Ich rate ja dazu, einen Passwort-Manager zum Verwalten von Passwörtern zu benutzen. Meine Wahl fiel auf LastPass. Aber ist das noch Maß aller Dinge? Denn es werden immer wieder Sicherheitslücken bekannt. Es verunsichert allerdings derzeit, wenn man so hört, dass der Passwort-Manager ausgehebelt werden kann. Und zwar ohne derzeit verfügbare Gegenmaßnahme. Darüber müssen wir reden, denn ich halte LastPass für sehr wichtig.
Was Sicherheitsexperten nicht alles beim Duschen einfällt! Tavis Ormandy fiel ein, wie die aktuelle Version von LastPass dazu überredet werden kann, Schadcode auszuführen. Somit wird das System eines Nutzers über Sicherheitssoftware, was ja LastPass letztlich ist, unsicher gemacht und kompromittiert. Das Ganze hatte Ormandy bei LastPass 4.1.43 herausgefunden. Bei mir ist die Version 4.2.375 auf dem Smartphone installiert, was bedeutet, dass bei mir das Problem offenbar behoben wurde.
Es handelt sich um die Datei nplastpass.exe, von der aus Ormandy erst die Windows-Eingabeaufforderung und dann den Taschenrechner gestartet. Vor allem mit dem Taschenrechner wird immer wieder demonstriert, wie es aussieht, wenn beliebige Befehle ausgeführt werden. Und schon sitzt man einem Irrtum auf. Denn es handelt sich mitnichten um den Passwort-Manager für’s Smartphone, sondern um die Erweiterung für den Google Chrome. Welche Version bei Ihnen installiert ist, stellen Sie über das rote LastPass-Icon -> Weitere Optionen -> Über LastPass fest. Und in der Tat, hier läuft die 4.1.43.
Offenbar war LastPass nicht darauf vorbereitet, dass nun weiterhin eine Sicherheitslücke klafft. Die Möglichkeit, hier Angriffe zu fahren, ist wohl recht „anspruchsvoll“. Man wollte die Lücke zwar umgehend mit einem Sicherheitspatch schließen. Bis dahin solle man die Webseiten, die über LastPass verwaltet werden, über den Tresor aufrufen. Warum das so ist? Diese Erklärung blieb LastPass schuldig. Ach ja, und man solle wo möglich die Zwei-Faktor-Authentifizierung einschalten, was unabhängig von LastPass eine gute Idee ist.
So etwas kommt nun dabei heraus, wenn jemand duscht. Aber abgesehen davon: Wenn ich nun über Sicherheitsmechanismen Angriffe zu erwarten habe, ist das keine so angenehme Sache. Ich nutze von LastPass noch keine Premium-Version. Und ich muss mir ernsthaft überlegen, ob ich denn dafür Geld bezahle. Ich erwarte einfach von solchen Lösungen, dass sie nicht noch zusätzliche Probleme schaffen. Wir haben schon genug damit zu tun, uns gegen Angriffe aus dem Internet zu schützen.