LastPass

LastPass


Screenshot (niederländisch)
Basisdaten

Entwickler GoTo
Erscheinungsjahr 22. August 2008
Aktuelle Version 4.69.0[1]
(Format invalid)
Betriebssystem plattformunabhängig
Programmier­sprache JavaScript
Kategorie Passwortmanager
Lizenz kommerziell
deutschsprachig ja
www.lastpass.com

LastPass ist ein webbasierter Passwortmanager-Online-Dienst. Er wird seit 2008 im Freemium-Modell angeboten.[2] Er bietet ein Webinterface, zahlreiche Browser-Add-ons und eigene Apps für Android, iOS und Windows Phone.[3] Zwischen 2011 und 2022 kam es bei LastPass zu erheblichen Sicherheitsvorfällen.

Die Verschlüsselung geschieht mit dem AES-Algorithmus und 256 Bit Länge sowie PBKDF2 SHA-256 und Salted Hashes.[3] Die Verschlüsselung der Passwörter und aller im Passwort Vault (Passwort-Tresor) gespeicherten Daten geschieht rein lokal. Der Hersteller kennt das Masterpasswort nicht.[4][5]

LastPass wurde im Oktober 2015 für 125 Millionen US-Dollar von dem Softwareunternehmen LogMeIn übernommen. Der neue Eigentümer plante, den Passwortmanager verstärkt auch für Unternehmen anzubieten.[6]

Im Dezember 2019 gab LogMeIn per Pressemitteilung bekannt, an Tochtergesellschaften von Francisco Partners verkauft zu werden.[7] Der Verkauf wurde im März 2020 von den Aktionären genehmigt und im August 2020 durchgeführt.[8] Am 14. Dezember 2021 gab GoTo bekannt, dass LastPass unabhängig werde. Die Abspaltung wurde im Mai 2024 abgeschlossen. LastPass wird nun direkt von Francisco Partners und Elliott Management kontrolliert, den Private-Equity-Firmen, die GoTo im Jahr 2020 übernahmen.

Überblick

LastPass ist eine Browsererweiterung und App zur Verwaltung von Passwörtern.[9][10] Es speichert Benutzernamen und Passwörter und verwendet diese Daten dann, um Anmeldeformulare auf der Grundlage der Einstellungen des Benutzers automatisch auszufüllen.[11] Die Anmeldedaten des Benutzers werden in einer zentralen, verschlüsselten Datenbank gespeichert und dann auf jedem Gerät verfügbar gemacht, auf dem LastPass installiert ist.[12] Um auf alle in LastPass gespeicherten Passwörter zuzugreifen, wird ein Master-Passwort verwendet.[13]

Benutzer können Passworthinweise einrichten[14]; 2014 wurde ein Zufallspasswort-Generator hinzugefügt.[15] LastPass basiert auf einem Freemium-Geschäftsmodell mit kostenpflichtigen Lizenzen für Unternehmen oder Benutzer mit erweiterten Ansprüchen[16], um Zugangsdaten im Team freizugeben, Benutzerberechtigungen anzupassen,[13] die verschlüsselte Dateispeicherung zu nutzen oder andere Sicherheitsfunktionen hinzuzufügen.[17][18]

Sicherheitsprobleme

Als Passwortmanager wurde LastPass mehrmals Ziel von Angriffen, so im Mai 2011, Juni 2015 und Juli 2016. Im Juni 2015 konnten die Angreifer E-Mail-Adressen, Passworterinnerungen und Authentifizierungshashes, die für das Einloggen in LastPass benötigt werden, entwenden, diese entsprechen jedoch nicht den Passwörtern und können nur mit sehr hohem Aufwand zurückgerechnet werden. LastPass empfahl die Änderung des Masterpassworts.[5]

Im Juli 2016 entdeckte die Sicherheitsfirma Detectify eine Lücke im LastPass-Browser-Add-on. Diese wurde bereits vor der öffentlichen Bekanntmachung geschlossen.[19]

Im März 2017 fand Tavis Ormandy von Googles Project Zero mehrere Lücken in der Version 4.1.43.[20] Diese wurde vom Hersteller mit der Version 4.1.44 auch umgehend geschlossen.[21]

Im April 2017 wurde bekannt, dass LastPass in der Implementierung der Zwei-Faktor-Authentifizierung (2FA) elementare Fehler begangen hatte. Damit war es möglich, den zweiten Faktor abzufangen, wenn auch nicht das Masterpasswort. Die Schwachstelle wurde nach eigenen Angaben geschlossen.[22]

Laut Angaben des Online-Nachrichtenportals Golem.de vom Februar 2019 speichert LastPass die Passwörter im Arbeitsspeicher: „Die Passwortdatenbank wird ebenfalls komplett im RAM vorgehalten – und verbleibt dort, auch wenn Lastpass gesperrt wurde.“[23]

Ende 2021 meldete das Online-Magazin BleepingComputer in einem Artikel, dass LastPass-Nutzer gewarnt wurden, dass ihr Masterpasswort kompromittiert wurde.[24]

LastPass veröffentlichte im August 2022 einen Blogartikel, in dem die Firma angab, „ungewöhnliche Netzwerkaktivitäten“ festgestellt zu haben. Hier wurde auf interne Entwicklungsumgebungen zugegriffen und Teile des Quellcodes sowie andere interne Technologien kopiert. Laut eigenen Angaben sind keine Kundendaten betroffen gewesen.[25]

Ende November 2022 veröffentlichte die Firma einen Blogartikel zu einem weiteren Sicherheitsvorfall. Es wurden „ungewöhnliche Aktivitäten“ bei einem Drittanbieter für Storage-Server festgestellt. Laut LastPass wurden für den unberechtigten Zugriff Erkenntnisse aus den Daten des Sicherheitsvorfalls von wenigen Monaten zuvor verwendet. Es seien diverse Kundendaten betroffen, nicht jedoch die verschlüsselten Passwörter.[26] In einer späteren Stellungnahme im Dezember 2022 gab LastPass zu, dass sowohl unverschlüsselte (etwa URLs) wie auch verschlüsselte Daten der Kunden wie E-Mail-Adressen und Passwörter abgegriffen worden seien (Passwort-Safes).[27] Die Sicherheit der verschlüsselten Daten hinge dabei nur von der Stärke des Masterpasswortes ab, das die Kunden vergeben hatten.[28]

Kritik

In der Android-Version von LastPass werden mehrere Programmbibliotheken verwendet, die zur Fehlerdiagnose, aber auch zum Tracking von Nutzerverhalten verwendet werden können. Teilweise werden dabei personenbezogene Daten an Dritte übermittelt. Neben diesen Datenschutzproblemen wird kritisiert, dass die verwendeten Programmbibliotheken grundsätzlich ein Einfallstor für Angreifer darstellen können.[29]

Siehe auch

Einzelnachweise

  1. a b Release Notes. LogMeIn, abgerufen am 21. Mai 2021 (englisch).
  2. Abos und Preise. LogMeIn, abgerufen am 30. Januar 2021.
  3. a b Funktionsweise. LogMeIn, abgerufen am 30. Januar 2021.
  4. Lastpass Support. LogMeIn, abgerufen am 30. Januar 2021.
  5. a b Eike Kühl: Einbruch beim Passwortmanager. Zeit Online, 16. Juni 2015, abgerufen am 30. Januar 2021.
  6. Andreas Donath: Passwort-Manager Lastpass für 125 Millionen US-Dollar verkauft. Golem.de, 12. Oktober 2015, abgerufen am 30. Januar 2021.
  7. LogMeIn Enters into Definitive Agreement to be Acquired by Affiliates of Francisco Partners and Evergreen Coast Capital for $86.05 per Share in Cash. LogMeIn, 12. Dezember 2019, archiviert vom Original (nicht mehr online verfügbar) am 26. Januar 2021; abgerufen am 30. Januar 2021 (englisch).  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.logmeininc.com
  8. Francisco Partners and Evergreen Coast Capital Complete Acquisition of LogMeIn. GlobeNewswire, 31. August 2020, abgerufen am 30. Januar 2021.
  9. Jay Peters: LastPass is going to become an independent company. In: The Verge. 14. Dezember 2021, abgerufen am 19. Oktober 2023 (englisch).
  10. Maxim Tamarov: LastPass goes solo, plans to focus on mobile features. In: Enterprise Desktop. 17. Dezember 2021, abgerufen am 19. Oktober 2023 (englisch).
  11. Randall Stross: Why Encrypted Passwords Make a Difference — Digital Domain. In: The New York Times. 11. Juni 2011, abgerufen am 19. Oktober 2023 (englisch).
  12. Ian Paul: Lockdown: How to secure your PC without going crazy. In: PCWorld. 4. Oktober 2013, abgerufen am 19. Oktober 2023 (englisch).
  13. a b How To Safely Share Passwords With Others Who Need Them. In: ReadWrite. 30. Januar 2015, abgerufen am 19. Oktober 2023 (englisch, last=grauer).
  14. Andrew Chaikivsky: Everything You Need to Know About Password Managers In: Consumer Reports, 7. Februar 2017 (englisch). 
  15. Ian Paul: Nifty new LastPass, Dashlane features can change your passwords for you. In: PCWorld. 10. Dezember 2014, abgerufen am 19. Oktober 2023 (englisch).
  16. Sarah Perez: LogMeIn Acquires Password Management Software LastPass For $110 Million. In: TechCrunch. 9. Oktober 2015, abgerufen am 19. Oktober 2023 (englisch).
  17. Condé Nast: Get a Password Manager. No More Excuses. In: WIRED. 3. Januar 2018, abgerufen am 19. Oktober 2023 (englisch).
  18. Sarah Jacobsson Purewal: LastPass Review: Great password management for a price. In: Tom's Hardware. 4. Mai 2022, abgerufen am 19. Oktober 2023 (englisch).
  19. Mathias Karlsson: How I made LastPass give me all your passwords. Detectify Labs, 27. Juli 2016, abgerufen am 30. Januar 2021 (englisch).
  20. Ronald Eikenberg: Zero-Day-Lücke in Passwort-Manager LastPass. heise online, 27. März 2017, abgerufen am 30. Januar 2021.
  21. Jan Schüßler: Weitere Lücke in LastPass geschlossen, neue Version verfügbar. heise online, 4. Januar 2017, abgerufen am 30. Januar 2021.
  22. Dennis Schirrmacher: Passwortmanager Lastpass patzt bei Zwei-Faktor-Authentifizierung. heise online, 24. April 2017, abgerufen am 30. Januar 2021.
  23. Moritz Tremmel: Passwortmanager hinterlassen Passwörter im Arbeitsspeicher. Golem.de, 21. Februar 2019, abgerufen am 30. Januar 2021.
  24. LastPass users warned their master passwords are compromised. Abgerufen am 25. August 2022 (amerikanisches Englisch).
  25. Karim Toubba: Notice of Recent Security Incident. 25. August 2022, abgerufen am 25. August 2022.
  26. Karim Toubba: Notice of Recent Security Incident. 30. November 2022, abgerufen am 1. Dezember 2022.
  27. Karim Toubba: Notice of Recent Security Incident. 22. Dezember 2022, abgerufen am 23. Dezember 2022.
  28. heise online: Passwortmanager: LastPass-Hacker haben Zugriff auf Kennworttresore von Kunden. Abgerufen am 23. Dezember 2022.
  29. Moritz Tremmel: Lastpass, nimm die Tracker aus dem Passwortmanager! Golem.de, 23. Februar 2021, abgerufen am 27. Februar 2021.

 

Index: pl ar de en es fr it arz nl ja pt ceb sv uk vi war zh ru af ast az bg zh-min-nan bn be ca cs cy da et el eo eu fa gl ko hi hr id he ka la lv lt hu mk ms min no nn ce uz kk ro simple sk sl sr sh fi ta tt th tg azb tr ur zh-yue hy my ace als am an hyw ban bjn map-bms ba be-tarask bcl bpy bar bs br cv nv eml hif fo fy ga gd gu hak ha hsb io ig ilo ia ie os is jv kn ht ku ckb ky mrj lb lij li lmo mai mg ml zh-classical mr xmf mzn cdo mn nap new ne frr oc mhr or as pa pnb ps pms nds crh qu sa sah sco sq scn si sd szl su sw tl shn te bug vec vo wa wuu yi yo diq bat-smg zu lad kbd ang smn ab roa-rup frp arc gn av ay bh bi bo bxr cbk-zam co za dag ary se pdc dv dsb myv ext fur gv gag inh ki glk gan guw xal haw rw kbp pam csb kw km kv koi kg gom ks gcr lo lbe ltg lez nia ln jbo lg mt mi tw mwl mdf mnw nqo fj nah na nds-nl nrm nov om pi pag pap pfl pcd krc kaa ksh rm rue sm sat sc trv stq nso sn cu so srn kab roa-tara tet tpi to chr tum tk tyv udm ug vep fiu-vro vls wo xh zea ty ak bm ch ny ee ff got iu ik kl mad cr pih ami pwn pnt dz rmy rn sg st tn ss ti din chy ts kcg ve
Prefix: a b c d e f g h i j k l m n o p q r s t u v w x y z 0 1 2 3 4 5 6 7 8 9

Portal di Ensiklopedia Dunia

Portal : Agama
Agama
Portal : Bahasa
Bahasa
Portal : Biografi
Biografi
Portal : Budaya
Budaya
Portal : Ekonomi
Ekonomi
Portal : Elektronika
Elektronika
Portal : Film
Film
Portal : Filsafat
Filsafat
Portal : Geografi
Geografi
Portal : Indonesia
Indonesia
Portal : Ilmu
Ilmu
Portal : Lingkungan
Lingkungan
Portal : Masyarakat
Masyarakat
Portal : Matematika
Matematika
Portal : Militer
Militer
Portal : Mitologi
Mitologi
Portal : Musik
Musik
Portal : Olahraga
Olahraga
Portal : Pendidikan
Pendidikan
Portal : Politik
Politik
Portal : Sastra
Sastra
Portal : Sejarah
Sejarah
Portal : Seni
Seni
Portal : Teknologi
Teknologi