News Lastpass: Millionen Kundendaten von Hackern gestohlen

sonny1606 schrieb:
Ich nutze keepass. Diese liegt auf onedrive und ist mir einem guten passwort gesichert. Man müsste also erst onedrive knacken dann keepass. Habe damit auch meine pw immer dabei durch onedrive.
Ich würde niemals meine PW blind einem cloud-pw-manager anvetrauen in der Hoffnung dass der damit alles richtig macht.
Von solchen Anbietern halte ich 0.
Zum Vergrößern anklicken....
Also sofern lastpass und co nicht lügen, dürfte der unterschied in der Sicherheit zwischen denen und einer verschlüsselten Datenbank auf onedrive, nicht wirklich existent sein.
sonny1606 schrieb:
Wie machst du es wenn du im Urlaub mal was überweisen willst und das PW deiner Bank brauchst?
Zum Vergrößern anklicken....
Das zum Beispiel würde ich über die Banking App machen.
Für alles andere geht bei keepass eine entsprechende Handy app die auch die Datenbank öffnen kann.

Ich weiß grad nicht wie das heißt, aber mein Vater hat einen anderen offline Passwort Safe, der auch eine Android Version hat, die der dann im Urlaub auch nutzen kann wenn das Notebook nicht zur Hand ist.

Und ich vermute mal das das nicht die einzigen Möglichkeiten sind.
 
Zuletzt bearbeitet:
Ist nicht nur raPid-81 der das so sieht.
Script-kiddies und co als hacker zu bezeichnen ist schon haarig, aber heutzutage halt mainstream.
Abgesehen davon das 99% davon wenn, dann als cracker nicht als hacker bezeichnet gehören.
 
Du meinst also irgendwelche "Script-Kiddies" haben Lastpass um ihre Daten erleichtert? Über den Punkt Hacker / Cracker kann man streiten. Schließlich kennt noch kein Mensch das Ziel der Akteure dahinter.
 
Das kam wohl falsch rüber, ich hab mich damit auf deine Hacker Definition laut wikipedia bezogen.
Ist nun mal so das heutzutage viele der da aufgezählten Sachen ohne weitere Vorkenntnisse durch Script-Kiddies möglich sind.

Das so Sachen wie Lastpass ohne Kenntnisse möglich wären würde ich stark bezweifeln, da müsste lastpass dann schon Sicherheitstechnisch sehr deppert sein.
keinnick schrieb:
Über den Punkt Hacker / Cracker kann man streiten. Schließlich kennt noch kein Mensch das Ziel der Akteure dahinter.
Zum Vergrößern anklicken....
Da der "Hack" schon eine weile her ist

"Ursprünglich geht der Vorfall auf den August 2022 zurück, als man einen Zugriff über ein kompromittiertes Entwicklerkonto festgestellt hatte."

kann man wohl mit Sicherheit sagen das es kein whitehead hacker war, sonst wäre das schon längst kommuniziert worden.
 
T-MAXX schrieb:
Wege gibt es immer, sonst würden z. B. Hacker nicht an sensible Daten gelangen.
Aber ohne Master Passwort sind Hürden vorhanden, da gebe ich dir Recht.
Zum Vergrößern anklicken....
Der "Weg" ist das gewisse Idioten 1234 als Masterpasswort wählten von 2018 oder 2019. Die brauchen nicht jeden Tresor knacken. Einige wenige reichen. Mein Masterpasswort ist jenseits von 20 stellen Lang. Die können bis an den Hitzetod des Universums an dem Ding rechnen und trotzdem kommen die nicht rein.
 
saphira33 schrieb:
Der "Weg" ist das gewisse Idioten 1234 als Masterpasswort wählten von 2018 oder 2019. Die brauchen nicht jeden Tresor knacken. Einige wenige reichen. Mein Masterpasswort ist jenseits von 20 stellen Lang. Die können bis an den Hitzetod des Universums an dem Ding rechnen und trotzdem kommen die nicht rein.
Zum Vergrößern anklicken....
So ein Blödsinn, wenn es heute (beispielsweise) 2 Jahre zu Brutforcen dauert, dann dauert es in spätestens 20 Jahren wenige Tage.
 
Flatline00 schrieb:
Also sofern lastpass und co nicht lügen, dürfte der unterschied in der Sicherheit zwischen denen und einer verschlüsselten Datenbank auf onedrive, nicht wirklich existent sein.

Das zum Beispiel würde ich über die Banking App machen.
Für alles andere geht bei keepass eine entsprechende Handy app die auch die Datenbank öffnen kann.

Ich weiß grad nicht wie das heißt, aber mein Vater hat einen anderen offline Passwort Safe, der auch eine Android Version hat, die der dann im Urlaub auch nutzen kann wenn das Notebook nicht zur Hand ist.

Und ich vermute mal das das nicht die einzigen Möglichkeiten sind.
Zum Vergrößern anklicken....
Online Zeugs wie last pass entscheiden sich stark in der Arbeitsweise von offline Datenbanken. Nur ein Beispiel von wiki:
"Laut Angaben des Online-Nachrichtenportals Golem.de vom Februar 2019 speichert LastPass die Passwörter im Arbeitsspeicher: „Die Passwortdatenbank wird ebenfalls komplett im RAM vorgehalten – und verbleibt dort, auch wenn Lastpass gesperrt wurde."
Ich würde jedem von solchen scheinbar sicheren Datenbanken abraten.
Weiterer wichtiger Nachteil solcher zentral gespeicherten Datenbanken ist dass die natürlich Kriminelle wie ein Magnet anziehen und die endlos viel Zeit und Arbeit investieren solche Webseiten und Server zu hacken teilweise in grossen Teams da es sich lohnt. Kein Krimneller würde sich all seine Zeit investieren um deinen oder meinen Rechner zu knacken und dann nochmal um meine persönliche Keepass Datei zu knacken. Das ist unwirtschaftlich auch wenn es möglich wäre. Die Ausbeute bei einem User ist viel zu gering im Vergleich einer zentralen Passwortdatenbank wo man auf einen Schlag Millionen userdaten/passwörter etc. erbeutet.
Hacken/cracken etc. ist ein Geschäftsmodel das muss sich am Ende immer rechnen. Offline Datenbanken rechnen sich nicht, online/cloud Datenbanken bringen Millionen $ im Darknet.

Das ist auch der Grund weshalb Linux praktisch tausend mal sicherer ist als MacOs oder Windows: es nutzen nur sehr wenige Menschen. Für Kriminelle für zu unwirtschaftlich bei Linux nach Schwachstellen zu suchen. Damit kann man einfach zu wenig € rausholen. Lieber auf das fokussieren was 90% der User nutzen Windows. Da kann man logischerweise mehr € rausholen als bei irgendwelchen Randgruppen Betriebssystemen.
 
Zuletzt bearbeitet von einem Moderator:
Wenn der 2019 schnellste Supercomputer der Welt für ein 30 stellen Passwort eine Jahreszahl mit 132stellen brauchen würde (um das garantiert zu knacken) dann bin ich nicht sicher ob das in 20 Jahren in ein paar tagen geht.

sonny1606 schrieb:
Online Zeugs wie last pass entscheiden sich stark in der Arbeitsweise von offline Datenbanken.
Zum Vergrößern anklicken....
Mein Beitrag bezieht sich eigentlich nur auf den vergleich das eine Datenbank auf Onedrive sicherer wäre.
 
saphira33 schrieb:
Der "Weg" ist das gewisse Idioten 1234 als Masterpasswort wählten von 2018 oder 2019. Die brauchen nicht jeden Tresor knacken. Einige wenige reichen. Mein Masterpasswort ist jenseits von 20 stellen Lang. Die können bis an den Hitzetod des Universums an dem Ding rechnen und trotzdem kommen die nicht rein.
Zum Vergrößern anklicken....
Im Idealfall hast du recht, wenn LastPass aber bei der Implementierungsarbeit geschlampt hat kann es auch anders aussehen.
 
SorryPrinzessin schrieb:
So ein Blödsinn, wenn es heute (beispielsweise) 2 Jahre zu Brutforcen dauert, dann dauert es in spätestens 20 Jahren wenige Tage.
Zum Vergrößern anklicken....
Mein Passwort dauert Bruteforce auf einem aktuellen Top Rechner durchschnittlich 9 octilionen Jahre. Ich kenn nicht mal die Anzahl null stellen in dieser Zahl. Da wirds auch in 20 Jahren nicht so einfach sein.
 
RELATIV schrieb:
Moin moin Major_Fletcher


Vielleicht solltest du das dir nochmal überlegen deine PW im Browser zu speichern ...

Eingebundener Inhalt
An dieser Stelle findest du externe Inhalte von Youtube. Zum Schutz deiner persönlichen Daten werden externe Einbindungen erst angezeigt, wenn du dies durch Klick auf "Alle externen Inhalte laden" bestätigst: Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit werden personenbezogene Daten an Drittplattformen übermittelt.
Für mehr Informationen besuche die Datenschutz-Seite.

MFG: Gerd
Zum Vergrößern anklicken....
Erstes Kommentar vom Author in den Kommentaren: "Ich möchte noch einmal betonen, dass ein Passwort-Manager bei diesem Angriffsszenario (Trojaner) auch nicht viel bringt."

Ja, es gibt keine 100% Sicherheit. Nirgendswo im Internet. Wer das möchte, bitte den Stecker ziehen und weiter die Passwörter irgendwo auf einen Bierblock kritzeln. Wenn jemand an deine Sachen will, wird er da auch ran kommen, selbst wenn du alles Offline irgendwo irgendwo hinkritzelst. Da spielt es auch keine Rolle ob es um Passwörter, Geld oder deine Briefmarkensammlung geht.

Ich war 15 Jahre Software-Tester und kann recht gut mit den Tools die ich nutze umgehen. Obwohl ich keinerlei kostenpflichtige Software nutze für irgendwelchen Datenschutz, Firewall, Virenscanner oder Ähnliches, hatte ich in mittlerweile gut 30 Jahren auf vielen Computern noch nie ein Problem mit Viren, Datenklau, Hacks oder Ähnlichem. Ich vermute es liegt weniger and er genutzten Software sondern viel mehr an meiner flächendeckenden Verwendung von Brain 2.0 :-D
 
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

PCGH-Redaktion
News Vorfall beim Passwortdienst Lastpass: Hacker konnten wohl auf Kundendaten zugreifen
Antworten
11
Aufrufe
1K
pcghaler
P
PCGH-Redaktion
News Lastpass: Heftige Kritik durch Sicherheitsforscher
Antworten
15
Aufrufe
2K
M1lchschnitte
M1lchschnitte
PCGH-Redaktion
News Discord: Vorsicht vor Phishing - Kundendaten geleakt
Antworten
3
Aufrufe
1K
LOGIC
LOGIC
PCGH-Redaktion
News Baldur's Gate 3: Starke Aussage zum KI-Klonen von Stimmen - "Identität wird gestohlen"
Antworten
10
Aufrufe
396
Terracresta
Terracresta
PCGH-Redaktion
News Epic Games: Ransomware-Gruppe will Daten gestohlen haben
Antworten
4
Aufrufe
660
freaky1978
freaky1978
Oben Unten
Zurück