Der Ruf von LastPass hat im vergangenen Jahr ziemlich gelitten, da der Umgang mit Sicherheitsvorfällen nichts zur Verbesserung beigetragen hat. Erst letzte Woche gab das Unternehmen ein Update über eine Sicherheitsverletzung im August heraus, die enthüllte, dass sie schwerwiegender war als ursprünglich angenommen.
Aber jetzt wurde die aktualisierte Ankündigung von LastPass in Stücke gerissen Sicherheitsexperten, wobei einer es als „voller Auslassungen, Halbwahrheiten und glatter Lügen“ anprangerte.
Siehe auch:
Der Sicherheitsforscher Wladimir Palant hat einen vernichtenden Angriff auf LastPass verfasst und das Unternehmen beschuldigt mehr auf Gesichtswahrung als auf Transparenz bedacht zu sein. Er zerreißt die neueste Erklärung von LastPass, geht sie Zeile für Zeile durch und nennt Fälle von Falschdarstellungen und das, was er als „Unterlassungen, Halbwahrheiten und glatte Lügen“ bezeichnet.
Palant beginnt LassPass anzugreifen, weil es versucht hat, den Anschein zu erwecken, dass die von ihm herausgegebenen Updates als Akte des Wohlwollens durchgeführt werden; er weist darauf hin, dass dies tatsächlich eine gesetzliche Anforderung ist.
Das jüngste Eingeständnis von LastPass war, dass ein Angreifer in der Lage war, „eine Sicherung der Kundentresordaten aus dem verschlüsselten Speichercontainer zu erhalten, der in einem proprietären gespeichert ist Binärformat, das sowohl unverschlüsselte Daten wie Website-URLs als auch vollständig verschlüsselte sensible Felder wie Website-Benutzernamen und Passwörter, sichere Notizen und Formulardaten enthält.“ Palant weist darauf hin:
Beachten Sie, dass LastPass zugibt, Website-URLs nicht zu verschlüsseln, es aber nicht unter „sensible Felder“ gruppiert. Aber Website-URLs sind sehr sensible Daten. Angreifer würden gerne wissen, was auf die Sie Zugriff haben. Dann könnten sie zielgerichtete Phishing-E-Mails nur für die Leute erstellen, die ihre Mühe wert sind.
Kümmern Sie sich nicht darum, dass einige dieser URLs Parameter angehängt haben, zum Beispiel LastPass speichert manchmal URLs zum Zurücksetzen von Passwörtern. Und gelegentlich sind sie immer noch gültig.
Er weist Behauptungen zurück, dass Benutzerdaten wegen der Schwierigkeit, Master-Passwörter zu knacken, sicher sind, wobei LastPass die Verantwortung auf die Benutzer verlagert. Eine Anforderung für längere Passwörter gilt nur für Konten, die in den letzten vier Jahren erstellt wurden, und die Behauptung des Unternehmens, dass es „eine stärker als übliche Implementierung von 100.100 Iterationen der Password-Based Key Derivation Function (PBKDF2) verwendet, eine Passwort-Stärkung Algorithmus das macht es schwierig, Ihr Master-Passwort zu erraten”wird ebenfalls in Frage gestellt. Palant sagt:
Beachte hier”stärker als üblich”. Ich frage mich ernsthaft, was LastPass als typisch ansieht, da 100.000 PBKDF2-Iterationen die niedrigste Zahl sind, die ich in einem aktuellen Passwort-Manager gesehen habe. Und es ist auch die niedrigste Schutzstufe, die heute noch einigermaßen (gerade noch) akzeptabel ist.
Tatsächlich empfiehlt OWASP derzeit 310.000 Iterationen. LastPass hat seinen Standardwert seit 2018 nicht erhöht, obwohl moderne Grafikkarten in dieser Zeit viel besser darin wurden, PBKDF2-geschützte Passwörter zu erraten – zumindest um den Faktor 7.
Es gibt viele andere Beschwerden und viel mehr Verurteilung von LastPass, nicht zuletzt wegen des Vorschlags des Unternehmens an die Benutzer:”Es gibt derzeit keine empfohlenen Maßnahmen, die Sie ergreifen müssen.”
Diese Aussage wird laut gehämmert:
Das ist nur grobe Fahrlässigkeit. Es gibt sicherlich empfohlene Maßnahmen, und nicht nur für Leute mit zu einfachen Master-Passwörtern oder einer zu geringen Anzahl von Iterationen. Hinreichend entschlossene Angreifer können die Daten für fast jeden entschlüsseln. Die Frage ist nur, ob es sich für sie lohnt.
Also sollte jeder, der ein hochrangiges Ziel sein könnte (Aktivisten, Dissidenten, Unternehmensadministratoren usw.), sofort in Erwägung ziehen, alle seine Passwörter zu ändern. Sie können natürlich auch in Betracht ziehen, zu einem Konkurrenten zu wechseln, der sich im Falle eines Verstoßes mehr um Ihre Sicherheit als um die Wahrung seines Gesichts kümmert.
Sie können den vollständigen Blogbeitrag von Wladimir Palant lesen hier. p>
Palant ist mit seiner Kritik an LastPass bei weitem nicht allein. Drüben auf Mastodon greift der Sicherheitsforscher Jeremi M. Gosney die Sicherheitsbehauptungen des Unternehmens mit den Worten auf:
Die Behauptung von LastPass „Zero Knowledge“ ist eine glatte Lüge. Sie haben ungefähr so viel Wissen, wie ein Passwort-Manager möglicherweise durchkommen kann. Jedes Mal, wenn Sie sich bei einer Website anmelden, wird ein Ereignis generiert und an LastPass gesendet, um zu verfolgen, bei welchen Websites Sie sich anmelden. Sie können die Telemetrie deaktivieren, außer dass das Deaktivieren nichts bewirkt-es ruft immer noch LastPass an, wenn Sie sich irgendwo authentifizieren. Außerdem ist fast alles in Ihrem LastPass-Vault unverschlüsselt. Ich denke, die meisten Leute stellen sich ihren Tresor als eine Art verschlüsselte Datenbank vor, in der die gesamte Datei geschützt ist, aber nein – mit LastPass ist Ihr Tresor eine Klartextdatei und nur wenige ausgewählte Felder sind verschlüsselt.
Er fährt fort, sich über schlechte Verschlüsselung,”Müll”-Browsererweiterungen und schlechte Sicherheitspraktiken zu beschweren.
Bildnachweis: kentoh/depositphotos