Das könnte helfen. Es ist aber auch gleich wieder ein Sicherheitsproblem, denn so kommt zum Beispiel jemand nach dem Diebstahl des Rechners ebenfalls an die Passwörter, falls er auch die E-Mails für das Opfer abrufen kann.

Ergänzung (28. Mai 2019)

KeePass in seiner aktuellen Version hatte nie einen Audit. OSS bringt dir auch nichts, wenn niemand drüber schaut.

Korrekt. Der Audit im Rahmen von EU-FOSSA 1 für Version 1.31 hat aber gar keine schwerwiegenden Lücken gefunden, und der verantwortliche Entwickler ist auch bei KeePass 2.x immer noch der Hauptentwickler. Das ist der Punkt, an dem man zwar nicht ausschließen kann, dass Lücken existieren, an dem ich für mich aber genug Vertrauen aufgebaut habe, um zumindest keine versuchte Täuschung durch den Anbieter zu vermuten.

 

[Autokiller677]

Na zum Glück haben solche Sachen immer eine Implementierung eines Recovery Codes. Jeder Dienst, der auch 2FA anbietet, generiert dir ebenso Recovery Codes. Nutzt du deswegen 2FA nun nicht mehr und deklarierst es als "unsicher"?

Recovery Codes bei OTP Verfahren - ja, natürlich, die gibt es.
Was es aber bei einem Passwortmanager nicht geben sollte, ist die Möglichkeit sein vergessenes Passwort zu ändern!
Von einem sauberen, sicheren Design erwarte ich, dass der Safe mit den Passwörtern mit meinem Masterpasswort verschlüsselt ist. Diese Verschlüsselung findet im Browser Plugin / Handy / wherever statt und nur der verschlüsselte Safe wird übertragen. Und mein Master-Passwort soll der einzige Schlüssel sein! D.h. wenn ich den Schlüssel verliere komme ich nicht mehr dran. Punkt, Ende. Und da der Anbieter den Schlüssel zu keinem Zeitpunkt hat, haben sie nicht meine Passwörter, sondern nur einen Haufen Datenmüll, mit dem sie nichts anfangen können.

Hier scheint es eine Möglichkeit zu geben, zumindest die gecachte Kopie des Safes auf dem PC mit einem Nachschlüssel / Zweitschlüssel zu entschlüsseln, den LastPass hat (!!!) und mir zusendet. Das heißt, die Verschlüsselung des Safes kann ohne Kenntniss meines Masterpassworts umgangen werden. Und das geht gar nicht.

 

[Nixdorf]

den LastPass hat (!!!) und mir zusendet

Das natürlich auch, aber ich empfand den "(Un)glücklichen Zufall" für den Dieb meines Notebooks als noch schlimmer. Einer der Rechner (vorzugsweise ein Notebook unterwegs) mit OTP- Recovery wird geklaut und auf diesem ist auch ein E-Mail-Programm, mit dem man ohne Passwortabfrage Mails für den an LastPass gekoppelten Account abrufen kann. Der Dieb findet die installierte LastPass-Extension, weiß also, was Sache ist, fordert die OTP-Recovery an, die schlägt direkt auf dem E-Mail-Programm auf, und schwupps gibt es Zugang zu allen Passwörtern.