Passwortmanager: LastPass-Hacker haben Zugriff auf Kennworttresore von Kunden

Bei einem IT-Sicherheitsvorfall beim Anbieter des Passwortmanagers LastPass konnten Angreifer doch auf Kundendaten inklusive gespeicherter Passwörter zugreifen.

In Pocket speichern vorlesen Druckansicht 626 Kommentare lesen

(Bild: Song_about_summer/Shutterstock.com)

Lesezeit: 3 Min.
Inhaltsverzeichnis

Der Passwortmanager-Onlinedienst LastPass gesteht ein, dass Unbefugte beim Einbruch in das Cloudsystem eines Drittanbieters doch Zugriffe auf Kundendaten hatten. Darunter sind unter anderem E-Mail-Adressen und Passwörter. Viele Daten sollen aber verschlüsselt sein.

Anfang Dezember 2022 konnten unbekannte Angreifer auf einen Cloudspeicher mit Daten von LastPass zugreifen. Dafür haben sie mittels Informationen von im August 2022 erbeuteten Quellcode einen Mitarbeiter attackiert und sind so an die Cloud-Zugangsdaten gelangt. Im Dezember hieß es noch, dass die Passwörter von Kunden sicher seien. Wie viele Kunden davon betroffen sind, ist derzeit nicht bekannt.

In einem aktualisierten Statement teilt LastPass nun mit, dass die Angreifer doch Zugriff auf Kundendaten wie E-Mail-Adressen, Telefonnummern und Passwörter hatten. In aus einem Backup kopierten Passworttresoren von Kunden sollen sich etwa unverschlüsselte URLs und verschlüsselte Daten wie Nutzernamen und Passwörter befinden. Man sollte beachten, dass auch URLs sensible Informationen enthalten können.

Die Verantwortlichen versichern, dass die verschlüsselten Daten mit 256 Bit AES effektiv vor Fremdzugriffen geschützt seien. Zum Lesen der verschlüsselten Daten müssten die Angreifer einen Schlüssel aus dem Masterpasswort von Nutzern ableiten. Das Masterpasswort wird aber nur lokal auf Geräten von Nutzern gespeichert.

LastPass warnt aber vor dem Einsatz von kurzen und leicht zu erratenen Masterpasswörtern. Denn dann könnten die Angreifer unter Umständen die Passwörter via Brute-Force-Attacken erraten. Damit solche Attacken so schwer wie möglich sind, setzt LastPass das Verfahren Password-Based Derivation Function 2 (PBKDF2) ein.

Darüber werden Passwörter mit einer kryptologischen Hashfunktion und einem Saltwert um weitere zufällig gewählte Zeichenfolgen erweitert. Das Ganze wird mehrmals auf das Ergebnis angewendet, sodass eine Rekonstruktion via Brute-Force-Attacken und Rainbow Tables deutlich erschwert wird.

Standardmäßig setzt LastPass auf 100.100 PBKDF2-Wiederholungen. Als Hashfunktion kommt SHA256 zum Einsatz. Für diese Kombination empfiehlt das Open Web Application Security Project (OWASP) 310.000 Wiederholungen. LastPass-Nutzer können den Wert in Ihrem Account anpassen.

LastPass weist darauf hin, dass das Knacken von nach ihren Richtlinien erstellten starken Masterpasswörtern im Zusammenspiel mit der Verschlüsselung und PBKDF2 Millionen Jahre dauern würde. Kommen aber schwächere Kennwörter zum Einsatz, sollten Kunden diese anpassen. Außerdem sollte man niemals identische Passwörter bei verschiedenen Online-Diensten einsetzen. Ist das der Fall, könnten Angreifer mit nur einem geknackten Kennwort auf viele Dienste zugreifen.

Geschäftskunden, die LastPass Federated Login Services einsetzen, müssen sich aufgrund weiterer Absicherungen nicht vor Brute-Force-Attacken fürchten, versichert LastPass. Andernfalls könnte das Erraten von Passwörtern deutlich weniger Versuche einfordern und Geschäftskunden sollten in LastPass gespeicherte Kennwörter ändern.

Um weitere Sicherheitsvorfälle vorzubeugen, gibt LastPass an, seine gesamte IT-Infrastruktur neu und mit weiteren Sicherheitsmechanismen aufgebaut zu haben.

(des)