Lastpass

[tm98]

Ich gehöre zu den Leuten, die für jede Website ein anderes Passwort benutzen, also zu einer bescheidenen Minderheit. Um mit dem ganzen Wust an Passwörtern arbeiten zu können, nutze ich Lastpass.

Wer den Dienst nicht kennt: Lastpass ist ein cloudbasierter Passwortsafe, der in der kostenlosen Basisversion auf beliebig vielen PCs genutzt werden kann und für alle gängigen Browser als Addon zur Verfügung steht. Wenn man 12$ für ein Jahr bezahlt, kann der Dienst auch auf Mobilgeräten benutzt werden. Außerdem gibt es eine Webversion ohne Plugin.

Das System funktioniert vereinfacht so, dass ich lokal einen Container erstelle und mit einem möglichst starken Passwort versehe. Dieser wird dann verschlüsselt in die Cloud geladen und mit all meinen Geräten synchronisiert.

Ich habe anfangs auch mal mit Keypass oder 1Password experimentiert, bin da aber immer zu dem Ergebnis gekommen, dass es für meine Bedürfnisse nicht ausreicht. Gerade die Synchronisierungsfunktion auf alle meine Gerät, sowohl PCs als auch Mobiles, ist einfach irre praktisch. Dennoch frage ich mich manchmal, wie sicher so ein Clouddienst wirklich ist. Eigentlich kommt mir als Securitylaie recht sicher vor. Mein Passwort ist lang genug (die genaue Länge tut hier nichts zur Sache) und der Container wird lokal ver- und entschlüsselt. Fallen den Experten hier Szenarien ein, wo solch eine Lösung ein echtes Risiko darstellt?

Klar, wenn ich mir einen Keylogger einfangen würde, könnte die Passworteingabe mitgelesen werden, wobei Lastpass da sogar noch eine recht kluge Lösung in Form von Einmalpasswörtern anbietet. Mit denen kann man sich an nicht ganz vertrauenswürdigen Rechnern genau einmal anmelden und dann verfällt das Passwort.

 

[Mr_J]

Hm, übersehe ich da irgendetwas oder ist es genauso effektiv einen Passwortsafe wie z.B. KeePass2 mit einem beliebigen Clouddienst zu kombinieren (z.B. Dropbox)?

MfG
Mr. J

 

[nik]

Ja, mit dem Unterschied, dass du die Datenbank von Keepass erst gar nicht ins Internet hochladen musst, und Sie dementsprechend vor Zugriffen durch Dritte sicher ist.

In der Vergangenheit gab es ja bereits einen Vorfall bei Lastpass. Es ist zwar nicht viel passiert, aber das bestärkt meine Meinung, dass Passwörter nicht die Hand des Benutzer verlassen sollten.

 

[keksautomat]

Meine Keepass Datei liegt zusätzlich noch in einem TC Container, und beides ist mit einem sehr gutem Password (jeweils ein anderes) geschützt. Deswegen habe ich nichts dagegen, mein KeePass quasi in der Cloud (Dropbox) zu haben.

 

[tm98]

Und wie ist das dann mit dem Zugriff von z.B. einem Tablet oder Smartphone? Das brauche ich nämlich zwingend.

 

[keksautomat]

Mit Android kein Problem: http://stadt-bremerhaven.de/eds-lit...oid-lesen-und-kompatible-container-erstellen/
Tablet aka iPad oder Surface? Sollte doch nun auch kein Problem sein?!

 

[tm98]

Tablet mit Android, sollte funktionieren. Das Handy ist gezwungener Maßen leider ein Apple Gerät. Da wird es schon schwieriger.

 

[Skipjack]

der Container wird lokal ver- und entschlüsselt. Fallen den Experten hier Szenarien ein, wo solch eine Lösung ein echtes Risiko darstellt?

Ohne den Dienst bzw. das System genau zu kennen.
Eine App von Lastpass verschlüsselt lokal und lädt es dann auf deren Server, damit Du von überall drauf zugreifen kannst?
Wer garantiert Dir, dass darin nicht noch eine Backdoor (d.h. zusätzliche Verschlüsselung mit einem Key von Lastpass) eingebaut ist, so dass die in der Cloud gespeicherte Version auch von Lastpass entschlüsselt werden kann.

Für Feld-Wald-Wiesen-Passwörter wie z.B. ngb mag das ja ok sein, aber wirklich wichtige würde ich da nicht eintüten.

Dann schon eher ein Passwordsafe der vom Prinzip her lokal arbeitet (Keypass, Roboform ...) und die Sync selber (z.B. per Dropbox) organisieren.

 

[darkside40]

Ich stelle mir auch schon lage die Frage wie ich wohl am besten meine Passwörter verschlüssele und auf alle meine Geräte synche.
Ich habe zwar nicht für jeden Dienst ein eigenes PW, aber für wichtige wie ebay etc.

Bei Lastpass schreckt mich halt ab das es Closed Source Software ist. Man kann bei Lastpass zwar sagen das nur der Anwender den Container entschlüsseln kann, ob es irgendwo jedoch einen Masterkey gibt kann man nicht nachprüfen. Darüber hinaus wird der Passwort Safe in die Cloud und damit quasi zwangsläufg in die USA geladen.
Jetzt ist es mit Lastpass wie mit Dropbox, es ist nicht das einzige Produkt, aber das was am besten Funktioniert und die meisten Plattformen unterstützt.

Keepass ist eine Alternative. Für iOS gibt es z.B. die Clients Kypass und Kypass Pro.
Was mir halt fehlt ist eine vernünftige umsetzung für OSX, denn ich habe auch ein Macbook. Bisherige Ansätze waren entweder Buggy, Hässlich oder beides.
Ich hoffe das da jetzt etwas vernünftiges mit Kypass Companion kommt http://www.kyuran.be/blog/tag/kypass-mac/

Wie es jetzt aber mit der synchronisation aussieht kann ich dir nicht sagen. Ich habe das ganze noch nicht weiter getestet.

 

[tm98]

Wer garantiert Dir, dass darin nicht noch eine Backdoor (d.h. zusätzliche Verschlüsselung mit einem Key von Lastpass) eingebaut ist, so dass die in der Cloud gespeicherte Version auch von Lastpass entschlüsselt werden kann.

Das garantiert mir außer der Firma selbst in der Tat niemand. Die Gefahr ist also theoretisch gegeben. Wobei das von dem Laden natürlich schon extrem dämlich wäre, weil das Geschäftsmodell auf Sicherheit und Vertrauen basiert. Aber eine Garantie habe ich nicht.

 

[iTcHyBiTcHy]

sowas braucht man doch gar nicht, wenn man google chrome als browser hat und die pw's überall gspeichert hat.. ^^vergessn kann man die auch ned wegen der wiederherstellungsfunktion vom browser

 

[darkside40]

Das garantiert mir außer der Firma selbst in der Tat niemand. Die Gefahr ist also theoretisch gegeben. Wobei das von dem Laden natürlich schon extrem dämlich wäre, weil das Geschäftsmodell auf Sicherheit und Vertrauen basiert. Aber eine Garantie habe ich nicht.

Wenn es eine deutsche Firma wäre dann hätte ich weniger bedenken als bei einer US Firma. Vor den Enthüllungen zu Prism hätten wir auch nicht gedacht das die Industrie in dem Ausmaß von US Behörden zur Kooperation und zur Verschleierung selbiger gezwungen werden kann.

 

[KidZler]

Wenn es eine deutsche Firma wäre dann hätte ich weniger bedenken als bei einer US Firma. Vor den Enthüllungen zu Prism hätten wir auch nicht gedacht das die Industrie in dem Ausmaß von US Behörden zur Kooperation und zur Verschleierung selbiger gezwungen werden kann.

Naja die Deutschen Firmen sollen bis jetzt ja auch mit dennen zusammen arbeiten .... oder wie kommt es das die NSA an die Knotenpunkte rankommt 0o

sowas braucht man doch gar nicht, wenn man google chrome als browser hat und die pw's überall gspeichert hat.. ^^vergessn kann man die auch ned wegen der wiederherstellungsfunktion vom browser

Hallo , Klopf Klopf , hier geht es um sicherheit .

 

[keksautomat]

Naja, der Ansatz mit Google Chrome ist schon okay, denn du kannst selbst dort dein Sync verschlüsseln lassen, auch mit einem Primärschlüssel, sodass du nur darüber dran kommst. Dieser hat keine Zeichenbegrenzung und beträgt bei mir rund 70 Zeichen (was in der KeePass Datei steht, kann sich ja sonst kaum einer merken). In wieweit das "hinten" aussieht, also wie das von Google zu dir übertragen wird, kann ich nicht sagen, da ich nie darauf geachtet habe bzw. darüber was gelesen habe. Ich nehme aber HTTPS an. Bei Google liegt eh schon fast alles, warum nicht auch meine Addonliste, damit ich auch fix auf meine Tabs und Lesezeichen von woanders drauf Zugriff habe?

 

[Mr_J]

Ich würde weiterhin einfach so etwas wie KeePass mit einem beliebigen Sync-Dienst kombinieren. KeePass gibts ja auch für alle möglichen Betriebssysteme, von daher sollte ein Zugriff auf die Passwortdatenbank eigentlich immer möglich sein.

MfG
Mr. J

 

[darkside40]

Naja die Deutschen Firmen sollen bis jetzt ja auch mit dennen zusammen arbeiten .... oder wie kommt es das die NSA an die Knotenpunkte rankommt 0o

So wie es zur Zeit aussieht bekommt die NSA wenn überhaupt den Zugriff auf Knoten DE-CIX über die Firma Level 3 Communications, und dies ist ein amerikanisches Unternehmen:
http://www.golem.de/news/nsa-skandal-wie-der-de-cix-abgehoert-wird-1308-100745.html

 

[KidZler]

So wie es zur Zeit aussieht bekommt die NSA wenn überhaupt den Zugriff auf Knoten DE-CIX über die Firma Level 3 Communications, und dies ist ein amerikanisches Unternehmen:
http://www.golem.de/news/nsa-skandal-wie-der-de-cix-abgehoert-wird-1308-100745.html

Naja warten wir mal ab was hier bei rauskommt ....

http://www.lawblog.de/index.php/archives/2013/08/05/deutsche-tatorte/

Naja und wie bei dir beschrieben ... es kann ja ein Amerikanischen unternehmen sein .... nur is es dan immer noch auf deutschen Boden ... und die haben sich demnach meiner meinung an Deutsche gesetze zu halten ?! oder etwa nicht

 

[KippaKong]

Die haben sich aber auch an Amerikanische Gesetze zu halten.

 

[darkside40]

Und genau da stecken wir in der Zwickmühle. An welche Gesetze muss sich ein Multinationaler Internet Konzern wie z.B. Google halten?
Der Hauptsitz ist in den USA, da bedeutet das Google Anfragen von US Strafverfolgungsbehörden folge leisten muss. Aber bezieht sich das nur auf Daten die im US Inland gesammelt wurden? Oder bezieht sich das auf Daten die der Konzern weltweit gesammelt hat. Im Endeffekt kann man meiner Meinung zur Zeit eh nicht ausmachen wo die eigenen Daten in diesem Fall landen.

Und wie sieht es im genau umgekehrten Fall aus? Muss die deutsche Google Niederlassung deutschen Behörden vielleicht auch mit US Daten aushelfen wenn diese vorliegen.

Das ist eine ziemlich Interessante Fragestellung, welche Gesetze , für wen, wo gelten.

 

[Mr_J]

[...]Das ist eine ziemlich Interessante Fragestellung, welche Gesetze , für wen, wo gelten.

Nicht wirklich interessant, es gibt (noch) das Safe Harbour Abkommen welches es z.B. Google erlaubt auch seine Daten aus Deutschland heraus zu transferieren. Eigentlich sollte dafür dann der deutsche Datenschutzstandard gelten, tut er de facto aber momentan nicht.

MfG
Mr. J