LastPass: Einbruch beim Passwort-Service

16. Juni 2015, 10:17
59 Postings

Zugriff auf persönliche Informationen - Betreiber betonten: "Allergrößter Teil der Nutzer sicher"

Dass es keine sonderlich gute Idee ist, das selbe Passwort für all seine Online-Services zu nutzen, dürfte sich mittlerweile herumgesprochen hat. Freilich ist es kaum möglich sich all die unterschiedlichen Geheimphrasen zu merken, also erfreuen sich Passwortmanager zunehmender Popularität. Eine nützliche Erfindung, die allerdings wiederum eine neue Gefahr birgt: Wird doch solch ein Speicher automatisch zu einem äußerst lohnenden Angriffsziel.

LastPass

Und genau solch eine Attacke scheint nun bei LastPass, einer der beliebtesten Lösungen in diesem Umfeld, passiert zu sein. In einem Blog-Eintrag informiert das Unternehmen über einen Einbruch auf den eigenen Servern - versucht aber umgehend zu beruhigen. Der "allergrößter Teil der Nutzer" sei sicher. Es gebe keine Hinweise darauf, dass auf einzelne User-Accounts zugegriffen wurde.

Details

Das bedeutet allerdings nicht, dass die Angelegenheit einfach so abgehakt werden kann. So sollen die Angreifer Zugriff auf E-Mail-Adressinformationen, Passwort-Reminder, die individuellen Salts mit denen die Passwortverschlüsselung angereichert wird sowie Authentifizierungshashes gehabt haben.

Reaktion

Insofern rät man all jenen Nutzern, deren Master Password für LastPass nicht sonderlich stark ist, dieses umgehend zu ändern. Die Nutzer sollen auch noch per Mail über den Vorfall und etwaige anstehende Maßnahmen informiert werden. Um zu verhindern, dass die Angreifer mit etwaig geknackten Master-Passwords etwas anfangen können, müssen alle Nutzer einen neuen Login per Mail bestätigen.

Prinzipiell empfiehlt sich die Aktivierung von Zwei-Faktor-Authentifizierung, da hier selbst nach einem erfolgreichen Knacken des Passworts kein Zugriff auf den Account möglich ist. (apo, 16.6.2015)

Share if you care.