Der Passwortmanager-Onlinedienst LastPass hat zugegeben, dass Hacker beim Einbruch in das Cloudsystem eines Drittanbieters, Zugriffe auf Kundendaten hatten. Unter anderem sollen E-Mail-Adressen und Passwörter herausgefunden worden sein. Trotzdem seien viele Daten aber ausreichend verschlüsselt.
Hintergrund:
Bereits im August 2022 hatten unbekannte Angreifer einen Quellcode erbeutet, mit welchem sie nun (im Dezember) einen Mitarbeiter attackierten und so an die Cloud- Zugangsdaten gelangt sind. Die zugegriffenen Daten seien allerdings noch geschützt, bzw. die Passwörter der Kunden geschützt, hieß es Anfang des Monats. Wie viele Kunden davon betroffen sind, ist derzeit nicht bekannt.
Sensible Daten kopiert – Noch geschützt?
Die Firma LastPass teilte in einem aktuellen Statement allerdings mit, dass die Hacker anscheinend nun doch Zugriff auf die Kundendaten wie z.B. Telefonnummern, E-Mail-Adressen und Passwörter hatten. In Passworttresoren, die aus einem Backup kopiert wurden, sollen sich etwa verschlüsselte Daten (Nutzernamen, Passwörter) befinden, aber auch ungeschützte URLs. Auch wenn man es vielleicht nicht denken mag, erinnert LastPass daran, dass auch URLs sensible Daten enthalten können, die für die Angreifer durchaus fruchtbringend sind.
Nichtsdestotrotz versichern die Verantwortlichen, dass die verschlüsselten Daten mit 256 Bit AES effektiv vor Fremdzugriffen geschützt seien. Das heißt, dass ein Angreifer/ eine Angreiferin zum Lesen dieser Daten einen Schlüssel aus dem Masterpasswort für die Kunden ableiten müsste. Dieses Masterpasswort wird aber nur auf dem lokalen Gerät der NutzerInnen von LastPass gespeichert, was die Wahrscheinlichkeit für so einen Durchbruch sehr geringhält.
Sicherheitsmaßnahmen von LastPass
Um die Sicherheit des Masterpasswortes ständig zu gewährleisten, warnt der Konzern vor der Verwendung von kurzen und leicht zu erratenden Passwörtern. Solche sind durch Hacker nämlich leicht herauszufinden, indem diese Brute-Force-Attacken verwenden. Damit solche Attacken so ausgeschlossen wie möglich sind, setzt LastPass das Verfahren Password-Based Derivation Function 2 (PBKDF2) ein.
Des Weiteren werden die Kundendaten mit einer kryptologischen Hashfunktion und einem Saltwert um weitere zufällig gewählte Zeichenfolgen erweitert. Dieser Prozess an sich wird ebenfalls noch mehrmals wiederholt, wodurch eine Rekonstruktion des Masterpasswortes durch Brute-Force-Attacken und Rainbow Tables deutlich erschwert wird.
Standardmäßig setzt LastPass auf 100.100 PBKDF2-Wiederholungen. Als Hashfunktion kommt SHA256 zum Einsatz. Für diese Kombination empfiehlt das Open Web Application Security Project (OWASP) 310.000 Wiederholungen. LastPass-Nutzer können den Wert in Ihrem Account anpassen.
Ist die Sicherheit der Masterpasswörter damit gewährleistet?
Laut LastPass würde das Knacken von Masterpasswörtern im Zusammenspiel mit der oben erläuterten Verschlüsselung und PBKDF2 Millionen von Jahren dauern, zumindest dann, wenn die Passwörter nach ihren Richtlinien erstellt wurden. Das bedeutet also, dass es bei schwachen Masterpassworten mit großer Wahrscheinlichkeit schneller geht. Nutzen Kunden also ein schwaches bzw. nicht nach Richtlinien erstelltes Passwort wird vor allem nach den jetzigen Vorfällen empfohlen, dass schwache Passwort zu ändern. Außerdem sollte man niemals identische Passwörter bei verschiedenen Online-Diensten einsetzen. Ist das der Fall, könnten Angreifer mit nur einem geknackten Kennwort auf viele Dienste zugreifen.
Geschäftskunden, die LastPass Federated Login Services nutzen, müssen sich aufgrund weiterer Absicherungen nicht vor Brute-Force-Attacken fürchten, versichert der Konzern. Ist dies nicht der Fall, sollten Geschäftskunden in LastPass gespeicherte Kennwörter ändern, denn andernfalls könnte das Erraten von Passwörtern deutlich weniger Versuche einfordern.
Außerdem hat LastPass laut heise.de nach dem Vorfall angekündigt, seine gesamte IT-Infrastruktur mit weiteren Sicherheitsmaßnahmen neu aufgebaut zu haben.
Quelle:
Heise
Lesen Sie auch unsere Faktenchecks:
YouTube schauen und dabei Geld verdienen? Abzocke!
Abfallende Netzfrequenz: Europa knapp am Blackout vorbei?
Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.
2) Einzelne Beiträge entstanden durch den Einsatz von maschineller Hilfe und wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)