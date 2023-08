Lastpass ist einer der größten Passwortmanager, und es hatte diese Größe aus gutem Grund erreicht. Die kostenlose Lastpass-Variante unterstützte verschiedene Arten von Geräten, und die kostenpflichtige Lizenz war für 12 Euro pro Jahr ein lohnenswertes Upgrade. Er war ziemlich unkompliziert und simpel zu bedienen. Selbst als das Unternehmen von zahlreichen Sicherheitsvorfällen betroffen war, schienen die Reaktionen darauf auszubleiben.

Im Laufe der Zeit wurden allerdings Funktionen aus dem kostenlosen Lastpass gestrichen und der Preis des kostenpflichtigen Plans stieg an. Konkurrierende Passwortmanager fingen ebenfalls an, innovativere Funktionen anzubieten. Dann kam der große Vorfall im Jahr 2022, bei dem Daten in den Tresoren der Kunden gestohlen wurden und sich herausstellte, dass sie nicht vollständig verschlüsselt waren.

Vor langer Zeit habe ich ein Konto bei Lastpass eingerichtet, um die Passwörter für eine nahestehende Person zu verwalten, und selbst nach dem Hack im letzten Jahr habe ich dem Programm nicht sofort den Rücken gekehrt. Nach etwas Willensstärke habe ich es endlich geschafft, die Person zu einem anderen Passwortmanager zu überreden. Lastpass hat einfach zu viele Probleme.

Wenn Sie immer noch bei Lastpass sind und sich gefragt haben, ob Sie wechseln sollten, dann ist dieser Artikel genau das Richtige für Sie. Ich werde Ihnen genau beschreiben, was für mich ausschlaggebend war Lastpass zu verlassen und warum ich nie zurückkehren werde.

Wenn Sie sich einen Passwortmanager zulegen möchten, sollten Sie sich unseren Artikel zu den besten Passwort-Manager-Programmen im Test 2023 ansehen.

Die Sicherheitslücken von 2022

PCWorld

Die Enthüllungen von LastPass über seine Sicherheitsverstöße im Jahr 2022 waren wie das Betrachten eines Zugunglücks in Zeitlupe. Zuerst kam die anfängliche Ankündigung im August, die behauptete, dass keine Kundendaten betroffen waren. Dann kam drei Monate später ein Update, das einräumte, dass nun doch Kundendaten betroffen waren. Fast einen Monat danach enthüllte das Unternehmen, dass Kundendaten und Passworttresore gestohlen worden waren. Nicht nur das, einige Inhalte in diesen Tresoren (einschließlich URLs) waren gar nicht verschlüsselt. Alle Meldungen rund um dieses Sicherheitsdesaster finden Sie hier:

Wie oben erwähnt, war Lastpass vor diesem Vorfall keineswegs frei von Sicherheitsvorfällen, aber keiner war so schockierend wie die Katastrophe von 2022. Kunden von Online-Passwortmanagern vertrauen im Allgemeinen darauf, dass ihr Service ausreichend geschützt ist, sodass ihre Daten nicht von unbefugten Parteien abgerufen werden können.

Vielleicht gibt es aus ingenieurtechnischer Sicht gute Gründe dafür, warum einige Details nicht verschlüsselt waren. Aber das bringt uns zur zweiten Art und Weise, wie Lastpass mein Vertrauen in sie erschüttert hat:

Schlechte Kommunikation

PCWorld

Gute Kommunikation etwas Grundlegendes. Offenheit und volle Transparenz müssen Hand in Hand funktionieren. Eine gesunde Dosis an vorbeugenden Benachrichtigungen wirkt ebenfalls Wunder. Die Art und Weise, wie Lastpass seine Nachrichten an Kunden übermittelt, könnte erheblich verbessert werden.

Nehmen wir ein aktuelles Beispiel. Mitte Juli 2023 loggte ich mich ein, um einen letzten Check des Kontos durchzuführen, das ich aufgegeben hatte, und sah eine Nachricht, dass meine Passwortiterationen auf 600.000 erhöht worden waren.

Eine höhere Anzahl von Passwortiterationen ist theoretisch eine gute Sache. Sie soll die Fähigkeit, das Passwort schnell zu erraten, verlangsamen. Moderne kryptografische Standards empfehlen 600.000 Iterationen, deshalb hat sich Lastpass wahrscheinlich dazu entschieden, Kunden allgemein auf dieses Niveau anzuheben.

Das geschah aber im Juli 2023. Das heißt, sechs Monate nach der Offenlegung im Dezember, dass die Tresordaten aller Nutzer gestohlen wurden. Ein halbes Jahr verging, in dem Personen, die diese Einstellung im Dezember nicht überprüft haben (wie ich) und sie nicht erhöht haben (wie ich auch nicht), mit viel niedrigeren Iterationen zurückgelassen wurden.

Es sagt viel aus, dass mein erster Gedanke war: “Welche Art von Sicherheitsproblem hatten sie dieses Mal, dass das passieren konnte? Warum passiert das jetzt?”

Die E-Mail, die diese Änderung erklärte, kam mehrere Stunden, nachdem ich eine schnelle Online-Suche durchgeführt hatte, um herauszufinden, was vor sich geht. Dann kam am nächsten Tag noch eine Kopie. Der Inhalt erklärte weder den Zeitpunkt noch den Beweggrund für die Erhöhung.

Die Weboberfläche ist enttäuschend

PCWorld

Die Weboberfläche von LastPass war mal durchaus vernünftig und fühlte sich ausreichend modern an.

Heutzutage wirkt sie im Vergleich zu konkurrierenden Passwortmanagern viel spartanischer. Im Laufe der Zeit haben kleine Änderungen die Weboberfläche verschlechtert. Mein größter Kritikpunkt ist, dass sie stark auf Cookies zur Speicherung von Einstellungen angewiesen ist. Im privaten Browsing-Modus bleibt Ihr Layout nie gespeichert und damit wird es immer auf die Standardeinstellung von Lastpass zurückgesetzt.

Banner-Nachrichten erscheinen ebenfalls immer wieder. Vielleicht ist das kleinlich von mir, aber als eine dauerhafte Banner-Nachricht für die Browsererweiterung erschien, habe ich endgültig meine Belastungsgrenze erreicht. Lastpass besitzt die Protokolle darüber, welche Geräte ich verwendet habe, und wie ich das Programm nutzte. Mich ständig zu nerven, wird meine Gewohnheit nicht ändern.

Das Exportieren Ihres Tresors ist ein Albtraum

Seltsamerweise ist für den Export über die Weboberfläche ein Verifizierungsprozess erforderlich, während die Browsererweiterung die CSV-Datei sofort ausspuckt. PCWorld

Man könnte denken, dass, wenn Sie einen Dienst verlassen, das Unternehmen motiviert wäre, den Prozess so einfach wie möglich zu gestalten. Lastpass versucht das durchaus, aber es gelingt nicht konsistent.

Normalerweise exportieren Sie bei einem Wechsel von Passwortmanagern Ihre Tresordaten in eine CSV- oder XML-Datei. Das sind grundlegende Dateiformate, die theoretisch problemlos von verschiedenen Programmen gelesen werden können. Lastpass exportiert nur zu diesem Zweck in CSV. Das charakteristische Merkmal dieses Formats, wenn man “durch Kommas getrennte Werte” wählt, ist, dass (wie der Name schon sagt) Kommas verwendet werden, um separate Datenfelder anzuzeigen.

Hinweis: Wenn Sie all Ihre Passwörter in ein unverschlüsseltes Format wie CSV oder XML exportieren und es in einem verschlüsselten Ordner auf Ihrem PC speichern, schützt dies Ihre Passwörter beim Übergang zwischen Lastpass und einem neuen Passwortmanager.

Ich möchte klarstellen, ich bin der Typ Mensch, der gerne verstehen möchte, warum etwas schiefgeht. Als mein Export durcheinander kam, mit einer Reihe von Einträgen, die verwaiste Daten enthielten, habe ich versucht, einen Sinn darin zu finden.

Zuerst dachte ich, die Ursache wären die Kommas in den Textfeldern. Vielleicht sorgten sie dafür, dass Einträge aufgespalten wurden und als unterschiedliche Einträge gelesen werden. Das erklärte aber nicht, warum einige Einträge ohne Kommas überhaupt aufgespalten wurden. Oder warum andere Einträge einfach fehlten.

Bei diesem Export über die Weboberfläche bleiben die Kommas an den richtigen Stellen, aber drei Einträge in diesem Testkonto fehlen in der CSV-Datei. Die Browsererweiterung exportierte sie alle korrekt. PCWorld

Bis zum Ende des manuellen Abgleichs jedes einzelnen Eintrags mit den Originalen in Lastpass hatte ich immer noch keine klaren Antworten. Das war eine notwendige Qual, weil die Daten unzuverlässig waren, aber das Importieren und Aufräumen des Chaos war immer noch schneller als das neue Erstellen aller Einträge von Grund auf im neuen Passwortmanager.

Das Ausprobieren verschiedener Browser und Exportmethoden (Browsererweiterung) klärte die Verwirrung nicht auf. Es stellte sich heraus, dass die Weboberfläche nicht alle Einträge exportiert (Firefox) oder einfach eine leere CSV-Datei zurückgibt (Chrome). Sowohl der Export der Firefox-Weboberfläche als auch die Chrome-Browsererweiterung hatten jedoch dieselben Probleme mit der Datenintegrität. Währenddessen kamen bei einem Testkonto die Datenfelder für jeden Eintrag perfekt heraus (auch wenn einige in der Webausgabe immer noch fehlten).

So weit ich das beurteilen kann, beeinflusst entweder das Alter des Kontos, wie die Daten auf den Servern gespeichert und analysiert werden, oder aber die Verwendung bestimmter Sonderzeichen in Nicht-Passwort-Textfeldern löst eine Art Bug im Export-Skript aus. Auf jeden Fall können Sie nicht darauf vertrauen, dass Sie tatsächlich alle Ihre Passwörter intakt herausbekommen.