LastPass-Hacker knacken doch Kennworttresore von Kunden

Bei einem Sicherheitsvorfall bei dem Onlinedienst LastPass konnten Angreifer doch auf sensible Kundendaten wie Passwörter zugreifen.

Autor: Nick L.

Der Passwortmanager-Onlinedienst LastPass hat zugegeben, dass Hacker beim Einbruch in das Cloudsystem eines Drittanbieters, Zugriffe auf Kundendaten hatten. Unter anderem sollen E-Mail-Adressen und Passwörter herausgefunden worden sein. Trotzdem seien viele Daten aber ausreichend verschlüsselt.

Hintergrund:
Bereits im August 2022 hatten unbekannte Angreifer einen Quellcode erbeutet, mit welchem sie nun (im Dezember) einen Mitarbeiter attackierten und so an die Cloud- Zugangsdaten gelangt sind. Die zugegriffenen Daten seien allerdings noch geschützt, bzw. die Passwörter der Kunden geschützt, hieß es Anfang des Monats. Wie viele Kunden davon betroffen sind, ist derzeit nicht bekannt.

Sensible Daten kopiert – Noch geschützt?

Die Firma LastPass teilte in einem aktuellen Statement allerdings mit, dass die Hacker anscheinend nun doch Zugriff auf die Kundendaten wie z.B. Telefonnummern, E-Mail-Adressen und Passwörter hatten. In Passworttresoren, die aus einem Backup kopiert wurden, sollen sich etwa verschlüsselte Daten (Nutzernamen, Passwörter) befinden, aber auch ungeschützte URLs. Auch wenn man es vielleicht nicht denken mag, erinnert LastPass daran, dass auch URLs sensible Daten enthalten können, die für die Angreifer durchaus fruchtbringend sind.

Nichtsdestotrotz versichern die Verantwortlichen, dass die verschlüsselten Daten mit 256 Bit AES effektiv vor Fremdzugriffen geschützt seien. Das heißt, dass ein Angreifer/ eine Angreiferin zum Lesen dieser Daten einen Schlüssel aus dem Masterpasswort für die Kunden ableiten müsste. Dieses Masterpasswort wird aber nur auf dem lokalen Gerät der NutzerInnen von LastPass gespeichert, was die Wahrscheinlichkeit für so einen Durchbruch sehr geringhält.

Sicherheitsmaßnahmen von LastPass

Um die Sicherheit des Masterpasswortes ständig zu gewährleisten, warnt der Konzern vor der Verwendung von kurzen und leicht zu erratenden Passwörtern. Solche sind durch Hacker nämlich leicht herauszufinden, indem diese Brute-Force-Attacken verwenden. Damit solche Attacken so ausgeschlossen wie möglich sind, setzt LastPass das Verfahren Password-Based Derivation Function 2 (PBKDF2) ein.

Des Weiteren werden die Kundendaten mit einer kryptologischen Hashfunktion und einem Saltwert um weitere zufällig gewählte Zeichenfolgen erweitert. Dieser Prozess an sich wird ebenfalls noch mehrmals wiederholt, wodurch eine Rekonstruktion des Masterpasswortes durch Brute-Force-Attacken und Rainbow Tables deutlich erschwert wird.

Standardmäßig setzt LastPass auf 100.100 PBKDF2-Wiederholungen. Als Hashfunktion kommt SHA256 zum Einsatz. Für diese Kombination empfiehlt das Open Web Application Security Project (OWASP) 310.000 Wiederholungen. LastPass-Nutzer können den Wert in Ihrem Account anpassen.

Ist die Sicherheit der Masterpasswörter damit gewährleistet?

Laut LastPass würde das Knacken von Masterpasswörtern im Zusammenspiel mit der oben erläuterten Verschlüsselung und PBKDF2 Millionen von Jahren dauern, zumindest dann, wenn die Passwörter nach ihren Richtlinien erstellt wurden. Das bedeutet also, dass es bei schwachen Masterpassworten mit großer Wahrscheinlichkeit schneller geht. Nutzen Kunden also ein schwaches bzw. nicht nach Richtlinien erstelltes Passwort wird vor allem nach den jetzigen Vorfällen empfohlen, dass schwache Passwort zu ändern. Außerdem sollte man niemals identische Passwörter bei verschiedenen Online-Diensten einsetzen. Ist das der Fall, könnten Angreifer mit nur einem geknackten Kennwort auf viele Dienste zugreifen.

Geschäftskunden, die LastPass Federated Login Services nutzen, müssen sich aufgrund weiterer Absicherungen nicht vor Brute-Force-Attacken fürchten, versichert der Konzern. Ist dies nicht der Fall, sollten Geschäftskunden in LastPass gespeicherte Kennwörter ändern, denn andernfalls könnte das Erraten von Passwörtern deutlich weniger Versuche einfordern.

Außerdem hat LastPass laut heise.de nach dem Vorfall angekündigt, seine gesamte IT-Infrastruktur mit weiteren Sicherheitsmaßnahmen neu aufgebaut zu haben.

Quelle:

Heise

Lesen Sie auch unsere Faktenchecks:
YouTube schauen und dabei Geld verdienen? Abzocke!
Abfallende Netzfrequenz: Europa knapp am Blackout vorbei?
Unterstützen 🤍

FAKE NEWS BEKÄMPFEN

Unterstützen Sie Mimikama, um gemeinsam gegen Fake News vorzugehen und die Demokratie zu stärken. Helfen Sie mit, Fake News zu stoppen!

Mit Deiner Unterstützung via PayPal, Banküberweisung, Steady oder Patreon ermöglichst Du es uns, Falschmeldungen zu entlarven und klare Fakten zu präsentieren. Jeder Beitrag, groß oder klein, macht einen Unterschied. Vielen Dank für Deine Hilfe! ❤️

Mimikama-Webshop

Unser Ziel bei Mimikama ist einfach: Wir kämpfen mit Humor und Scharfsinn gegen Desinformation und Verschwörungstheorien.

Abonniere unseren WhatsApp-Kanal per Link- oder QR-Scan! Aktiviere die kleine 🔔 und erhalte eine aktuelle News-Übersicht sowie spannende Faktenchecks.

Link: Mimikamas WhatsApp-Kanal

Mimikama WhatsApp-Kanal

Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.


2) Einzelne Beiträge (keine Faktenchecks) entstanden durch den Einsatz von maschineller Hilfe und
wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)


Mit deiner Hilfe unterstützt du eine der wichtigsten unabhängigen Informationsquellen zum Thema Fake News und Verbraucherschutz im deutschsprachigen Raum

INSERT_STEADY_CHECKOUT_HERE

Kämpfe mit uns für ein echtes, faktenbasiertes Internet! Besorgt über Falschmeldungen? Unterstütze Mimikama und hilf uns, Qualität und Vertrauen im digitalen Raum zu fördern. Dein Beitrag, egal in welcher Höhe, hilft uns, weiterhin für eine wahrheitsgetreue Online-Welt zu arbeiten. Unterstütze jetzt und mach einen echten Unterschied! Werde auch Du ein jetzt ein Botschafter von Mimikama

Mehr von Mimikama

Mimikama Workshops & Vorträge: Stark gegen Fake News!

Mit unseren Workshops erleben Sie ein Feuerwerk an Impulsen mit echtem Mehrwert in Medienkompetenz, lernen Fake News und deren Manipulation zu erkennen, schützen sich vor Falschmeldungen und deren Auswirkungen und fördern dabei einen informierten, kritischen und transparenten Umgang mit Informationen.