Digital
Datenschutz

Der Passwort-Manager Lastpass ist genial. Aber gewisse Fehler dürfen nicht passieren!

Lastpass funktioniert hervorragend auf dem iPhone und am Computer. Und der Haken?
Lastpass funktioniert hervorragend auf dem iPhone und am Computer. Und der Haken?Bild: watson

Der Passwort-Manager Lastpass ist genial. Aber gewisse Fehler dürfen nicht passieren!

Als Lastpass-Nutzer musste ich wegen eines Hackerangriffs das Hauptkennwort ändern. Eigentlich kein Weltuntergang. Doch dieser Fall hat mehrere unschöne Aspekte.
20.06.2015, 13:2320.06.2015, 20:42
Mehr «Digital»

Lastpass gilt als einer der besten Passwort-Manager. Und ich gestehe, dass ich bis vor kurzem auch davon überzeugt war. Zu 100 Prozent.

Denn Lastpass hat meinen Umgang mit Passwörtern grundlegend verändert. Während ich früher die immer gleichen, einfach zu erinnernden Buchstabenkombinationen für verschiedene Webseiten und Online-Dienste verwendet hatte, brachte Lastpass auf einen Schlag mehr Sicherheit und Komfort. Nun konnte ich komplizierte (und damit sicherere) Kennwörter einfach erstellen und musste trotzdem nur ein einziges – das Hauptkennwort – in Erinnerung behalten. 

Doch nun hat sich meine Beurteilung zum Negativen geändert. Denn die jüngsten Ereignisse sind kein Ruhmesblatt für das US-Unternehmen, das hinter dem genialen Software-Tool steckt.

In der Nacht auf Dienstag traf eine beunruhigende Nachricht von Lastpass in meinem Postfach ein. In dem Schreiben ohne persönliche Anrede teilte man mir mit, dass «verdächtige Aktivitäten in unserem Netzwerk entdeckt und sofort blockiert» worden seien.

Bild
screenshot: lastpass

Wenn Hacker Daten erbeuten, ist das eine mittlere Katastrophe für Unternehmen, deren Kerngeschäft die sichere Verwaltung sensibler Daten ist. Noch viel schlimmer ist, wenn nicht schnell und offen kommuniziert wird. Und genau da liegt der Hund begraben.

Der Lastpass-Chef liess am Montag verlauten, dass die «überwiegende Mehrheit» der Nutzer nicht von dem Angriff betroffen sei. Im Firmenblog wurde eine Stellungnahme veröffentlicht, die auf die technischen Details eingeht. 

Was aufhorchen lässt, ist das Timing der «Krisenkommunikation»: Der Server-Einbruch hatte sich bereits am vergangenen Freitag ereignet. Es verstrichen also mehrere Tage, bis sich die Verantwortlichen veranlasst sahen, eine offizielle Warnung herauszugeben.

Mit Verlaub: Das geht gar nicht!

So fragte ich via Twitter beim US-Unternehmen nach.

Mehr zum Thema

Kurz zusammengefasst: Laut Lastpass wurde der Einbruchsversuch sofort entdeckt und die erforderlichen Massnahmen getroffen.

Allerdings lauern die grössten Gefahren laut dem Sicherheitsexperten Martin Vigo vor allem in den gestohlenen E-Mail-Adressen und Passworterinnerungen, wie Zeit Online berichtete. Die Hacker könnten den Nutzern gefälschte E-Mails im Namen von Lastpass schicken, die auf die Sicherheitslücke hinweisen und einen Link mit der Bitte enthalten, das Master-Passwort zu ändern.

Meine darauf folgende Anfrage bei Lastpass hat ergeben, dass es gegen diese Gefahr kein einfaches Mittel gibt. Das Unternehmen sagt, es sei nicht in der Lage, Kunden mit persönlicher Anrede anzuschreiben – weil es die entsprechenden Informationen nicht sammle.

Das Fazit: Lastpass-Nutzer sind selber in der Verantwortung, sie sollten ein komplexes Master-Passwort verwenden und ihr Konto zusätzlich durch die Zwei-Faktor-Authentifizierung vor Fremdzugriff schützen.

Lastpass gibt's gratis, kostenpflichtig und für Unternehmen

Bild
screenshot: lastpass.com
Virtueller «Tresor»
Lastpass gilt mit rund sieben Millionen Nutzern als einer der populärsten Online-Dienste zur Verwaltung von Passwörtern und anderer sensibler Daten. Die Verwaltung erfolgt über eine Browser-Erweiterung, die alle Passwörter in einem virtuellen «Tresor» auf den Servern der Firma speichert. Wichtig: Die Passwörter werden lokal auf dem Gerät verschlüsselt und erst dann übertragen, sodass Lastpass laut eigenen Angaben keinen Zugriff hat. Auch wenn die Behörden Einblick verlangen würden, sei dies nicht möglich.

Es soll nicht unerwähnt bleiben, dass es interessante Alternativen gibt. Der bekannteste Konkurrent dürfte 1Password sein.

Wer seine Passwörter sicher von Lastpass zu 1Password transferieren will, kann dieser ausführlichen und bebilderten Anleitung folgen.

Update: In einer früheren Version hiess es fälschlicherweise, die Zwei-Faktor-Authentifizierung gehöre zum Premium-Angebot. Der Dank geht an die Leser, die uns auf den Fehler hingewiesen haben.

Das sind die dümmsten Passwörter

1 / 8
Die dümmsten Passwörter 2013
Nachfolgend die fünf dümmsten Passwörter von 2013, basierend auf Auswertungen vom US-Unternehmen Splashdata.
Auf Facebook teilenAuf X teilen
No Components found for watson.appWerbebox.
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
8 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
8
Die EU eröffnet Verfahren gegen Apple, Google und Meta – das blüht den Tech-Konzernen nun
Die EU-Kommission hat ein Verfahren gegen Apple, Alphabet (Google) und den Facebook-Konzern Meta eingeleitet. Das Wichtigste im Überblick.

Die Europäische Kommission eröffnet ein Verfahren gegen Apple, die Google-Mutter Alphabet und Facebooks Mutterkonzern Meta. Zudem wurden «Ermittlungsschritte» gegen Amazon angekündigt. Auch gegen den chinesischen Konzern hinter der App Tiktok leitete die Behörde ein Verfahren ein.

Es soll geprüft werden, ob die Tech-Konzerne aus den USA und China gegen neue EU-Regeln verstossen haben, wie die Kommission am Montag mitteilte. Für grosse Digitalkonzerne gelten in der EU seit Anfang März strengere Vorschriften, die ihre Marktmacht beschränken sollen.

Zur Story