Im Jahr 2022 erlitt der Passwortverwaltungsdienst LastPass seine jüngste schwerwiegende Sicherheitsverletzung, die zum Verlust von Kundentresordaten führte (siehe „LastPass teilt Details zu einer Sicherheitsverletzung“, 24. Dezember 2022). Monate später hat das Unternehmen endlich wesentlich mehr Informationen über die Verletzung bereitgestellt, welche Daten kompromittiert wurden und wie Benutzer reagieren sollten. Die neuen Informationen sind hilfreich, aber ich bereue den Wechsel zu 1Password nicht.
In einem sorgfältig formulierter Blogpost, LastPass-CEO Karim Toubba legt mit dem first bereitet die Voraussetzungen für den Sekunde. Anschließend verweist er die Leser auf zwei Sicherheitsbulletins mit empfohlenen Maßnahmen: eines für Benutzer von LastPass Free, Premium und Families und ein weiterer für LastPass Business-Benutzer. Abschließend fasst er zusammen, welche Maßnahmen LastPass ergriffen hat, um zu gewährleisten seine Systeme besser sichern. Besonders geschätzt habe ich die umfangreiche Liste aller Datentypen, auf die zugegriffen wurde, mit Hinweisen dazu, welche Felder verschlüsselt wurden und welche nicht.
Bemerkenswerterweise sagt das Unternehmen, dass es weder von dem Angreifer gehört noch irgendeinen Hinweis auf die verwendeten Daten gesehen hat.
Es gab keine Kontakt oder gestellte Forderungen, und es wurden keine glaubwürdigen Untergrundaktivitäten festgestellt, die darauf hindeuten, dass der Angreifer aktiv an der Vermarktung oder dem Verkauf von Informationen beteiligt ist, die er während eines der beiden Vorfälle erhalten hat.
Wenn Sie daran interessiert sind Sicherheitskram, die verschiedenen Posts sind lesenswert, und LastPass hat dieses Mal viel besser kommuniziert, auch wenn es überfällig ist. Insbesondere wenn Sie LastPass noch verwenden, empfehle ich Befolgen Sie den Rat des Unternehmens, um:
die Stärke Ihres Master-Passworts zu gewährleisten. die Anzahl der Passwortwiederholungen zu erhöhen. die mehrstufige Authentifizierung zu aktivieren oder zurückzusetzen. das Sicherheits-Dashboard zu überprüfen. die Dark-Web-Überwachung zu aktivieren.
bei LastPass nicht Die letzten beiden Optionen wurden LastPass Free-Benutzern noch nicht zur Verfügung gestellt, aber das Unternehmen sagt, dass es sie in Kürze aktivieren wird. Interessanterweise hat LastPass die Anzahl der Passwortwiederholungen dramatisch erhöht. Einige langjährige Benutzer waren immer noch auf jetzt absurd niedrige 5.000 eingestellt, während neuere Benutzer 100.000 Iterationen hatten. Der Standardwert ist jetzt 600.000 – das ist eine große Veränderung.
Ich frage mich, was Karim Toubba durchmachen muss. Er kam im April 2022 als CEO zu LastPass, und der erste Verstoß ereignete sich nur wenige Monate später, im August 2022. Das Unternehmen befindet sich wahrscheinlich seitdem im Krisenmodus, und das Ausmaß der Änderungen (natürlich in Kombination mit dem tatsächlichen Verstoß!) schlägt vor, dass seine frühere Sicherheitshaltung problematisch war. Wir hoffen, dass die Erwachsenen jetzt das Sagen haben und die richtigen Schritte unternehmen, um zukünftige Verstöße zu verhindern.
Wechsel zu 1Password von LastPass und Authy
Zusätzlich zu meiner Verärgerung über die Benutzeroberfläche von LastPass, die Funktionalität , und Zuverlässigkeit war der Bruch der letzte Tropfen, also wechselte ich zu 1Password und habe meine Daten aus LastPass importiert. Ich habe mich für den Ansatz entschieden, Daten aus LastPass zu exportieren und in 1Password zu importieren, da die direkte Importfunktion von 1Password nicht funktioniert, wenn Sie die Multifaktor-Authentifizierung in LastPass aktiviert haben. Ich fühlte mich nicht wohl dabei, das zu deaktivieren, nicht einmal vorübergehend.
Ich bin noch nicht ganz bereit, alle meine Daten aus LastPass zu löschen, aber das steht auf meiner Liste, sobald ich sicher bin, dass 1Password alle Funktionen hat, die ich will. Mir ist klar, dass einige Leute mit den Änderungen in 1Password 8 nicht zufrieden waren, aber als jemand, der frühere Versionen nicht besonders verwendet hat, war ich nicht beunruhigt. 1Password ist zwar nicht perfekt, aber wesentlich eleganter als LastPass, das nie etwas bietet, das einem nativen Mac-oder iOS-Erlebnis ähnelt. Das war besonders in den letzten paar Wochen der Fall, in denen ich LastPass verwendet habe, als es sich anfühlte, als würde das Unternehmen schnelle Änderungen vornehmen, um den Benutzern zu zeigen, dass es etwas tut.
Ich verwende dafür besonders gerne meine Apple Watch Entsperren Sie 1Password auf meinem 27-Zoll-iMac 2020 und meiner Uhr oder Touch ID auf meinem M1 MacBook Air. LastPass hat vor einiger Zeit eine App-basierte Multifaktor-Authentifizierung eingeführt, aber es hat Eingaben von seiner watchOS-App nie richtig akzeptiert, was mich dazu zwang, jedes Mal mein iPhone herauszuziehen, um die Anmeldung in seiner iOS-App zu bestätigen. Anschließend habe ich die Multifaktor-Authentifizierung von LastPass zurückgesetzt, um ein normales zeitbasiertes Einmalkennwort (TOTP) zu verwenden, das ich in 1Password gespeichert habe, das es automatisch ausfüllt, wenn ich mich auf meinem Mac bei LastPass anmelde – eine deutliche Verbesserung gegenüber dem Tippen auf eine Schaltfläche in der iPhone-App von LastPass.
Die Unterstützung von 1Password für TOTP war ein großer Gewinn. Ich habe früh mit Authentifizierungs-Apps angefangen, als Google Authenticator das einzige Spiel in der Stadt war. Als ich erfuhr, dass seine Daten nicht auf ein neues iPhone übertragen werden (es kann jetzt, wenn Sie einen QR-Code auf dem alten Gerät scannen können), wechselte ich zum kostenlosen Authy-Ökosystem von Apps, das akzeptabel funktioniert hat und mit meinen Macs, iPhone und iPad synchronisiert. (Ich habe LastPass Authenticator kurz ausprobiert, aber es ist nur für iPhone und iPad verfügbar, und ich hasse es, mich an mein iPhone zu wenden, wenn ich mich auf dem Mac anmelde.)
Authy stellt die Authy Desktop-App für den Mac, aber jedes Mal, wenn ich mich bei einem Konto anmelden möchte, das eine Zwei-Faktor-Authentifizierung erfordert, muss ich Authy Desktop starten, nach der Website suchen (I 28 Konten haben), klicken Sie auf eine Schaltfläche, um den Code zu kopieren, wechseln Sie zurück zu meinem Webbrowser und fügen Sie den Code ein. Ich dachte darüber nach, den Prozess mit Keyboard Maestro zu automatisieren, aber es wäre nichts weiter als ein zerbrechliches Affenklicken. Die Art und Weise, wie 1Password das TOTP als nächsten Schritt im Anmeldeprozess automatisch ausfüllt, war eine große Erleichterung.
(Glenn Fleishman erinnert mich daran, dass Sie sich stattdessen dafür entscheiden könnten, Apples Multi-Plattform-Unterstützung für TOTPs zu verwenden, aber das funktioniert nur innerhalb von Safari unter macOS. Wenn Sie andere Browser oder Apps verwenden, müssen Sie Safari > Einstellungen > Passwörter oder das Passwort-Einstellungs-/Einstellungsfenster aufrufen, sich authentifizieren, suchen, klicken und kopieren; siehe seinen Artikel „Add Two-Factor Codes to Password Entries in iOS 15, iPadOS 15, and Safari 15“, 7. Oktober 2021. Und natürlich gibt es da noch die ganze Schwachstelle im iCloud-Schlüsselbund, wenn Ihr iPhone und Ihr Passcode gestohlen wurden, siehe „How a Thief with Your iPhone Passcode Can Ruin Your Digital Life“, 26. Februar 2023.)
Die Umstellung meines Zwei-Faktor-Authentifizierungs-Setups von Authy auf 1Password war umständlich und zeitaufwändig. Amazon Web Services war der einzige Dienst, bei dem ich 1Password als zusätzliches Authentifizierungsgerät registrieren konnte. Bei allen anderen Konten musste ich die Zwei-Faktor-Authentifizierung zurücksetzen oder aus-und wieder einschalten. Die Gefahr, vollständig aus einem Konto ausgesperrt zu werden, ist beängstigend, daher achte ich darauf, das neue TOTP sowohl zu 1Password als auch zu Authy (erneut) hinzuzufügen, bevor ich das alte Konto in Authy lösche. Obwohl ich nicht vorhabe, Authy zu verwenden, nachdem ich alles in 1Password eingerichtet habe, fühlt es sich wie ein nützliches Backup an, wenn das Speichern des TOTP in 1Password zusammen mit den Kontoanmeldeinformationen problematisch ist. Denken Sie daran, Einmal-oder „Scratch“-Codes aufzuzeichnen, wenn eine Website sie anbietet, wenn Sie die Zwei-Faktor-Authentifizierung aktivieren – sie können eine Rettungsleine sein, wenn Sie einen TOTP-Blowout haben.
Ähnlich wie bei der Berichterstattung des Wall Street Journal der iPhone-Passcode-Diebstähle sehe ich die Verletzung von LastPass als Gelegenheit, meine Herangehensweise an die Passwortsicherheit zu überdenken. Ich war mit LastPass vor dem Bruch nicht ganz zufrieden, konnte aber den Enthusiasmus für den Wechsel nicht aufbringen. Durch die organische Bereinigung von Duplikaten und anderem Unfug in 1Password, da ich die zugehörigen Sites verwenden muss, kann ich mich an einer Aufgabe knabbern, die zu gewaltig wäre, um sie auf einmal zu bewältigen – ich habe über 900 Anmeldungen. Letztendlich werde ich meine Passwörter besser im Griff haben als je zuvor.
Aber ich freue mich immer noch über Passkey-Unterstützung – siehe „Why Passkeys Will Be Simpler and More Secure Than Passwords“, 27. Juni 2022 – wird schnell so weit verbreitet, dass ich all diese stinkenden Passwörter nicht brauche!