LastPass: Angreifer erbeuteten Passwort-Tresore der Nutzer
von caschy | 91 Kommentare
Wir berichteten darüber, dass es beim Passwortmanager LastPass einen weiteren Zwischenfall gegeben hat, bei dem Dritte Zugriffe auf das System bekamen. Bisher war nicht bekannt, auf welche Daten die Angreifer zugegriffen haben, bzw. hat LastPass dazu nichts gesagt.
Das hat man bei LastPass aber nun kommuniziert. Das Unternehmen, das verspricht, alle Passwörter an einem sicheren Ort aufzubewahren, teilt nun mit, dass Hacker in der Lage waren, »ein Backup der Kundentresor-Daten zu kopieren«, was bedeutet, dass sie theoretisch jetzt Zugang zu all diesen Passwörtern haben, wenn sie die kopierten Passwort-Tresore knacken können:
Der Angreifer war auch in der Lage, eine Sicherungskopie der Daten des Kundentresors aus dem verschlüsselten Speichercontainer zu kopieren, der in einem proprietären Binärformat gespeichert ist, das sowohl unverschlüsselte Daten wie Website-URLs als auch vollständig verschlüsselte sensible Felder wie Website-Benutzernamen und -Passwörter, sichere Notizen und in Formulare eingegebene Daten enthält. Diese verschlüsselten Felder sind mit einer 256-Bit-AES-Verschlüsselung gesichert und können nur mit einem eindeutigen Verschlüsselungsschlüssel entschlüsselt werden, der mithilfe der Zero Knowledge-Architektur aus dem Master-Passwort jedes Benutzers abgeleitet wird. Zur Erinnerung: Das Master-Passwort ist LastPass niemals bekannt und wird von LastPass weder gespeichert noch verwaltet.
Bedeutet: Der Angreifer könnte versuchen, den Tresor technisch zu knacken – oder aber auch versuchen, dem Kunden das Passwort irgendwie zu entlocken – beispielsweise über Mail oder gar Anrufe. Da muss man eben wissen, dass LastPass seine Kunden so nicht kontaktiert und nach einem Passwort fragt.
Wenn ihr ein schwaches Master-Passwort nutzt, solltet ihr als Sicherheitsmaßnahme in Betracht ziehen, das Risiko zu minimieren, indem ihr die Passwörter bei den von euch genutzten Diensten ändert. Unter Umständen laden die Feiertage dazu ein. Alternativen, u. a.: 1Password, Enpass, Bitwarden, KeePass und Derivate.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Wieß jemand wie sich die Ausgangslage ändert wenn man anstatt dem Masterpasswort eine Azure AD Authentifizierung als prüfende Instanz verwendet? Dann hab ich ja keine Masterpasswort das per Brute Force erraten werden könnte, sondern brauche einen Token der prüfenden Instanz um den Tresor zu öffnen?
als ich das erste Mal davon gehört habe, dass Last Pass gehackt wurde dachte ich mir nur, wann nennen die sich endlich in lost Pass um?
aber Mal spaß bei Seite, wenn man schon einen Passwort Manager benutzen willst, sollte man sich schon darüber im Klaren sein, dass man wie hier, die Aufbewahrung anderen überlässt. und damit ist nicht der Nachbar oder der beste Freund, wie beim haustürschlüssel, sondern eine fremde Firma gemeint. man vertäut hier dem geschriebenen wort in Form von Werbung.
wenn schon einen Passwort Manager dann bitte einen self hosted, dies empfehle ich zumindest meinen Kunden, denn so haben sie noch immer die eigene Handhabe und Verantwortung darüber was mit dem System geschieht. natürlich kann man dazu sagen, ja aber wenn du gehackt wirst… ja was ist dann? dann ist die Kirche noch immer im Dorf und nicht wie hier wo eine Vielzahl von privat Personen und Firmen gleicher maßen betroffen zu sein scheinen.
ein gutes hat es hier vielleicht noch, hier erhalten die Geschädigten vielleicht eine Info, dass etwas erbeutet würde, anders als wenn man den Einstieg bei sich im System nicht bemerken sollte…
> dann bitte einen self hosted, dies empfehle ich zumindest meinen Kunden, denn so haben sie noch immer
> die eigene Handhabe und Verantwortung
Verantwortung und Kosten für Backups, Updates, Ersatz-Hardware
Grundlegend ist das natürlich erst mal unangenehm für die Betroffenen. Sollte per Design aber überhaupt kein Sicherheitsproblem darstellen. Die geklauten Daten sind wertlos.
Bei Lastpass sieht es so langsam aber echt danach aus das es nur noch eine Frage der Zeit ist bis es doch mal kritisch wird. Die scheinen ja grundlegend ihre Technik nicht im Griff zu haben. Irgendwann heißt es dann das hat wer irgendwas mitgeschrieben und kann nun die Daten entschlüsseln.
weiß man denn den Zeitpunkt ?
jemand ne Meinung zu Zoho Vault?