Lastpass ist einer der größten Passwortmanager, und es hatte diese Größe aus gutem Grund erreicht. Die kostenlose Lastpass-Variante unterstützte verschiedene Arten von Geräten, und die kostenpflichtige Lizenz war für 12 Euro pro Jahr ein lohnenswertes Upgrade. Er war ziemlich unkompliziert und simpel zu bedienen. Selbst als das Unternehmen von zahlreichen Sicherheitsvorfällen betroffen war, schienen die Reaktionen darauf auszubleiben.
Im Laufe der Zeit wurden allerdings Funktionen aus dem kostenlosen Lastpass gestrichen und der Preis des kostenpflichtigen Plans stieg an. Konkurrierende Passwortmanager fingen ebenfalls an, innovativere Funktionen anzubieten. Dann kam der große Vorfall im Jahr 2022, bei dem Daten in den Tresoren der Kunden gestohlen wurden und sich herausstellte, dass sie nicht vollständig verschlüsselt waren.
Unsere Empfehlung: Nordpass ab 1,49 Euro im Monat
Dieser Artikel könnte Sie auch interessieren: Wie gut schützt Lastpass heute noch?
Vor langer Zeit habe ich ein Konto bei Lastpass eingerichtet, um die Passwörter für eine nahestehende Person zu verwalten, und selbst nach dem Hack im letzten Jahr habe ich dem Programm nicht sofort den Rücken gekehrt. Nach etwas Willensstärke habe ich es endlich geschafft, die Person zu einem anderen Passwortmanager zu überreden. Lastpass hat einfach zu viele Probleme.
Wenn Sie immer noch bei Lastpass sind und sich gefragt haben, ob Sie wechseln sollten, dann ist dieser Artikel genau das Richtige für Sie. Ich werde Ihnen genau beschreiben, was für mich ausschlaggebend war Lastpass zu verlassen und warum ich nie zurückkehren werde.
Unsere Empfehlung: Nordpass ab 1,49 Euro im Monat
Wenn Sie sich einen Passwortmanager zulegen möchten, sollten Sie sich unseren Artikel zu den besten Passwort-Manager-Programmen im Test 2023 ansehen.
Die Sicherheitslücken von 2022
PCWorld
Die Enthüllungen von LastPass über seine Sicherheitsverstöße im Jahr 2022 waren wie das Betrachten eines Zugunglücks in Zeitlupe. Zuerst kam die anfängliche Ankündigung im August, die behauptete, dass keine Kundendaten betroffen waren. Dann kam drei Monate später ein Update, das einräumte, dass nun doch Kundendaten betroffen waren. Fast einen Monat danach enthüllte das Unternehmen, dass Kundendaten und Passworttresore gestohlen worden waren. Nicht nur das, einige Inhalte in diesen Tresoren (einschließlich URLs) waren gar nicht verschlüsselt. Alle Meldungen rund um dieses Sicherheitsdesaster finden Sie hier:
- Lastpass: Angreifer haben Zugriff auf Nutzerdaten des Passwort-Managers
- Lastpass: Hacker konnten vier Tage auf Systeme zugreifen
- Lastpass-Datenklau: Noch mehr Anwendungen sind betroffen
- Weg von Lastpass: Bitwarden ist die Alternative als Passwortmanager
Wie oben erwähnt, war Lastpass vor diesem Vorfall keineswegs frei von Sicherheitsvorfällen, aber keiner war so schockierend wie die Katastrophe von 2022. Kunden von Online-Passwortmanagern vertrauen im Allgemeinen darauf, dass ihr Service ausreichend geschützt ist, sodass ihre Daten nicht von unbefugten Parteien abgerufen werden können.
Vielleicht gibt es aus ingenieurtechnischer Sicht gute Gründe dafür, warum einige Details nicht verschlüsselt waren. Aber das bringt uns zur zweiten Art und Weise, wie Lastpass mein Vertrauen in sie erschüttert hat:
Schlechte Kommunikation
PCWorld
Gute Kommunikation etwas Grundlegendes. Offenheit und volle Transparenz müssen Hand in Hand funktionieren. Eine gesunde Dosis an vorbeugenden Benachrichtigungen wirkt ebenfalls Wunder. Die Art und Weise, wie Lastpass seine Nachrichten an Kunden übermittelt, könnte erheblich verbessert werden.
Nehmen wir ein aktuelles Beispiel. Mitte Juli 2023 loggte ich mich ein, um einen letzten Check des Kontos durchzuführen, das ich aufgegeben hatte, und sah eine Nachricht, dass meine Passwortiterationen auf 600.000 erhöht worden waren.
Eine höhere Anzahl von Passwortiterationen ist theoretisch eine gute Sache. Sie soll die Fähigkeit, das Passwort schnell zu erraten, verlangsamen. Moderne kryptografische Standards empfehlen 600.000 Iterationen, deshalb hat sich Lastpass wahrscheinlich dazu entschieden, Kunden allgemein auf dieses Niveau anzuheben.
Das geschah aber im Juli 2023. Das heißt, sechs Monate nach der Offenlegung im Dezember, dass die Tresordaten aller Nutzer gestohlen wurden. Ein halbes Jahr verging, in dem Personen, die diese Einstellung im Dezember nicht überprüft haben (wie ich) und sie nicht erhöht haben (wie ich auch nicht), mit viel niedrigeren Iterationen zurückgelassen wurden.
Es sagt viel aus, dass mein erster Gedanke war: “Welche Art von Sicherheitsproblem hatten sie dieses Mal, dass das passieren konnte? Warum passiert das jetzt?”
Die E-Mail, die diese Änderung erklärte, kam mehrere Stunden, nachdem ich eine schnelle Online-Suche durchgeführt hatte, um herauszufinden, was vor sich geht. Dann kam am nächsten Tag noch eine Kopie. Der Inhalt erklärte weder den Zeitpunkt noch den Beweggrund für die Erhöhung.
Die Weboberfläche ist enttäuschend
PCWorld
Die Weboberfläche von LastPass war mal durchaus vernünftig und fühlte sich ausreichend modern an.
Heutzutage wirkt sie im Vergleich zu konkurrierenden Passwortmanagern viel spartanischer. Im Laufe der Zeit haben kleine Änderungen die Weboberfläche verschlechtert. Mein größter Kritikpunkt ist, dass sie stark auf Cookies zur Speicherung von Einstellungen angewiesen ist. Im privaten Browsing-Modus bleibt Ihr Layout nie gespeichert und damit wird es immer auf die Standardeinstellung von Lastpass zurückgesetzt.
Banner-Nachrichten erscheinen ebenfalls immer wieder. Vielleicht ist das kleinlich von mir, aber als eine dauerhafte Banner-Nachricht für die Browsererweiterung erschien, habe ich endgültig meine Belastungsgrenze erreicht. Lastpass besitzt die Protokolle darüber, welche Geräte ich verwendet habe, und wie ich das Programm nutzte. Mich ständig zu nerven, wird meine Gewohnheit nicht ändern.
Das Exportieren Ihres Tresors ist ein Albtraum
PCWorld
Man könnte denken, dass, wenn Sie einen Dienst verlassen, das Unternehmen motiviert wäre, den Prozess so einfach wie möglich zu gestalten. Lastpass versucht das durchaus, aber es gelingt nicht konsistent.
Normalerweise exportieren Sie bei einem Wechsel von Passwortmanagern Ihre Tresordaten in eine CSV- oder XML-Datei. Das sind grundlegende Dateiformate, die theoretisch problemlos von verschiedenen Programmen gelesen werden können. Lastpass exportiert nur zu diesem Zweck in CSV. Das charakteristische Merkmal dieses Formats, wenn man “durch Kommas getrennte Werte” wählt, ist, dass (wie der Name schon sagt) Kommas verwendet werden, um separate Datenfelder anzuzeigen.
Hinweis: Wenn Sie all Ihre Passwörter in ein unverschlüsseltes Format wie CSV oder XML exportieren und es in einem verschlüsselten Ordner auf Ihrem PC speichern, schützt dies Ihre Passwörter beim Übergang zwischen Lastpass und einem neuen Passwortmanager.
Ich möchte klarstellen, ich bin der Typ Mensch, der gerne verstehen möchte, warum etwas schiefgeht. Als mein Export durcheinander kam, mit einer Reihe von Einträgen, die verwaiste Daten enthielten, habe ich versucht, einen Sinn darin zu finden.
Zuerst dachte ich, die Ursache wären die Kommas in den Textfeldern. Vielleicht sorgten sie dafür, dass Einträge aufgespalten wurden und als unterschiedliche Einträge gelesen werden. Das erklärte aber nicht, warum einige Einträge ohne Kommas überhaupt aufgespalten wurden. Oder warum andere Einträge einfach fehlten.
PCWorld
Bis zum Ende des manuellen Abgleichs jedes einzelnen Eintrags mit den Originalen in Lastpass hatte ich immer noch keine klaren Antworten. Das war eine notwendige Qual, weil die Daten unzuverlässig waren, aber das Importieren und Aufräumen des Chaos war immer noch schneller als das neue Erstellen aller Einträge von Grund auf im neuen Passwortmanager.
Das Ausprobieren verschiedener Browser und Exportmethoden (Browsererweiterung) klärte die Verwirrung nicht auf. Es stellte sich heraus, dass die Weboberfläche nicht alle Einträge exportiert (Firefox) oder einfach eine leere CSV-Datei zurückgibt (Chrome). Sowohl der Export der Firefox-Weboberfläche als auch die Chrome-Browsererweiterung hatten jedoch dieselben Probleme mit der Datenintegrität. Währenddessen kamen bei einem Testkonto die Datenfelder für jeden Eintrag perfekt heraus (auch wenn einige in der Webausgabe immer noch fehlten).
Unsere Empfehlung: Nordpass ab 1,49 Euro im Monat
So weit ich das beurteilen kann, beeinflusst entweder das Alter des Kontos, wie die Daten auf den Servern gespeichert und analysiert werden, oder aber die Verwendung bestimmter Sonderzeichen in Nicht-Passwort-Textfeldern löst eine Art Bug im Export-Skript aus. Auf jeden Fall können Sie nicht darauf vertrauen, dass Sie tatsächlich alle Ihre Passwörter intakt herausbekommen.
Dieser Artikel erschien im Original bei unserer Schwesterpublikation pcworld.com
Weitere Artikel: