Transcript

Das LastPass Drama

Passwort-Manager? Na klar. Aber doch nicht so!

Das Hantieren mit Passwörtern lässt sich über Passwort-Manager vereinfachen. Was aber, wenn diese mit Sicherheitslücken zu kämpfen haben, so wie kürzlich LastPass? Was dort schiefgelaufen ist und welche Rolle dabei das Master-Passwort spielt, klären Lisa Maria Moritz und Christoph Iserlohn in dieser Ausgabe des INNOQ Security Podcasts. Außerdem: Welche Verfahren kommen beim Verschlüsseln zum Einsatz? Und ganz wichtig: Eine Empfehlung, was ihr als mögliche Betroffene jetzt konkret tun könnt.

Back to episode

Transcript

Lisa: Hallo und herzlich willkommen zu einer neuen Episode vom INNOQ Security Podcast. Heute habe ich wieder mal Christoph zu Gast.

Christoph: Hallo, Lisa.

Lisa: Hallo, ihr da draußen auch noch von mir. Wir wollen heute über LastPass sprechen, weil das nämlich zuletzt durch die Medien ging. Warum das durch die Medien ging und was das überhaupt ist, das ist heute unser Thema und wir würden einmal ganz langsam und gemütlich anfangen. Erst mal die Frage: Was ist LastPass überhaupt, Christoph?

Christoph: LastPass ist ein Passwort Manager und zwar einer, der a) schon ziemlich lange am Markt ist und b) sehr viel Lob eingeheimst hat im Laufe der Zeit, und der auch sehr erfolgreich ist, der sehr viele Kunden hat. Und das ist nicht nur ein Hersteller von dem Passwort Manager selbst, sondern er bietet auch ein Onlinedienst an, womit man seine Passwörter dann synchronisieren kann über Geräte hinweg. Die haben auch noch Funktionen für Unternehmen, dass man Passwörter dann vielleicht unter bestimmten Personen auch austauschen kann. Dann kann man an Administratoren denken, die dann vielleicht Zugriff auf irgendwelche Server haben müssen oder Datenbanken und dafür die Passwörter kennen müssen. Das ist eigentlich ein relativ erfolgreiches Produkt.

Lisa: Cool, über Passwörter haben wir glaube ich, schon mal gesprochen. Das müsste Folge zehn gewesen sein. Und über Passwort Manager haben wir sogar auch eine komplette Episode gemacht. Folge 15 für alle, die da draußen noch mehr Lust zu den Grundlagen der Themen haben.

Christoph: Genau, da werden wir heute auch noch einmal darauf zurückkommen. Gerade auf die Passwort Manager Folge, da gibt es nämlich einige Verbindungen.

Lisa: Sehr cool. Genau, wir sprechen heute über LastPass. Und ich sagte eben, es ist in den Medien gewesen. Aber was ist denn da passiert, dass wir jetzt dazu eine Folge aufnehmen wollen, Christoph?

Christoph: Ende letzten Jahres im November gab es einen Sicherheitsvorfall. Da hatte die Firma selber Informationen dazu veröffentlicht, dass man halt, wie heißt es so schön, ungewöhnliche Aktivitäten festgestellt hat bei den Storage, den man benutzt hat, den man beim Drittanbieter sich gemietet hat und kurze Zeit darauf im Dezember gab es dann noch ein weiteres Pressestatement und da haben sie dann bekannt gegeben, dass die Password Vaults wahrscheinlich verloren gegangen sind. Was heißt verloren gegangen? Dass die Angreifer, die diese ungewöhnlichen Aktivitäten erzeugt haben, die wohl kopieren konnten. Das ist auch nicht der erste Vorfall, den die hatten. Ich habe ja vorhin gesagt, die sind schon länger erfolgreich am Markt und die hatten aber schon andere Sicherheitsvorfälle verschiedenster Natur. Einmal bei ihrer Infrastruktur. Da gab es im Jahr 2015 oder 2016, bin ich nicht ganz sicher. Spielt jetzt auch keine Rolle, wann es genau war. Das kann man dann noch mal nachlesen. In den Shownotes verlinken wir dann ein paar Quellen. Es war schon einmal, dass Angreifer in das Netzwerk eindringen konnten. Damals sollten aber die Password Vaults nicht betroffen gewesen sein. Und auch schon im Jahr 2011 gab es auch schon mal was, wo man dann so ungewöhnliche Netzwerk Aktivitäten festgestellt hatte, die dann auch darauf hindeuteten, dass da wahrscheinlich Sachen verloren gegangen sind. Genau, es ist jetzt nicht der erste Vorfall. Es war so, dass man eigentlich ganz froh war, dass sie relativ offen damit umgegangen sind und transparent. Das ist eigentlich auch immer ganz gut, wenn die Firmen das machen und das versuchen nicht zu verschleiern. Aber wie gesagt, ist nicht der erste Vorfall. Und das ist natürlich auch nicht das erste Problem mit dem Passwort Manager im Allgemeinen, sondern das war jetzt Problem von LastPass der Infrastruktur für den Onlinedienst. Aber auch der Password Manager selber hatte schon diverse Probleme. Und da kommen wir zum Beispiel auf die Folge 15 zu sprechen. Da ging es darum, dass ein Forscher von Project Zero von Google, ein Sicherheitsforscher, der Tavis Ormandy, abgeraten hatte von externen Password Managern, sondern eigentlich empfohlen hatte, man soll die Browser internen nehmen. Und in der Folge besprechen wir auch so ein paar Gründe. Zufälligerweise war genau der Tavis Ormandy, der auch schon in LastPass mehrere Lücken entdeckt hatte, dann in dem Browser Add On, genau vor den Gefahren, vor denen er gewarnt hatte, wurden da geschlossen. Und nicht nur von ihm. Im Laufe der Jahre kam das immer wieder mal vor. Es gab auch noch so eine andere Security Firma Detectify, die hatte da was festgestellt und andere unabhängige Sicherheitsforscher, die dann Probleme festgestellt haben mit der Implementierung des eigentlichen Passwort Manager, unabhängig von der Infrastruktur.

Lisa: Bevor wir jetzt so ein bisschen in die Tiefe zu dem aktuellen Breach gehen, kannst du vielleicht einmal noch mal ganz kurz Vault oder Passwort Vault erklären? Weil ich glaube, der Begriff wird noch häufiger fallen heute.

Christoph: Der Vault ist sozusagen die Datei, in der die ganzen Passwörter gespeichert sind. Der Passwort Manager ist dafür da, deine Passwörter zu verwalten. Das heißt, die muss er irgendwo ablegen und am besten sicher ablegen. Deshalb ist der Vault der Tresor übersetzt und da versucht er die dann sicher zu speichern. Und nicht nur die Passwörter. Da gehört noch ein bisschen Metadaten dazu, zum Beispiel auch dein Benutzername sollte da mit gespeichert werden normalerweise. Und dann, wenn man so ein Browser Plug In hat, auch vielleicht die URL, also zu welchem Account gehört das überhaupt? Und meistens haben die noch ein paar mehr Funktionen. LastPass hat das auch zum Beispiel so was wie sichere Notizen. Da kann man dann sich Notizen machen und die dann speichern und hoffentlich davon ausgehen, dass sie verschlüsselt abgelegt sind und dann von niemanden, der nicht das Master Passwort kennt, die auslesen kann. Das Master Passwort ist dafür da, um die Verschlüsselung dieses Tresors dann aufzuheben bzw. um den entschlüsseln zu können. Und in diese Notizen könnte man zum Beispiel auch Recovery Codes reinschreiben. Ist vielleicht nicht das Beste, dass die zusammen sind, aber das wäre eine Möglichkeit oder andere Dinge, die jetzt nicht direkt mit einer Webseite vielleicht verbunden sind, die keine URL haben, dass man die da auch noch sicher speichern kann. Das ist der Vault und ist typischerweise eigentlich so eine Datei. Und die wird dann versucht zu synchronisieren mit dem, wenn man den Onlinedienst nutzt, dass man die bei den Servern des Anbieters hochlädt und alle Geräte, die man da angemeldet hat, können sich dann damit synchronisieren. LastPass sind jetzt nicht die einzigen natürlich, das machen auch die ganzen Konkurrenz Hersteller: 1Password, Enpass, Bitwarden, die können das auch alle. In der Windows Welt kenne ich mich nicht aus, aber im Apple Ökosystem gibt es ja auch diese iCloud Keychain, die erfüllt einen ähnlichen Zweck. Da sind dann auch die Passwörter aus dem Safari eingespeichert oder deine WiFi Passwörter. Dafür ist der Vault da.

Lisa: Okay, danke für die Auffrischung. Und was sind jetzt aktuell die Probleme? Was ist da schiefgelaufen und was sind die Folgen davon?

Christoph: Was schiefgelaufen ist, weiß man nicht so genau. Man weiß, dass die Daten, die Vaults der Kunden, entwendet wurden bzw. kopiert werden konnten. Was da an der Infrastruktur genau schiefgelaufen ist, das ist nicht bekannt bzw. das weiß ich jetzt gar nicht so genau. Habe es nirgendwo gesehen, ob das mal veröffentlicht wurde. Aber das sollte eigentlich gar kein Problem sein. Ich habe vorhin gesagt, dieser Vault ist verschlüsselt mit dem sogenannten Master Passwort. Und normalerweise sollte das Lokal auf deinem Gerät passieren und dann lädst du den hoch und wenn ihn dann jemand kopiert, dann kann er den, wenn das gut verschlüsselt ist, kann er damit eigentlich nichts anfangen. Das ist Datenmüll. Dann müsste der erst mal deinen Master Passwort kennen. Insofern sollte das eigentlich nicht so schlimm sein und deshalb auch bei den vorigen Sicherheitsvorfällen dann vielleicht auch nicht so schlimm, wo man sagte, die gehen damit transparent um und dann ist das schon okay. Das kann dann halt passieren. Heutzutage ist das auch relativ normal schon fast, dass große Firmen gehackt werden in irgendeiner Form oder Drittanbieter. Vor kurzem gab es erst wieder was bei Okta, auch so ein großer Identity Anbieter, wo dann zum Beispiel die Repositories bei GitHub kopiert werden konnten, die privaten, dass der Sourcecode verloren ging. Und eigentlich geht man davon aus, dass man sagt, damit sollte man jetzt eigentlich nichts anfangen können. Aber was gleichzeitig dabei halt so ein bisschen bekannt geworden ist, da haben sich halt Leute noch mal diesen Vault genauer angeschaut und da kam dann leider raus, dass da eine ganze Menge bei der Implementierung schiefgegangen ist. Das ist halt problematisch. Zudem kommt noch dazu, dass auch noch in diesem Browser Plugin wohl auch noch zum Teil potenzielle Lücken bestehen. Man könnte das deutlich besser implementieren, um gewisse Sachen auszuschließen. Und das ist wohl nicht passiert, obwohl das auch schon öfter gemeldet wurde. Da müsste man die Architektur halt so ein bisschen umbauen, um das da besser zu machen. Und das ist jetzt natürlich schlecht, wenn der Vault dann in falsche Hände gerät und der ist nicht richtig implementiert, können natürlich verschiedenste Dinge passieren. Im schlimmsten Fall sind die Passwörter dann nicht mehr sicher bzw. die Accounts nicht mehr sicher, weil die Passwörter dann den Angreifern im Klartext bekannt sind. Aber es gibt noch andere Sachen, zum Beispiel im Bereich Phishing, die man ausnutzen könnte. Wir können ja vielleicht mal darauf eingehen, was so im Einzelfall so kaputt ist an dieser Implementierung. Erst einmal ist es so, dass gar nicht alles verschlüsselt ist, sondern nur einzelne Teile. In dem Beispiel, das man von der API bekommt man eine XML Datei zurück, wenn man sein Vault synchronisiert. Ist ja auch erst mal okay und da stehen dann die Accounts drin und das Passwort ist schon noch verschlüsselt, aber andere Dinge sind zum Beispiel nicht verschlüsselt, zum Beispiel die URLs. Und das könnte für Angreifer schon mal eine gute Information sein, wenn ich jetzt weiß, dass du bei Dienst XY einen Account hast, dann könnte ich dir natürlich versuchen, gezielt dafür Phishing Mails zu schicken. Du musst mal dein Passwort ändern zum Beispiel. Könnte ich auch nutzen und sagen, bei LastPass gab es ein Problem und wenn du LastPass hast, solltest du dein Passwort ändern. Und dann geht es ja vielleicht auf die falsche Seite, so was zum Beispiel. Dann sind manche Sachen verschlüsselt, aber mit veralteten Verschlüsselungsverfahren. Der Nutzername ist zum Beispiel mit dem AES ECB Verfahren verschlüsselt. AES gilt eigentlich gemeinhin als sicher. Allerdings kann man damit nur 128 Bit verschlüsseln, weil das ist ein Block Cypher. Ein Block hat halt 128 Bit und um den jetzt für mehr Daten zu benutzen, braucht er den sogenannten Betriebsmodi. Wir hatten auch mal eine Folge über Kryptographie gemacht, die verlinken wir vielleicht auch noch mal, da kann man noch mehr Details dazu erfahren. Auf jeden Fall ist dieser ECB ist Electronic Code Book Mode, ein Betriebsverfahren, und das gilt nicht als sicher. Da gibt es ein ganz berühmtes Bild von dem Linux Maskottchen Tux vor und nach der Verschlüsselung und man kann den Tux immer noch ganz gut erkennen. Das Problem dabei ist, dass es deterministisch ist, das heißt gleiche Sachen werden immer gleich verschlüsselt. Was heißt das beim Username? Da steht dann immer das gleiche drin. Das ist dann relativ einfach. Oft benutzt man ja E-Mail-Adressen als Nutzernamen und die könnte man ja rausfinden. Deine E-Mail-Adresse im beruflichen Kontext ist zum Beispiel ja auch bekannt. Du warst schon auf Konferenzen oder so, da steht die dann vielleicht und dann hat man da den Klartext und sieht auch noch, wo die woanders benutzt wurde. In anderen Betriebsverfahren gibt es so eine Randomisierung, da kommt so ein Initialisierungsvektor mit dazu oder so ein Nonce, so eine Nummer, die man nur einmal benutzt. Und dann ist das so, dass ich, wenn den gleichen Inhalt zweimal verschlüssel und die haben unterschiedliche Initialisierungsvektoren, dann kommt da auch was anderes raus und dann kann man das nicht mehr erkennen. Das kann man sich so vorstellen, wie so ein Salt, wenn man ein Passwort gehacht ablegen, dann braucht man ja auch ein Salt. Da haben wir auch eine Folge darüber gemacht, haben auch vorhin darauf verwiesen. Dann ist das besser. Das ist jetzt nicht so ganz so schlimm, weil der Username halt nicht das Allerwichtigste ist. Hilft aber natürlich schon beim Phishing und hilft zu sehen, mit welchem Nutzernamen du dich da angemeldet hast oder wo du wenigstens mit dem gleichen Namen. Man kann ihn nicht direkt entschlüsseln, aber wenn man vermutet, es ist die Emailadresse, dann steht hier dasselbe AES ECB verschlüsselt bei allen möglichen Accounts. Könnte man vielleicht denken, dass es vielleicht immer die Emailadresse ist. Es ist jetzt nicht so dramatisch, aber könnte man natürlich deutlich besser machen. AES-GCM wäre so ein aktuelles Verfahren, was man nehmen würde, wenn man es damit verschlüsselt hätte.

Lisa: War das denn schon alles? Jetzt sind die URLs gar nicht verschlüsselt und Phishing wird sehr leicht gemacht, Username ist quasi schlecht verschlüsselt. Phishing wird dadurch noch viel einfacher gemacht. Aber gibt es noch mehr schief gegangene Dinge, die Angriffsszenarien noch verbreitern?

Christoph: Ja, zum Höhepunkt der Dinge, die schief gelaufen sind, kommen wir nämlich jetzt. Das ist das Master Passwort. So, damit werden ja alle anderen Passwörter verschlüsselt und auch mit dem AES Verfahren, aber nicht mit ECB, sondern mit einem sicheren. Das ist schon mal ganz gut. Allerdings braucht man dafür auch ein gutes Passwort, wenn man eine Verschlüsselung haben will. Und AES braucht auch ein Passwort, was eine bestimmte Länge hat. Da steht da noch: AES -128 oder -256. Das gibt an, wie lange das Passwort ist. Und da wird jetzt wohl AES 256 benutzt, aber normalerweise sind die Passwörter, die man sich so merken kann, nicht so, dass man die direkt benutzen kann. Dafür gibt es sogenannte Key Deprivation functions, das heißt ich leite ein Passwort ab aus einer anderen Eingabe und dann gibt es halt das Verfahren PBKDF2, das heißt Passwort based key deviation function, und das heißt, aus einem normalen Passwort wird daraus halt so ein Schlüssel abgeleitet, der jetzt für die Verschlüsselung gut ist. Und das dient einmal dazu, dass man a) die richtige Länge bekommt und b) dass man genügend Entropie bekommt. Sonst könnte man sagen, ja 256 Bit zufällig, da kann man nicht brute forcen und versuchen alles durch zu probieren, weil das würde viel zu lange dauern, weil das halt genügend Entropie hat, sozusagen 256 Bit reine Entropie. So, ein normales Passwort hat aber deutlich weniger. Und das heißt, das schränkt den Suchraum ein und deshalb benutzt man halt dieses PBKDF Verfahren, um da mehr Entropie reinzubekommen. Und ein Mechanismus dafür ist halt die Anzahl der Iterationen, die da durchgeht. So, desto mehr Iteration, desto mehr Entropie bekomme ich. Und das andere ist, desto länger dauert es, wenn ich das brute forcen will, wenn ich das ausprobieren will. Genauso schütze ich Passwörter. Das wird nicht nur benutzt, um so ein Verschlüsselungskey zu bekommen. Dasselbe Verfahren wird benutzt, um vernünftigen Passwort-Hash zu bekommen. Wenn man das jetzt nicht so verstanden hat, ist auch nicht so schlimm. Die wichtige Information kommt jetzt. Ganz einfach gefasst: Die Sicherheit hängt ab von der Anzahl der Runden, die man macht. Dass ein Parameter, den man in diese Funktion gibt. Und die OWSAP empfiehlt zum Beispiel ungefähr 300.000 Runden bei dem Verfahren. Jetzt ist es aber so, dass die nur 100.000 Runden nehmen. Und wenn man da schon länger ein Account hatte, dann haben sie früher 5000 genommen bzw. mal 500 und ganz früher nur eine Runde. Und das ist dann halt nur ganz wenig Entropie. Und das kann man auf Grafikkarten sehr leicht versuchen, das zu brechen und nachzurechnen. Da schafft man halt irgendwie ein paar 100.000 pro Sekunde auf einer modernen Grafikkarte. Und das ist halt ein Problem und man hat das halt nie migriert. Wenn ich da lange Nutzer war und mein Vault schon sehr lange da habe, dann wurde der, als sie das umgestellt haben, nicht migriert. Die haben halt immer noch so wenig.

Lisa: Auch wenn die angefangen haben, als nur eine Runde gedreht wurde, dann haben die auch heute nur diese eine Runde, die sie drehen?

Christoph: Ja, so 100 % weiß man das nicht. Das ist alles ja alles reverse-engineered. Aber es sind halt ganz viele Vaults aufgetaucht. Die Nutzer haben nachgeschaut und das steht dann da auch entsprechend drin als Parameter. Das Programm, was den entschlüsseln muss, muss das ja wissen, das ist auch kein Geheimnis, diese Rundenanzahl. Und dann ist dann rausgekommen, dass es mindestens ganz viele gibt, die nicht migriert wurden. Und die Annahme ist, und das ist dann wahrscheinlich plausibel, dass es dafür keine Funktion gab, das zu migrieren, sondern dass die einfach halt den Alten benutzen. Und das ist natürlich schlecht. Bestraft auch noch die treuen Kunden sozusagen, die schon lange dabei sind, haben dann den schlechtesten Schutz. Und man könnte das ja durchaus migrieren. Man kann das ja machen, wenn der Nutzer das Passwort eingibt, dann könnte man sagen: Aha, jetzt habe ich das entschlüsselt, jetzt verschlüssel ich das neu und nehme die neuen sicheren Parameter. Solche Migrationssachen, die sind jetzt auch kein Hexenwerk. Das kann man eigentlich ganz gut machen. Und da sind sie jetzt halt mit ihren 100.000 Runden nicht so gut aufgestellt. Wie gesagt, die OWASP empfehlt für das Verfahren schon 300.000 Runden. Hätte man wahrscheinlich auch noch ein bisschen mehr nehmen können, weil das würde keine Rechenzeit bei LastPass und keine Kosten erzeugen, weil das passiert lokal auf deinem Rechner und das ist ja dann auch nur immer, wenn du den Tresor sperrst. Da kann man dann ruhig mal vielleicht eine halbe Sekunde Rechenzeit verbraten, wäre dann nicht so schlimm.

Lisa: Ist dir bekannt, wie viele Runden andere Password Manager drehen? Vielleicht die Apple Keychain oder auch 1Password oder so?

Christoph: Weiß ich jetzt nicht. 1Password hatte aber lustigerweise, das verlinken wir einfach mal in den Shownotes, ein Pressestatement gemacht, was sie alles besser machen. Schön die Kunden einsammeln, die von LastPass gehen. Ich glaube, da steht da sogar drin, welche Verfahren sie da benutzen. Und auch bei dieser Keychain steht das in dem Apple Security Whitepaper drin. Da kann man auch nachschauen. Ich weiß es nicht auswendig, aber auf jeden Fall ist es besser und liegt eher oberhalb der OWASP Empfehlung gerade. Und das Pikante dabei ist, die Sicherheit, wie gesagt, kommt und geht von der Entropie aus, das heißt ein super Passwort sozusagen 128 Bit zufällige Zeichen ist gut, aber das hat ja keiner. Um noch mal zu verdeutlichen, warum das keiner hat. Es gab jetzt so eine Studie in den USA bei Bundes Angestellten. Da hat man die Passwörter mal überprüft, was sie so benutzen. Und da hat sich herausgestellt, dass 70% der benutzten Passwörter sehr schlecht waren und relativ leicht knackbar waren. Und das ist halt dann übel, wenn man die halt nicht durch die Funktion mit entsprechender Entropie und mit entsprechender Verzögerung dann halt ausstattet, weil mehr Runden, desto länger dauert die Berechnung der Funktion, das heißt der Angreifer, die Angreiferin, die das offline knacken will, bräuchte dann auch mehr Zeit, um einen Brute-Force zu fahren. Das alles in Kombination ist, naja, nicht so gut. Wer das hat, sollte vielleicht die Passwörter ändern, aber da kommen wir glaube ich später noch mal zu, was wir vielleicht als Empfehlung geben.

Lisa: Aber das war’s dann jetzt hoffentlich auch. Das Master-Passwort ist, glaube ich, der Klimax der Katastrophe gewesen. Und gibt es noch irgendwas, was aufgekommen ist oder war es das jetzt wirklich?

Christoph: Wir hatten in der Folge 15 darüber geredet, dass diese Browser Plugins so ein bisschen problematisch sind. Ich habe vorhin erwähnt, dass es so theoretische Lücken gibt, auf die schon hingewiesen wurde, aber die nicht geschlossen sind. Und die sind jetzt auch problematisch im Zusammenhang mit, dass die Infrastruktur da geknackt wurde. Was ist das Problem? Dieses Browser Plugin, das lädt auch Dinge aus dem Internet nach. Damit kann man auf seine Accounts gehen. Dann bewegt man sich aber immer noch in diesem Browser Plugin Kontext und das JavaScript davon könnte auf diesen Password Safe zugreifen. Könnte zum Beispiel sagen: Gib mal dein Passwort ein bzw. wenn es eingegeben wird, könnte das das abgreifen. So, und jetzt werden manche dieser Seiten halt von der Infrastruktur von LastPass.com oder LastPass.eu ausgeliefert. Ich meine das Browser Plugin überprüft dann, kommt das von LastPass? Und dann vertraue ich dem. Und das JavaScript hat dann Zugriff auf die Interna des Browser Plugins und das ist natürlich schlecht. Solange das vertrauenswürdige Inhalte sind von LastPass, ist das ja alles okay, weil dem muss ich ja so oder so vertrauen, dass die die Daten nicht irgendwo anders senden. Es wurde aber die Infrastruktur von LastPass geknackt, da wurden die Tresore entwendet. Da kann ich mir nicht sicher sein, dass die nicht in LastPass.com oder LastPass.eu oder, ich weiß nicht, ob sie noch mehr Domains haben, bei denen weiß ich, dass da die Inhalte nachgeladen werden können, dass sie da nicht was eingeschmuggelt haben. Und da brauchst du kein Brute Force Angriff. Da kannst halt so eine Art Trojaner hinterlassen mit JavaScript, der, sobald ein User das Passwort dann da eingibt auf seiner Seite, das dann abfangen kann und das irgendwo ausleitet. Und das ist halt dann problematisch. Normalerweise sollten diese Browser Plugins keine Inhalte von woanders haben. Ich liefere das aus mit allen nötigen Assets, die das braucht. Also den HTML Seiten, den Bildern, den JavaScript Code. Wenn ich sage, okay, das ist jetzt hier der sichere Stand, dann liefere ich das aus und lad nicht dynamisch von woanders. Auch wenn es der eigene Onlinedienst ist, lade ich nicht noch Sachen hinterher. Das ist, wenn die Infrastruktur dann angegriffen ist, könnten auch Sachen ausgeliefert werden, die dann schädlich sind, die das Passwort abgreifen. Das ist schon länger bekannt oder darauf wurden die schon länger hingewiesen und man hat da einiges gemacht. Man hat versucht diese diese Plugin-API ein bisschen abzuhärten. Wir verlinken da auch noch mal einen Artikel. Da hat ein Sicherheitsforscher gesagt, es gibt noch ein paar Stellen, wo halt diese Inhalte dynamisch geladen werden und das ist natürlich schlecht. Das sollte eigentlich getrennt sein. Die Sicherheit des Vaults sollte sozusagen offline, wenn ich nicht mit der Infrastruktur spreche, noch gut sein. Hier vermischt sich das noch. Na ja, auch nicht so gut.

Lisa: Und was sagt LastPass zu all dem? Wie gehen sie damit um? Gestehen sie all die Schuld ein und versuchen gerade alles, um die Nutzer irgendwie zu retten oder so?

Christoph: Ja, wahrscheinlich versuchen sie erst mal ihren Umsatz zu retten. Sie haben wieder ein Pressestatement rausgegeben. Das ist schon natürlich relativ transparent. Wobei wir können die Transparenz auch nicht beurteilen, denn wir wissen ja gar nicht, was wirklich passiert ist. Sieht so aus, als würden sie damit schon transparent umgehen. Das Problem dabei ist und da gibt es auch so einen schönen Blogpost, den verlinken wir auch noch mal, da hat jemand dieses Pressestatement so auseinandergenommen. Wort für Wort sozusagen oder Satz für Satz. Und das Interessante ist halt dabei, dass so die Betonung darauf liegt, solange das Master Passwort in Sicherheit ist, seid ihr auch in Sicherheit. Man schiebt sozusagen die Verantwortung an den User ab. Aber gerade haben wir gehört, diese Studie hat ergeben: Die meisten User machen halt nicht so gute Passwörter. Und das hätte man halt insgesamt besser machen können, indem man das Master Passwort halt mit einem vernünftigen Verfahren, die entsprechend die Entropie erhöht und die Zeit, die man bräuchte, um das offline zu knacken. Davon ist halt kein Wort, das da eigentlich in der Implementierung echt geschlampt wurde und nicht mehr state of the art waren, sondern so, du hast ja ein vernünftiges Master Passwort genommen, lieber Nutzer und wenn nicht, dann bist du auch selbst schuld. Das ist so ein bisschen der Tenor. Das kam auch nicht so gut an, aber na gut. Andererseits muss man sehen, dass es US amerikanische Firma, da kann man wegen allem möglichen verklagt werden auf x Trilliarden in bar. Wahrscheinlich haben da viele Rechtsanwälte mitgewirkt, damit das alles auch sicher ist und man sich da nicht bei Klagen, die kommen werden bzw. die schon laufen, also Sammelklagen, dass man da nicht schon irgendwas zugegeben hat, was einem dann vor Gericht dann schaden kann, dass man irgendwie exorbitanten Schadenersatz zahlen müsste. Da sind die natürlich auch sehr defensiv und da sind sie auch nicht die einzigen bei solchen Vorfällen. Wenn da was passiert, dann muss man nicht immer nur aus der Nerdbrille schauen, da muss man wahrscheinlich auch aus der Brille der Rechtsabteilung mal schauen, ob man da safe ist gerade in den Vereinigten Staaten. Keine Ahnung, wie man das endgültig bewertet.

Lisa: Ja. Weißt du zufällig, ob ich als Nutzer beim Anlegen meines Master Passworts darauf hingewiesen werde, dass mein Passwort eventuell nicht sicher genug ist? Werden irgendwelche Mindestanforderungen abgefragt beim Anlegen eines Master Passworts?

Christoph: Ja, wird es. Es gibt da so Policies, die da greifen. Allerdings war es da auch so, dass die mit der Zeit sich verändert haben. Die Rechner sind schneller geworden. Man kann beim Brute Force mehr machen. Eigentlich bräuchte man ein Passwort mit mehr Stellen sozusagen. Das wird dann aber auch nicht geändert. Es gab da auch keine Migrationen dafür, sondern wenn er das nicht geändert hat und das ist auch der Sinn, dass du nicht andere Passwörter ändern musst, deshalb nimmst du ein Passwort Manager, dann kannst vielleicht auch ein schlechtes Passwort haben dabei. Das könnte sein, aber gut. Muss man sehen. Das sollte man sowieso schon immer sicher gemacht haben so ein Master Passwort.

Lisa: Dann genug von dieser Sicherheitslücke per se. Angenommen, ich nutze LastPass, also für alle Menschen da draußen, die jetzt zuhören und LastPass nutzen, was empfiehlst du uns? Was sollten jetzt die Schritte sein? Wie sollte ich jetzt umgehen, wenn ich LastPass verwende?

Christoph: Wenn die Hörer und Hörerinnen da draußen LastPass benutzen, dann sollten sie auf jeden Fall bei allen Accounts da drin, die in LastPass gespeichert sind, überall die Passwörter ändern. Das ist schon mal gut. Das zweite, was man machen kann, sollte man vielleicht auch unabhängig davon machen, aber was so ein bisschen die Wertigkeit eines gestohlenen Passworts herunter setzt, ist natürlich eine zwei Faktor Authentifizierung. Weil da nützt es auch nichts, wenn jemand das Passwort hat und man muss aber irgendwie noch einen OTP eingeben oder sonst einen zweiten Faktor. Was gibt es noch? SMS ist zwar nicht so sicher, ist aber immer noch besser als gar keinen. Das sollte man vielleicht, wenn man es noch nicht hat, auch einrichten. Auch wenn wie gesagt, SMS kann man umgehen, auch OTPs wurden schon gehackt, indem man Accounts hat zurücksetzen lassen, also per Social Engineering. Das ist kein kompletter Schutz, aber das sollte man sich überlegen. Da bin ich schon davor geschützt. Dann sollte man schauen, was nicht nur LastPass dazu sagt. Wie gesagt, die Pressemeldung, da muss man vorsichtig sein. Weil aus genannten Gründen, die vielleicht nicht alles so sagen, um sich da keine eigene Falle zu stellen, sondern so ein bisschen beobachten, was denn die Security Experten und Expertinnen so zu sagen haben dazu. Da ist jetzt einiges veröffentlicht worden darüber und man weiß auch nicht, ob es das letzte ist, was kommt. Vielleicht ein bisschen beobachten, was so auf Mastodon und Twitter oder sonst wie rumgeht und schauen, ob man da noch weitere Maßnahmen machen muss. Der radikale Schritt wäre natürlich, dass man sich ein anderes Produkt sucht. Wie gesagt, wir haben vorhin von 1Password gehört, dass sie eine Pressemeldung gemacht haben, was sie alles besser machen. Wäre natürlich auch eine Möglichkeit das zu tun. So eine Migration ist vielleicht im privaten Umfeld wahrscheinlich noch einfach. Wenn ich so ein Unternehmensumfeld bin und mit geteilten Passwörtern arbeite und sonst irgendwelche Features, die nur in so Enterprise Edition drin sind, weiß ich nicht, wie leicht das geht. Muss man sehen. Wäre natürlich auch eine Möglichkeit. Aber grundsätzlich gibt es natürlich die Möglichkeit zu sagen, ich arbeite gar nicht mit so einem Cloud Sync Service. Dann kann mein Passwort Tresor auch nicht auf dem Weg verloren gehen. So KeePass, so OpenSource Dinger Keepass, Keepass X, die muss ich ja nicht synchronisieren. Die brauche ich nicht. Da hat man natürlich Komfort Einbußen, muss man ganz klar sagen. Da alle Devices zu synchronisieren ist natürlich eine ganz gute Sache. Da muss man sehen, inwieweit man die Sicherheit auf der Abwägung Seite sieht und wie schwer dann der Komfort wiegt. Man kann natürlich auch, das sind jetzt so Sachen für die Cloud Synchronisierung, da gibt es immer ein Problem. Man kann natürlich auch den Browser eigenen Password Manager nutzen, wie das der Tavis Ormandy empfehlt. Da ist man wenigstens schon mal für diesen Plugin Problemen, die ja nicht nur LastPass betroffen haben, sondern auch verschiedene andere Hersteller und die erst mal ein prinzipielles Problem sind. Das könnte man umgehen und das kann man mit und ohne Cloud Sync haben. Die ganzen Browser Hersteller hier, die großen von Firefox, von Google Chrome und auch halt im Safari bei Apple bieten ja so eine Cloud Synchronisierung der Passwörter an, aber das muss man ja nicht benutzen. Da ist auch wieder Komfort oder nicht dabei. Das könnte man jetzt natürlich tun und man könnte, einige bieten das an, bei BitOne gibt es das zum Beispiel, dass man das selber hostet, diese Synchronisierung Sache. Da gibt es halt so eine Open Source Implementierung des Server Teils und das könnte man selbst hosten. Das hat Vor- und Nachteile. Als sozusagen normaler 0815 Enduser oder Userin ist das natürlich keine Option irgendetwas selber zu hosten, das kann man nicht. Und ich glaube, so auch als Nerd ist das eher selten eine Option. Sagen wir so, für mich technisch würde ich mir das vielleicht schon zutrauen, aber ich habe auch mal Urlaub. Ich möchte auch mal abschalten oder so und wer weiß, ob nicht dann gerade das neue Log4Shell kommt und das sozusagen ausgerechnet da drin so passieren. Administration heißt für so sensible Daten halt auch wirklich Administration 24/7, 365. Jeden Tag, jede Stunde, das ganze Jahr über. Ich halte das für problematisch. Das hört man immer, ich mache das selber, habe das alles selbst im Griff. Aber ich glaube, das ist eine Illusion. Das ist so wie mit dem Autofahren und Fliegen. Viele haben Angst beim Flugzeug und fahren lieber Auto, weil sie meinen, sie haben das selber unter Kontrolle, aber die Gefahr ist halt genau umgekehrt. Fliegen ist doch sicherer. Ich halte das für problematisch, auch für Leute, die sich technisch da auskennen. Andererseits was dafür spricht, man wird vielleicht nicht direkt angegriffen. So Infrastruktur von LastPass, von 1Password oder von anderen, die ist natürlich hoch attraktiv für Angreifer da reinzugehen. Jetzt irgendein Server von Person XY ist jetzt erst mal nicht so das attraktivste Ziel. Es gibt natürlich auch immer Ausnahmen. Wenn ich unter besonderer Beobachtung stehe, wenn ich Journalist bin und über Menschenrechtsverletzungen im Nahen Osten berichte und daherkommen, dann kann es schon durchaus sein, dass ich ein Ziel bin. Oder wenn ich ein hochrangiger Administrator in irgendeinem großen Konzern bin, dann bin ich vielleicht auch ein attraktives Ziel, so als Person. Aber ich sage mal, oft ist man nicht so das große Ziel, dass man da speziell angegriffen wird. Aber es passieren halt immer so Dinge wie Log4Shell, Heartbeat, dann sind halt X Sachen angreifbar und dann ist ja erst mal die Devise der Angreifer, wir nehmen alles mit. Automatisierte Scans und wenn es dann da ist, wir sacken erst mal alles ein, was geht. In so was kann man dann natürlich entsprechend reinkommen. Von daher, ich bin skeptisch dem gegenüber, dass man das selbst hostet. Wenn man da Angst hat so ein Dienst zu benutzen, dann sollte man vielleicht manuell syncen von Gerät zu Gerät. So, aber was wichtig ist: Nehmt trotzdem ein Passwort Manager! Sich das so zu merken, ist noch viel schlechter, weil dann gehört man zu den 70%, die schlechte Passwörter haben und zwar dann auch überall. Und von daher weiterhin Passwort Manager benutzen. Dabei schauen, wer einen guten Track Record hat. LastPass ist jetzt nicht mehr so dabei, obwohl die früher bis 2017, 18 haben die immer noch gut abgeschnitten in den Tests und wurden auch gelobt. Als Neukunde würde ich da jetzt nicht hingehen. Muss man sehen. Aber benutzt weiterhin ein Passwort Manager und zusätzlich zwei Faktor Authentifizierung. Auch wenn es manchmal unbequemer ist immer noch so ein OTP einzutippen. Also, Handy raus, schauen, das macht es dann halt deutlich schwieriger für die Angreifer, wenn die ein Passwort haben, den zweiten Faktor haben sie erst mal noch nicht. Also von daher weiterhin Passwort Manager benutzen trotz des LastPass Dramas.

Lisa: Und alle Passwörter ändern. Das habe ich mir auch gemerkt.

Christoph: Das auf jeden Fall. LastPass Nutzer, ändert die sicherheitshalber. Es kann auch sehr anstrengend werden. Also, wenn man so hört manche ja, ich habe meine 450 Accounts, 450 mal Passwort ändern ist jetzt auch nicht so schön. Das kann man auch schlecht automatisieren.

Lisa: Ja, das stimmt. Was könnte denn LastPass bzw. Passwort Manager generell besser machen? Was sind so die Punkte?

Christoph: Die könnten natürlich das Verfahren um diese Schlüsselableitungen zu machen vom Master Passwort verbessern, in dem sie mehr Runden nehmen oder ein anderes Verfahren nehmen, wie scrypt, das noch besser ist. Weil es dann nicht nur die Zeit erhöht, die man braucht, für einen Brute-Force-Angriff, sondern auch den Speicher verbraucht. Das verbraucht bei den Angreifern noch mehr Ressourcen. Das könnte man sogar wahrscheinlich relativ einfach machen. Migrieren. Zwangs Migration der Vaults. Beim nächsten Mal Passwort eingeben müssten die ja eine Migration machen. Dann sollten sie am besten alles verschlüsseln und nicht nur die eigenen Passwörter, sondern auch alle Metadaten. Und zwar auch mit einem vernünftigen Verfahren. Für die Passwörter nutzen wir das, aber für die Usernamen halt nicht. Die könnte man alle mit vernünftig AES-GCM, also der aktueller Stand der Technik. Das würde man annehmen. Ich kann mir vorstellen, warum die URLs nicht verschlüsselt sind. So, da ist das Browser Plugin und der soll ja erkennen auf der Seite und soll dir schon anbieten, du hast ja ein Passwort, du kannst dich anmelden. Das soll der am besten von sich selbst machen. Und es gibt bei manchen auch so diese Funktion automatisch anmelden, dann geht man auf die Anmelde Seite und der macht das so. Dazu muss er die URLs ja kennen und wenn die verschlüsselt sind, kennt er die halt nicht. So, jetzt könnte man das so machen, das wäre der Kompromiss, dass man sagt, wenn ich das einmal eingegeben habe, dann werden die URLs entschlüsselt und im Speicher behalten. Und dann sind die erst mal nur im Speicher. Sind aber erst mal in dem Vault sicher verschlüsselt. Und das Problem ist, normalerweise soll man diese Daten ja auch alle wieder vergessen. Auf jeden Fall die Passwörter. Warum ist das so? Ich gebe das Master Passwort ein, dann merkt er sich erst mal eine ganze Zeit, der Tresor ist geöffnet, aber bei X Minuten Inaktivität, das kann man bei den meisten auch einstellen, dann wird er wieder gesperrt. Und dann sollte normalerweise auch das Entschlüsselte aus dem Speicher wieder verschwinden, damit man kein Angriffsfenster hat. Wenn irgendein Programm den Speicher auslesen kann und das so abgreifen kann und das ist vielleicht manchmal sogar einfacher als man denkt. Man denkt zurück an diese ganzen Prozessor Lücken, was so mit Meltdown und Spectre angefangen hat. Da konnte man mit wenigen Zeilen JavaScript im Browser halt den Speicher auslesen. Hat ein bisschen gedauert, aber wenn der Rechner das die ganze Zeit im Speicher hält, dann wäre das auch eine Angriffsmöglichkeit. Ich habe immer so um die 150 Tabs offen, wer weiß, wie JavaScript da noch alles läuft. Das ist vielleicht auch nicht so gut. Verlangsamt den Rechner glaube ich auch, aber egal. Sagen wir so, das heißt, ich will im Prinzip halt den Zeitraum verkürzen, in dem die entschlüsselt dastehen. Und wenn die nicht entschlüsselt sind, dann kann der natürlich nicht erkennen. Ich bin jetzt auf einer Seite, wo ich mich anmelden kann, kann mir das nicht anbieten. Aber dann könnte man wie gesagt den Kompromiss machen, bei der ersten, wo ich den öffne, werden die URLs entschlüsselt und die bleiben im Speicher. Nur die Passwörter werden rausgelöscht. Meines Erachtens könnte man das vertreten, dann kann das noch funktionieren. Ich komme auf eine Seite, wo ich mich anmelden soll, der Passwort Manager bietet mir das an, muss dann noch mal das Master Passwort eingeben, damit das Passwort für diese Seite auch entschlüsselt werden kann. Aber so funktionieren auch die meisten. Und ja, das sollte man auf jeden Fall dann machen. Irgendwie sollte man vielleicht versuchen das Vertrauen der Nutzer zurück zu bekommen. Keine Ahnung, wie man das macht. Wahrscheinlich muss man die mit Geld locken. Irgendwie gibt man ein halbes Jahr frei oder zurück. Obwohl das gibt kein Vertrauen, das steigert eher die Gier. Ich weiß nicht, ob das so gut ist. Ja, wie gesagt, anderes Verfahren für das Master Passwort den Schlüssel abzuleiten, vernünftige Verschlüsselungsverfahren und alle Daten verschlüsseln, das wäre ganz gut. Und natürlich die in dem Browser Plugin dieses dynamische Nachladen von Inhalten und so unterbinden, sondern das sollte halt nicht so ein Mix sein. Ja, das könnten die halt machen, dann wäre es wahrscheinlich besser. Wahrscheinlich dann auf dem Stand der Konkurrenten.

Lisa: Super. Christoph, ich glaube, dann haben wir alles zu LastPass gehört, gesagt, was da passiert ist, was die Nutzer:innen machen können. Und ich würde sagen. das war’s dann für heute. Danke, Christoph, dass du da warst und dir die Zeit genommen hast, das zu erklären. Und danke euch Zuhörer:innen, dass ihr dabei wart und das auch angehört habt. Ich hoffe, ihr konntet da was mitnehmen. Ich habe auf jeden Fall viel mitgenommen heute. Wenn euch die Folge gefallen hat oder generell der Podcast gefällt, freuen wir uns, wenn ihr uns bewertet oder auch weiterempfehlt, dann können vielleicht auch noch andere Leute von dem geteilten Wissen profitieren. Wenn ihr irgendwelches Feedback habt, könnt ihr gerne an [email protected] schreiben. Falls ihr mehr offene Tabs als Christoph habt, könnt ihr auch gerne dahin schreiben. Würde mich interessieren, ob es da Menschen gibt. Ich werde darüber gleich noch ein bisschen lachen, glaube ich. Das sind schon viele. Tut mir leid, Christoph. Vielen Dank fürs Zuhören und tschüss und bis zum nächsten Mal.

Christoph: Ciao!