Wenn du nach einem Passwort-Manager suchst, ist LastPass ein prominenter Kandidat. Das Unternehmen hatte jedoch eine turbulente Geschichte, was dich vielleicht fragen lässt: Ist LastPass sicher?
Aufgrund der schlechten Erfolgsbilanz bei Sicherheitsproblemen lautet die kurze Antwort, dass LastPass nicht sicher ist und du es wahrscheinlich meiden solltest. Wenn du es bereits installiert hast, ist die sicherste Option, LastPass zu löschen und alle Daten, die das Unternehmen besitzt, zu exportieren und dann zu löschen, damit sie nicht mehr gefährdet sind.
Wir raten nicht oft so stark von anderen Online-Diensten ab, und obwohl kein System 100% sicher ist, sollten die anhaltenden Sicherheitsprobleme bei LastPass bei jedem, der erwägt, dort seine sensibelsten Daten zu speichern, die Alarmglocken läuten lassen. Schauen wir uns an, warum wir diese Empfehlung ausgesprochen haben.
- Wie sicher ist LastPass?
- Eine Zeitleiste der Sicherheitsvorfälle bei LastPass
- Was anstelle von LastPass verwenden
Wie sicher ist LastPass?
Es gibt eine Fülle von Beweisen und Forschungen, die zeigen, dass LastPass nicht sicher zu verwenden ist. Das Unternehmen hat bei mehreren Gelegenheiten den Ball fallen lassen, was zu einigen der größten Sicherheitsbrüche in der Geschichte des Webs führte.
Viele dieser Probleme scheinen aus der Unfähigkeit des Unternehmens zu resultieren, aus seinen Fehlern zu lernen und die dringend benötigten Sicherheitsmaßnahmen zu implementieren, die normalerweise bei jedem Passwort-Manager Standard sind, einschließlich unserem, Proton Pass.
Eine Zeitleiste der Sicherheitsvorfälle bei LastPass
LastPass wurde 2008 gegründet und hatte seit 2011 fast jedes Jahr irgendeinen Sicherheitsskandal. Obwohl nicht jeder dieser Vorfälle ein vollständiger Datenverstoß war, entsteht schnell das Bild eines Unternehmens, das Sicherheit anscheinend nicht besonders ernst nimmt und eine Katastrophe unvermeidlich macht. Lassen uns alle größeren Vorfälle durchgehen, die LastPass in seiner kurzen Existenz erlebt hat.
2011: Ein kleiner, begrenzter Verstoß
Der erste Verstoß, den LastPass erlebte, war ein kleiner, begrenzter Verstoß im Mai 2011, bei dem die Kontodetails von LastPass-Nutzern — vielleicht nur ein paar Hundert — möglicherweise freigelegt wurden(neues Fenster). Dies lag wahrscheinlich daran, dass viele dieser Kunden leicht zu entschlüsselnde Passwörter für ihr LastPass-Konto verwendet hatten. Das machte sie anfällig für Brute-Force-Angriffe, bei denen Kriminelle Software verwenden, um Passwörter zu „erraten“.
In einem inzwischen gelöschten Blogbeitrag — ein Verhaltensmuster, das wir in dieser Zeitleiste noch öfter sehen werden — empfahl LastPass, dass stärkere Passwörter verwendet werden, um Konten zu sichern, sowie sicherzustellen, dass jeder Zugriffsversuch über eine IP-Adresse verifiziert wird. Seit 2011 haben sich die Methoden zum Schutz vor Brute-Force-Angriffen verbessert, aber damals war es eine angemessene Reaktion.
2015: Brute-Force-Angriff unbekannter Dauer
Im Juni 2015, vier Jahre nach dem letzten Hack, wurde LastPass erneut angegriffen(neues Fenster) und auf sehr ähnliche Weise. Kriminelle versuchten, Zugang durch Brute-Force zu erlangen und schafften es, zu den Konten von Personen durchzudringen, die schwache Passwörter verwendet hatten. LastPass reagierte erneut recht umfassend, informierte die Strafverfolgungsbehörden und setzte alle Masterpasswörter zurück, was die Nutzer zwang, sich per E-Mail einzuloggen.
Allerdings begann LastPass auch damit, keine Details des Angriffs preiszugeben, insbesondere nicht, wie viele Personen betroffen waren und wie lange der Angriff andauerte, bevor er entdeckt wurde. Der Erfolg eines Brute-Force-Angriffs lässt sich an der Zeit messen, die Angreifer dafür aufwenden können; je schneller du reagierst, desto weniger erfolgreich ist er. Die Tatsache, dass LastPass diese Details nicht veröffentlichte, erweckte den Eindruck, dass der Angriff möglicherweise länger andauerte, als es sicher wäre.
2016: White-Hat-Hacks
Im Jahr nach dem Brute-Force-Angriff gab es eine Reihe von Vorfällen, bei denen Sicherheitsforschern – sogenannten White-Hat-Hackern, die Sicherheit testen, um sie zu verbessern, nicht um Daten zu stehlen – der Durchbruch gelang.
Der erste wurde im Januar bekannt. Er bestand aus einem einfachen Phishing-Angriff, bei dem LastPass-Nutzer leicht dazu verleitet werden konnten, ihre Anmeldeinformationen preiszugeben. Die Details dazu werden auf Hackread(neues Fenster) erklärt, doch am interessantesten ist wahrscheinlich die Reaktion von LastPass. Das Unternehmen wies Kritik zurück, indem es behauptete, es handele sich um einen Phishing-Angriff und somit um etwas, das außerhalb seiner Zuständigkeit liege, und ignorierte die Tatsache, dass Unternehmen für solche Eventualitäten planen können.
Der zweite Vorfall(neues Fenster) im Juli 2016 war ein ähnliches Szenario, bei dem der bei Google angestellte Sicherheitsforscher Tavis Ormandy – ein Name, der uns gleich wieder begegnen wird – das Firefox-Add-on von LastPass täuschte, um Benutzerdetails preiszugeben. LastPass reagierte darauf, indem es eine Sicherheitswarnung in einem inzwischen gelöschten Blogpost (ein weiterer vergeblicher Versuch, die Geschichte zu löschen) veröffentlichte, um die Erweiterung zu aktualisieren.
Der letzte und schlimmste Fehler wurde im selben Monat vom Sicherheitsforscher Mathias Karlsson entdeckt. Die Details findest du hier(neues Fenster), aber kurz gesagt hinterließ LastPass einen üblen Bug in seinem Code, der es einem findigen Hacker ermöglichte, jegliche über die Autofill-Funktion von LastPass verwendeten Passwörter auf einer Website zu extrahieren. Glücklicherweise behob LastPass das Problem, sobald Karlsson es meldete, und zahlte ihm auch eine Prämie für die Entdeckung.
2017: Weitere Bugs, kleinere und größere
Tavis Ormandy scheint LastPass irgendwann zu seinem persönlichen Projekt gemacht zu haben, denn er legte 2016 und 2017 ein stetiges Tempo an Enthüllungen vor. Die meisten davon waren ziemlich einfach und vor allem wegen ihrer großen Anzahl bemerkenswert. LastPass scheint die Qualitätskontrolle nicht sehr ernst genommen zu haben, oder zumindest angenommen, dass Leute wie Ormandy diese für sie erledigen würden.
Es gab jedoch einen Fehler, der ernst genug war, um im März 2017 auf den Seiten von The Guardian(neues Fenster) zu landen. Leider wissen wir nicht allzu viel darüber, was genau passiert ist, da das Bekanntgeben von Details die LastPass-Nutzer anscheinend noch unsicherer machen könnte, als sie es ohnehin schon waren. Wenn du Transparenz für einen wesentlichen Bestandteil der Sicherheit hältst – und das tun wir –, sollte das Grund genug sein, LastPass nie zu verwenden.
2019: Ormandy schlägt erneut zu
Ormandy setzte seine Arbeit fort, LastPass bloßzustellen, und fand viele kleinere Bugs. Im September 2019 entdeckte er jedoch erneut etwas, das schlimm genug war, um in der Presse Erwähnung zu finden. Wie schon 2016 war es ein Bug in einer Browsererweiterung, diesmal in denen für Opera und Chrome, der Angreifern erlaubte, Anmeldeinformationen(neues Fenster) von Websites zu extrahieren, die die Nutzer zuvor besucht hatten.
LastPass behebte den Bug, sobald Ormandy ihn meldete, sprach aber recht gelassen darüber, da er „nur“ die Erweiterungen für Chrome und Opera betraf; keine Erwähnung, dass Chrome bei Weitem der am weitesten verbreitete Browser(neues Fenster) ist.
2021: LastPass beim Datensammeln erwischt
Im Februar 2021 kam der Sicherheitsforscher Mike Kuketz mit einer weiteren schockierenden Enthüllung(neues Fenster), nämlich dass LastPass Tracker in seinem Passwortmanager verwendete. Obwohl das Unternehmen behauptete, dies nur zu tun, um zu sehen, wie die Leute das Produkt nutzten, ist die Tatsache, dass solche Tracker auch zur Sammlung von Werbedaten verwendet werden können.
Das ist die wahrscheinlichste Erklärung. Wie Kuketz sagt, gibt es keinen Grund, Informationen auf die Art und Weise zu sammeln, wie es LastPass getan hat, denn es gibt weitaus sicherere und weniger invasive Methoden dafür.
2022: Der endgültige Nagel im Sarg?
Letztendlich holte LastPass’ Nachlässigkeit in Sachen Sicherheit das Unternehmen wieder ein. Im Laufe mehrerer Monate musste das Unternehmen mehrere schwere Sicherheitsverletzungen zugeben und wurde dabei erwischt, wie es die Schwere der Vorfälle vertuschte. Wir haben die ganze Geschichte hier, aber hier ist eine Zusammenfassung:
Im August 2022 gab das Unternehmen zu, dass ein Hacker Zugang zur Entwicklungsplattform des Unternehmens erhalten hatte (denke daran als eine Werkstatt, in der Software zusammengestellt und getüftelt wird, bevor sie auf den Markt kommt), aber keinen Zugang zu Kundeninformationen bekommen konnte. Im Dezember musste das Unternehmen zugeben, dass die Entwicklungsplattform erneut kompromittiert wurde und dass dieses Mal Angreifer Kundendaten gestohlen hatten.
Dann stellte sich im März 2023 heraus, dass das Unternehmen in früheren Aussagen gelogen hatte und dass Angreifer viel mehr gestohlen hatten, einschließlich eines Blicks nicht nur auf Kundendaten, sondern sogar auf die Sicherheitsarchitektur von LastPass selbst. Das macht LastPass praktisch für immer verwundbar, es sei denn, es überholt seine Architektur komplett.
Was man statt LastPass verwenden sollte
Wie du siehst, steht der letzte LastPass-Hack nicht alleine da; das Unternehmen hat eine lange Geschichte darin, Sicherheit nicht ernst zu nehmen und seine Kunden an letzter Stelle zu setzen. Immer wieder hat es versagt, kompetente Produkte zu liefern und dann, wenn es erwischt wurde, die Auswirkungen auf die Kunden heruntergespielt – wenn es nicht gerade offen gelogen hat.
Wenn du immer noch ein LastPass-Nutzer bist, verdienst du Besseres. Deswegen haben wir Proton Pass entwickelt, einen Passwort-Manager, der Sicherheit ernst nimmt und Menschen mit Respekt behandelt. Wir tun dies durch Transparenz, mit vollständigem Open-Source-Client-Code, was bedeutet, dass jeder unsere Arbeit überprüfen kann. Unser Code wird auch unabhängig von Drittanbietern auf Sicherheit geprüft. Unsere Sicherheit wird weiterhin durch Protons Bug-Bounty-Programm verstärkt, das Sicherheitsforscher dazu anregt, unseren Code auf Herz und Nieren zu prüfen.
Erfahre mehr über die Sicherheit von Proton Pass.
Als ein Unternehmen, das von Wissenschaftlern gegründet wurde, sind Transparenz und Peer-Review Kernwerte und wir werden von der Mission geleitet, das Web privater und sicherer zu machen.
Als Proton-Nutzer erhältst du Zugang zu Spitzentechnologie, die Zwei-Faktor-Authentifizierung verwendet, um dich vor Brute-Force-Angriffen zu schützen, sowie zu ausgefeilter Anti-Phishing-Technologie und integrierten Datenschutzfunktionen wie Hide-my-email-Aliasen.
Wenn dir das alles zusagt, trete uns noch heute bei. Wir haben einen Leitfaden, wie du deine LastPass-Daten einfach zu Proton Pass exportieren kannst.