{"id":201246,"date":"2022-12-29T18:30:36","date_gmt":"2022-12-29T17:30:36","guid":{"rendered":"https:\/\/www.ifun.de\/?p=201246"},"modified":"2022-12-29T18:34:48","modified_gmt":"2022-12-29T17:34:48","slug":"einfach-zu-knacken-1password-entwickler-attackieren-lastpass","status":"publish","type":"post","link":"https:\/\/www.ifun.de\/einfach-zu-knacken-1password-entwickler-attackieren-lastpass-201246\/","title":{"rendered":"&#8222;Einfach zu knacken&#8220;: 1Password-Entwickler attackieren LastPass"},"content":{"rendered":"<p>Die Entwickler des Passwort-Managers <a href=\"https:\/\/1password.com\/\">1Password<\/a> nutzen die <a href=\"https:\/\/www.ifun.de\/lastpass-hack-angreifer-erbeuteten-namen-rufnummern-und-tresore-200973\/\">Probleme<\/a> ihres Konkurrenten <a href=\"https:\/\/www.lastpass.com\/de\">LastPass<\/a> f\u00fcr Eigenwerbung. In einem Blog-Beitrag stellen sie die These auf, dass sich die Angreifer mit dem vergleichsweise geringen Einsatz von nur 100 Dollar Zugang zu einem der bei ihrem Hack erbeuteten Passwort-Tresore der LastPass-Kunden verschaffen k\u00f6nnen.<\/p>\n<h2>Ein Passwort alleine gen\u00fcgt nicht<\/h2>\n<p>Zun\u00e4chst einmal wirkt es nat\u00fcrlich durchaus sch\u00e4big, wenn 1Password auf diese Weise auf Kundenfang geht. Den in dem Blog-Beitrag \u201e<a href=\"https:\/\/blog.1password.com\/not-in-a-million-years\/\">Not in a million years: It can take far less to crack a LastPass password<\/a>\u201c dargelegten Argumenten kann man allerdings nicht widersprechen. Vielmehr wiederholt der f\u00fcr 1Password t\u00e4tige Sicherheitsspezialist Jeffrey Goldberg darin mehr oder weniger bekannte Fakten. Mit entsprechendem Aufwand l\u00e4sst sich quasi jedes Passwort erraten und wenn man die von LastPass vorgegebenen Empfehlungen und das allgemeine Wissen dar\u00fcber, wie Menschen ihre Passw\u00f6rter erstellen, zugrunde legt, ist dies f\u00fcr in diesem Feld spezialisierte Menschen mit \u00fcberschaubarem Aufwand zu erledigen.<\/p>\n<p><a href=\"https:\/\/images.ifun.de\/wp-content\/uploads\/2022\/12\/passwort-knacken-anleitung.jpg\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/images.ifun.de\/wp-content\/uploads\/2022\/12\/passwort-knacken-anleitung-700x171.jpg\" alt=\"Passwort Knacken Anleitung\" width=\"700\" height=\"171\" class=\"alignnone size-large wp-image-201248\" srcset=\"https:\/\/images.ifun.de\/wp-content\/uploads\/2022\/12\/passwort-knacken-anleitung-700x171.jpg 700w, https:\/\/images.ifun.de\/wp-content\/uploads\/2022\/12\/passwort-knacken-anleitung-500x122.jpg 500w, https:\/\/images.ifun.de\/wp-content\/uploads\/2022\/12\/passwort-knacken-anleitung-768x188.jpg 768w, https:\/\/images.ifun.de\/wp-content\/uploads\/2022\/12\/passwort-knacken-anleitung.jpg 1305w\" sizes=\"auto, (max-width: 700px) 100vw, 700px\" \/><\/a><\/p>\n<p>Goldberg geht bei seiner Analyse davon aus, dass die wenigsten Kunden von LastPass ihr Master-Passwort mit einem soliden Passwortgenerator erstellt, sondern stattdessen frei gew\u00e4hlt haben. Von Menschen erstellte Passw\u00f6rter seien aber im Gegensatz zu jenen, die mithilfe von spezieller Software generiert wurden, generell vergleichsweise einfach zu knacken. Diese These untermauert Goldberg in seinem Artikel mit nachvollziehbaren Beispielen und ausf\u00fchrlichen Erkl\u00e4rungen.<\/p>\n<h2>1Password erfordert zus\u00e4tzlichen \u201eGeheimschl\u00fcssel\u201c<\/h2>\n<p>Als Verkaufsargument f\u00fcr seine eigene Software f\u00fchrt der Sicherheitsexperte dann ins Feld, dass 1Password sich eben nicht allein auf ein einzelnes Passwort zum \u00d6ffnen der Tresore verl\u00e4sst, sondern dar\u00fcber hinaus auch einen sogenannten \u201eSecret Key\u201c erfordert, der beim Anlegen eines Benutzerkontos lokal erstellt wird und nie die Ger\u00e4te des Nutzers verl\u00e4sst. Zudem werde dieser automatisch und auf Basis extrem hoher Sicherheitsstandards generiert, was ein Erraten wie im Falle der Kontopassw\u00f6rter von LastPass unm\u00f6glich mache.<\/p>\n<h2>Warum nicht einfach offline bleiben?<\/h2>\n<p>Die hier f\u00fcr 1Password angef\u00fchrten Argumente sind nachvollziehbar. Dennoch muss man sich fragen, warum das Unternehmen seinen Kunden die M\u00f6glichkeit genommen hat, ihre Daten ausschlie\u00dflich lokal zu speichern. Die Kritik am Onlinezwang ist &#8211; ganz egal wie hoch die zugrundeliegenden Sicherheitsstandards sind &#8211; nachvollziehbar und auch ernst zu nehmen.<\/p>\n<p>Wer nicht auf die in der Regel onlinebasierten Team-Funktionen solcher Anwendungen angewiesen ist, findet mittlerweile durchaus attraktive Alternativen f\u00fcr die reine Offline-Nutzung. <a href=\"https:\/\/www.enpass.io\/\">Enpass<\/a> beispielsweise schlie\u00dft von vornherein die Speicherung von Kundendaten auf den eigenen Servern aus. Stattdessen kann man entweder eigene Cloud-Dienste und Server verwenden oder &#8211; unser Favorit &#8211; seine Passw\u00f6rter ausschlie\u00dflich lokal speichern und bei Bedarf \u00fcber das heimische WLAN-Netz mit anderen Ger\u00e4ten synchronisieren.<img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg09.met.vgwort.de\/na\/9e2dcd59535b43dba87f00e2943473c2\" width=\"1\" height=\"1\" no-lazy class=\"tracking\"><\/p>\n","protected":false},"excerpt":{"rendered":"<a href=\"https:\/\/www.ifun.de\/einfach-zu-knacken-1password-entwickler-attackieren-lastpass-201246\/\"><img width=\"150\" height=\"150\" src=\"https:\/\/images.ifun.de\/wp-content\/uploads\/2022\/12\/hack-pexels-150x150.jpg\" class=\"alignright tfe wp-post-image\" alt=\"Hack Pexels\" decoding=\"async\" loading=\"lazy\" \/><\/a><p>Die Entwickler des Passwort-Managers 1Password nutzen die Probleme ihres Konkurrenten LastPass f\u00fcr Eigenwerbung. In einem Blog-Beitrag stellen sie die These auf, dass sich die Angreifer mit dem vergleichsweise geringen Einsatz von nur 100 Dollar Zugang zu einem der bei ihrem Hack erbeuteten Passwort-Tresore der LastPass-Kunden verschaffen k\u00f6nnen. Ein Passwort alleine gen\u00fcgt nicht Zun\u00e4chst einmal wirkt [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":201250,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[5],"tags":[1699,3460,2899],"class_list":["post-201246","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-apps","tag-1password","tag-enpass","tag-lastpass"],"acf":[],"aioseo_notices":[],"subheadline":["Passwort-Manager auf Kundenfang"],"featured_image":["https:\/\/images.ifun.de\/wp-content\/uploads\/2022\/12\/hack-pexels.jpg"],"rest_api_enabler":{"subheadline":"Passwort-Manager auf Kundenfang","featured_image":"https:\/\/images.ifun.de\/wp-content\/uploads\/2022\/12\/hack-pexels.jpg"},"_links":{"self":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts\/201246","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/comments?post=201246"}],"version-history":[{"count":8,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts\/201246\/revisions"}],"predecessor-version":[{"id":201261,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts\/201246\/revisions\/201261"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/media\/201250"}],"wp:attachment":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/media?parent=201246"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/categories?post=201246"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/tags?post=201246"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}