• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

[Netzwelt] Servereinbruch bei Lastpass

Bei der Online-Passwortverwaltung Lastpass wurde in die Server eingebrochen. Dies hat das Unternehmen auf seinem Blog bekannt gegeben. Es gibt Hinweise dass sich Dritte Zugang zu diversen E-Mail-Adressen, den Passworthinweisen sowie den Authentifizierungshashes vieler Nutzer verschaffen konnten. Ein ähnlicher Einbruch fand bereits 2011 statt.

Lastpass versichert, dass die Authentifizierungshashes jeweils mit einem zufälligem Salt versehen und serverseitig 100.000 Iterationen von PBKDF2-SHA256 bearbeitet wurden. Somit seien die Hashes nur mit einem sehr großen Aufwand zu knacken. Das Unternehmen wird dennoch die Nutzer anschreiben und sie auffordern dass sogenannte Masterpasswort zu ändern. Neu hinzugefügte Geräte müssen zudem per E-Mail bestätigt werden. Alternativ ist die Nutzung einer Zwei-Faktor-Authentifizierung möglich.

Quelle: Golem.de
 
Zum Vergrößern anklicken....

The_Emperor



The_Emperor
Registriert
17 Juli 2013
Beiträge
2.801
Der Grund warum Passwortmanager (egal ob online oder offline) failed by concept sind.
 

Metal_Warrior

Defender of Freedom
Teammitglied

Metal_Warrior
Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
The_Emperor schrieb:
Der Grund warum Passwortmanager (egal ob online oder offline) failed by concept sind.
Zum Vergrößern anklicken....

Warum? Weil sie offline auch geklaut werden können? Sorry, das ist BS vom allerfeinsten. Da muss man nichtmal rechnen:

Der durchschnittliche Mensch nimmt ein Passwort für alle Dienste her - wird das Passwort bekannt, sind alle Dienste kompromittiert - Worst Case.
Die intelligenteren Menschen permutieren ihr Standardpasswort ein wenig - wird eines bekannt, ist die Kompromittierung aller Dienste nur noch wenige Bits entfernt (vor Allem, wenn man den Permutationsalgorithmus erkennen kann), aber mit Aufwand verbunden - Zweitschlechtester Fall.
Die intelligenteste Variante sind zufallsgenerierte Passwörter, die sich aber kein Mensch merken kann. Damit ist bei Bekanntwerden eines Passworts kein anderer Dienst kompromittiert. Wird die Liste geklaut, gibt es zwei Fälle:
a) Die Liste war unverschlüsselt: Dann sind alle Dienste kompromittiert - Worst Case. Der gezielte Einbruch auf einen Privatrechner ist allerdings in den meisten Fällen ein höherer Aufwand als der Einbruch in einen Server (zwei Firewalls, keine externen Dienste).
b) Die Liste war verschlüsselt: Dann besteht die Chance auf Kompromittierung, allerdings gekoppelt an die Komplexität des Passworts und des Algorithmus. Der Aufwand ist ungleich höher als der im Fall 2, selbst bei "frei-Haus-Lieferung" der Liste.

Fazit: Natürlich habe ich einen Passwort-Manager. Ich habe schließlich auch weit über 50 verschiedene Kennwörter unterschiedlicher Komplexität und Länge. Die verschlüsselte Datei dazu liegt auf zwei Systemen, beide verschlüsselt und in meiner Hand.

Nenne mir eine bessere Lösung für die anstehende Problematik.
 

The_Emperor



The_Emperor
Registriert
17 Juli 2013
Beiträge
2.801
Es gibt bessere Lösungen, die sind zwar nicht so bequem wie ein Passwortmanager aber sicherer.
 

sia

gesperrt

sia
Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Es gäbe die Möglichkeit, einen Zettel in einem Tresor zu verwahren. Ist aber quark, weils mega unkomfortabel ist.
 

Metal_Warrior

Defender of Freedom
Teammitglied

Metal_Warrior
Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
@phre4k:
...und davon abgesehen auch unsicherer, weil der Tresor mit Bohrer, Wasser und einer kleinen Sprengkapsel innerhalb von wenigen Stunden geöffnet werden kann, wohingegen eine Verschlüsselung ganz andere Ressourcen und Zeiträume beansprucht.
 

sia

gesperrt

sia
Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
ncuth6k.png
 

tm98

Dreikäsehoch

tm98
Registriert
14 Juli 2013
Beiträge
826
Ort
Günxmürfel
Ich fühle mich bei Lastpass nach wie vor gut aufgehoben. Bei dem Hack wurden E-Mail Adressen, passworthinweise und Salts gestohlen. Das ist in sofern erstmal recht ärgerlich, passiert aber leider immer wieder, auch bei namenhaften Unternehmen. Die Passwörter für die Container hat Lastpass gar nicht, da diese lokal beim User ver- und entschlüsselt werden. Natürlich ist Lastpass closed Source und ein US Unternehmen. Das sind Microsoft und Co. aber auch und trotzdem nutze ich Windows. Ich zahle gerne meine 12$ pro Jahr für den Komfort und fahre damit schon sehr lange recht gut.

Ich kann aber auch jeden verstehen, der lieber auf Keypass oder sein Hirn setzt. Aber so grenzdebil wie Lastpass User heute in vielen Kommentaren bei golem, Heise und SPON beschrieben wurden sind sie nicht zwingend.
 

drfuture

Zeitreisender
Teammitglied

drfuture
Registriert
14 Juli 2013
Beiträge
8.754
Ort
in der Zukunft
Ich finde Lastpass ebenso vernünftig - und wirklich was gestoheln wurde eben auch nicht. Die Verschlüsselten PW-Tresore könnten auch noch gestohlen werden und der Dieb hat erst einmal nicht viel.
"wichtige" Passwörter wie Onlinebanking etc. sind in einem offline-Passwortstore in Keypass - das ist zumindest open-source und wurde von eigen krypto-Spezialisten untersucht (Wobei ich ja auch der Meinung bin das Open-Source definitiv nichts mit dem Wort "Sicherheit" zu tun hat).

Klar ist es ein US unternehmen - aber um Kennwörter rausgeben zu können müssten sie sie erst mal haben - das heißt auch das die Passwörter unverschlüsselt ein zweites mal abgelegt werden würden... was natürlich ein nogo wäre... - Oder das mit einem zweiten Zertifikat noch mal gegenverschlüsselt wird.
Nur gegen ALLES ist man nur sicher wenn man hoch komplexe Passwörter für jeden Dienst verwendet und diese NUR im Kopf behält (Wobei auch da phre4k's Cartoon zum Tragen kommen kann) - Auch für Tresore gibt es theo. Masterpasswörter / Schlüssel....

DIE Lösung gibt es schlicht nicht.
 

sia

gesperrt

sia
Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Wie LastPass verschlüsselt, wurde doch nicht unabhängig bestätigt, oder?

Zudem wird es genügend Menschen geben, die ihre Online-Banking-Daten auch in LastPass speichern.

Ich würde meine Hausschlüssel auch nicht in anderer Leute Garagen legen, selbst wenn nur ich einen Schlüssel dafür hätte.
 

Ungesund

Feiner Herr

Ungesund
Registriert
15 Juli 2013
Beiträge
1.918
Ort
Achterbahn
Nutze auch Lastpass seit Jahren und ändere das Main-Passwort regelmäßig. Wann immer ich das tue wird auch meine Passwort-Datenbank neu verschlüsselt. keine Ahnung, aber in meinem Cryptographie-Naiven Denken dürfte dass doch ebenso in der jetzigen Situation helfen, sollte versucht werden mit den zuletzt erbeuteten Daten irgendwas zu bewerkstelligen, oder?

Wie steht es denn mit dem ganzen google chrome passwort sync gedöns? Nutze ich nicht, aber wäre das von der gebotenen "sicherheit" mit LastPass vergleichbar?

Auch ich stehe halt vor dem Problem inzwischen hunderte Accounts auf hunderten von Seiten zu besitzen, und einige davon auch immer bei mir haben zu müssen. Da erschien mir die Methode mit dem zufälligen Passwort und dem einen Masterpasswort für alles ziemlich angenehm und relativ nachvollziehbar sicher. Die wirklich wichtigen Daten habe ich in einer Iphone App vom Frauehofer Institut (iMobileSitter), der ich nochmal ein wenig mehr vertraue... selbst Formulare ausfüllen usw. tut diese aber nicht. Ist halt einfach ein Brutforce-immuner Vault.
 

sia

gesperrt

sia
Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
iMobileSitter hört sich sehr interessant an. Das wäre mal eine Idee für KeePassX 3.0 ;)
 

virtus

Gehasst

V
Registriert
24 Apr. 2015
Beiträge
1.689
Ort
AUF DEM MOND
Mit guter Crypto sollte das kein Problem sein. Ich befürchte nur, da hat mal wieder jemand double rot13 verwendet, sich 'schnell einen Dienst hoch ziehen' nicht mit 'überlegtem Vorgehen' vereinigen lässt. :rolleyes:
 

Metal_Warrior

Defender of Freedom
Teammitglied

Metal_Warrior
Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
@Ungesund:
Kleine Korrektur: Gegen Brute Force ist nichts immun - BF ist der einzige Angriff auf ein Kryptographieverfahren, der IMMER funktionieren wird. Der einzige Schutz dagegen ist die Komplexität der eingesetzten Passwörter und die daraus resultierenden großen Zeiträume, die für die Methode in Anspruch genommen werden müssen. Bei AES sind wir da derzeit mit 128bit im Bereich von "Alter des Universums mal X" etc.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben