Ich bin ein Freund von Passwortmanagern. Seit vielen Jahren nutze ich solche Programme zur Speicherung meiner Logins. Jeder, der die Sicherheit seiner Daten und/oder des Accounts etwas größer als Schriftgröße fünf in seinem Kopf stehen hat, nutzt im Netz niemals das selbe Passwort mehr als einmal. Zudem sollte man Passwörter nicht nach einiger Zeit recyceln und erneut nutzen. Wenn man einen Blick auf die am häufigsten genutzten Passwörter wirft, merkt man recht schnell, dass das leider noch viel zu stark vernachlässigt wird – gar fahrlässig ignoriert wird. Ganz nach dem Motto „Wird schon nichts passieren“ werden oft einfache Passwörter wie „password“, „123456“, „qwertz“ und dergleichen zur Absicherung des Kontos hergenommen. Aber das ist beileibe keine Modeerscheinung, denn selbst Personen, die es eigentlich (besser) wissen müssten, nutz(t)en Passwörter, welche die Authentifizierungsschranke mittels einfacher Ratespiele oder Bruteforce-Attacken binnen Sekunden wirkungslos machten.
LastPass – Online-Passwortmanager
Vorweg: Dieser Artikel soll nicht als Werbung verstanden werden. Ich habe kein Geld oder sonstige Leistungen vom Entwickler für diesen Eintrag bekommen. Es ist ein reiner Erfahrungsbericht mit Hinweisen zur Einrichtung und Benutzung! 2015 habe ich anlässlich des jährlichen Password Days einen Beitrag über sichere Passwörter geschrieben. Darin habe ich den obigen Ansatz etwas ausführlicher erläutert und Tipps für sichere Passwörter gegeben. Zudem wurden auch Passwortmanager wie KeePass, LastPass oder auch 1Password erwähnt. Wie man an der Überschrift schon erkennt, widmet sich dieser Beitrag LastPass, einem Passwortmanager, der vieles richtig macht, aber noch gewaltig Potential hat. Ein toller Dienst – mit einem faden Beigeschmack.
Wie funktioniert LastPass?
LastPass ist in drei verschiedenen Modellen verfügbar:
- LastPass Free ist die kostenlose Variante, in der man neben der Passwortspeicherung auch anderweitige Daten wie Lizenzen, Kreditkartendaten usw. abspeichern kann („Secure notes“). Außerdem kommt ein Passwortgenerator für neue Logins und die 2FA ist inbegriffen.
- LastPass Premium kostet 12 USD pro Jahr. Damit kann man beliebig viele Geräte syncen und geteilte Passworteinträge erstellen, bspw. das Familienkonto für Amazon-Einkäufe.
- LastPass Enterprise ist für Business-Kunden und bietet neben allen anderen Features spezielle Dienste für die Integration in die Firmeninfrastruktur an (AD, SSO, Reporting, …).
Ein großer Pluspunkt für LastPass ist die Verfügbarkeit auf den verschiedenen Betriebssystemen. Schwierig ist das nicht, da der Passwortmanager mehr oder weniger nur im Browser als Erweiterung arbeitet. Eine Standalone-Version gibt es nicht – eher indirekt, doch dazu später mehr. Neben der Erweiterung kann man auch über die LastPass-Seite selbst auf seine „Vault“ zugreifen. So bezeichnet das Unternehmen den Tresor, in dem alle Passwörter gespeichert werden. Laut LastPass werden aber nicht die Klartext-Daten in der Vault gespeichert, sondern nur in verschlüsselter Form. Die Ver- und Entschlüsselung der Einträge geschieht immer auf dem jeweiligen Endgerät, also dem Computer, Tabelt oder Smartphone, niemals aber auf LastPass selbst. Als Schlüssel wird hierfür ein Masterpasswort benötigt, das initial eingegeben werden muss.
Wie nutzt man LastPass?
Um LastPass nutzen zu können muss lediglich auf der Startseite auf den großen, roten Knopf „Get LastPass Free“ geklickt werden. Je nach Browser (und korrektem Header) wird dann die passende Erweiterung für den Browser installiert.
Anschließend findet man in der Symbolleiste ein neues Icon. Zu beginn ist es grau mit drei weißen Punkten. Das signalisiert in Zukunft, dass man momentan keine Verbindung oder keine aktive Session zu seiner LastPass-Vault hat. Klickt man darauf kann man sich entweder anmelden oder ein neues Konto erstellen.
Hier spielt das Master-Passwort eine entscheidende Rolle. Es sollte sehr gut gewählt sein und bestenfalls mehr als 12 Zeichen beinhalten. Neben Groß- und Kleinbuchstaben schaden auch keine Ziffern und Sonderzeichen – im Gegenteil, es erhöht die Sicherheit. Dieses Passwort ist der Schlüssel zum Tresor. Geht es verloren, sind auch alle Logins verloren, die auf LastPass gespeichert sind. Das ist übrigens bei allen Passwortmanagern so. Daher sollte man sich dieses Master-Passwort außer im Gedächtnis auch noch irgendwo anders hinterlegen, möglichst fern vom Computer, bspw. auf Papier in einem Ordner. Wer noch eine Stufe höher gehen will kann das Passwort auch an einem anderen Ort aufbewahren, sollte es mal brennen oder aus irgendeinem Grund das Arbeitszimmer zerstört werden.
Ist man einmal angemeldet, hat man vollen Zugriff auf seine Passwörter, wahlweise via Erweiterung oder über die LastPass-Vault-Seite. Nun kann man dort entweder neue Logins oder „Secure notes“ anlegen.
Sobald man sich nun auf einer in der Vault hinterlegten Website anmelden möchte, kann man die von LastPass gefundenen Daten automatisch eingeben lassen. Alternativ kann man sich auch ein neues Konto abspeichern. Selbiges funktioniert auch mit Kontaktdaten. Wenn man diese in LastPass hinterlegt hat, kann man sich bei Registrierungsformularen Name, Wohnort, E-Mailadresse usw. per Mausklick einfügen lassen. Bequemer geht es nicht.
Hat man in der Familie gemeinsame Accounts, kann man bestimmte Einträge innerhalb von LastPass mit anderen Benutzern teilen. Das klappt über die „Share an Item“-Option. Dort kann die E-Mailadresse des LastPass-Nutzers angegeben werden, der diesen Eintrag mit benutzen und ggf. auch das Passwort ändern darf. Auf der rechten Seite kann man dann alle bereits abgespeicherten Einträge für das Sharing auswählen. Nützliche Sache, denn so vermeiden sich unter den Personen falsche Einträge. In der kostenlosen LastPass-Variante kann man Einträge, in der 12 USD/Jahr-Version einen kompletten Ordner mit deren beinhalteten Daten für andere Personen (max. fünf) freigeben.
Und der „fade Beigeschmack“?
Wenn man sich das nun so durchliest, könnte man meinen, ich sei begeistert von dem Dienst. Bin ich auch, aber LastPass hat einen sehr faden Beigeschmack, der mich von einer richtigen, produktiven Nutzung abhält. Die tolle 2-Faktor-Authentifizierung und eine Funktion, die den Zugang meiner Passwörter unter bestimmten Umständen für andere, vorbestimmte Personen freigibt, sollte ich mal die Kurve kratzen, rücken LastPass in ein tolles Licht und machen es auch zu einer zeitsparenden und erleichternden Software für Endanwender. Aber gerade hier ist der Haken.
Punkto Sicherheit
Trotz der Tatsache, dass laut LastPass/LogMeIn die Daten auf den Servern nur verschlüsselt vorliegen, werden sie trotzdem auf amerikanischen Servern gespeichert. Seit den Snowden-Enthüllungen eigentlich schon für bestimmte Menschen ein NoGo. Die Ver- und Entschlüsselung der gespeicherten Einträge findet laut Unternehmen lediglich auf Endgeräten statt. Somit könnte seitens LastPass/LogMeIn niemand Einsicht in die persönliche Vault haben. Selbiges gilt für Hacker.
Apropos Hacking: Ein solches Datengut ist natürlich ein gefundenes Fressen für die BadGuys. Tatsächlich hat LastPass schon einige Angriffe und Kompromittierungen hinter sich. Anfang 2011, drei Jahre nach dem Launch, klaffte eine CSS-Lücke auf der Website (LastPass-Blogeintrag 1 und 2). Lösung: Master-Passwort ändern. Im Juni 2015 fand der nächste Hack statt (LastPass-Blogeintrag 1 und 2). Auch damals wurden die Anwender aufgefordert, ihr Master-Passwort zu ändern. Inzwischen wurde auch die 2FA eingeführt und entsprechend beworben, die, wie sich im April 2017 zeigte, schlampig umgesetzt wurde. LastPass unterstützt hier viele gängige Implementierungen, angefangen von Google Authenticator über Yubico bis zur eigenen Auth-App. Gut ein Jahr später, im Juli 2016, wurde eine schwerwiegende Sicherheitslücke im Firefox-Addon von LastPass gefunden, die es erlaubte, Einträge einzusehen, abzuändern und auch zu löschen (LastPass-Blogeintrag). Im März 2017 wurde wieder ein Sicherheitsupdate veröffentlicht. Löblich ist dabei, dass das Unternehmen recht zeitnah Infos über den Einbruch bekannt gegeben hat.
Kurz: Man muss sicher hier auf LastPass/LogMeIn verlassen, denn niemand kann prüfen, ob wirklich nur der Client ver- und entschlüsselt. Der Code ist nicht OpenSource.
Die Firma LogMeIn
LogMeIn hat LastPass im Herbst 2015 für 125 Millionen USD übernommen. Eine Firma, die nicht unbedingt mit einem guten Image umsich werfen kann – im Gegenteil. Schlechter Kundensupport, die Sache mit deren Remote-Software und dem NSA-Key … man muss nur wenig Aufwand betreiben, um reihenweise Einträge im Internet über einige dubiose Sachen zu finden, hinter denen der Name LogMeIn steht. Demnach war der Aufschrei, als die Übernahme bekannt gegen worden war, entsprechend groß. Es gab so viel negative Resonanz, dass LastPass CEO Joe Siegrist im Blogpost zur Übernahme sogar eine zusätzliche Bemerkung dazu verfasste. Blogbeiträge wie diesen findet man zuhauf, selbst große Seiten und Communities wie ZDnet oder auch Spiceworks haben entsprechende Einträge zu dieser Sache. Falls jemand noch nie von LogMeIn gehört hat: Hamachii kommt von denen. Übrigens ist LastPass nicht die erste Firma in dem Bereich, die LogMeIn übernommen hatte. Einige Zeit zuvor verleibte man sich bereits Meldium, ein Team-Passwort-Manager in der Cloud, ein.
Offline-Client? Jain.
In Zeiten ständiger Internetverbindung eigentlich eine fast vergessene Sache. Doch wie sieht es bei LastPass in dem Bereich aus? Was ist, wenn ich mal aus welchen Gründen auch immer kein Internet zur Verfügung habe, mich aber trotzdem irgendwo lokal im Netz anmelden muss? Nun, eine reine Offline-Anwendung wie KeePass/iPassword/Password Safe Pro/… gibt es hier nicht als Solches. Die Erweiterungen für LastPass speichern eine verschlüsselte Kopie der Vault im Cache zwischen. Mit einem auf LastPass.com bereitgestellten Programm (vorsicht, Google Translator lässt grüßen) kann diese Kopie im Cache mit dem Master-Passwort entschlüsselt werden. Wurde der Browser/das System zuvor allerdings aufgeräumt, ist logischerweise auch der Cache weg – und damit die Passwörter für den Offline-Gebrauch. Dann hilft nichts anderes als sich irgendwo Netz zu suchen. Für solche Fälle lohnt es sich, ab und an den Cache der Erweiterung extra zu sichern. Hier ist eine Liste der Browser und deren Cache-Speicherorte.
Fazit und tl;dr
Passwortmanager sind toll! LastPass hat ein geniales Konzept, das wohl für die breite Masse am tauglichsten ist. Sie haben ein geniales Stück Software geschaffen und einen guten Weg gefunden, mit möglichst geringem Aufwand sichere Passwörter zu generieren und zu speichern. Es ist überall verfügbar, man muss sich um keine Sicherungen kümmern, lediglich ein Passwort, das Master-Passwort, muss man sich merken. Für jeden Browser gibt es Addons. Hat man kein Problem damit, dass die Daten in den USA liegen und man LogMeIn/LastPass bzgl. deren Aussagen über die Sicherheit vertraut, ist LastPass eine ganz klare Empfehlung. Sicherheitsbewusste Personen und Sicherheits-Paranoide mögen spätestens hier den Rotstift angesetzt, was durchaus verständlich ist. Wäre der Code OpenSource, könnte man zumindest nachprüfen, ob deren Aussagen über eine Ver- und Entschlüsselung auf Anwenderseite zutrifft. Möchte man zudem 100%ige Offline-Verfügbarkeit, wird man bei LastPass zwar nicht unbedingt an der falschen Adresse sein, allerdings ist die Lösung nicht ideal. Alternativ bleiben einem sonst nur noch die anderen Passwortmanager wie KeePass, iPassword, usw. übrig.
Wäre bei LastPass optional die Möglichkeit vorhanden, seine Vault vollkommen selbst unter eigener Hoheit zu hosten, würde ich KeePass den Laufpass geben. Der Komfort und die Bedienung von LastPass sind jedenfalls schwer zu übertrumpfen.
9. August 2016 um 14:48 Uhr
Ich habe mir auch schon öfters diese Cloud-Passwortmanager (LastPass, 1Password) angesehen und war von deren Komfort begeistert. Mich hat jedoch immer wieder diese Cloud-Komponente von einer produktiven Nutzung abgehalten. Im OpenSource-Bereich gibt es leider (noch) keinen Passwortmanager der den gleichem Komfort bietet.
Ich setze momentan pass (https://passwordstore.org/) in Verbindung mit passff (https://github.com/jvenant/passff) und Android-Password-Store (https://github.com/zeapo/Android-Password-Store) ein. Die Synchronisation realisiere ich bei dem Setup über git und eine Gogs-Instanz (https://gogs.io/).
Das kann mich dann auch zumindest schon automatisch einloggen und die Synchronisation läuft auch ohne Probleme.
9. August 2016 um 18:05 Uhr
Hallo Thor77,
LastPass als OpenSource-Lösung oder als SelfHosting-Variante wäre da wirklich eine große Erleichterung.
So ganz „kompliziert“ wie Du mache ich meinen Sync mit den Passwörtern momentan nicht, allerdings fallen bei mir auch die Tablet und Smartphone Synchronisierung flach. Aktuell setze ich noch KeePass auf Windows und KeePassX auf Ubuntu ein. Vielen Dank für die Erläuterung.
Grüße