LastPass Test

LastPass Test | Password Generator Erfahrungen

Möchten Sie Ihre Passwörter sicher verwalten, Ihre Benutzerkonten vor Missbrauch schützen und ganz einfach neue Passwörter generieren? Lesen Sie jetzt den LastPass Test!

LastPass ist ein Produkt des US-amerikanischen Softwareunternehmens LogMeIn Inc. Das Erbe der Verwendung von Großbuchstaben in der Mitte des Namens sollte die Abstammung noch deutlicher machen.

Das Unternehmen verdankt seinen Namen der Tatsache, dass das Master-Passwort das letzte Passwort sein soll, das sich der Benutzer merken muss, wenn er den Dienst zu nutzen beginnt.

LastPass ist schon seit langer Zeit im Bereich der Passwortverwaltung tätig. Der Dienst hat viele loyale Benutzer, und das sollte bedeuten, dass der Dienstanbieter einige Dinge richtig machen muss.

 

LastPass Vorteile

  • Reichlich Speicherplatz: Der Manager ermöglicht es dem Benutzer, bis zu 1 GB Daten mit dem Dienst zu speichern. Wenn man bedenkt, dass dieser Speicher nur für Informationen und Dokumente bestimmt ist, ist es eine Aufgabe für sich, den gesamten vom Manager zur Verfügung gestellten Speicherplatz zu nutzen.
  • Getrennte Abschnitte: Der Manager stellt dem Benutzer eine Vielzahl von maßgeschneiderten Kategorien für alle Daten zur Verfügung, die der Benutzer im Manager speichern möchte. Die Kategorien reichen von der Krankenversicherung bis hin zu Wi-Fi-Passwörtern. Der Benutzer kann auch einige neue Kategorien zusammen mit diesen erstellen.
  • Strenge Überwachung: Der Manager überwacht sorgfältig den Sicherheitsstatus der Passwörter des Benutzers. LastPass verfügt über ein Bewertungssystem, das den Benutzer nicht nur über die Sicherheit seiner Konten informiert, sondern ihn auch dazu motiviert, die Bewertung zu verbessern, was wiederum die Sicherheit der Benutzerkonten verbessert.
  • Zwei-Faktor-Authentifizierung: Die Sicherheit jedes Kontos erhöht sich um ein Vielfaches, wenn die Zwei-Faktor-Authentifizierung eingesetzt wird. LastPass ermöglicht und motiviert die Benutzer, die Zwei-Faktor-Authentifizierung in ihre Konten aufzunehmen. Der Manager stellt auch einen Authentifikator zur Verfügung, der für andere Dienste mit Zwei-Faktor-Authentifizierung verwendet werden kann, die der Benutzer möglicherweise verwendet.
  • Robuste Verschlüsselung und Hashing: Es wurden keine Abkürzungen für die Sicherheit von LastPass gewählt. Der Manager verwendet eine AES-256-Bit-Verschlüsselung, um die Daten des Benutzers zu verschlüsseln, bevor er sie verarbeitet. Dies ist die beste verfügbare Verschlüsselung. Sie verwenden auch PBDKF2, um sicherzustellen, dass jeder, der versucht, die Sicherheitsmaßnahmen zu umgehen, es schwer hat, bevor er/sie schließlich scheitert.
  • Einfache gemeinsame Nutzung: LastPass bietet dem Benutzer auch eine sichere Methode zur sicheren gemeinsamen Nutzung wichtiger Dateien und Informationen. Der Benutzer darf einige oder alle im Tresorraum gespeicherten Inhalte mit anderen LastPass-Benutzern teilen. Der Hauptvorteil dieser Funktion ist, dass sie weitaus sicherer ist als jede der herkömmlichen Methoden. Es sendet verschlüsselte Daten über das Internet, die erst entschlüsselt werden, wenn sie ihr Ziel erreicht haben.
  • Passwort Generator: Der Manager ist mit einem Passwortgenerator ausgestattet, der es dem Benutzer sehr leicht macht, komplexe Passwörter zu generieren, die nicht leicht zu erraten sind. Der Passwortgenerator ist sehr nützlich, wenn der Benutzer die alten oder schwachen Passwörter durch stärkere ersetzen muss. Die Passwörter werden leicht im Manager gespeichert, so dass der gesamte Prozess für den Benutzer relativ problemlos bleibt.

 

LastPass Nachteile

  • Kein Desktop-Client: Das erste, was jeder bemerkt, wenn er/sie beginnt, den Dienst zu nutzen, ist, dass der Dienst keinen Desktop-Client zur Verfügung stellt. Der Benutzer kann den Client nicht benutzen, wenn er offline ist, was eine große Enttäuschung ist. Das bedeutet, dass der Manager für keine der Desktop-Anwendungen verwendet werden kann, wenn das System offline ist. Das Fehlen eines Desktop-Clients nimmt dem Benutzer eine Menge solcher Erfahrungen.
  • Verspätete Antworten: Wir waren der Meinung, dass der Passwortmanager nicht zackig genug ist. Die verzögerten Antworten der Autofill- und Autosave-Funktionen können sich für viele Benutzer als sehr ärgerlich erweisen. Wir waren der Meinung, dass der Grund dafür sein könnte, dass es keinen Desktop-Client für den Manager gibt. Da für den Manager alles online geschieht, könnte dies die Prozesse verlangsamen.
  • Weniger Anpassbarkeit: Dies kann auch als ein Nebenprodukt der Tatsache betrachtet werden, dass es keinen Desktop-Client für den Manager gibt. Der Benutzer kann im Manager nicht viel ändern. Wenn einem Benutzer das Schema der Dinge unter den aktuellen Einstellungen nicht gefällt, dann bleiben ihm nur zwei Optionen. Die eine ist, die persönliche Präferenz zu opfern, und die Alternative dazu ist, den Dienst nicht mehr zu nutzen.

 

LastPass Überblick

Diese Überprüfung wird versuchen, all die Dinge herauszufinden, die LastPass richtig gemacht hat, und wir werden auch versuchen, herauszufinden, ob es Raum für weitere Verbesserungen des Dienstes gibt.

Da es sich um einen Passwortmanager handelt, werden wir ein scharfes Auge auf die Methoden haben, die der Dienstanbieter anwendet, um die Daten des Benutzers auf dem Manager zu schützen.

Neben der Sicherheit wird es auch andere Dinge geben, die einer detaillierten Analyse unterzogen werden. Einige dieser Abschnitte werden die Sicherheitsüberwachung, die Notfallmaßnahmen, die gemeinsame Nutzung von Daten usw. sein.

Es wird auch einige direkte Vergleiche mit den anderen Passwortmanagern geben.

Die Überprüfung wird damit enden, dass der Leser viel Wissen über LastPass sowie über Passwortmanager im Allgemeinen hat.

 

Plattform-Unterstützung, einfache Zugänglichkeit und Synchronisierung

Die meisten von uns kennen LastPass als ein webbasiertes Produkt, das auch mobile Anwendungen nutzt.

Der Download-Bereich von LastPass könnte jedoch für eine kleine Überraschung sorgen, wenn Sie die Download-Optionen für Windows, MacOS und Linux ebenfalls sehen.

Aber lassen Sie sich noch nicht hinreißen. Wenn Sie diese so genannten Desktop-Anwendungen herunterladen und auf Ihrem PC installieren, werden Sie feststellen, dass es sich lediglich um einen Browser-Link für die webbasierte Anwendung handelt.

Wir müssen zugeben, dass wir uns betrogen fühlten, nachdem wir den Zweck der Desktop-Anwendungen von LastPass herausgefunden hatten. Aber es stellte sich heraus, dass es einen Silberstreif in diesem ganzen Verfahren gibt.

Sobald Sie die Desktop-Anwendung heruntergeladen und dann installiert haben, erkennt sie automatisch die auf Ihrem Gerät vorhandenen Passwörter, jedoch auf unsichere Weise. Die Anwendung schlägt vor, all diese unsicheren Passwörter für den Benutzer zu speichern.

Abgesehen von den Desktop-Anwendungen gab es in den Download-Abschnitten keine Unregelmäßigkeiten. Der Manager kann in Form einer mobilen Anwendung heruntergeladen werden, die sowohl in Google Play als auch im App Store verfügbar ist.

Die Browsererweiterungen sind für die Webbrowser Chrome, Firefox, Internet Explorer, Safari und Edge verfügbar. Diese Erweiterungen erleichtern dem Benutzer den Zugang zum Passwort-Manager.

Abgesehen von einem dedizierten Desktop-Client gibt es nicht viel, was der Benutzer verpassen sollte. Der Wegfall lokaler Desktop-Geräte macht die dienstübergreifende Synchronisierung wesentlich einfacher.

Der Dienstanbieter hat dafür gesorgt, dass dem Benutzer auch ohne einen dedizierten Client genügend Möglichkeiten für den Zugriff auf den Passwortmanager zur Verfügung stehen.

Da der Dienst meist Cloud-basiert ist, gibt es keine Bedenken, wenn es um die Plattformunterstützung für den Dienst geht.

 

Was ist in dem Tresor?

Mainstream-Passwortmanager speichern heutzutage viel mehr als nur die Passwörter. LastPass, ist ohne Zweifel ein Riese in der Passwortverwalter-Szene, und Sie können von ihnen einen großen, aber sortierten Tresor erwarten.

LastPass ermöglicht die Speicherung von 50 MB Daten für die kostenlosen Benutzer und bis zu 1 GB für die Premium-Benutzer. Bedenkt man die Art und Form der Daten, die in diesen Anwendungen gespeichert werden, ist 1 GB mehr als ausreichend.

Der Benutzer wird keinen zusätzlichen Speicherplatz auf dem Dienst benötigen, selbst wenn er Tausende von Passwörtern darauf gespeichert hat.

Der Tresor wurde in der Webanwendung in verschiedene Kategorien unterteilt. Auf den ersten Blick scheint es, als gäbe es fünf Kategorien, in denen der Benutzer Informationen speichern kann. Aber eine leichte Untersuchung wird zeigen, dass der Tresor mehr als das, was am Anfang erscheint, enthält.

Es gibt viele Kategorien, die auf dem Startbildschirm erst dann angezeigt werden, wenn es innerhalb der Kategorie einen Inhalt gibt. Zusätzlich zu all diesen Kategorien kann der Benutzer auch eine benutzerdefinierte Kategorie im Manager erstellen.

Lassen Sie uns die wichtigen unter diesen Kategorien besprechen und versuchen, herauszufinden, wie sie dem Benutzer das Leben leichter machen.

 

Kennwörter

Was kann eine kritischere Kategorie sein als Passwörter in einem Passwort-Manager? Es gibt mehrere Möglichkeiten, ein Passwort in dieser Kategorie zu speichern.

Die erste Möglichkeit ist das manuelle Hinzufügen der Zugangsdaten in der Anwendung. Es ist in Ordnung, diese Methode zu verwenden, wenn es nur wenige Passwörter gibt, aber wir empfehlen diesen Weg nicht für eine große Anzahl von Passwörtern.

Wenn Sie von einem anderen Passwort-Manager zu LastPass wechseln, können Sie versuchen, die Passwörter aus den anderen Passwort-Managern mit Hilfe einer .csv-Datei zu importieren. Es gibt eine Anleitung zu diesem Thema im Hilfe-Abschnitt des Dienstes.

Sie können auch eine benutzerdefinierte .csv-Datei verwenden, um die Passwörter zu importieren, wenn Sie zufällig die Daten aller Ihrer Passwörter zusammen mit den anderen Details in einer Datei haben. Wir hoffen jedoch, dass Sie eine solche Datei nicht haben, da es keine sehr gute Idee ist, solch sensible Informationen auf so unsichere Weise zu speichern.

Die letzte und einfachste Methode ist, den Manager die Arbeit für Sie erledigen zu lassen. Immer wenn Sie sich auf einer Website anmelden, werden Sie aufgefordert, die Zugangsdaten im Manager zu speichern, falls sie nicht bereits gespeichert sind.

Es genügt ein Klick, um das Passwort im Manager zu speichern.

Sobald Sie das gesamte Passwort gespeichert haben, gibt es eine Menge Optionen, um die Registerkarte anzupassen. Der Manager sortiert die Passwörter automatisch nach der Kategorie der Website und erlaubt auch Änderungen darin.

 

Adressen

Wir sind der Meinung, dass die Dienstleistungsanbieter diese Kategorie besser hätten benennen sollen. Sie speichert nicht nur die Adresse, sondern das gesamte Profil einer Person.

Und was sie so wichtig macht, ist die Tatsache, dass diese Angaben direkt in verschiedenen Formen im Internet automatisch ausgefüllt werden können. Das hilft bei der Anmeldung für einen neuen Dienst und reduziert den Zeitaufwand erheblich.

Sie können mehr als ein Profil in dieser Kategorie speichern, auch wenn Sie es vielleicht nie irgendwo automatisch ausfüllen lassen müssen.

 

Zahlungskarten

Sie müssen bei einer Online-Zahlung nicht mehr nach Ihrer Karte greifen und alle Details und Anmeldedaten eingeben.

Verwenden Sie LastPass stattdessen als digitale Brieftasche. Sie müssen die Kartendetails nur einmal in Ihrem LastPass-Konto eingeben und müssen dann für jede Transaktion dieselben Details eingeben.

Wenn Sie Ihre Kartendaten gespeichert haben und das nächste Mal eine Online-Zahlung vornehmen müssen, klicken Sie einfach auf das Autofill-Symbol von LastPass und wählen Sie die Karte aus, die Sie für die Zahlung verwenden möchten.

Manche mögen argumentieren, dass die meisten Online-Shops die Möglichkeit bieten, Karten und Adressen zu speichern, warum sich dann für LastPass entscheiden?

Wir erkennen an, dass die Online-Shops die Speicherung von Karten- und Profilinformationen für schnellere Transaktionen anbieten, aber nicht allen kann man vertrauen.

Die Möglichkeiten, Online-Einkäufe zu tätigen, nehmen exponentiell zu, und es wird kein kluger Schachzug sein, Ihre sensiblen Daten auf all diesen Websites zu speichern.

Mit LastPass müssen Sie nicht einmal den Prozess der Speicherung Ihrer Kartendaten durchlaufen, bei dem Sie mindestens eine Eingabe vornehmen müssen.

Die Tastatureingabeprotokollierung wird auch nicht zu Ihren Bedenken gehören, wenn Sie die wichtigen Details nicht eingeben, da der Manager sie automatisch für Sie ausfüllt.

Wenn sie in Ihr Gerät eingespeist wird, verfolgt ein Tastendruck-Logger alle von Ihnen während der Benutzung des Geräts gedrückten Tasten, und dann ist es für jeden Hacker keine sehr schwierige Aufgabe, Ihre Passwörter und andere wichtige Details herauszufinden.

Sie können sowohl ‚Adressen‘ als auch ‚Zahlungskarten‘ verwenden, um schnellere Online-Transaktionen durchzuführen. Die Abschnitte machen es auch viel einfacher, verschiedene Kombinationen von Karten, Adressen und Profilen bei der Durchführung der Transaktionen zu verwenden.

 

Andere

LastPass bietet dem Benutzer die Möglichkeit, viele andere Details kategorisch zu speichern. Auch wenn der Benutzer nicht unbedingt das Bedürfnis verspürt, auf diese Details häufig zu verweisen, kann ihre Bedeutung nicht untergraben werden.

Sie erhalten auch die Möglichkeit, Ihre maßgeschneiderte Kategorie zu den bereits in der Anwendung vorhandenen hinzuzufügen.

Einige der Kategorien, die bereits auf dem Client vorhanden sind, sind Führerschein, Reisepass, Wi-Fi-Passwort, Software-Lizenz, Datenbank usw. Jetzt können wir damit beginnen, die Bedeutung all dieser Kategorien einzeln zu erklären, aber wir sollten das Ganze wohl in einem Satz für Sie zusammenfassen.

Sie können JEDE Information im LastPass-Tresor speichern und jederzeit darauf zugreifen, wenn Sie Zugang zum Internet haben.

Die schiere Anzahl der bereits in der Anwendung verfügbaren Kategorien hilft dem Benutzer, alle Daten effektiv zu sortieren und gleichzeitig zu sichern. Wir sind jedoch der Meinung, dass die Sortierfunktion noch viel mehr Möglichkeiten hätte bieten können.

Viele Passwortverwalter erlauben eine Farbkodierung in verschiedenen Kategorien zusammen mit den bereits verfügbaren Sortiermethoden, um den Prozess für den Benutzer viel intuitiver zu gestalten. Dashlane ist ein solcher Passwortmanager mit außergewöhnlichen Sortier- und Kategorisierungstechniken, die darin enthalten sind.

 

Überwinden Sie die ‚Sicherheitsherausforderung‘.

Wie oft ist ein Fehler aus der Vergangenheit auf Sie zurückgekommen, um Sie zu verfolgen?

Die Verwendung schwacher und leicht zu erratender Passwörter und die Verwendung desselben Passworts für jede Website sind einige der Fehler, die die meisten von uns irgendwann begangen haben. Einige Leute verwenden immer noch schlechte Passwortpraktiken, ohne sich des potenziellen Risikos bewusst zu sein, das sie mit sich bringen.

Die Sicherheitsherausforderungsfunktion von LastPass ermöglicht es dem Benutzer, all diese vergangenen und gegenwärtigen Fehler rückgängig zu machen und die Sicherheit über alle seine Konten hinweg zu erhöhen.

Der Manager scannt alle Passwörter nach der letzten Änderung, ob sie für verschiedene Konten wiederholt werden, ob sie kompromittiert sind oder nicht, ob die Website kompromittiert ist oder nicht, usw.

Der aktuelle Zustand und die Stärke des Passworts des Benutzers wird ebenfalls in der Sicherheitsherausforderung bewertet.

Sobald sich der Benutzer für die Challenge entscheidet, fragt der Manager ein weiteres Mal nach dem Master-Passwort. Dann zeigt der Manager das Ergebnis in einer geeigneten Zeit an, je nachdem, wie viele Passwörter im Manager gespeichert sind.

Die maximal mögliche Punktzahl ist 100, wobei zehn für die Verwendung der Zwei-Faktor-Authentifizierung gilt. Wir werden die Zwei-Faktor-Authentifizierung bei LastPass in den späteren Abschnitten der Überprüfung besprechen.

Neben der Sicherheitspunktzahl zeigt der Manager auch die Position des Benutzers unter allen LastPass-Benutzern und eine Punktzahl für das Master-Passwort des Benutzers an.

Abhängig von den Anomalien, die in den Sicherheitsstandards für verschiedene Passwörter für die Konten des Benutzers gefunden wurden, schlägt der Manager dann die möglichen Abhilfemaßnahmen vor.

Alle kompromittierten Passwörter erhalten die höchste Priorität. Es folgen dann schwache, wiederverwendete und alte Passwörter.

Einige dieser Passwörter können direkt vom Manager aus mit der Funktion „Auto-Change“ geändert werden. Sobald Sie auf die Schaltfläche ‚Auto-Change‘ klicken, wird sich der Manager automatisch in das Konto einloggen, das Passwort durch ein starkes Passwort ersetzen und das neue Passwort für den Benutzer speichern.

Es ist eine bequeme und schnelle Methode, um die Änderungen vorzunehmen, aber diese Funktion ist nicht für alle Websites verfügbar. Für diese Websites müssen Sie sich manuell in Ihr Konto einloggen und dann das Passwort ändern.

LastPass kann immer noch verwendet werden, um sichere Passwörter zu generieren und sie gleichzeitig im Manager zu speichern.

Sie brauchen sich keine Sorgen zu machen, wenn Sie jemals das Bedürfnis verspüren, eines Ihrer alten Passwörter zu kennen, das Sie mit LastPass geändert haben. Sie können alle alten Passwörter für die „Geschichte“ eines Passwortsymbols eines Kontos anzeigen.

Der Manager bietet ein Fenster mit detaillierten Statistiken zu den Passwörtern. Der Benutzer kann die verschiedenen Abschnitte getrennt voneinander bewerten und sich so eine bessere Vorstellung von den Mängeln in seinen Passwortpraktiken machen.

Sobald alle Unzulänglichkeiten behoben sind, wird sich die Sicherheitspunktzahl bei späteren Tests verbessern.

Der Benutzer sollte versuchen, nach einer Bewertung im grünen Bereich zu greifen. Das Fehlen der Zwei-Faktor-Authentifizierung wird nicht als Problem genannt, aber es ist wichtig, eine Sicherheitspunktzahl von über 90 zu erreichen, da sie für 10 Punkte zählt.

Das Statistikfenster zeigt auch die Stärke der einzelnen Passwörter an. Der Dienstanbieter schlägt vor, dass der Benutzer zumindest versuchen sollte, für alle Passwörter einzeln einen Wert über 50 zu erreichen, da sie sonst als schwach eingestuft werden.

 

Teilen ist gut

Das ‚Sharing Center‘ in LastPass macht es dem Benutzer leicht, Passwörter und andere im Tresorraum gespeicherte Gegenstände mit anderen Personen, wie Familienmitgliedern oder Teammitgliedern im Büro, zu teilen.

Sie können auch Zugang zu den Inhalten erhalten, die andere mit Ihnen in LastPass geteilt haben.

Um ein Element freizugeben, brauchen Sie nur auf die Registerkarte „Mit anderen teilen“ des Freigabecenters zu gehen, auf das Symbol „Element teilen“ zu klicken und die erforderlichen Details auszufüllen. Es besteht die Möglichkeit, das Passwort direkt von der Website aus mit Hilfe der Browser-Erweiterung zu teilen.

Es ist notwendig, dass der Empfänger auch ein LastPass-Konto hat, damit er auf die geteilten Elemente zugreifen kann.

Sie können auch den Umfang des Zugriffs des Empfängers bestimmen, indem Sie entscheiden, ob Sie ihm das Passwort zeigen wollen oder nicht. Es besteht die Möglichkeit, den Zugriff auf die gemeinsam genutzten Elemente jederzeit zu widerrufen.

Ein Nachteil dieser Freigabefunktion ist jedoch, dass der Empfänger das Passwort unter Umständen mit Hilfe einiger fortgeschrittener Techniken sehen und speichern kann. Daher ist es wichtig, dass Sie kluge Entscheidungen treffen, wenn es um die gemeinsame Nutzung von Passwörtern mit anderen Personen geht.

Im Freigabecenter gibt es einen Ordner „Für mich freigegeben“, in dem Sie die Elemente akzeptieren können, die andere Personen für Sie freigegeben haben. Es besteht die Möglichkeit, die Einladung abzulehnen, wenn Sie sie für irrelevant halten.

Mit der Freigabefunktion von LastPass können Sie die Produktivität verbessern und gleichzeitig sicher bleiben, wenn die Empfänger zuverlässig genug sind.

 

Im Falle eines Notfalls

Es besteht die Möglichkeit, anderen Personen in Notfällen Zugang zu Ihrem Konto zu gewähren. Diese Funktion könnte sich in Krisensituationen als vorteilhaft erweisen.

Sie können einige vertrauenswürdige Personen auswählen und ihnen erlauben, Daten aus Ihrem Tresorraum abzurufen, wenn Sie aus irgendeinem Grund außerhalb Ihres Kontos gefangen werden.

Der andere muss ein aktives LastPass-Premium-Konto haben, damit Sie ihn als einen Ihrer Notfallkontakte hinzufügen können.

Sie können die Zeitspanne festlegen, nach der der Zugang zum Tresorraum nach dem Auslösen der Anfrage gewährt wird. Während dieses Zeitraums wird LastPass versuchen, Sie zu erreichen und Sie über die Anfrage für den Notfallzugang zu benachrichtigen.

Sie können dazwischen eingreifen und verhindern, dass der Manager der Person Einblick in Ihren Tresor gewährt.

Da es jedoch Möglichkeiten gibt, auch bei Verlust des Master-Passworts wieder Zugang zu seinem Konto zu erhalten, sehen wir keinen großen Nutzen des Notfallzugangs für den Kunden.

Der Benutzer sollte versuchen, sich auf andere Methoden zu verlassen, um wieder Zugang zu seinem Konto zu erhalten, anstatt anderen den Zugriff auf den Inhalt des Kontos zu ermöglichen.

 

Sicherheitsmechanismus

Die Sicherheit wird bei einem Passwortmanager ein großes Problem darstellen, da er dazu benutzt werden kann, die Sicherheit der übrigen Benutzerkonten zu untergraben.

Das Sicherheitsmodell der meisten Passwortmanager mag ähnlich erscheinen, da sie alle Master-Passwörter verwenden und die AES-256-Bit-Verschlüsselung für den Tresorraum beanspruchen, die die robusteste verfügbare Verschlüsselung ist.

Nun, die Dinge sind einfach nicht so einfach, wie sie scheinen. Die Sicherheit eines Passwortmanagers umfasst mehr als nur die Verschlüsselung und das Master-Passwort.

Lassen Sie uns versuchen, die Architektur hinter dem Sicherheitsmechanismus von LastPass in elementaren Begriffen zu verstehen.

Alles beginnt, wenn der Benutzer versucht, sich mit dem Benutzernamen und dem Master-Passwort in das LastPass-Konto einzuloggen. Es erzeugt lokal einen Hash und einen Entschlüsselungsschlüssel.

Der Hash ist analog zu einer verschleierten Version des Master-Passworts. Der Dienst verwendet PBKDF2-SHA256, um einen gesalzenen Hash zu erzeugen.

Bei gesalzenem Hash sollten Sie verstehen, dass es für den Hacker noch komplizierter wird, den Inhalt des Hashes zu erkennen. Was er tut, ist, dass er die Anzahl der Runden zum Erraten des Passworts erhöht.

Wenn der Passwort-Hash den Server erreicht und akzeptiert wird, wird der Inhalt des Tresors, der in verschlüsselter Form gespeichert ist, an das Gerät gesendet. LastPass verwendete eine AES-256-Bit-Verschlüsselung, um den Inhalt des Tresors zu sichern.

Sobald diese verschlüsselten Daten das Gerät erreichen, wird der mit dem Master-Passwort generierte Schlüssel zur Entschlüsselung des Tresorrauminhalts verwendet.

Der Benutzer sollte wissen, dass der Schlüssel das Gerät nie verlässt, so dass niemand anderes den Schlüssel erhält und den Inhalt des Tresors durchsickern kann.

Der Vorteil der verschlüsselten Speicherung der Daten in den LastPass-Servern besteht darin, dass selbst wenn jemand Zugang zum Server erhält, er/sie immer noch Milliarden von Jahren braucht, um den Inhalt unter der Verschlüsselungsschicht zu erkennen.

Der von LastPass eingesetzte Sicherheitsmechanismus ist so robust wie nur möglich, und dann haben sie noch ein paar weitere Sicherheitsfunktionen obendrauf.

Die Zwei-Faktor-Authentifizierung ist das erste, was einem in den Sinn kommt, wenn zusätzliche Sicherheitsmerkmale auf einem Passwort-Manager diskutiert werden.

Wir werden die Zwei-Faktor-Authentifizierung in den kommenden Abschnitten besprechen.

LastPass ist SOC Typ 2 konform, was dem Benutzer helfen sollte, dem Dienst zu vertrauen. SOC 2 ist ein Kriterium für den Umgang mit Kundendaten und basiert auf bestimmten strengen Standards.

Das Bug-Bounty-Programm von LastPass kann ebenfalls zu den Sicherheitsfunktionen gezählt werden, da es dazu beiträgt, die Sicherheit für den Manager noch robuster zu machen.

Die von LastPass getroffenen Sicherheitsmaßnahmen scheinen zuverlässig und fähig genug zu sein, um dem Dienst die Passwörter und andere wichtige Daten anzuvertrauen.

 

Mehrere Optionen für die Zwei-Faktor-Authentifizierung

Anscheinend verwenden alle Passwortmanager das Master-Passwort als einzigen Modus für den Benutzer, um auf das Konto zuzugreifen. Das macht es schwierig, das System zu durchbrechen, da es theoretisch nur einen Zugangspunkt gibt.

Aber das macht auch einen einzigen Punkt für den Ausfall aus. Alles verlässt sich auf das Master-Passwort, und wenn der Hacker es irgendwie in die Hände bekommt, können die Auswirkungen katastrophal sein.

Die Zwei-Faktor-Authentifizierung hilft bei der Bekämpfung dieses Problems, indem sie die Anforderung eines weiteren Schlüssels schafft, der zusammen mit dem Master-Passwort für die Anmeldung am Benutzerkonto benötigt wird.

Sie fügt dem System eine weitere Sicherheitsebene hinzu und macht es schwieriger, das System zu durchbrechen. Bei LastPass stehen verschiedene Optionen zur Verfügung, wenn es darum geht, den Authentifikator für diese Funktion zu wählen.

LastPass verfügt über einen eigenen Authentifikator, der auch bei der Aktivierung der Zwei-Faktor-Authentifizierung verwendet werden kann.

Andere Optionen umfassen die beliebten Authentifizierungsdienste wie Google-Authentifikator, Microsoft-Authentifikator, YubiKey, RSA SecurID usw. Der Benutzer hat die Möglichkeit, zwischen den Hardware- und den Software-basierten Authentifikatoren zu wählen.

Es ist sehr einfach, die Zwei-Faktor-Authentifizierung auf LastPass einzurichten. Die Anleitung zur Verwendung der Zwei-Faktor-Authentifizierung für den Dienst ist auf der Support-Seite des Managers verfügbar.

Es gibt auch eine Option zum Hinzufügen eines Geräts in die Liste „Vertrauenswürdige Geräte“. Dadurch entfällt die Notwendigkeit, die Zwei-Faktor-Authentifizierung auf diesem Gerät 30 Tage lang zu verwenden.

Mit dieser Funktion kann der Benutzer sicherstellen, dass bei jeder Anmeldung von einem unbekannten Gerät eine Zwei-Faktor-Authentifizierung erforderlich ist.

 

Sichere Kennwörter generieren

Wir alle wissen, wie wichtig es ist, solide Passwortstrategien zu verfolgen. Es beginnt mit der Regel, nicht für alle Konten das gleiche Passwort zu verwenden, da ein Verstoß gegen nur eines dieser Konten bald alle Ihre Konten betreffen kann.

Die nächst wichtigste Regel ist, sich von den häufig verwendeten und leicht zu erratenden Passwörtern fernzuhalten und starke Passwörter zu verwenden, um das Konto zu sichern.

Es ist jedoch keine leichte Aufgabe, jedes Mal ein starkes Passwort zu finden, besonders wenn der Benutzer viele Konten hat.

Hier kommen Passwortgeneratoren zum Einsatz. LastPass bietet auch einen Passwortgenerator, mit dem der Benutzer so viele starke und eindeutige Passwörter generieren kann, wie er/sie will.

Auf den Generator kann auch von der Browser-Erweiterung aus leicht zugegriffen werden. Es gibt verschiedene Parameter, die der Benutzer ändern kann, um das von ihm bevorzugte Passwort zu generieren.

Sie können zwischen Zahlen, Symbolen, Groß- und Kleinbuchstaben wählen. Darüber hinaus können Sie auch die Länge des Passworts kontrollieren.

Sobald Sie ein Passwort erhalten, das Ihnen gefällt, können Sie es aus dem Forum kopieren oder auf die Schaltfläche ‚Passwort ausfüllen‘ klicken, um es direkt in die Website zu übertragen.

Um die Funktion besser zu machen, hätte LastPass auch die Möglichkeit haben können, Passwörter vorzuschlagen. Bei dieser Funktion schlagen die Manager dem Benutzer bei Bedarf automatisch ein starkes Passwort vor.

Da wir über den Passwortgenerator von LastPass sprechen, könnte es sich lohnen, auch den Benutzernamensgenerator des Dienstes zu erwähnen. Er ist weder in der Webanwendung noch in der Browsererweiterung verfügbar.

Sie müssen im Internet auf ihn zugreifen. Wir fanden ihn sehr nützlich und intuitiv. Es scheint mit dem gleichen Algorithmus zu arbeiten wie der Passwort-Generator von LastPass.

Es ist also vielleicht keine schlechte Idee, die Einstellungen des Passwortgenerators zu verändern und ihn als Benutzernamensgenerator zu verwenden.

 

Die Ineffizienzen

Wir haben alle coolen Funktionen von LastPass besprochen, die das Leben für den Benutzer leichter machen sollen.

Aber wenn diese Funktionen nicht angemessen angedeutet werden, stoßen sie den Benutzer vom Produkt ab. Etwas Ähnliches ist bei uns passiert, als wir LastPass einige Zeit lang benutzt haben.

Lassen Sie uns zunächst die Autosave-Funktion von LastPass besprechen. Im Idealfall soll es die Anmeldeinformationen und die Kennwörter speichern, wenn sich der Benutzer bei einem Dienst anmeldet.

Aber dies war bei LastPass nicht immer der Fall. Der Manager war nicht in der Lage, die Anmeldedaten jedes Mal zu erkennen, und wir mussten die Details im Manager manuell hinzufügen.

Die Browsererweiterung sollte effektiver genutzt werden, um solchen Anomalien entgegenzuwirken. Wenn es in der Browsererweiterung eine Option zum Speichern von Inhalten gab, die sich auf die aktuell angezeigte Website beziehen, wäre es für uns einfacher gewesen, die Details im Manager manuell einzugeben.

Wenn wir über die Autoausfüllfunktion des Dienstes sprechen, gab es wieder einige Probleme. Selbst wenn wir LastPass zum automatischen Ausfüllen der Details für die Anmeldung auf einer Website verwendet haben, war es nicht möglich, die Anmeldedaten im Anmeldefenster anzugeben.

Noch ärgerlicher wurde es, als wir feststellten, dass wir den Passwortgenerator des Dienstes benutzten, denn jetzt müssen wir in den Tresorraum gelangen und ihn dann in die entsprechende Registerkarte eingeben.

Es gab auch so viele Male, dass wir das Gefühl hatten, dass der Dienst nicht schnell genug ist und die Autofill- und Autosave-Symbole nicht schnell genug auftauchen.

Ein spezieller Fall, der uns am meisten verärgert hat, war der Versuch, sich in das SoundCloud-Konto einzuloggen. Wir haben beim Erstellen des Kontos das Autofill-Formular von LastPass verwendet, doch das Autofill-Symbol für das Passwort auf der Anmeldeseite wurde nie angezeigt.

Der Manager hatte absolut keine Probleme beim Einloggen in den Dienst, wenn wir es direkt vom Tresorraum aus tun. Aber jedes Mal, wenn wir versuchen, uns über die Anmeldeseite einzuloggen, erhalten wir nichts vom Passwort-Manager.

Es mag sich so anhören, als würden wir den Dienst ein wenig zu sehr kritisieren, aber diese kleinen Probleme tun den Diensten mehr schadet als nützt. Der Dienstanbieter sollte sich auf das Thema konzentrieren und die Dinge für das automatische Ausfüllen und Speichern effizienter machen.

 

Anpassung

Da LastPass keinen dedizierten Client besitzt, fehlen auch keine Anpassungsoptionen. Es gibt nicht viel, was der Benutzer tun kann, um die Anwendung nach seinen Präferenzen zu modifizieren.

Es gibt nur eine Webanwendung für den Manager, die dem Benutzer nicht viel Raum für Änderungen im Client lässt.

Es gibt jedoch einige Möglichkeiten, um einige Änderungen im Konto des Benutzers selbst vorzunehmen. Wenn Sie auf die Option „Kontoeinstellungen“ im Seitenbereich der Anwendung klicken, erhalten Sie eine Reihe von Einstellungsoptionen für das Konto.

Die Optionen werden in einem Pop-up-Fenster angezeigt. Er ist in verschiedene Kategorien unterteilt, die dem Benutzer verschiedene Einstellungen für das Konto zur Verfügung stellen.

Die erste Kategorie ist ‚Allgemein‘ und hilft dem Benutzer mit der Option, das Master-Passwort zu ändern, die Sprache zu ändern, die Zeitzone zu ändern, usw. Sie enthält auch die Möglichkeit, eine SMS-Wiederherstellungs-Telefonnummer einzurichten, um für Notfälle gerüstet zu sein.

Der nächste Abschnitt ist ‚Multifaktor-Optionen‘ und zeigt eine ganze Reihe von Multifaktor-Optionen an, die auf dem Manager verfügbar sind. Sie können die verfügbaren Optionen sowohl einrichten als auch Änderungen vornehmen.

Die nächsten beiden Abschnitte sind ‚Vertrauenswürdige Geräte‘ und ‚Mobile Geräte‘. Der erste ist das Hinzufügen eines beliebigen Geräts in der Liste, damit es in Zukunft nicht mehr nach einer Multifaktor-Authentifizierung fragt. Und der zweite lässt Sie entscheiden, welche Smartphones und Tablets Zugang zu Ihrem LastPass-Konto erhalten.

Unter ‚Niemals URLs‘ können Sie eine bestimmte Website hinzufügen, auf der der Manager nicht arbeiten soll. Äquivalente Domains‘ kann verwendet werden, um Websites zu markieren, auf denen Sie die gleichen Anmeldedaten haben.

Abgesehen von diesen Einstellungsoptionen gibt es noch einige weitere Optionen, die über den Manager verstreut sind und bereits in den vorherigen Abschnitten erwähnt wurden.

Auch wenn alle vorgestellten Optionen nützlich erscheinen, lässt sich nicht leugnen, dass ein dedizierter Kunde die Dinge viel lustiger gemacht hätte.

 

Fazit zum LastPass Test

Sie müssen eine klare Vorstellung davon haben, warum dies ein so beliebter Passwortmanager ist. LastPass ist mit Funktionen gefüllt, die den Benutzer auf den Dienst aufmerksam machen.

Aber es gibt auch etwas an dem Manager, das uns nicht gerade begeistert von dem Dienst. Erinnern wir uns aber zunächst an all die guten Teile.

Der Speicherplatz sowie die Speichermöglichkeiten des Dienstes sind ausgezeichnet. Sie präsentieren dem Benutzer so viele Kategorien, dass die Notwendigkeit, einen neuen Abschnitt im Tresorraum zu schaffen, kaum je empfunden wird.

Es ist einfach, Passwörter und andere Dinge auf dem Client zu speichern. Die Sicherheitsherausforderung auf dem Client ist eine aufregende Möglichkeit, das gesamte Benutzerkonto zu schützen.

Das Punktesystem wirkt als großer Motivator und hilft dem Benutzer, die Sicherheit seines Kontos zu erhöhen.

Wir haben keine Probleme mit den Sicherheitsmaßnahmen, die für den Dienst verwendet werden. Die starke Verschlüsselung und die anschließende weitere Salzung der Hashes sorgen für entschlüsselbare Inhalte.

Die Einbeziehung der Zwei-Faktor-Authentifizierung macht das Konto des Benutzers noch sicherer. Der Passwortgenerator unterstützt den Prozess auch durch die Generierung von nicht leicht zu erratenden Passwörtern.

Das Fehlen eines dedizierten Desktop-Clients für den Dienst schien jedoch das größte Hindernis für den immer besser werdenden Manager zu sein.

Es beschränkt den Passwort-Manager nur auf die Online-Nutzung und erschwert seine Verwendung zusammen mit lokal gespeicherten Desktop-Anwendungen.

LastPass erfüllt seine Aufgabe als Passwortmanager sehr gut, und wir empfehlen diesen Dienst, wenn der Benutzer keinen Wunsch nach einem Desktop-Client und einer Offline-Nutzung hat.

 

Dieser Artikel zum LastPass Test basiert auf der englischen Version auf pfind.com und wurde mit freundlicher Genehmigung von mir übersetzt und auf softwaresieger.de veröffentlicht.