Gibt es eigentlich jetzt Alternativen die auch zuverlässig funktionieren

auf ios, Windows (mit Programmen), etc

Kann bitwarden empfehlen.
Gibt es kostenlos zum selbsthosten oder auch (kostenlos) in der Cloud.

Aus meiner Sicht komplett unnötig. Hätte mir gewünscht die technische Expertise von Golem hier dazu zu finden, welche das entschärft und die pseudo Panik abbläst. Leider scheint LastPass die falsche Ideologie und Lizenz zu haben.

Wenn Dein Passwort/Passphrase über 12 Stellen lang ist und Komplexität hat, gibt es keinen Grund zur Sorge bei AES-256.

Die Sorge ist, dass Lastpass das Wochenlang nicht gemerkt hat, was an deren Kompetenz zu zweifeln lässt.

Jo, Bitwarden funktioniert ganz gut. Zwar auch nicht perfekt, das schafft aber keiner der Passwortmanager.

KeePass (wie auch im Artikel zu lesen ist)

Ich bin mit 1password sehr zufrieden.

Tubes schrieb:
--------------------------------------------------------------------------------
> Aus meiner Sicht komplett unnötig. Hätte mir gewünscht die technische
> Expertise von Golem hier dazu zu finden, welche das entschärft und die
> pseudo Panik abbläst. Leider scheint LastPass die falsche Ideologie und
> Lizenz zu haben.
>
Lastpass hat einfach eine Historie von Sicherheitsproblemen. Allgemein willst du bei so sensiblen Tools wie Passwortmanagern ein gewisses Level an Security und Transparenz - und da ist OSS nunmal das Maß der Dinge.

Tubes schrieb:
--------------------------------------------------------------------------------
> Aus meiner Sicht komplett unnötig. Hätte mir gewünscht die technische
> Expertise von Golem hier dazu zu finden, welche das entschärft und die
> pseudo Panik abbläst. Leider scheint LastPass die falsche Ideologie und
> Lizenz zu haben.

Das ist jetzt das dritte oder vierte Mal innerhalb weniger Jahre, dass bei LastPass eine Panne passiert ist, die nicht hätte passieren dürfen und die zweifelsfrei eine ganz grundlegende, massive Nachlässigkeit erstens im Sicherheitskonzept und zweitens im Sicherheitsbewusstsein nachweist.

Dieser Firma hätte schon nach dem ersten, allerspätestens aber zweiten solchen Fall niemand mehr seine Passwörter anvertrauen dürfen.

> Wenn Dein Passwort/Passphrase über 12 Stellen lang ist und Komplexität hat,
> gibt es keinen Grund zur Sorge bei AES-256.

Erstens: Wenn! Jeder weiß, wie Passwörter in der Realität bei vielen Leuten aussehen. Entschuldigt das die kriminelle Nachlässigkeit bei LastPass? Sind die Opfer deswegen schuld, dass LastPass nicht besser darauf aufgepasst hat? Nein!

Zweitens: Selbst wenn die Passwörter nicht entschlüsselt werden können, nur diese sind verschlüsselt – die abgegriffenen Daten enthalten private Informationen unterschiedlichster Art, darunter URLs, die sicherheitsrelevant sein können. "Kein Grund zur Sorge?" Deine Unbekümmertheit möchte ich haben. Nicht.

Shigerua schrieb:
--------------------------------------------------------------------------------
> Kann bitwarden empfehlen.
> Gibt es kostenlos zum selbsthosten oder auch (kostenlos) in der Cloud.

D'accord. Läuft bei mir auf dem Haus-Server (im Docker-Container) und ist auch von draußen erreichbar. Die Browser-Erweiterungen funktionieren tadellos, bis auf den Umstand, dass Basic-Auth-Dialoge nicht automatisch ausgefüllt werden. Die Android-App ist etwas zickiger und erkennt nicht immer, wenn zu füllende Eingabefelder auftauchen, und unbekanntere Browser werden mitunter gar nicht unterstützt (ein Browser muss im App-Sourcecode explizit zugelassen werden), aber insgesamt funktioniert auch die ganz leidlich.

stardestroyer schrieb:
--------------------------------------------------------------------------------
> Ich bin mit 1password sehr zufrieden.

1+

Es gab ja jetzt mehrere Vorfälle bei denen. Und wo steht denn garantiert dass nicht als nächstes die Releases kompromittiert und die Passwörter mitgelesen werden ? Du zahlst ja für den PW Manager gefühlt Premium, eben weil sie eine Sache ordentlich machen sollen: Deine Passwörter garantiert sicher in der Cloud zur Verfügung stellen.

demon driver schrieb:
--------------------------------------------------------------------------------
> Das ist jetzt das dritte oder vierte Mal innerhalb weniger Jahre, dass bei
> LastPass eine Panne passiert ist, die nicht hätte passieren dürfen und die
> zweifelsfrei eine ganz grundlegende, massive Nachlässigkeit erstens im
> Sicherheitskonzept und zweitens im Sicherheitsbewusstsein nachweist.

Der Fehler war nur, dass es an die Öffentlichkeit kommt. LastPass hat 350 Angestellte. Meinst du nicht, dass man da als Mitarbeiter ohnehin Besuch bekommt von irgendeinem Geheimdienstarbeiter, der einem die Folgen für sich selbst und seine Familie erläutert, wenn man nicht eine kleine Änderung am Code einschleust? Oder dass man sich mit so einer kleinen Änderung ein paar Dutzend Bitcoin verdienen kann?

Dann ist die Aussage von demon driver trotzdem korrekt. Dann stimmt deren Sicherheitskonzept nicht. Bei uns ist es so das einzelne Entwickler keinen Code live nehmen können und diejenigen die Code auf die produktiven Systeme bringen sind nicht diejenigen die ihn geschrieben haben. Davon unabhängig wird der Code von zwei weiteren Entwicklern geprüft bevor er live gehen kann. Ist bei dem Code auch nur was unklar, dann geht er nicht live.

Bei einem so großen Softwareunternehmen das im Bereich Sicherheit tätig ist sollte man durchaus erwarten das sie sich auch über Sicherheit Gedanken machen.

Avarion schrieb:
--------------------------------------------------------------------------------
> bringen sind nicht diejenigen die ihn geschrieben haben. Davon unabhängig
> wird der Code von zwei weiteren Entwicklern geprüft bevor er live gehen
> kann. Ist bei dem Code auch nur was unklar, dann geht er nicht live.

1. Wird man sicher mehr als einen Entwickler unter Druck setzen können.
2. Sind Sicherheitslücken nicht unbedingt leicht als solche zu erkennen. Zum einen tarnt man sie so, dass sie aussehen wie ein Versehen. Und dann muss sie auch nicht in der eigentlichen Software sein, sondern in irgendeiner Dependency.

toj schrieb:
--------------------------------------------------------------------------------
> demon driver schrieb:
> ---------------------------------------------------------------------------
> -----
> > Das ist jetzt das dritte oder vierte Mal innerhalb weniger Jahre, dass bei
> > LastPass eine Panne passiert ist, die nicht hätte passieren dürfen und die
> > zweifelsfrei eine ganz grundlegende, massive Nachlässigkeit erstens im
> > Sicherheitskonzept und zweitens im Sicherheitsbewusstsein nachweist.
>
> Der Fehler war nur, dass es an die Öffentlichkeit kommt.

Das lässt sich in einem nach normalen Sicherheitsstandards arbeitenden Betrieb überhaupt nicht vermeiden, dass das an die Öffentlichkeit kommt, die Gesetze verlangen das und den Firmen blühen bei Verstößen empfindliche Strafen.

> LastPass hat 350 Angestellte.

Gerade dann nicht.

> Meinst du nicht, dass man da als Mitarbeiter ohnehin Besuch
> bekommt von irgendeinem Geheimdienstarbeiter, der einem die Folgen für sich
> selbst und seine Familie erläutert, wenn man nicht eine kleine Änderung am
> Code einschleust? Oder dass man sich mit so einer kleinen Änderung ein paar
> Dutzend Bitcoin verdienen kann?

In einem nach normalen Sicherheitsstandards arbeitenden Betrieb kann gar kein Einzelner unbemerkt irgendwelchen "Code einschleusen", da würden sofort Alarmglocken läuten. Gerade wenn der Betrieb eine gewisse Größe hat. Da bräuchte es dann schon eine Verschwörung...



1 mal bearbeitet, zuletzt am 23.12.22 14:43 durch demon driver.

demon driver schrieb:
--------------------------------------------------------------------------------
> In einem nach normalen Sicherheitsstandards arbeitenden Betrieb kann gar
> kein Einzelner unbemerkt irgendwelchen "Code einschleusen", da würden
> sofort Alarmglocken läuten. Gerade wenn der Betrieb eine gewisse Größe hat.
> Da bräuchte es dann schon eine Verschwörung...

das glaube ich kaum. Wenn man sich als Entwickler wirklich mühe gibt, wird man Möglichkeiten finden über einen längeren Zeitraum eine Backdoor einzubauen die durch durch die QS kommt.

Selbst das Nasa passieren Softwarefehler und da schauen sehr viele Augen drauf.

demon driver schrieb:
--------------------------------------------------------------------------------
> In einem nach normalen Sicherheitsstandards arbeitenden Betrieb kann gar
> kein Einzelner unbemerkt irgendwelchen "Code einschleusen", da würden
> sofort Alarmglocken läuten. Gerade wenn der Betrieb eine gewisse Größe hat.

"Code Einschleusen" klingt so, als wäre es auffällig. Muss es aber gar nicht sein. Beispielsweise reicht es, im Rahmen eines grösseren Updates ein Dependency auf eine ungewöhnliche Version irgendeiner Library zu setzen, die der Angreifer kontrolliert und die in einer bestimmen Konstellation weitere "Features" bereitstellt.

toj schrieb:
--------------------------------------------------------------------------------
> demon driver schrieb:
> ---------------------------------------------------------------------------
> -----
> > In einem nach normalen Sicherheitsstandards arbeitenden Betrieb kann gar
> > kein Einzelner unbemerkt irgendwelchen "Code einschleusen", da würden
> > sofort Alarmglocken läuten. Gerade wenn der Betrieb eine gewisse Größe hat.
>
> "Code Einschleusen" klingt so, als wäre es auffällig. Muss es aber gar
> nicht sein. Beispielsweise reicht es, im Rahmen eines grösseren Updates ein
> Dependency auf eine ungewöhnliche Version irgendeiner Library zu setzen,
> die der Angreifer kontrolliert und die in einer bestimmen Konstellation
> weitere "Features" bereitstellt.

Wo mehr als eine Person an einem Projekt arbeitet und dieses nur geringfügig erhöhte Sicherheitsanforderungen erfüllen muss, sind, wenn dort gängige Sicherheitsstandards implementiert sind, auch "Libraries" Bestandteil der Sicherheitsüberprüfungen. Da kann man nicht eine Library einfach gegen irgendwas "ungewöhnliches" austauschen.

demon driver schrieb:
--------------------------------------------------------------------------------
> Bestandteil der Sicherheitsüberprüfungen. Da kann man nicht eine Library
> einfach gegen irgendwas "ungewöhnliches" austauschen.

Glaubst du. Aber selbst mittelgrosse Projekte haben heutzutage über 1000 Dependencies. Viele davon irgendwelche kleinen Open Source Projekte mit einem einzigen Entwickler. Man muss nur eines davon übernehmen, und ist in unzähligen Systemen drin.