LastPass hatte Sicherheitslücke in Bookmarklet und Einmal-Passwörtern

12. Juli 2014 Kategorie: Backup & Security, Internet, geschrieben von:

LastPass kennen viele von Euch, schließlich handelt es sich um einen sehr beliebten Passwortmanager. Umso wichtiger ist es, dass auf Problematiken aufmerksam gemacht wird, die in Bezug auf Sicherheit bestehen. Dies tut LastPass vorbildlich in einem aktuellen Blog-Eintrag. Es geht um zwei Lücken, die im August 2013 entdeckt wurden. Diese wurden an LastPass berichtet und auch umgehend geschlossen. Die Entdecker der Lücke konnten ihre Untersuchung so veröffentlichen, bevor LastPass darüber informierte. Normales Vorgehen.

Auth-LastPass

LastPass ist sich auch ziemlich sicher, dass die Lücke nicht aktiv ausgenutzt wurde. Etwas ungewöhnlich, wird man heutzutage doch lieber einmal mehr aufgefordert, seine Login-Daten zu ändern, wenn etwas komisch läuft. LastPass meint aber, dass es nicht nötig ist, selbst wenn man das fragliche Bookmarklet vor September 2013 genutzt hat (das Bookmarklet nutzen 1% der LastPass-Nutzer). Es gibt keine Anzeichen, dass versucht wurde, die Lücke an echten Accounts auszunutzen.

Die zweite Lücke betrifft die sogenannten One Time Passwords (OTP), die man mit LastPass kreieren lassen kann. Hat ein potentieller Angreifer den Nutzernamen eines LastPass-Anwenders, kann er eine gezielte Attacke ausführen. Aber selbst wenn diese gelingt, ist der LastPass-Schlüssel immer noch sicher. Kein Grund zur Aufregung also, zumal keinerlei solche Attacken gemessen wurden.

Wer LastPass nutzt, kann dies also auch weiterhin tun. Die beiden Lücken wurden schnell geschlossen, die Öffentlichkeit informiert, Schaden entstand keiner. Dennoch erfolgte Aufklärung, etwas, das sich andere Firmen gerne als nachzuahmendes Beispiel ansehen können.


Du entscheidest mit! Wir suchen das Smartphone des Jahres 2017! Jetzt abstimmen!

 

Über den Autor:

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Sascha hat bereits 9377 Artikel geschrieben.