Werbung
Eigentlich sollten Passwort-Manager die Sicherheit im Internet erhöhen und zudem das Anfertigen und Einprägen neuer Kennwörter aus der Welt schaffen. Ist Dritten aber das Initial-Passwort bekannt, können sich diese Zutritt auf die gesamte Datenbank mit allen darin abgelegten Zugangsdaten zu allen möglichen Diensten im Internet verschaffen. Das sollte jedem Nutzer eines solchen Dienstes bewusst sein. Wie schnell so etwas passieren oder zumindest die Sicherheit der eigenen Daten gefährdet sein kann, das zeigte sich am vergangenen Wochenende beim Passwort-Manager LastPass.
Denn wie CEO Joe Siegrist am Monat in einem Blogeintrag bekannt gab, habe man am Freitag „verdächtige Aktivitäten“ auf den eigenen Servern festgestellt und diese blockiert. Auf den Servern werden alle Daten der Nutzer für das geräteübergreifende Passwortmanagement abgespeichert. Auf welche Informationen die Angreifer genau zugreifen konnten, ist nicht bekannt, jedoch sollen Unbekannte Zugriff auf die Server gehabt und einige der Daten eingesehen haben. Davon betroffen seien E-Mail-Adressen, Passwort-Erinnerungshinweise und Authentifizierungs-Hashes. Kundendaten oder gar Klartext-Passwörter seien den bisherigen Analysen zufolge allerdings nicht betroffen. Letzteres sei aufgrund der Verschlüsselung ohnehin sehr zeitaufwändig und nahezu ausgeschlossen. LastPasst setzt auf zufällig generierte Salts und 100.000 Iterationen der Verschlüsselungsmethode PBKDF2-SHA256, welche dem Klartext-Passwort vor deren eigentlichen Verschlüsselung angehängt werden. Zudem lasse der Dienst neue Geräte nur über eine vorherige E-Mail-Authentifizierung des Nutzers auf die Datenbank.
Datenschutzhinweis für Youtube
An dieser Stelle möchten wir Ihnen ein Youtube-Video zeigen. Ihre Daten zu schützen, liegt uns aber am Herzen: Youtube setzt durch das Einbinden und Abspielen Cookies auf ihrem Rechner, mit welchen Sie eventuell getracked werden können. Wenn Sie dies zulassen möchten, klicken Sie einfach auf den Play-Button. Das Video wird anschließend geladen und danach abgespielt.
Ihr Hardwareluxx-Team
Youtube Videos ab jetzt direkt anzeigen
Trotzdem aber sollten LastPass-Nutzer zur Sicherheit ihr Hauptkennwort ändern, vor allem dann, wenn sie hierfür unsichere Kennwörter wie „123456“, „password1“ oder „robert1“ und der gleichen verwendet haben. Dann nämlich dürfte eine Entschlüsselung der Hauptpassphrase bei den Angreifern relativ zügig vonstattengehen. Wer ganz auf Nummer sicher gehen will, der sollte zudem all seine Passwörter zu den in LastPass abgespeicherten Diensten abändern.
Aufgrund des Ansturms auf LastPass aber sind die Server für einen Passwort-Reset derzeit nur bedingt zu erreichen. LastPass will bereits all seine Kunden per E-Mail über den Vorfall informiert haben.