www.wikidata.de-de.nina.az

LastPass ist ein webbasierter Passwortmanager Online Dienst Er wird seit 2008 im Freemium Modell angeboten 2 Er bietet e

LastPass

LastPass ist ein webbasierter Passwortmanager-Online-Dienst. Er wird seit 2008 im Freemium-Modell angeboten. Er bietet ein Webinterface, zahlreiche Browser-Add-ons und eigene Apps für Android, iOS und Windows Phone.

LastPass


Screenshot (niederländisch)
Basisdaten

Entwickler GoTo
Erscheinungsjahr 22. August 2008
Aktuelle Version 4.69.0
(8. April 2021)
Betriebssystem plattformunabhängig
Programmiersprache JavaScript
Kategorie Passwortmanager
Lizenz kommerziell
deutschsprachig ja
www.lastpass.com

Die Verschlüsselung geschieht mit dem AES-Algorithmus und 256 Bit Länge sowie PBKDF2 SHA-256 und Salted Hashes. Die Verschlüsselung der Passwörter und aller im Passwort Vault gespeicherten Daten geschieht rein lokal. Der Hersteller kennt das Masterpasswort nicht.

LastPass wurde im Oktober 2015 für 125 Millionen US-Dollar von dem Softwareunternehmen LogMeIn übernommen. Der neue Eigentümer plante, den Passwortmanager verstärkt auch für Unternehmen anzubieten.

Im Dezember 2019 gab LogMeIn per Pressemitteilung bekannt, an Tochtergesellschaften von Francisco Partners verkauft zu werden. Der Verkauf wurde im März 2020 von den Aktionären genehmigt und im August 2020 durchgeführt.

Sicherheitsprobleme Bearbeiten

Als Passwortmanager wurde LastPass mehrmals Ziel von Angriffen, so im Mai 2011, Juni 2015 und Juli 2016. Im Juni 2015 konnten die Angreifer E-Mail-Adressen, Passworterinnerungen und Authentifizierungshashes, die für das Einloggen in LastPass benötigt werden, entwenden, diese entsprechen jedoch nicht den Passwörtern und können nur mit sehr hohem Aufwand zurückgerechnet werden. LastPass empfahl die Änderung des Masterpassworts.

Im Juli 2016 entdeckte die Sicherheitsfirma Detectify eine Lücke im LastPass-Browser-Add-on. Diese wurde bereits vor der öffentlichen Bekanntmachung geschlossen.

Im März 2017 fand Tavis Ormandy von Googles Project Zero mehrere Lücken in der Version 4.1.43. Diese wurde vom Hersteller mit der Version 4.1.44 auch umgehend geschlossen.

Im April 2017 wurde bekannt, dass LastPass in der Implementierung der Zwei-Faktor-Authentifizierung (2FA) elementare Fehler begangen hatte. Damit war es möglich, den zweiten Faktor abzufangen, wenn auch nicht das Masterpasswort. Die Schwachstelle wurde nach eigenen Angaben geschlossen.

Laut Angaben des Online-Nachrichtenportals Golem.de vom Februar 2019 speichert LastPass die Passwörter im Arbeitsspeicher: „Die Passwortdatenbank wird ebenfalls komplett im RAM vorgehalten – und verbleibt dort, auch wenn Lastpass gesperrt wurde.“

Ende 2021 meldete das Online-Magazin BleepingComputer in einem Artikel, dass LastPass Nutzer darüber gewarnt wurden, dass ihr Masterpasswort kompromittiert wurde.

LastPass veröffentlichte im August 2022 einen Blogartikel, in dem die Firma angab, „ungewöhnliche Netzwerkaktivitäten“ festgestellt zu haben. Hier wurde auf interne Entwicklungsumgebungen zugegriffen und Teile des Quellcodes sowie andere interne Technologien kopiert. Laut eigenen Angaben sind keine Kundendaten betroffenen gewesen.

Ende November 2022 veröffentlichte die Firma einen Blogartikel zu einem weiteren Sicherheitsvorfall. Es wurden „ungewöhnliche Aktivitäten“ bei einem Drittanbieter für Storage-Server festgestellt. Laut LastPass wurden für den unberechtigten Zugriff Erkenntnisse aus den Daten des Sicherheitsvorfalls von wenigen Monaten zuvor verwendet. Es seien diverse Kundendaten betroffen, nicht jedoch die verschlüsselten Passwörter. In einer späteren Stellungnahme im Dezember 2022 gab LastPass zu, dass sowohl unverschlüsselte (etwa URLs) wie auch verschlüsselte Daten der Kunden wie E-Mail-Adressen und Passwörter abgegriffen worden seien (Passwort-Safes). Die Sicherheit der verschlüsselten Daten hinge dabei nur von der Stärke des Masterpasswortes ab, das die Kunden vergeben hatten.

Kritik Bearbeiten

In der Android-Version von LastPass werden mehrere Programmbibliotheken verwendet, die zur Fehlerdiagnose aber auch zum Tracking von Nutzerverhalten verwendet werden können. Teilweise werden dabei personenbezogene Daten an Dritte übermittelt. Neben diesen Datenschutzproblemen wird kritisiert, dass die verwendeten Programmbibliotheken grundsätzlich ein Einfallstor für Angreifer darstellen können.

Siehe auch Bearbeiten

Einzelnachweise Bearbeiten

  1. Release Notes. LogMeIn, abgerufen am 21. Mai 2021 (englisch).
  2. Abos und Preise. LogMeIn, abgerufen am 30. Januar 2021.
  3. Funktionsweise. LogMeIn, abgerufen am 30. Januar 2021.
  4. Lastpass Support. LogMeIn, abgerufen am 30. Januar 2021.
  5. Eike Kühl: Einbruch beim Passwortmanager. Zeit Online, 16. Juni 2015, abgerufen am 30. Januar 2021.
  6. Andreas Donath: Passwort-Manager Lastpass für 125 Millionen US-Dollar verkauft. Golem.de, 12. Oktober 2015, abgerufen am 30. Januar 2021.
  7. (Nicht mehr online verfügbar.) LogMeIn, 12. Dezember 2019, archiviert vom Original am 26. Januar 2021; abgerufen am 30. Januar 2021 (englisch).  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.logmeininc.com
  8. Francisco Partners and Evergreen Coast Capital Complete Acquisition of LogMeIn. GlobeNewswire, 31. August 2020, abgerufen am 30. Januar 2021.
  9. Mathias Karlsson: How I made LastPass give me all your passwords. Detectify Labs, 27. Juli 2016, abgerufen am 30. Januar 2021 (englisch).
  10. Ronald Eikenberg: Zero-Day-Lücke in Passwort-Manager LastPass. heise online, 27. März 2017, abgerufen am 30. Januar 2021.
  11. Jan Schüßler: Weitere Lücke in LastPass geschlossen, neue Version verfügbar. heise online, 4. Januar 2017, abgerufen am 30. Januar 2021.
  12. Dennis Schirrmacher: Passwortmanager Lastpass patzt bei Zwei-Faktor-Authentifizierung. heise online, 24. April 2017, abgerufen am 30. Januar 2021.
  13. Moritz Tremmel: Passwortmanager hinterlassen Passwörter im Arbeitsspeicher. Golem.de, 21. Februar 2019, abgerufen am 30. Januar 2021.
  14. LastPass users warned their master passwords are compromised. Abgerufen am 25. August 2022 (amerikanisches Englisch).
  15. Karim Toubba: Notice of Recent Security Incident. 25. August 2022, abgerufen am 25. August 2022.
  16. Karim Toubba: Notice of Recent Security Incident. 30. November 2022, abgerufen am 1. Dezember 2022.
  17. Karim Toubba: Notice of Recent Security Incident. 22. Dezember 2022, abgerufen am 23. Dezember 2022.
  18. heise online: Passwortmanager: LastPass-Hacker haben Zugriff auf Kennworttresore von Kunden. Abgerufen am 23. Dezember 2022.
  19. Moritz Tremmel: Lastpass, nimm die Tracker aus dem Passwortmanager! Golem.de, 23. Februar 2021, abgerufen am 27. Februar 2021.
wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
LastPass ist ein webbasierter Passwortmanager Online Dienst Er wird seit 2008 im Freemium Modell angeboten 2 Er bietet ein Webinterface zahlreiche Browser Add ons und eigene Apps fur Android iOS und Windows Phone 3 LastPassScreenshot niederlandisch BasisdatenEntwickler GoToErscheinungsjahr 22 August 2008Aktuelle Version 4 69 0 1 8 April 2021 1 Betriebssystem plattformunabhangigProgrammiersprache JavaScriptKategorie PasswortmanagerLizenz kommerzielldeutschsprachig jawww lastpass comDie Verschlusselung geschieht mit dem AES Algorithmus und 256 Bit Lange sowie PBKDF2 SHA 256 und Salted Hashes 3 Die Verschlusselung der Passworter und aller im Passwort Vault gespeicherten Daten geschieht rein lokal Der Hersteller kennt das Masterpasswort nicht 4 5 LastPass wurde im Oktober 2015 fur 125 Millionen US Dollar von dem Softwareunternehmen LogMeIn ubernommen Der neue Eigentumer plante den Passwortmanager verstarkt auch fur Unternehmen anzubieten 6 Im Dezember 2019 gab LogMeIn per Pressemitteilung bekannt an Tochtergesellschaften von Francisco Partners verkauft zu werden 7 Der Verkauf wurde im Marz 2020 von den Aktionaren genehmigt und im August 2020 durchgefuhrt 8 Inhaltsverzeichnis 1 Sicherheitsprobleme 2 Kritik 3 Siehe auch 4 EinzelnachweiseSicherheitsprobleme BearbeitenAls Passwortmanager wurde LastPass mehrmals Ziel von Angriffen so im Mai 2011 Juni 2015 und Juli 2016 Im Juni 2015 konnten die Angreifer E Mail Adressen Passworterinnerungen und Authentifizierungshashes die fur das Einloggen in LastPass benotigt werden entwenden diese entsprechen jedoch nicht den Passwortern und konnen nur mit sehr hohem Aufwand zuruckgerechnet werden LastPass empfahl die Anderung des Masterpassworts 5 Im Juli 2016 entdeckte die Sicherheitsfirma Detectify eine Lucke im LastPass Browser Add on Diese wurde bereits vor der offentlichen Bekanntmachung geschlossen 9 Im Marz 2017 fand Tavis Ormandy von Googles Project Zero mehrere Lucken in der Version 4 1 43 10 Diese wurde vom Hersteller mit der Version 4 1 44 auch umgehend geschlossen 11 Im April 2017 wurde bekannt dass LastPass in der Implementierung der Zwei Faktor Authentifizierung 2FA elementare Fehler begangen hatte Damit war es moglich den zweiten Faktor abzufangen wenn auch nicht das Masterpasswort Die Schwachstelle wurde nach eigenen Angaben geschlossen 12 Laut Angaben des Online Nachrichtenportals Golem de vom Februar 2019 speichert LastPass die Passworter im Arbeitsspeicher Die Passwortdatenbank wird ebenfalls komplett im RAM vorgehalten und verbleibt dort auch wenn Lastpass gesperrt wurde 13 Ende 2021 meldete das Online Magazin BleepingComputer in einem Artikel dass LastPass Nutzer daruber gewarnt wurden dass ihr Masterpasswort kompromittiert wurde 14 LastPass veroffentlichte im August 2022 einen Blogartikel in dem die Firma angab ungewohnliche Netzwerkaktivitaten festgestellt zu haben Hier wurde auf interne Entwicklungsumgebungen zugegriffen und Teile des Quellcodes sowie andere interne Technologien kopiert Laut eigenen Angaben sind keine Kundendaten betroffenen gewesen 15 Ende November 2022 veroffentlichte die Firma einen Blogartikel zu einem weiteren Sicherheitsvorfall Es wurden ungewohnliche Aktivitaten bei einem Drittanbieter fur Storage Server festgestellt Laut LastPass wurden fur den unberechtigten Zugriff Erkenntnisse aus den Daten des Sicherheitsvorfalls von wenigen Monaten zuvor verwendet Es seien diverse Kundendaten betroffen nicht jedoch die verschlusselten Passworter 16 In einer spateren Stellungnahme im Dezember 2022 gab LastPass zu dass sowohl unverschlusselte etwa URLs wie auch verschlusselte Daten der Kunden wie E Mail Adressen und Passworter abgegriffen worden seien Passwort Safes 17 Die Sicherheit der verschlusselten Daten hinge dabei nur von der Starke des Masterpasswortes ab das die Kunden vergeben hatten 18 Kritik BearbeitenIn der Android Version von LastPass werden mehrere Programmbibliotheken verwendet die zur Fehlerdiagnose aber auch zum Tracking von Nutzerverhalten verwendet werden konnen Teilweise werden dabei personenbezogene Daten an Dritte ubermittelt Neben diesen Datenschutzproblemen wird kritisiert dass die verwendeten Programmbibliotheken grundsatzlich ein Einfallstor fur Angreifer darstellen konnen 19 Siehe auch BearbeitenXmarksEinzelnachweise Bearbeiten a b Release Notes LogMeIn abgerufen am 21 Mai 2021 englisch Abos und Preise LogMeIn abgerufen am 30 Januar 2021 a b Funktionsweise LogMeIn abgerufen am 30 Januar 2021 Lastpass Support LogMeIn abgerufen am 30 Januar 2021 a b Eike Kuhl Einbruch beim Passwortmanager Zeit Online 16 Juni 2015 abgerufen am 30 Januar 2021 Andreas Donath Passwort Manager Lastpass fur 125 Millionen US Dollar verkauft Golem de 12 Oktober 2015 abgerufen am 30 Januar 2021 LogMeIn Enters into Definitive Agreement to be Acquired by Affiliates of Francisco Partners and Evergreen Coast Capital for 86 05 per Share in Cash Nicht mehr online verfugbar LogMeIn 12 Dezember 2019 archiviert vom Original am 26 Januar 2021 abgerufen am 30 Januar 2021 englisch nbsp Info Der Archivlink wurde automatisch eingesetzt und noch nicht gepruft Bitte prufe Original und Archivlink gemass Anleitung und entferne dann diesen Hinweis 1 2 Vorlage Webachiv IABot www logmeininc com Francisco Partners and Evergreen Coast Capital Complete Acquisition of LogMeIn GlobeNewswire 31 August 2020 abgerufen am 30 Januar 2021 Mathias Karlsson How I made LastPass give me all your passwords Detectify Labs 27 Juli 2016 abgerufen am 30 Januar 2021 englisch Ronald Eikenberg Zero Day Lucke in Passwort Manager LastPass heise online 27 Marz 2017 abgerufen am 30 Januar 2021 Jan Schussler Weitere Lucke in LastPass geschlossen neue Version verfugbar heise online 4 Januar 2017 abgerufen am 30 Januar 2021 Dennis Schirrmacher Passwortmanager Lastpass patzt bei Zwei Faktor Authentifizierung heise online 24 April 2017 abgerufen am 30 Januar 2021 Moritz Tremmel Passwortmanager hinterlassen Passworter im Arbeitsspeicher Golem de 21 Februar 2019 abgerufen am 30 Januar 2021 LastPass users warned their master passwords are compromised Abgerufen am 25 August 2022 amerikanisches Englisch Karim Toubba Notice of Recent Security Incident 25 August 2022 abgerufen am 25 August 2022 Karim Toubba Notice of Recent Security Incident 30 November 2022 abgerufen am 1 Dezember 2022 Karim Toubba Notice of Recent Security Incident 22 Dezember 2022 abgerufen am 23 Dezember 2022 heise online Passwortmanager LastPass Hacker haben Zugriff auf Kennworttresore von Kunden Abgerufen am 23 Dezember 2022 Moritz Tremmel Lastpass nimm die Tracker aus dem Passwortmanager Golem de 23 Februar 2021 abgerufen am 27 Februar 2021 Abgerufen von https de wikipedia org w index php title LastPass amp oldid 232723925