Lastpass: Schwere Fehler hebelten Zwei-Faktor-Schutz aus

24. April 2017, 14:56
14 Postings

Passwortmanager patzt erneut bei der Absicherung seines Services

Zwei-Faktor-Authentifizierung ist fraglos eine nützliche Angelegenheit. Sorgt sie doch dafür, dass sich selbst Angreifer, die das eigene Passwort herausgefunden haben, nicht so einfach bei einem solcherart geschützten Service einloggen können. Immerhin wird dafür dann noch zusätzlich der namensgebende zweite Faktor benötigt. Das kann beispielsweise ein Code sein, der via SMS oder Authenticator-App geliefert wird.

All das nützt allerdings wenig, wenn der betreffende Serviceanbieter bei der Implementation patzt. Und genau dies scheint nun ausgerechnet dem Anbieter eines der beliebtesten Passwortmanagers passiert zu sein.

Mehrer Fehler

Bis vor kurzem habe sich die Zwei-Faktor-Authentifizierung von LastPass relativ einfach austricksen lassen, berichtet der Sicherheitsforscher Martin Vigo in einem Blogeintrag. So hätte Lastpass den für die Authentifizierung notwendigen QR Code einfach mithilfe von Passwort-Hashes erstellt. Zudem konnte die Basis zur Erstellung dieser Codes über den Web-Client abgefangen werden, und zwar sowohl via Cross-Site Request Forgery (CSRF) als auch mittels Cross-Site-Scripting (XSS). Das hatte wiederum zur Folge, dass jeder, der das Passwort des betreffenden Accounts kannte, auch einen Zwei-Faktor-Code erstellen konnte – was diesen logischerweise sinnlos werden ließ.

Kritik

Doch das ist nicht die einzige Lücke, die Vigo entdeckt hat. So sei es für Angreifer auch möglich gewesen, die Zwei-Faktor-Authentifizierung vor einem Login-Versuch zu deaktivieren. Bei Lastpass betont man, dass mittlerweile sämtliche der erwähnten Lücken ausgeräumt wurden. Allerdings wirft der Bericht einmal mehr ein negatives Schlaglicht auf den Passwort-Manager-Anbieter, der sich zuletzt immer wieder Kritik wegen mangelhafter Sicherheit anhören musste. (apo, 24.4.2017)

  • Erneut Sicherheitsprobleme bei LastPass.
    grafik: lastpass / martin vigo

    Erneut Sicherheitsprobleme bei LastPass.

    Share if you care.