Hackerangriff auf Passwort-Manager LastPass

Posted on Posted in Hacker News

Die Angreifer haben zwar nach ersten Erkenntnissen die verschlüsselten Passwort-Safes nicht in ihre Finger bekommen. Sie konnten aber die Passwort-Erinnerungshinweise der Master-Passwörter kopieren.

Die Anbieter des verbreiteten Passwort-Managers LastPass haben einen Angriff auf ihr Netzwerk festgestellt. Laut einer eingeleiteten Untersuchung besteht allerdings keine Gefahr für die verschlüsselten Tresore mit den Passwörtern der Nutzer. Die Angreifer hätten keinen Zugriff auf die Kundenkonten gehabt, so LastPass. Die Angreifer hätten aber Mailaddressen, Passwort-Erinnerungshinweise und die Nutzer-spezifischen Salts abgreifen können. Außerdem haben sie wohl Authentifizierungs-Hashes kopiert.

Die “große Mehrheit der Nutzer” sei sicher

LastPass zeigt sich in seiner Mitteilung zuversichtlich, dass die eingesetzte Verschlüsselung “die große Mehrheit der Nutzer” in diesem Fall schützen wird. Als Vorsichtsmaßnahme müssen Nutzer nun ihr Konto aber trotzdem noch einmal per E-Mail-Loop verifizieren, wenn sie sich von einem neuen Gerät oder einer neuen IP aus anmelden. Für LastPass-Nutzer mit Multifaktor-Anmeldung trifft das allerdings nicht zu.
Außerdem wurden alle Nutzer per E-Mail über den Angriff informiert und sie werden gebeten, ihr Master-Passwort zu wechseln. Falls Nutzer etwas sinnvolles als Passwort-Erinnerung eingetragen haben, durch das man wirklich auf das Master-Passwort schließen kann, ist das eine gute Idee, da die Angreifer jetzt eventuell probieren, Konten mit diesen Hinweisen zu knacken.

LastPass ist ein Passwort-Manager, der über eine Webseite, Browser-Plug-ins und mehrere Apps benutzt werden kann. Er bietet Nutzern die Möglichkeit, einzigartige, sichere Passwörter für einzelne Webseiten zu vergeben und diese global durch Eingabe eines Masterpassworts zu entschlüsseln. So können die Browser-Plug-ins den Nutzer automatisch bei den Webseiten anmelden. Ein sicheres Master-Passwort ist dementsprechend wichtig, da es den Zugriff auf alle mit LastPass benutzten Webseiten erlaubt.

Quelle: heise.de

Facebooktwittergoogle_plus