LastPass

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
LastPass

LastPass logo 2016.svg
Lastpass ingevulde gegevens bewaren.png
Screenshot (niederländisch)
Basisdaten

Entwickler LogMeIn
Erscheinungsjahr 22. August 2008
Aktuelle Version 4.63.0[1]
(25. Januar 2021[1])
Betriebssystem plattformunabhängig
Programmiersprache JavaScript
Kategorie Passwortmanager
Lizenz kommerziell
deutschsprachig ja
www.lastpass.com

LastPass ist ein webbasierter Passwortmanager-Online-Dienst. Er wird seit 2008 im Freemium-Modell angeboten.[2] Er bietet ein Webinterface, zahlreiche Browser-Add-ons und eigene Apps für Android, iOS und Windows Phone.[3]

Die Verschlüsselung geschieht mit dem AES-Algorithmus und 256 Bit Länge sowie PBKDF2 SHA-256 und Salted Hashes.[3] Die Verschlüsselung der Passwörter und aller im Passwort Vault gespeicherten Daten geschieht rein lokal. Der Hersteller kennt das Masterpasswort nicht.[4][5]

LastPass wurde im Oktober 2015 für 125 Millionen US-Dollar von dem Softwareunternehmen LogMeIn übernommen. Der neue Eigentümer plante, den Passwortmanager verstärkt auch für Unternehmen anzubieten.[6]

Im Dezember 2019 gab LogMeIn per Pressemitteilung bekannt, an Tochtergesellschaften von Francisco Partners verkauft zu werden.[7] Der Verkauf wurde im März 2020 von den Aktionären genehmigt und im August 2020 durchgeführt.[8]

Sicherheitsprobleme[Bearbeiten | Quelltext bearbeiten]

Als Passwortmanager wurde LastPass mehrmals Ziel von Angriffen, so im Mai 2011, Juni 2015 und Juli 2016. Im Juni 2015 konnten die Angreifer E-Mail-Adressen, Passworterinnerungen und Authentifizierungshashes, die für das Einloggen in LastPass benötigt werden, entwenden, diese entsprechen jedoch nicht den Passwörtern und können nur mit sehr hohem Aufwand zurückgerechnet werden. LastPass empfahl die Änderung des Masterpassworts.[5]

Im Juli 2016 entdeckte die Sicherheitsfirma Detectify eine Lücke im LastPass-Browser-Add-on. Diese wurde bereits vor der öffentlichen Bekanntmachung geschlossen.[9]

Im März 2017 fand Tavis Ormandy von Googles Project Zero mehrere Lücken in der Version 4.1.43.[10] Diese wurde vom Hersteller mit der Version 4.1.44 auch umgehend geschlossen.[11]

Im April 2017 wurde bekannt, dass LastPass in der Implementierung der Zwei-Faktor-Authentifizierung (2FA) elementare Fehler begangen hatte. Damit war es möglich, den zweiten Faktor abzufangen, wenn auch nicht das Masterpasswort. Die Schwachstelle wurde nach eigenen Angaben geschlossen.[12]

Laut Angaben des Online-Nachrichtenportals Golem.de vom Februar 2019 speichert LastPass die Passwörter im Arbeitsspeicher: „Die Passwortdatenbank wird ebenfalls komplett im RAM vorgehalten – und verbleibt dort, auch wenn Lastpass gesperrt wurde.“[13]

Kritik[Bearbeiten | Quelltext bearbeiten]

Last Pass verwendet in seiner App insgesamt sieben verschiedene Tracker, die das Nutzerverhalten auswerten und an Drittfirmen übermitteln.[14] Dabei handelt es sich hauptsächlich um Metadaten, wie zum Beispiel wann Zugangsdaten zu einer Webseite hinzugefügt wurden und welches Konto-Modell (z. B. "Premium_Trial") verwendet wird. Neben diesen Datenschutzproblemen wird kritisiert, dass die Tracker mit Fremdsoftware auch ein Einfallstor für mögliche Angreifer darstellen können.[15]

Siehe auch[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. a b Release Notes. LogMeIn, abgerufen am 30. Januar 2021 (englisch).
  2. Abos und Preise. LogMeIn, abgerufen am 30. Januar 2021.
  3. a b Funktionsweise. LogMeIn, abgerufen am 30. Januar 2021.
  4. Lastpass Support. LogMeIn, abgerufen am 30. Januar 2021.
  5. a b Eike Kühl: Einbruch beim Passwortmanager. Zeit Online, 16. Juni 2015, abgerufen am 30. Januar 2021.
  6. Andreas Donath: Passwort-Manager Lastpass für 125 Millionen US-Dollar verkauft. Golem.de, 12. Oktober 2015, abgerufen am 30. Januar 2021.
  7. LogMeIn Enters into Definitive Agreement to be Acquired by Affiliates of Francisco Partners and Evergreen Coast Capital for $86.05 per Share in Cash. LogMeIn, 12. Dezember 2019, abgerufen am 30. Januar 2021 (englisch).
  8. Francisco Partners and Evergreen Coast Capital Complete Acquisition of LogMeIn. GlobeNewswire, 31. August 2020, abgerufen am 30. Januar 2021.
  9. Mathias Karlsson: How I made LastPass give me all your passwords. Detectify Labs, 27. Juli 2016, abgerufen am 30. Januar 2021 (englisch).
  10. Ronald Eikenberg: Zero-Day-Lücke in Passwort-Manager LastPass. heise online, 27. März 2017, abgerufen am 30. Januar 2021.
  11. Jan Schüßler: Weitere Lücke in LastPass geschlossen, neue Version verfügbar. heise online, 4. Januar 2017, abgerufen am 30. Januar 2021.
  12. Dennis Schirrmacher: Passwortmanager Lastpass patzt bei Zwei-Faktor-Authentifizierung. heise online, 24. April 2017, abgerufen am 30. Januar 2021.
  13. Moritz Tremmel: Passwortmanager hinterlassen Passwörter im Arbeitsspeicher. Golem.de, 21. Februar 2019, abgerufen am 30. Januar 2021.
  14. Mike Kuketz: LastPass Android: Drittanbieter überwachen jeden Schritt. Kuketz-Blog, 20. Februar 2021, abgerufen am 27. Februar 2021.
  15. Moritz Tremmel: Lastpass, nimm die Tracker aus dem Passwortmanager! Golem.de, 23. Februar 2021, abgerufen am 27. Februar 2021.