Es ist zum verzweifeln. Kaum habe ich mich über den erläuternden Beitrag zum Thema KeePass von Aries in einem anderen Thread gefreut und beschlossen, endlich auch einen Passwordmanager anzuwenden, versetzt mir die Zeitschrift „Chip“ einen Schuss vor den Bug.
In dem Beitrag geht es um das häufig benutzte „LastPass“, bei dem Angreifer die komplette Kennwortdatenbank der User auslesen können. Das soll über „Cross-Site-Request-Forgery-Attacken“ (ich habe keine Ahnung was das ist) funktionieren. Dabei können beliebige Seiten den User abmelden und einen gefakten Log-In-Screen anzeigen. Sobald der User jetzt seine Log-In-Daten eingibt, erhält nicht nur LastPass die Daten sondern auch der Hacker. Vermutlich ist das aber nicht nur auf LastPass begrenzt.
In der gleichen Ausgabe der Zeitschrift wird auch die „2-Faktor-Authentifizierung“ (2FA) beschrieben. Damit scheint eine gewisse Sicherheit wieder herstellbar zu sein. Für LastPass gibt es z.B. eine App, die einen QR-Code generiert, der eingescannt werden muss. Eine Android-App dafür gibt es unter dem Namen „Authy“. Für Google gibt es die Möglichkeit, sich eine SMS mit einem Einmalcode zusenden zu lassen. Auch für Facebook, Amazon, Twitter, PayPal usw. ist 2FA möglich.
Allerdings habe ich keinerlei Erfahrung mit diesen Anwendungen und freue mich über Kommentare zu diesem Thema.
Meine Suche im Forum ergab eine sehr umfangreiche Übersicht der erhältlichen Passwordmanager und ansonsten nur ältere Beiträge die evtl. nicht mehr aktuell sind.
Wolfgang OW