Lastpass - Sicherheit?

blurrrr

Well-known member
Hier mal ein etwas weniger schön anmutender Tweet von Ewan Leith auf Twitter bzgl. Lastpass:

https://twitter.com/EwanToo/status/1475597979256078344

Bisher scheinen es aber nur Login-Versuche mit korrektem Masterpasswort zu sein, wobei die Zugriffe wohl seitens Lastpass blockiert wurden, da sie schematisch nicht zu den sonstigen Logins gepasst haben. Näheres dazu wird im entsprechenden Artikel von Lastpass beschrieben: https://blog.lastpass.com/2021/12/unusual-attempted-login-activity-how-lastpass-protects-you/

Bestärkt mich ja wieder sehr in der Meinung, dass meine Passwörter bei (intern, extern nur via VPN) besser aufgehoben sind, als bei einem frei erreichbaren Online-Dienst... ☺️
 

the other

Well-known member
Moinsen,
verrätst du uns, wo deine Passwörter besser aufgehoben sind?
dass meine Passwörter bei (intern, extern nur via VPN) besser aufgehoben sind
Hier zB läuft KeepassXC und Keepass2Android. Die Database ist auf dem NAS vorgehalten. Zugriff nur aus dem Heimnetz oder eben (wenn es denn unbedingt unbedingt sein muss) via VPN von extern.

Auch wenn viele über das Layout schimpfen (altbacken usw)...ich will kein bling bling sondern Funktion. Und da ist mir keepass eben weiterhin der beste Freund.
:)
 

Tommes

Active member
Zu Lastpass kann ich zwar nicht viel sagen, da ich die Software nicht nutze.

Ich könnte jetzt wieder einen zum Thema iCloud, Datensicherheit und/oder Privatsphäre raushauen, aber... Dinge wie Passwortdatenbanken etc. gehören für mich definitv nicht auf solch eine Online Plattform. Ebenso mag ich diese Abo-Modelle bei den Anbietern von Passwortmanagern nicht sonderlich, damit man die Daten bei denen speichert. Ich finde das immer ein wenig spooky... aber gut. Ich nutze hier Enpass und meine Passwortdatenbank liegt auf meiner Synology DS218+. Zugriff habe ich lokal oder via VPN per WebDAV (https).
 

rednag

Well-known member
Ich habe nichts was das zentrale Management der Passwörter angeht.
Ganz altmodisch eine Datei wo die im Klartext gespeichert sind.
Aber recht viel habe ich davon nicht. Deswegen habe ich so ein Tool für nicht notwendig erachtet.
 

the other

Well-known member
Moinsen,
ich wiederhole aus gegebenem Anlass;) mein obige Empfehlung:
  • für Ubuntu keepassxc
  • für android keepass2android
  • Datenbank anlegen und starkes masterpasswort wählen
  • in der Datenbank ggf. rubriken anlegen, dort dann die accounts einpflegen
  • masterpwassword auswendig lernen (bis dahin sicher aufbewahren)
  • Datenbank speichern als kdbx Datei.
  • auf dem NAS gemeinsamen ordner für Keepass Datenbank erstellen, die eben erstellte Datei dort hinterlegen
  • auf dem NAS user für die zugreifenden Geräte, die auch keepass nutzen, anlegen wenn nicht bereits vorhanden
  • Freigaberechte setzen
  • auf den clients dann konfigurieren, dass bei Start die Datenbank vom NAS geladen wird, ggf. dort das masterpassword durch Biometrie ergänzen/ersetzen (für die mutigen)
  • fertig. Ein zentraler Ort mit Zugriff nur für ausgewählte User, ggf. via https / webdav, verschlüsselte Datenbank.
  • dann ggf. aus der datenbank eine Liste generieren lassen und ausdrucken und in den safe / unters Kopfkissen...
;)
:ninja:
 

Confluencer

Active member
Selbst gehostet Vaultwarden als Container + MFA mittels Yubikey 5 NFC .

Login auf einem Gerät braucht zwingend den Yubikey (man kann das auch auf den Erstlogin beschränken - oder für jeden Login notwendig machen
Beim Rechner einfach per USB anstecken, bei Android/iOS entsprechend über NFC nutzbar.

Vaultwarden müsste aber auch mit anderen MFA-Verfahren bspw. OTP funktionieren.

Wenn die Bitwarden Desktop-Clients endlich mal eine pagent-Implementierung verpasst bekommen, würde ich sogar komplett auf KeePass + KeeAgent verzichten.
 

the other

Well-known member
Moinsen,
@Confluencer gute Ergänzung...
auch hier habe ich bestimmte keepass-Datenbanken mit zusätzlichem Yubikey gesichert: also Passowrt PLUS Secret, welches auf dem Key befindlich ist.
Das allerdings "nur" für die wirklich sensiblen Accounts (Homebanking, dieses Forum...;)).
Solange da eine Failover Lösung parat ist, sollte der Key mal unauffindbar/weg sein, ein gute Sache imho...
 

Confluencer

Active member
auch hier habe ich bestimmte keepass-Datenbanken mit zusätzlichem Yubikey gesichert: also Passowrt PLUS Secret, welches auf dem Key befindlich ist.
Hatte ich auch so laufen bevor Bitwarden_rs/Vaultwarden rauskam. Im Büro war das ja immer noch ganz einfach den Schlüssel am Mann zu haben.. Zuhause war es auf Dauer schon ansträngend erst den Schlüssel aus de "Schlüssel-Schüssel" aus dem Flur zu holen oder das Laptop dahin zu tragen, wenn ich den Rechner neu angemacht oder mich versehentlich aus Keepass abgemeldet hatte.

Gibt es eigentlich etwas vergleichbares zum Keeagent Plugin in Keepass (bzw. der in KeepassXC eingebackenen Implementierung)? Seitdem ich das Plugin kenne, lass ich dank pagent und agent-forwarding nirgendwo Private-Keys rumliegen.
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
913
Beiträge
13.424
Mitglieder
440
Neuestes Mitglied
nrnrp
Oben