Angriff

Lastpass: Cloud-Passwort-Manager gehackt, Passwort ändern

Lastpass hat verdächtige Aktivitäten festgestellt und fordert Kunden zur Sicherheit auf, ihr Master-Passwort zu ändern. Die Firma teilte mit, dass E-Mail-Adressen und Passwort-Erinnerungen erbeutet wurden. Nun sollen zusätzliche Maßnahmen für mehr Sicherheit sorgen.
Von dpa / Hans-Georg Kluge

Lastpass: Server angegriffen, Nutzerdaten entwendet. Lastpass: Server angegriffen, Nutzerdaten entwendet.
Bild: LastPass / Montage: teltarif.de Nach einem Angriff auf die Server des Passwortmanager-Dienstes Lastpass müssen Nutzer vorsichtshalber ihr Masterpasswort ändern. Aus Sicherheitsgründen werden Nutzer, die sich mit einer dem Dienst bislang unbekannten IP-Adresse oder mit einem neuen Gerät anmelden, außerdem aufgefordert, ihren Account per E-Mail zu verifizieren. Das gelte allerdings nicht für Nutzer, die die Authentifizierung in mehreren Schritten aktiviert haben.

Angreifer erbeuteten Passwort-Erinnerungen und E-Mail-Adressen

Lastpass: Server angegriffen, Nutzerdaten entwendet. Lastpass: Server angegriffen, Nutzerdaten entwendet.
Bild: LastPass / Montage: teltarif.de Bei dem Angriff haben die Hacker dem Unternehmen zufolge [Link entfernt] E-Mail-Adressen, Passwort-Erinnerungen und kryptographische Prüfsummen (Authentication Hashes) abgeschöpft. Es gebe aber keine Hinweise darauf, dass verschlüsselte Tresore mit Nutzerpasswörtern gestohlen worden sind. Unklar ist, warum Lastpass überhaupt eine Passwort-Erinnern-Funktion besitzt. Wer mit diesen Fragen tatsächlich einen Hinweis auf das Passwort gibt, erleichtert es Angreifern, den Lastpass-Account zu kapern.

Als zusätzliche Sicherheitsmaßnahme rät Lastpass allen Nutzern grundsätzlich, die Mehrschritt-Authentifizierung zu aktivieren. Dann reichen nicht mehr allein Benutzernamen und Passwort, um an die Passwörter im Tresor zu gelangen, sondern der Nutzer muss sich noch auf einem zweiten Weg ausweisen - etwa über einen per App ausgegebenen Authentifizierungscode, über einen USB-Schlüssel-Stick, per Fingerab­druckscanner oder Smartcard.

Cloudbasierte Passwort-Manager haben risiken

Serverbasierte Passwortmanager wie Lastpass bieten den Vorteil, dass die Zugangsdaten auf allen Geräten aktuell verfügbar sind - allerdings sind solche Anbieter dementsprechend ein lockendes Ziel für Kriminelle. Wer das grundsätzliche Sicherheitsrisiko von Cloud-Passwortmanagern scheut, hat aber auch Offline-Alternativen wie etwa den kostenlosen Open-Source-Manager Keepass, den es auch zur Installation auf USB-Sticks für unterwegs gibt.

Wir haben den Konkurrenzdienst 1Password getestet. In unserem Bericht erfahren Sie, ob die für Android, iOS, Windows und Mac verfügbare App die Passwortverwaltung erheblich vereinfachen kann.

Mehr zum Thema Passwörter