Der Passwortmanager-Onlinedienst LastPass hat zugegeben, dass Hacker beim Einbruch in das Cloudsystem eines Drittanbieters, Zugriffe auf Kundendaten hatten. Unter anderem sollen E-Mail-Adressen und Passwörter herausgefunden worden sein. Trotzdem seien viele Daten aber ausreichend verschlüsselt.
Hintergrund:
Bereits im August 2022 hatten unbekannte Angreifer einen Quellcode erbeutet, mit welchem sie nun (im Dezember) einen Mitarbeiter attackierten und so an die Cloud- Zugangsdaten gelangt sind. Die zugegriffenen Daten seien allerdings noch geschützt, bzw. die Passwörter der Kunden geschützt, hieß es Anfang des Monats. Wie viele Kunden davon betroffen sind, ist derzeit nicht bekannt.
Sensible Daten kopiert – Noch geschützt?
Die Firma LastPass teilte in einem aktuellen Statement allerdings mit, dass die Hacker anscheinend nun doch Zugriff auf die Kundendaten wie z.B. Telefonnummern, E-Mail-Adressen und Passwörter hatten. In Passworttresoren, die aus einem Backup kopiert wurden, sollen sich etwa verschlüsselte Daten (Nutzernamen, Passwörter) befinden, aber auch ungeschützte URLs. Auch wenn man es vielleicht nicht denken mag, erinnert LastPass daran, dass auch URLs sensible Daten enthalten können, die für die Angreifer durchaus fruchtbringend sind.
Nichtsdestotrotz versichern die Verantwortlichen, dass die verschlüsselten Daten mit 256 Bit AES effektiv vor Fremdzugriffen geschützt seien. Das heißt, dass ein Angreifer/ eine Angreiferin zum Lesen dieser Daten einen Schlüssel aus dem Masterpasswort für die Kunden ableiten müsste. Dieses Masterpasswort wird aber nur auf dem lokalen Gerät der NutzerInnen von LastPass gespeichert, was die Wahrscheinlichkeit für so einen Durchbruch sehr geringhält.
Sicherheitsmaßnahmen von LastPass
Um die Sicherheit des Masterpasswortes ständig zu gewährleisten, warnt der Konzern vor der Verwendung von kurzen und leicht zu erratenden Passwörtern. Solche sind durch Hacker nämlich leicht herauszufinden, indem diese Brute-Force-Attacken verwenden. Damit solche Attacken so ausgeschlossen wie möglich sind, setzt LastPass das Verfahren Password-Based Derivation Function 2 (PBKDF2) ein.
Des Weiteren werden die Kundendaten mit einer kryptologischen Hashfunktion und einem Saltwert um weitere zufällig gewählte Zeichenfolgen erweitert. Dieser Prozess an sich wird ebenfalls noch mehrmals wiederholt, wodurch eine Rekonstruktion des Masterpasswortes durch Brute-Force-Attacken und Rainbow Tables deutlich erschwert wird.
Standardmäßig setzt LastPass auf 100.100 PBKDF2-Wiederholungen. Als Hashfunktion kommt SHA256 zum Einsatz. Für diese Kombination empfiehlt das Open Web Application Security Project (OWASP) 310.000 Wiederholungen. LastPass-Nutzer können den Wert in Ihrem Account anpassen.
Ist die Sicherheit der Masterpasswörter damit gewährleistet?
Laut LastPass würde das Knacken von Masterpasswörtern im Zusammenspiel mit der oben erläuterten Verschlüsselung und PBKDF2 Millionen von Jahren dauern, zumindest dann, wenn die Passwörter nach ihren Richtlinien erstellt wurden. Das bedeutet also, dass es bei schwachen Masterpassworten mit großer Wahrscheinlichkeit schneller geht. Nutzen Kunden also ein schwaches bzw. nicht nach Richtlinien erstelltes Passwort wird vor allem nach den jetzigen Vorfällen empfohlen, dass schwache Passwort zu ändern. Außerdem sollte man niemals identische Passwörter bei verschiedenen Online-Diensten einsetzen. Ist das der Fall, könnten Angreifer mit nur einem geknackten Kennwort auf viele Dienste zugreifen.
Geschäftskunden, die LastPass Federated Login Services nutzen, müssen sich aufgrund weiterer Absicherungen nicht vor Brute-Force-Attacken fürchten, versichert der Konzern. Ist dies nicht der Fall, sollten Geschäftskunden in LastPass gespeicherte Kennwörter ändern, denn andernfalls könnte das Erraten von Passwörtern deutlich weniger Versuche einfordern.
Außerdem hat LastPass laut heise.de nach dem Vorfall angekündigt, seine gesamte IT-Infrastruktur mit weiteren Sicherheitsmaßnahmen neu aufgebaut zu haben.
Quelle:
Heise
Lesen Sie auch unsere Faktenchecks:
YouTube schauen und dabei Geld verdienen? Abzocke!
Abfallende Netzfrequenz: Europa knapp am Blackout vorbei?
Wenn dir dieser Beitrag gefallen hat und du die Bedeutung fundierter Informationen schätzt, werde Teil des exklusiven Mimikama Clubs! Unterstütze unsere Arbeit und hilf uns, Aufklärung zu fördern und Falschinformationen zu bekämpfen. Als Club-Mitglied erhältst du:
📬 Wöchentlichen Sonder-Newsletter: Erhalte exklusive Inhalte direkt in dein Postfach.
🎥 Exklusives Video* „Faktenchecker-Grundkurs“: Lerne von Andre Wolf, wie du Falschinformationen erkennst und bekämpfst.
📅 Frühzeitiger Zugriff auf tiefgehende Artikel und Faktenchecks: Sei immer einen Schritt voraus.
📄 Bonus-Artikel, nur für dich: Entdecke Inhalte, die du sonst nirgendwo findest.
📝 Teilnahme an Webinaren und Workshops: Sei live dabei oder sieh dir die Aufzeichnungen an.
✔️ Qualitativer Austausch: Diskutiere sicher in unserer Kommentarfunktion ohne Trolle und Bots.
Mach mit und werde Teil einer Community, die für Wahrheit und Klarheit steht. Gemeinsam können wir die Welt ein bisschen besser machen!
* In diesem besonderen Kurs vermittelt dir Andre Wolf, wie du Falschinformationen erkennst und effektiv bekämpfst. Nach Abschluss des Videos hast du die Möglichkeit, dich unserem Rechercheteam anzuschließen und aktiv an der Aufklärung mitzuwirken – eine Chance, die ausschließlich unseren Club-Mitgliedern vorbehalten ist!
Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.
2) Einzelne Beiträge entstanden durch den Einsatz von maschineller Hilfe und wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)

