Holen Holen
Sicherheit

LastPass-Sicherheitsmeldungen

Der Sicherheit verschrieben

Die Sicherheit hat bei LastPass oberste Priorität, und dazu gehört auch, dass wir schnell auf gemeldete Fehler und Schwachstellen reagieren und diese umgehend beheben. Einer der Gründe, warum LastPass ein so hohes Maß an Sicherheit erreicht, ist unsere Nutzergemeinde: Wir fordern die Community auf, unsere Technologien auf den Prüfstand zu stellen. Wir wissen die wichtige Arbeit, die Experten im Bereich der Sicherheitsforschung leisten, zu schätzen, und begrüßen es, wenn Probleme auf verantwortungsbewusste Weise gemeldet werden. Wenn der Sicherheitsprozess wie vorgesehen funktioniert, profitieren alle davon – davon sind wir überzeugt.

Hinweis: Wenn Sie als LastPass-Benutzer den Verdacht haben, dass Ihr Konto gehackt oder kompromittiert wurde oder auf andere Weise gefährdet ist, wenden Sie sich bitte an das LastPass-Supportteam. Wir werden Ihren Fall überprüfen und an die zuständige Stelle weiterleiten.

Melden von Sicherheitsproblemen

Wenn Sie als Sicherheitsforscher denken, eine Sicherheitslücke oder Schwachstelle in LastPass gefunden zu haben, gehen Sie bitte wie folgt vor:

  1. Lesen Sie die häufig gestellten Fragen zur Sicherheit von LastPass, um sicherzugehen, dass Ihr Sicherheitsbedenken neu ist und von uns noch nicht behandelt wurde.
  2. Melden Sie uns das Problem über das auf BugCrowd gehostete Bug-Bounty-Programm.
  3. Bitte fügen Sie nach Möglichkeit auch ein Codebeispiel und einen Screencast hinzu, die den Exploit zeigen.
  4. Erklären Sie eindeutig, welche Auswirkungen der Fehler bzw. die Schwachstelle auf die Benutzerdaten oder die LastPass-Systeme hat.
  5. Geben Sie uns genügend Zeit, um Ihre Meldung zu untersuchen und darauf zu reagieren, und sprechen Sie sich mit uns zur Überprüfung und Genehmigung ab, bevor Sie Ihren Fund öffentlich machen.
  6. Unterlassen Sie es, Benutzerdaten abzurufen, zu modifizieren oder zu stehlen oder die Verfügbarkeit von LastPass zu beeinträchtigen (z. B. durch einen DDoS-Angriff).

Wenn Sie uns ein potentielles Problem melden, geben Sie uns bitte genügend Informationen, damit wir Ihren Fund rekonstruieren können. Dazu gehören ggf. die genauen Schritte, um den Fehler zu reproduzieren, Links, auf die Sie geklickt haben, Ihre besuchten Seiten und URLs sowie etwaige betroffene Konto-E-Mail-Adressen. Bitte fügen Sie auch ein Codebeispiel sowie Bilder oder eine Videoaufzeichnung hinzu, die den von Ihnen entdeckten mutmaßlichen Exploit genau zeigen.

Zur Verschlüsselung sensibler Informationen können Sie diesen öffentlichen Schlüssel verwenden:

Öffentlichen Schlüssel anzeigen

 

Hinweis: Wenn Sie automatisierte Tools für die Schwachstellensuche verwenden, bedenken Sie bitte, dass diese Tools oft falsch positive Ergebnisse liefern.

Reaktion auf Meldungen

Nachdem uns ein potentielles Sicherheitsproblem gemeldet wurde, überprüfen wir die Meldung und bestimmen den Schweregrad. Falls wir versuchen, das von Ihnen identifizierte Problem zu beheben (abhängig vom Schweregrad), bitten wir Sie unter Umständen um weitere Informationen. Die nötigen Fehlerkorrekturen werden den Benutzern abhängig vom Schweregrad und den potentiellen Auswirkungen des Problems bereitgestellt. Nachdem das Problem behoben wurde oder aus anderem Grund für abgeschlossen gilt, schließen wir den Fall.

Häufig gestellte Fragen zur Sicherheit von LastPass

Ich habe in LastPass die Multifaktor-Authentifizierung aktiviert, aber LastPass gab meine Zugangsdaten auf einer Website ein, bevor ich mein Multifaktor-Token eingegeben hatte. Ist das ein Sicherheitsproblem?

Zur Überprüfung Ihres Multifaktor-Tokens benötigt die Multifaktor-Authentifizierung eine Internetverbindung. Sie müssen uns das korrekte Multifaktor-Token senden, damit LastPass Ihre verschlüsselten Daten zugänglich macht. Allerdings verfügt LastPass auch über einen „Offline-Modus“: Dabei wird auf Ihrem Gerät eine verschlüsselte Kopie Ihrer Daten zwischengespeichert, auf die Sie auch ohne Internetverbindung zugreifen können. Wenn Sie sich bei LastPass anmelden, melden wir Sie zunächst offline bei der lokal gespeicherten Kopie Ihrer Daten an, bevor wir versuchen, Sie online anzumelden. Daher kann es sein, dass LastPass Ihre Zugangsdaten eingibt, bevor Sie uns Ihr LastPass-Multifaktor-Token gesendet haben. Wenn Sie dieses Verhalten unterbinden wollen, können Sie folgende Schritte durchführen:

  1. Bei LastPass anmelden
  2. Browser -> LastPass-Symbol -> Weitere Optionen -> Erweitert -> Lokalen Cache leeren
  3. Von LastPass abmelden
Klicken Sie hier, um weitere Informationen zu erhalten.

Mein Virenschutzprogramm hat mich gewarnt, dass LastPass ein Virus/Trojaner/verdächtiges Programm ist. Muss ich mir Sorgen machen?

Die meisten modernen Virenschutzprogramme stützen sich auf ein Vertrauensnetzwerk, um zu ermitteln, ob eine Datei eine Bedrohung darstellt. Obwohl wir alle ausführbaren Dateien digital signieren, wird jede neu veröffentlichte Version unserer Software in der Regel so lange als verdächtig markiert, bis sie an tausende Benutzer verteilt wurde und/oder die Anwender ihre Virendefinitionen aktualisiert haben. Wenn bei Ihnen dieses Problem auftritt, führen Sie bitte folgende Schritte aus:

  1. Laden Sie die problematischen Dateien erneut von der LastPass-Downloadseite herunter.
  2. Laden Sie die verdächtigen Dateien auf Virus Total hoch. Das ist ein Dienst, der Dateien mit Dutzenden branchenführenden Anti-Virus-Engines analysiert. Sofern nicht mehrere führende Anti-Virus-Engines die Dateien für infiziert halten, ist es wahrscheinlich, dass sie sicher sind.
  3. Klicken Sie mit der rechten Maustaste auf die Dateien, wählen Sie im Kontextmenü „Eigenschaften“ aus und klicken Sie dann auf „Digitale Signaturen“. Vergewissern Sie sich, dass die Dateien über eine gültige digitale Signatur von LastPass verfügen und sehen Sie sich ggf. das Zertifikat an. Dies wird Ihnen versichern, dass die Dateien von LastPass erstellt und nicht durch einen Dritten geändert wurden.
  4. Wenn Sie nach den oben genannten Schritten immer noch glauben, dass die Dateien infiziert oder nicht von LastPass erstellt wurden, dann kontaktieren Sie uns bitte unter security@lastpass.com

Jemand hat eine Website für mich freigegeben und dabei die Option „Empfänger darf das Passwort sehen“ nicht ausgewählt. Ich habe aber einen Weg gefunden, das Passwort anzusehen.

Sobald ein Passwort LastPass verlässt und in ein Anmeldefeld im Browser eingegeben wird, können wir es nicht mehr schützen. Wenn also ein Benutzer LastPass verwendet, um ein freigegebenes Passwort z. B. in Google Chrome einzugeben, dann können wir dessen Sicherheit nicht mehr garantieren. Es könnte durch den Browser, einen Virus, das Netzwerk oder sogar die Website, an die es gesendet wird, kompromittiert werden. Dies wird auch in unserer Dokumentation erklärt.
Die Verwendung von LastPass zum Schutz freigegebener Zugangsdaten hat noch einen anderen Zweck: Wenn Sie Passwörter über LastPass für Kollegen oder Freunde freigeben und diese Zugangsrechte später aufheben, können Sie das betreffende Passwort danach schnell und einfach mit LastPass aktualisieren. Obwohl wir Ihren freigegebenen Zugangsdaten daher außerhalb von LastPass keinen absoluten Schutz bieten können (da unsere „Reichweite“ nicht über den Browser hinausgeht), können wir Ihnen helfen, sie zu schützen: Wir geben Ihnen die Möglichkeit, sie schnell zu ändern und diese Änderung automatisch mit allen Personen zu synchronisieren, für die sie freigegeben wurden.