Angriff auf Passwort Manager »LastPass«

Hatten wir nicht gerade eine Lanze gebrochen für Passwortmanager? Und jetzt dass:

Hackerangriff auf Passwort-Manager LastPass | heise.de

Wie so oft schlägt auch hier das Dilemma aus Sicherheit und Bequemlichkeit zu. Schön wenn man Passwörter einmal bequem auf dem Rechner zur Verfügung hat. Schöner und bequemer, wenn man sie gleich via Cloud auf mehreren Devices nutzen kann.

An der Stelle helfen drei wesentliche Dinge: zum einen ein wirklich starkes Masterpasswort gegen Brute-Force-Angriffe sowie eine ausreichend sichere Verschlüsselung des Passwort-Containers (AES-256) und des Masterkeys. Zum Dritten ist niemand genötigt diesen oder jeden Cloudservice Dritter zu nutzen. Die besten »Wolken« sind die, die einem selbst gehören. Das das Buzzword »on premise« als der letzte Hype gerade durch’s Dorf geistert ist eigentlich nur die Rolle rückwärts zu dem was in der Prä-Cloud-Ära gang und gäbe war: my 127.0.0.1 is my castle. Schön das es iCloud, DropBox, GoogleDrive und div. andere Instanzen gibt. Passwörter – auch in verschlüsselten Containern – haben dort nichts zu suchen!

Oftmals reicht für das Verteilen von solchen Passwort-Datenbanken eine einfache Dateifreigabe mit passenden Zugriffsrechten auf einem hausinternen Server/NAS aus. Noch besser, wenn eine solche Dateiablage von außen per VPN erreichbar ist. Auch ownCloud bietet sich dank WebDAV-Freigabe und/oder Sync-Service für derlei Dienste auf’s Beste an. Wer WordPress installieren kann, bekommt auch ownCloud ans Laufen. Und nein: selbst in einer solchem, eigenen, sichereren Umgebung ist ein Blatt einer Tabellenkalkulation mit allen Passwörtern keine Alternative!