> > > > Passwort-Manager LastPass gehackt

Passwort-Manager LastPass gehackt

DruckenE-Mail
Erstellt am: von

lastpassEigentlich sollten Passwort-Manager die Sicherheit im Internet erhöhen und zudem das Anfertigen und Einprägen neuer Kennwörter aus der Welt schaffen. Ist Dritten aber das Initial-Passwort bekannt, können sich diese Zutritt auf die gesamte Datenbank mit allen darin abgelegten Zugangsdaten zu allen möglichen Diensten im Internet verschaffen. Das sollte jedem Nutzer eines solchen Dienstes bewusst sein. Wie schnell so etwas passieren oder zumindest die Sicherheit der eigenen Daten gefährdet sein kann, das zeigte sich am vergangenen Wochenende beim Passwort-Manager LastPass.

Denn wie CEO Joe Siegrist am Monat in einem Blogeintrag bekannt gab, habe man am Freitag „verdächtige Aktivitäten“ auf den eigenen Servern festgestellt und diese blockiert. Auf den Servern werden alle Daten der Nutzer für das geräteübergreifende Passwortmanagement abgespeichert. Auf welche Informationen die Angreifer genau zugreifen konnten, ist nicht bekannt, jedoch sollen Unbekannte Zugriff auf die Server gehabt und einige der Daten eingesehen haben. Davon betroffen seien E-Mail-Adressen, Passwort-Erinnerungshinweise und Authentifizierungs-Hashes. Kundendaten oder gar Klartext-Passwörter seien den bisherigen Analysen zufolge allerdings nicht betroffen. Letzteres sei aufgrund der Verschlüsselung ohnehin sehr zeitaufwändig und nahezu ausgeschlossen. LastPasst setzt auf zufällig generierte Salts und 100.000 Iterationen der Verschlüsselungsmethode PBKDF2-SHA256, welche dem Klartext-Passwort vor deren eigentlichen Verschlüsselung angehängt werden. Zudem lasse der Dienst neue Geräte nur über eine vorherige E-Mail-Authentifizierung des Nutzers auf die Datenbank.

Trotzdem aber sollten LastPass-Nutzer zur Sicherheit ihr Hauptkennwort ändern, vor allem dann, wenn sie hierfür unsichere Kennwörter wie „123456“, „password1“ oder „robert1“ und der gleichen verwendet haben. Dann nämlich dürfte eine Entschlüsselung der Hauptpassphrase bei den Angreifern relativ zügig vonstattengehen. Wer ganz auf Nummer sicher gehen will, der sollte zudem all seine Passwörter zu den in LastPass abgespeicherten Diensten abändern.

Aufgrund des Ansturms auf LastPass aber sind die Server für einen Passwort-Reset derzeit nur bedingt zu erreichen. LastPass will bereits all seine Kunden per E-Mail über den Vorfall informiert haben.

Social Links

Ihre Bewertung

Ø Bewertungen: 5

Tags

Kommentare (14)

#5
customavatars/avatar197242_1.gif
Registriert seit: 10.10.2013

Bootsmann
Beiträge: 548
Zitat Brainorg;23584742
Noch eine Bestätigung weshalb ich alle PW´s nur in meinem Kopf speichere :)
Würde ich auch gern, aber bei 200 Passwörtern wird's etwas schwierig :vrizz:

Ich verwende persönlich KeePass und habe damit alles auf der Platte. Online könnte ich mir das nur als Truecrypt Container vorstellen.
#6
customavatars/avatar222185_1.gif
Registriert seit: 08.06.2015

Leutnant zur See
Beiträge: 1129
Zitat Smagjus;23587728
Ich verwende persönlich KeePass und habe damit alles auf der Platte. Online könnte ich mir das nur als Truecrypt Container vorstellen.

Ich habe die KeePass Datei in der Dropbox. Was versprichst du dir denn durch Truecrypt stattdessen?
#7
customavatars/avatar197242_1.gif
Registriert seit: 10.10.2013

Bootsmann
Beiträge: 548
Wenn es eine Schwachstelle bei KeePass gibt, dann habe ich ein Problem. Truecrypt hingegen wurde bereits sicher bewertet, weshalb hier praktisch nichts passieren kann.
#8
customavatars/avatar222185_1.gif
Registriert seit: 08.06.2015

Leutnant zur See
Beiträge: 1129
Die Truecrypt Auditoren sind auch nur Menschen und können Lücken übersehen. KeepAss wurde übrigens 2011 von der französischen ANSSI (ähnlich zu deutschem BSI) zertifiziert: KeePass Version 2.10 Portable | Agence nationale de la sécurité des systèmes d'information
#9
customavatars/avatar197242_1.gif
Registriert seit: 10.10.2013

Bootsmann
Beiträge: 548
Hmm, Recht hast du. Dann bin ich wohl einfach ein bisschen übervorsichtig.
#10
Registriert seit: 03.08.2006

Oberbootsmann
Beiträge: 775
"oder zumindest die Sicherheit der eigenen Daten gefährdet sein kann"
Ist das nicht bisschen ZU sehr Spiegel-like? Also man möchte eine bestimmte Schlagzeile, obwohl das Ereignis keine solche hergibt?

Wurde jetzt LastPass gehackt oder die Server des Herstellers? Ist mehr abgesaugt worden, als wenn jemand einen PC des Benutzers hackt und die verschlüsselte Datenbank runterzieht? Was kann man mit den Hashes anfangen?

Ist jeder Benutzer davon betroffen, nur weil er LastPass nutzt?

Die wichtigste Frage aber: Können wir uns keine bodenständigere Aufmacher zu News und Artikel leisten?
#11
customavatars/avatar116335_1.gif
Registriert seit: 12.07.2009
Bonn
Moderator
A very special one
Kölsche Würmche
Tupper-Tussie
Beiträge: 7147
Also ich finde an der Aussage nichts falsches - ich denke grundsätzlich ist es erstmal unbekannt wie genau die Funktionen umgesetzt wurden um die Passwörter zu sichern und zu speichern.
Und demnach besteht potentiell gesehen eine Gefahr für die eigenen Daten...
#12
customavatars/avatar178919_1.gif
Registriert seit: 26.08.2012
Bayern
Korvettenkapitän
Beiträge: 2394
Ich hab das ganze bei mir über Passwordsafe laufen, keine Cloud-Backups oder irgendwas außer eine Mail-Adresse auf den Servern von denen. Backups laufen auf meinen Hausinternen Server und n Nas. Online speichern würde ich das ganze niemals, allerhöchstens ein Cloud-Backup auf der dann noch Cloudzer läuft.
#13
Registriert seit: 06.04.2012

Kapitänleutnant
Beiträge: 1600
Ich verstehe die Aufregung nicht.

Die Daten verschlüsselt dem Anbieter anzuvertrauen, ist OK, aber wenn die Daten geklaut werden, bricht Panik aus? Entweder man vertraut der Verschlüsselung[1] oder nicht. Welche Rolle spielt es dann, welcher externe Dritte die Daten hat?

1) Wenn ihr den Angreifern nicht vertraut, stellt euch mal die Frage, wie clever es ist, die Daten überhaupt irgendwohin zu senden.
2) Oder aber ihr habt unerschütterliches Vertrauen in die Verschlüsselung, dann machts auch nichts, wenn die Daten abhandenkommen.

Eins von beiden geht nur, sonst wirds paradox. Es ist eher so: Leute, die jetzt Panik kriegen, hatten vorher schon kein richtiges Vertrauen und haben nur irgendwie gehofft, dass das "schon passen wird", weil die Bequemlichkeit über der echten Datensicherheit stand.


[1] Und dass die Verschlüsselung richtig angewandt wird!
#14
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 9489
@TCM In etwa das was du schreibst wird ja auch im Artikel genannt.
Trotzdem ist es halt schlichtweg "doof" dass Daten abhanden gekommen sein könnten.
Die Antworten auf Passwort-Erinnerungshinweise sind halt auch etwas..

Am Ende hängt die Sicherheit neben der Verschlüsselung, auch davon ab dass man ein vernünftig langes Passwort verwendet hat. Die Angreifer konzentrieren sich eher auf kürzere.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Unitymedia möchte Endkundenanschlüsse in öffentliche Wi-Fi-Hotspots umwandeln

Logo von UNITYMEDIA-LOGO

Der in Nordrhein-Westfahlen, Hessen und Baden-Württemberg aktive Kabelnetzprovider Unitymedia plant 1,5 Millionen Endkundenanschlüsse mit seinem WLAN-Router gleichzeitig in öffentliche Wi-Fi-Hotspots zu verwandeln. Wer als Kunde dabei mitmacht, bekommt unabhängig vom Standort, Tarif oder... [mehr]

ProSiebenSat.1 schaltet MyVideo ab (Update: MyVideo wird nur umstrukturiert)

Logo von IMAGES/STORIES/LOGOS-2013/PRO7SAT1MEDIA

Das Videoportal MyVideo wurde einst von der ProSiebenSat.1-Gruppe als Konkurrenz zu YouTube aufgebaut. Das Portal konnte sich gegen die amerikanische Konkurrenz jedoch nie wirklich durchsetzen – die Verantwortlichen ziehen nun den Stecker. Laut einer Meldung werde das Projekt vorübergehend... [mehr]

Routerzwang: Unitymedia nennt Details zum Einsatz eines eigenen Gerätes

Logo von UNITYMEDIA-LOGO

Ab dem 1. August 2016 wird der Routerzwang für die Internetanbieter endgültig Geschichte sein und die Kunden können dann auch eigene Geräte einsetzen. Während bei herkömmlichen DSL-Anschlüssen die Umstellung problemlos verlaufen dürfte, werden die Kunden bei Kabelanschlüssen etwas... [mehr]

10-GBit/s-Internetanschluss für Privatkunden in Estland

Logo von IMAGES/STORIES/LOGOS-2016/STARMAN

Immer wieder führen die Internetanbieter in Deutschland die bereits bestehende, gute Infrastruktur an, wenn es um die niedrigen Zahlen der FTTH/B/C-Anschlüsse geht. Dass es sich dabei größtenteils um Augenwischerei handelt und Anschlüsse mit mehr als 50 MBit/s weiterhin rar gesät sind, egal... [mehr]

Internet: Provider müssen zukünftig exakte Übertragungsrate angeben

Logo von IMAGES/STORIES/LOGOS-2015/HARDWARELUXX_NEWS_NEW

Bei den meisten Verträgen zwischen Kunden und Internetanbietern geben die Provider meist nur die maximal erreichbare Geschwindigkeit an. Ob die Übertragungsrate letztendlich am eigenen Anschluss erreicht wird, wird von den Anbietern nicht vertraglich zugesichert. Dieses Problem könnte sich... [mehr]

VDSL-Vectoring: Telekom startet im Herbst mit 100 Mbit/s in Hamburg

Logo von IMAGES/STORIES/LOGOS-2015/TELEKOM2

Mit VDSL-Vectoring möchte die Deutsche Telekom die Geschwindigkeit des Netzes deutlich steigern. Wie das Unternehmen bekannt gibt, wird mit Hamburg ab Herbst die erste Großstadt mit dem schnellen Internet ausgebaut. Die Anschlüsse sollen dann eine Geschwindigkeit von bis zu 100 Mbit/s im Down-... [mehr]