Lastpass: Cloud-Passwort-Manager gehackt, Passwort ändern
Lastpass: Server angegriffen, Nutzerdaten entwendet.
Bild: LastPass / Montage: teltarif.de
Nach einem Angriff auf die Server des
Passwortmanager-Dienstes Lastpass müssen Nutzer vorsichtshalber ihr
Masterpasswort ändern. Aus Sicherheitsgründen werden Nutzer, die sich
mit einer dem Dienst bislang unbekannten IP-Adresse oder mit einem
neuen Gerät anmelden, außerdem aufgefordert, ihren Account per E-Mail
zu verifizieren. Das gelte allerdings nicht für Nutzer, die die
Authentifizierung in mehreren Schritten aktiviert haben.
Angreifer erbeuteten Passwort-Erinnerungen und E-Mail-Adressen
Lastpass: Server angegriffen, Nutzerdaten entwendet.
Bild: LastPass / Montage: teltarif.de
Bei dem Angriff haben die Hacker dem Unternehmen zufolge
[Link entfernt]
E-Mail-Adressen, Passwort-Erinnerungen und kryptographische Prüfsummen
(Authentication Hashes) abgeschöpft. Es gebe aber keine Hinweise
darauf, dass verschlüsselte Tresore mit Nutzerpasswörtern gestohlen
worden sind. Unklar ist, warum Lastpass überhaupt eine Passwort-Erinnern-Funktion besitzt. Wer mit diesen Fragen tatsächlich einen Hinweis auf das Passwort gibt, erleichtert es Angreifern, den Lastpass-Account zu kapern.
Als zusätzliche Sicherheitsmaßnahme rät Lastpass allen Nutzern grundsätzlich, die Mehrschritt-Authentifizierung zu aktivieren. Dann reichen nicht mehr allein Benutzernamen und Passwort, um an die Passwörter im Tresor zu gelangen, sondern der Nutzer muss sich noch auf einem zweiten Weg ausweisen - etwa über einen per App ausgegebenen Authentifizierungscode, über einen USB-Schlüssel-Stick, per Fingerabdruckscanner oder Smartcard.
Cloudbasierte Passwort-Manager haben risiken
Serverbasierte Passwortmanager wie Lastpass bieten den Vorteil, dass die Zugangsdaten auf allen Geräten aktuell verfügbar sind - allerdings sind solche Anbieter dementsprechend ein lockendes Ziel für Kriminelle. Wer das grundsätzliche Sicherheitsrisiko von Cloud-Passwortmanagern scheut, hat aber auch Offline-Alternativen wie etwa den kostenlosen Open-Source-Manager Keepass, den es auch zur Installation auf USB-Sticks für unterwegs gibt.