News Vorfall beim Passwortdienst Lastpass: Hacker konnten wohl auf Kundendaten zugreifen

[PCGH-Redaktion]

Jetzt ist Ihre Meinung gefragt zu Vorfall beim Passwortdienst Lastpass: Hacker konnten wohl auf Kundendaten zugreifen

Bei Lastpass, einem Onlinedienst für die Kennwortverwaltung, hatten Dritte Zugriff auf Kundendaten, wie der CEO kürzlich in einem Blogbeitrag erklärte. Passwörter sollen dabei aber sicher verschlüsselt gewesen sein. Dieser Vorfall geht zurück auf ungewöhnliche Aktivitäten in der Lastpass-Entwicklungsumgebung vor etwas mehr als drei Monaten.

Bitte beachten Sie: Der Kommentarbereich wird gemäß der Forenregeln moderiert. Allgemeine Fragen und Kritik zu Online-Artikeln von PC Games Hardware sind im Feedback-Unterforum zu veröffentlichen und nicht im Kommentarthread zu einer News. Dort werden sie ohne Nachfragen entfernt.

Zurück zum Artikel: Vorfall beim Passwortdienst Lastpass: Hacker konnten wohl auf Kundendaten zugreifen

 

[VeriteGolem]

Schadensbegrenzung. Natürlich haben sie Passwörter erhalten. Absoluter Quatsch. Als wären die immer gesondert magisch versiegelt, wenn alle anderen Daten abgreifbar und entschlüsselbar sind. Oder warum sind dann normale Daten nicht hinter der Magic Door wenn die unhackbar ist?

Last Pass dürfte damit Geschichte sein. EIn Passwortdienst bei dem Daten nicht sicher sind, ist wie ein Auto das explodiert beim Anlassen.

 

[JBfine]

@VeriteGolem
Ich weiß nicht wie Lastpass die Passwörter handhabt, aber es ist gut möglich, dass normale Daten abgreifbar sind und Passwörter sind. Als Beispiel betrachten wir hier die Kundendaten und die Passwörter separat:
Die Kundendaten muss Lastpass kennen, damit die Kostenstellung usw. abgewickelt werden kann. Die sollten natürlich auch verschlüsselt sein, aber die Keys dafür liegen irgendwo bei Lastpass.
Die Passwörter können dagegen so verschlüsselt werden, dass Lastpass diese selbst nicht im Klartext lesen kann, da Lastpass diese nicht braucht. Dass kann bspw. mit dem Masterpasswort gemacht werden, dass Lastpass nur als Hash speichert. Wenn Lastpass dann so aufgebaut ist, dass das jeweils benötigte Passwort beim Login live mit dem Masterpasswort entschlüsselt wird, dieses aber nie zwischengespeichert wird, können die Passwörter so gut wie nicht kompromittiert werden.
Selbst wenn Angreifer alle Daten von Lasthaben haben, haben sie nur die veschlüsselten Passwörter und den Masterpasswort Hash und können damit (mit aktueller Rechenpower) absolut nichts anfangen.

 

[Blackdeimos]

Das passiert leider immer wieder

 

[pcghaler]

Gibt meiner Meinung nach nichts besseres wie ein Offline-Keepass. Cloud-Dienste sind mir für soetwas viel zu unsicher, egal wie sicher sie behaupten zu sein! Und dann soll man dafür auch noch Geld zahlen?! For what?

 

[Ganjafield]

So ein Dienst lebt doch eigentlich vom Vertrauen der Kunden und das verschwindet bei mehreren ähnlichen Vorfällen in der IT-Branche sehr schnell.

Gibt meiner Meinung nach nichts besseres wie ein Offline-Keepass.

Was nutzt du denn dafür?

 

[Kotzi01]

Aber: Mein eBay Kleinanzeigen Konto wurde gehackt! Mit Kryptischen Passwort das bei LastPass gespeichert war! Und ich wundere mich wie das passieren konnte!!!!
Können die so was nicht mitteilen????! Dann hätte ich ja was ändern können und nun ist so nen Misst passiert.

Das Beste ist ja das die seit Wochen Werbung ohne Ende machen mit Ihrem monatlichen Zahlmodell!

 

[beastyboy79]

Was nutzt du denn dafür?

normal Keepass mit Sicherung auf das NAS und von dort zu Onedrive oder ähnliches. So hat man offline zwei Kopien plus eine in der Cloud

 

[restX3]

Schön, dass man das so beiläufig erfährt. Keine E-Mail bekommen, nichts seitens Last Pass bekommen.
Nicht das erste Mal, dass es da Sicherheitsprobleme gab.
Hab gleich mal mein Master Passwort geändert.

 

[Frontline25]

Ich denke wir müssen auch von denen bald weg.
Deren Support ist leider auch extremst schlecht.
Nachdem Ich dort custom templates für Passwörter erstellt habe, konnten meine Kollegen zwar die Einträge sehen, nicht aber den Inhalt...
Der Support rat dann zum kompletten Löschen und neu erstelle des benutzers, dann der einträge, dann der Datenbank...
Und trotz Schritt für Schritt Screenshot beweisen wollten sie auch noch eine Videoaufnahme...

Ich hab aufgegeben, bei denen gibt es kein Support für Business Kunden.
Glaub wir gehen wirklich besser auch zurück zu Keepass.

 

[Major_Fletcher]

Ich mochte den Dienst und habe ihn auch viele Jahre genutzt. Doch nach dem Verkauf (2015) ging es meiner Ansicht nach nur noch bergab damit.

Ich habe grundsätzlich nichts dagegen für gute Produkte auch ein wenig Geld auszugeben. Doch in diesem Fall zog die Monetarisierungsschraube immer mehr an, die Qualität des Tools wurde immer schlechter und die Ärgernisse immer größer. Beim Design sind sie 2015 gefühlt einfach stehen geblieben und es wurde nur noch versucht die Kuh zu melken. Darum habe ich mein Konto vor ein paar Wochen dann auch gelöscht und meine Passwörter umgesiedelt & geändert.

 

[pcghaler]

So ein Dienst lebt doch eigentlich vom Vertrauen der Kunden und das verschwindet bei mehreren ähnlichen Vorfällen in der IT-Branche sehr schnell.

Was nutzt du denn dafür?

Stinknormaler Keepass auf nem verschlüsseln USB-Stick und lokal in einem verschlüsseln Virtual Disk ... dann hast immer 2 Layer