Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
LastPass Passwort-Manager

Lastpass funktioniert hervorragend auf dem iPhone und am Computer. Und der Haken? Bild: watson

Der Passwort-Manager Lastpass ist genial. Aber gewisse Fehler dürfen nicht passieren!

Als Lastpass-Nutzer musste ich wegen eines Hackerangriffs das Hauptkennwort ändern. Eigentlich kein Weltuntergang. Doch dieser Fall hat mehrere unschöne Aspekte.



Lastpass gilt als einer der besten Passwort-Manager. Und ich gestehe, dass ich bis vor kurzem auch davon überzeugt war. Zu 100 Prozent.

Denn Lastpass hat meinen Umgang mit Passwörtern grundlegend verändert. Während ich früher die immer gleichen, einfach zu erinnernden Buchstabenkombinationen für verschiedene Webseiten und Online-Dienste verwendet hatte, brachte Lastpass auf einen Schlag mehr Sicherheit und Komfort. Nun konnte ich komplizierte (und damit sicherere) Kennwörter einfach erstellen und musste trotzdem nur ein einziges – das Hauptkennwort – in Erinnerung behalten. 

Doch nun hat sich meine Beurteilung zum Negativen geändert. Denn die jüngsten Ereignisse sind kein Ruhmesblatt für das US-Unternehmen, das hinter dem genialen Software-Tool steckt.

In der Nacht auf Dienstag traf eine beunruhigende Nachricht von Lastpass in meinem Postfach ein. In dem Schreiben ohne persönliche Anrede teilte man mir mit, dass «verdächtige Aktivitäten in unserem Netzwerk entdeckt und sofort blockiert» worden seien.

Bild

screenshot: lastpass

Wenn Hacker Daten erbeuten, ist das eine mittlere Katastrophe für Unternehmen, deren Kerngeschäft die sichere Verwaltung sensibler Daten ist. Noch viel schlimmer ist, wenn nicht schnell und offen kommuniziert wird. Und genau da liegt der Hund begraben.

Der Lastpass-Chef liess am Montag verlauten, dass die «überwiegende Mehrheit» der Nutzer nicht von dem Angriff betroffen sei. Im Firmenblog wurde eine Stellungnahme veröffentlicht, die auf die technischen Details eingeht. 

Was aufhorchen lässt, ist das Timing der «Krisenkommunikation»: Der Server-Einbruch hatte sich bereits am vergangenen Freitag ereignet. Es verstrichen also mehrere Tage, bis sich die Verantwortlichen veranlasst sahen, eine offizielle Warnung herauszugeben.

Mit Verlaub: Das geht gar nicht!

So fragte ich via Twitter beim US-Unternehmen nach.

Kurz zusammengefasst: Laut Lastpass wurde der Einbruchsversuch sofort entdeckt und die erforderlichen Massnahmen getroffen.

Allerdings lauern die grössten Gefahren laut dem Sicherheitsexperten Martin Vigo vor allem in den gestohlenen E-Mail-Adressen und Passworterinnerungen, wie Zeit Online berichtete. Die Hacker könnten den Nutzern gefälschte E-Mails im Namen von Lastpass schicken, die auf die Sicherheitslücke hinweisen und einen Link mit der Bitte enthalten, das Master-Passwort zu ändern.

Meine darauf folgende Anfrage bei Lastpass hat ergeben, dass es gegen diese Gefahr kein einfaches Mittel gibt. Das Unternehmen sagt, es sei nicht in der Lage, Kunden mit persönlicher Anrede anzuschreiben – weil es die entsprechenden Informationen nicht sammle.

Das Fazit: Lastpass-Nutzer sind selber in der Verantwortung, sie sollten ein komplexes Master-Passwort verwenden und ihr Konto zusätzlich durch die Zwei-Faktor-Authentifizierung vor Fremdzugriff schützen.

Lastpass gibt's gratis, kostenpflichtig und für Unternehmen

Bild

screenshot: lastpass.com

Virtueller «Tresor»

Lastpass gilt mit rund sieben Millionen Nutzern als einer der populärsten Online-Dienste zur Verwaltung von Passwörtern und anderer sensibler Daten. Die Verwaltung erfolgt über eine Browser-Erweiterung, die alle Passwörter in einem virtuellen «Tresor» auf den Servern der Firma speichert. Wichtig: Die Passwörter werden lokal auf dem Gerät verschlüsselt und erst dann übertragen, sodass Lastpass laut eigenen Angaben keinen Zugriff hat. Auch wenn die Behörden Einblick verlangen würden, sei dies nicht möglich.

Es soll nicht unerwähnt bleiben, dass es interessante Alternativen gibt. Der bekannteste Konkurrent dürfte 1Password sein.

Wer seine Passwörter sicher von Lastpass zu 1Password transferieren will, kann dieser ausführlichen und bebilderten Anleitung folgen.

Update: In einer früheren Version hiess es fälschlicherweise, die Zwei-Faktor-Authentifizierung gehöre zum Premium-Angebot. Der Dank geht an die Leser, die uns auf den Fehler hingewiesen haben.

Das sind die dümmsten Passwörter

Kennst du schon die watson-App?

Über 150'000 Menschen nutzen bereits watson für die Hosentasche. Unsere App hat den «Best of Swiss Apps»-Award gewonnen und wurde unter «Beste Apps 2014» gelistet. Willst auch du mit watson auf frische Weise informiert sein? Hol dir jetzt die kostenlose App für iPhone/iPad und Android.

DANKE FÜR DIE ♥

Da du bis hierhin gescrollt hast, gehen wir davon aus, dass dir unser journalistisches Angebot gefällt. Wie du vielleicht weisst, haben wir uns kürzlich entschieden, bei watson keine Login-Pflicht einzuführen. Auch Bezahlschranken wird es bei uns keine geben. Wir möchten möglichst keine Hürden für den Zugang zu watson schaffen, weil wir glauben, es sollten sich in einer Demokratie alle jederzeit und einfach mit Informationen versorgen können. Falls du uns dennoch mit einem kleinen Betrag unterstützen willst, dann tu das doch hier.

Würdest du gerne watson und Journalismus unterstützen?

(Du wirst zu stripe.com (umgeleitet um die Zahlung abzuschliessen)

Oder unterstütze uns mit deinem Wunschbetrag per Banküberweisung.

Nicht mehr anzeigen

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Unbekannte Anrufer: Das solltest du am Telefon nie sagen

Nicht nur per Spam-Mails, auch mit Anrufen versuchen Betrüger immer wieder, an Daten oder Geld von Nutzern zu kommen. Wer einen verdächtigen Anruf erhält, sollte darum besonders ein Wort vermeiden.

Wer am Telefon von unbekannten Anrufern dazu aufgefordert wird, laut «Ja» zu sagen, sollte aufpassen. Denn hierbei kann es sich um eine Betrugsmasche handeln. Davor warnen Faktenprüfungsseiten wie «Mimikama.at» oder auch die Verbraucherzentralen.

Denn Berichten zufolge sollen Nutzer im Anschluss an das Telefonat Rechnungen oder Vertragsunterlagen bekommen haben. Das «Ja» wurde dabei als Vorwand genommen, dass Nutzer dem Vertrag zugestimmt hätten. In Extremfällen soll das «Ja» sogar im …

Artikel lesen
Link zum Artikel