#lastpass

Convincing maintenance emails are luring LastPass users to spoofed sites, harvesting vault credentials under the guise of urgent backups.

Source: LastPass

Anyone who uses LastPass should look into resetting all of their passwords saved in their vaults. Entire vaults were stolen during their recent breach.

(via Lastpass: Hackers stole customer vault data in cloud storage breach)

The LastPass hack in November was much worse than we were initially led to believe. Catastrophically worse. And it came after an earlier breach last August. The entire situation has been a disaster of opacity, sparse information sharing and the company making efforts to retain business at the expense of user security, which was the only thing we were paying them for.

I’ve just migrated over to 1Password, which was fortunately a very easy process, because now I begin the painstaking and time eating process of updating every password that I haven’t changed since that November breach. Nothing can be assumed safe.

If you stuck with LassPass, you should really change that today. And if you’re an iOS/MacOS premium account holder, demand a refund; if Apple is processing refunds to third-party Twitter app users for something that those companies didn’t do (Twitter shut off their access) then they should certainly do likewise here when the company is wholly at fault.



Contributors

ddaengsec

btsarmysafety

Das letzte Passwort

Bei dieser Firma wird Sicherheit groß geschrieben. Alle Passwörter müssen im Passwort-Manager LastPass in der Cloud gespeichert werden. Alle in der Firma bekommen dazu einen Account bei LastPass eingerichtet. Nur ein einziges Passwort muss man sich dann noch merken, das Master-Passwort für den LastPass-Account nämlich. Und das sollte natürlich ein besonders gutes sein.

Ich wähle nach allen Regeln der Kunst ein besonders gutes Passwort und gehe ins Wochenende. Als ich in der nächsten Woche in die Firma zurückkomme, weiß ich das Passwort nur noch so ungefähr. Das reicht leider nicht. Ich komme nicht in den Passwort-Manager.

Hab' ich diesen Buchstaben jetzt groß oder klein geschrieben? Hab' ich das Sonderzeichen x oder y verwendet? Ich habe das Passwort auf einer amerikanischen Tastatur geschrieben – hab' ich eventuell so getippt, als hätte ich an einer deutschen Tastatur gesessen, und darum ein anderes Passwort eingegeben, als ich eigentlich dachte?

Mit allen Unsicherheiten komme ich auf insgesamt sechzehn Möglichkeiten, wie das Passwort gelautet haben könnte. Ich schreibe sie mir in einer Tabelle auf und probiere sie alle durch. Keine davon funktioniert. Natürlich könnte es sein, dass ich mich gerade bei der Möglichkeit, die die richtige gewesen wäre, beim Ausprobieren vertippt habe.

Ich versuche, das Passwort zurückzusetzen, aber aus Sicherheitsgründen ist die Zurücksetzfunktion von der IT-Abteilung gesperrt worden. Kleinlaut schreibe ich ein Ticket an die IT-Abteilung, ob man meinen LastPass-Account eventuell wieder komplett zurücksetzen könnte.

Diesmal schreibe ich mir das Passwort aber auf! Und hefte es an den Bildschirm! Mit einem Post-It!