News Lastpass: Millionen Kundendaten von Hackern gestohlen

Ich nutze keepass. Diese liegt auf onedrive und ist mir einem guten passwort gesichert. Man müsste also erst onedrive knacken dann keepass. Habe damit auch meine pw immer dabei durch onedrive.
Ich würde niemals meine PW blind einem cloud-pw-manager anvetrauen in der Hoffnung dass der damit alles richtig macht.
Von solchen Anbietern halte ich 0.
Also sofern lastpass und co nicht lügen, dürfte der unterschied in der Sicherheit zwischen denen und einer verschlüsselten Datenbank auf onedrive, nicht wirklich existent sein.
Wie machst du es wenn du im Urlaub mal was überweisen willst und das PW deiner Bank brauchst?
Das zum Beispiel würde ich über die Banking App machen.
Für alles andere geht bei keepass eine entsprechende Handy app die auch die Datenbank öffnen kann.

Ich weiß grad nicht wie das heißt, aber mein Vater hat einen anderen offline Passwort Safe, der auch eine Android Version hat, die der dann im Urlaub auch nutzen kann wenn das Notebook nicht zur Hand ist.

Und ich vermute mal das das nicht die einzigen Möglichkeiten sind.
 
Zuletzt bearbeitet:
Ist nicht nur raPid-81 der das so sieht.
Script-kiddies und co als hacker zu bezeichnen ist schon haarig, aber heutzutage halt mainstream.
Abgesehen davon das 99% davon wenn, dann als cracker nicht als hacker bezeichnet gehören.
 
Du meinst also irgendwelche "Script-Kiddies" haben Lastpass um ihre Daten erleichtert? Über den Punkt Hacker / Cracker kann man streiten. Schließlich kennt noch kein Mensch das Ziel der Akteure dahinter.
 
Das kam wohl falsch rüber, ich hab mich damit auf deine Hacker Definition laut wikipedia bezogen.
Ist nun mal so das heutzutage viele der da aufgezählten Sachen ohne weitere Vorkenntnisse durch Script-Kiddies möglich sind.

Das so Sachen wie Lastpass ohne Kenntnisse möglich wären würde ich stark bezweifeln, da müsste lastpass dann schon Sicherheitstechnisch sehr deppert sein.
Über den Punkt Hacker / Cracker kann man streiten. Schließlich kennt noch kein Mensch das Ziel der Akteure dahinter.
Da der "Hack" schon eine weile her ist

"Ursprünglich geht der Vorfall auf den August 2022 zurück, als man einen Zugriff über ein kompromittiertes Entwicklerkonto festgestellt hatte."

kann man wohl mit Sicherheit sagen das es kein whitehead hacker war, sonst wäre das schon längst kommuniziert worden.
 
Wege gibt es immer, sonst würden z. B. Hacker nicht an sensible Daten gelangen.
Aber ohne Master Passwort sind Hürden vorhanden, da gebe ich dir Recht.
Der "Weg" ist das gewisse Idioten 1234 als Masterpasswort wählten von 2018 oder 2019. Die brauchen nicht jeden Tresor knacken. Einige wenige reichen. Mein Masterpasswort ist jenseits von 20 stellen Lang. Die können bis an den Hitzetod des Universums an dem Ding rechnen und trotzdem kommen die nicht rein.
 
Der "Weg" ist das gewisse Idioten 1234 als Masterpasswort wählten von 2018 oder 2019. Die brauchen nicht jeden Tresor knacken. Einige wenige reichen. Mein Masterpasswort ist jenseits von 20 stellen Lang. Die können bis an den Hitzetod des Universums an dem Ding rechnen und trotzdem kommen die nicht rein.
So ein Blödsinn, wenn es heute (beispielsweise) 2 Jahre zu Brutforcen dauert, dann dauert es in spätestens 20 Jahren wenige Tage.
 
Also sofern lastpass und co nicht lügen, dürfte der unterschied in der Sicherheit zwischen denen und einer verschlüsselten Datenbank auf onedrive, nicht wirklich existent sein.

Das zum Beispiel würde ich über die Banking App machen.
Für alles andere geht bei keepass eine entsprechende Handy app die auch die Datenbank öffnen kann.

Ich weiß grad nicht wie das heißt, aber mein Vater hat einen anderen offline Passwort Safe, der auch eine Android Version hat, die der dann im Urlaub auch nutzen kann wenn das Notebook nicht zur Hand ist.

Und ich vermute mal das das nicht die einzigen Möglichkeiten sind.
Online Zeugs wie last pass entscheiden sich stark in der Arbeitsweise von offline Datenbanken. Nur ein Beispiel von wiki:
"Laut Angaben des Online-Nachrichtenportals Golem.de vom Februar 2019 speichert LastPass die Passwörter im Arbeitsspeicher: „Die Passwortdatenbank wird ebenfalls komplett im RAM vorgehalten – und verbleibt dort, auch wenn Lastpass gesperrt wurde."
Ich würde jedem von solchen scheinbar sicheren Datenbanken abraten.
Weiterer wichtiger Nachteil solcher zentral gespeicherten Datenbanken ist dass die natürlich Kriminelle wie ein Magnet anziehen und die endlos viel Zeit und Arbeit investieren solche Webseiten und Server zu hacken teilweise in grossen Teams da es sich lohnt. Kein Krimneller würde sich all seine Zeit investieren um deinen oder meinen Rechner zu knacken und dann nochmal um meine persönliche Keepass Datei zu knacken. Das ist unwirtschaftlich auch wenn es möglich wäre. Die Ausbeute bei einem User ist viel zu gering im Vergleich einer zentralen Passwortdatenbank wo man auf einen Schlag Millionen userdaten/passwörter etc. erbeutet.
Hacken/cracken etc. ist ein Geschäftsmodel das muss sich am Ende immer rechnen. Offline Datenbanken rechnen sich nicht, online/cloud Datenbanken bringen Millionen $ im Darknet.

Das ist auch der Grund weshalb Linux praktisch tausend mal sicherer ist als MacOs oder Windows: es nutzen nur sehr wenige Menschen. Für Kriminelle für zu unwirtschaftlich bei Linux nach Schwachstellen zu suchen. Damit kann man einfach zu wenig € rausholen. Lieber auf das fokussieren was 90% der User nutzen Windows. Da kann man logischerweise mehr € rausholen als bei irgendwelchen Randgruppen Betriebssystemen.
 
Zuletzt bearbeitet von einem Moderator:
Wenn der 2019 schnellste Supercomputer der Welt für ein 30 stellen Passwort eine Jahreszahl mit 132stellen brauchen würde (um das garantiert zu knacken) dann bin ich nicht sicher ob das in 20 Jahren in ein paar tagen geht.

Online Zeugs wie last pass entscheiden sich stark in der Arbeitsweise von offline Datenbanken.
Mein Beitrag bezieht sich eigentlich nur auf den vergleich das eine Datenbank auf Onedrive sicherer wäre.
 
Der "Weg" ist das gewisse Idioten 1234 als Masterpasswort wählten von 2018 oder 2019. Die brauchen nicht jeden Tresor knacken. Einige wenige reichen. Mein Masterpasswort ist jenseits von 20 stellen Lang. Die können bis an den Hitzetod des Universums an dem Ding rechnen und trotzdem kommen die nicht rein.
Im Idealfall hast du recht, wenn LastPass aber bei der Implementierungsarbeit geschlampt hat kann es auch anders aussehen.
 
So ein Blödsinn, wenn es heute (beispielsweise) 2 Jahre zu Brutforcen dauert, dann dauert es in spätestens 20 Jahren wenige Tage.
Mein Passwort dauert Bruteforce auf einem aktuellen Top Rechner durchschnittlich 9 octilionen Jahre. Ich kenn nicht mal die Anzahl null stellen in dieser Zahl. Da wirds auch in 20 Jahren nicht so einfach sein.
 
Moin moin Major_Fletcher


Vielleicht solltest du das dir nochmal überlegen deine PW im Browser zu speichern ...

Eingebundener Inhalt
An dieser Stelle findest du externe Inhalte von Youtube. Zum Schutz deiner persönlichen Daten werden externe Einbindungen erst angezeigt, wenn du dies durch Klick auf "Alle externen Inhalte laden" bestätigst: Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit werden personenbezogene Daten an Drittplattformen übermittelt.
Für mehr Informationen besuche die Datenschutz-Seite.

MFG: Gerd
Erstes Kommentar vom Author in den Kommentaren: "Ich möchte noch einmal betonen, dass ein Passwort-Manager bei diesem Angriffsszenario (Trojaner) auch nicht viel bringt."

Ja, es gibt keine 100% Sicherheit. Nirgendswo im Internet. Wer das möchte, bitte den Stecker ziehen und weiter die Passwörter irgendwo auf einen Bierblock kritzeln. Wenn jemand an deine Sachen will, wird er da auch ran kommen, selbst wenn du alles Offline irgendwo irgendwo hinkritzelst. Da spielt es auch keine Rolle ob es um Passwörter, Geld oder deine Briefmarkensammlung geht.

Ich war 15 Jahre Software-Tester und kann recht gut mit den Tools die ich nutze umgehen. Obwohl ich keinerlei kostenpflichtige Software nutze für irgendwelchen Datenschutz, Firewall, Virenscanner oder Ähnliches, hatte ich in mittlerweile gut 30 Jahren auf vielen Computern noch nie ein Problem mit Viren, Datenklau, Hacks oder Ähnlichem. Ich vermute es liegt weniger and er genutzten Software sondern viel mehr an meiner flächendeckenden Verwendung von Brain 2.0 :-D
 
Zurück