LastPass: Einige Nutzer melden fremde Zugriffe

Solltet ihr den Passwortmanager LastPass nutzen, dann solltet ihr vielleicht einmal kurz weiterlesen und Obacht walten lassen. Einige Nutzer haben sich auf der Plattform Hacker News eingefunden und teilen mit, dass sie die typischen Login-Mails von LastPass bekommen haben. Hierbei handelt es sich um keine Phishing-Mails, die Logins sind valide, die Master-Passwörter einiger Nutzer scheinen also in den Händen von Angreifern zu sein.

Die meldenden Nutzer teilten mit, dass die Zugriffe alle aus Brasilien von der identischen IP erfolgten. Es ist nicht bekannt, wie die Passwörter an die Öffentlichkeit gelangt sind. Einige der Nutzer sind zwar noch bei LastPass angemeldet, nutzen den Dienst aber schon länger nicht mehr, andere wiederum haben seit längerem ihr Passwort nicht geändert.

Möglichkeiten gibt’s viele, da sich LastPass noch nicht geäußert hat, muss man noch abwarten. Es könnte ein altes Leck sein, aber auch ein neues. Natürlich kann es eine Schwachstelle bei LastPass geben, vielleicht aber auch bei Nutzern. Der Ratschlag ist immer recht einfach: Ändert vielleicht euer Passwort und nutzt die 2FA zur besseren Sicherheit. Sollten sich neue Erkenntnisse ergeben, informieren wir euch natürlich.

Mittlerweile gibt’s ein Statement:

LastPass hat die jüngsten Berichte über blockierte Anmeldeversuche untersucht und festgestellt, dass es sich dabei um eine relativ häufige Bot-Aktivität handelt, bei der ein böswilliger oder bösartiger Akteur versucht, auf Benutzerkonten (in diesem Fall LastPass) zuzugreifen, indem er E-Mail-Adressen und Passwörter verwendet, die er aus Sicherheitsverletzungen Dritter im Zusammenhang mit anderen, nicht angegliederten Diensten erhalten hat. Es ist wichtig anzumerken, dass wir keine Anzeichen dafür haben, dass erfolgreich auf Konten zugegriffen wurde oder dass der LastPass-Dienst anderweitig von einer nicht autorisierten Partei kompromittiert wurde. Wir überwachen regelmäßig diese Art von Aktivitäten und werden weiterhin Maßnahmen ergreifen, um sicherzustellen, dass LastPass, seine Benutzer und deren Daten geschützt und sicher bleiben.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

26 Kommentare

  1. Verstehe nicht, dass Leute Ihre PW DB bei einem externen Cloud Anbieter verwalten (lassen).

    Mit einer lokalen Lösung wie z.B. Keepass (die DB kann wiederrum verschlüsselt in einer Cloud hochgeladen werden, das Master PW kennt der Cloud Anbieter dann nicht) hat man immer selbst die DB + Master PW Hoheit – und ist dann selbst verantwortlich, falls das PW gehackt würde…

    • Und wo ist da jetzt der Unterschied zu Lastpass? Die kennen doch auch nicht mein Master PW.

      • Bei Last Pass ist aber bei unzureichenden Vorkehrungen dein Passwort ggf. knackbar wenn Zugriff auf deren Datenbank erfolgt. Vielleicht nicht sofort, aber wer weiß wann Verfahren XY geknackt wurde.
        Persönlich nutze ich Bitwarden auf der Synology. Die Synology selbst ist extrem sicher und Bitwarden Open Source. Liegt alles auf meiner Hardware.

      • Sorry ich wollte genau auf das von Tom geschriebene hinaus – LastPass „kennt“ mein MasterPW nicht im Klartext, richtig.
        Verwaltet aber genug meiner Kundendaten, ggf Zahlungsdaten etc zusätzlich zur PW DB selbst, und deren internen Verfahren, das MasterPW auf Bestätigung abzuprüfen, welche alle durch einen möglichen Hack gefährdet werden können.
        Durch eigene Verwaltung/Hosting ist man erstmal ein viel kleineres Ziel und selbst für die Sicherheitsmaßnahmen verantwortlich.

        Ich empfehle übrigens jedem die PW im Passwortmanager im Doubleblind Verfahren zu verwalten – selbst wenn meine komplette PW DB im Klartext einsehbar wäre, bilden die dort gespeicherten PW alleine noch nicht die komplette Passphrase ab.

    • Dafür gibt es 2FA… Gerade wenn man das ganze in die Cloud Packt.

  2. „Natürlich kann es eine Schwachstelle bei LastPass geben, vielleicht aber auch bei Nutzern. Der Ratschlag ist immer recht einfach: Ändert vielleicht euer Passwort und nutzt die 2FA zur besseren Sicherheit.“

    Meines Wissens überträgt LastPass das Masterpasswort nur per salted one way hash, der auch noch per PBKDF2-SHA256 in mehreren Runden verschlüsselt wird. D.h. ein Leck bei LastPass zentral kann NIE das Masterpasswort kompromittieren. Hierfür kann nur eine manuelle Weitergabe durch oder ein lokales Leck beim User verantwortlich sein. Natürlich bis hin zu einem Leck in der LastPass-Anwendung bzw. im -Client.

    • Stimmt. Es ist ja noch nie vorgekommen, daß Firmen vollmundig höchste Sicherheit bei der Übertragung und Speicherung von Kundendaten versprochen haben, und sich dann später herausgestellt hat, daß sie grobe Fehler gemacht oder von vorneherein gelogen haben.
      Also kann es definitiv, absolut, in keinstem Fall an LastPass liegen.

      Wer Sarkasmus findet, hat einen funktionierenden Sarkasmusdetektor.

      • Sarkasmus ist ein Zeichen dafür, dass jemand in einer sachlichen Diskussion keine Argumente mehr hat. Zudem ist es ein Grundsatz, dass der Anbieter einer sicherheitsrelevanten Dienstleistung für Dich vertrauenswürdig sein muss. Ist er das nicht, kannst Du eine andere, für Dich passende Alternative wählen. Das ist übrigens oft im Leben so. Wenn Du niemandem vertraust, kannst Du Dir z.B. Dein Essen lediglich aus dem eigenen Fleisch schneiden. Denn es soll ja schon einmal vorgekommen sein, dass Lebensmittel vergiftet wurden.

        • esque hat schon Recht. Sollte bei der Implementierung geschlampt worden sein oder andere Teile des Systems kompromittiert sein, nutzt alles nichts. Sicher ist nichts, nur noch nicht gehackt wobei hier die Gründe an einem guten System liegen mögen oder an der Zeit und Energie, die wir hier auf der Erde haben.

          • Da gebe ich Dir Recht. Das hat esque aber nicht geschrieben.

          • Das ist offline aber nicht anders, vor allem dann nicht, wenn das System selbst kompromittiert ist. Dann kann ich auch Daten aus Keepass absaugen oder einfach Bildschirmfotos nach Klartextanzeige der Passwörter machen. Oder einen Keylogger installieren. Oder, oder, oder …

            Und bleibt halt eine Abwägung von Komfort und Sicherheit.

            • Anders ist aber der potentielle Schaden: Offline (z. B. Keylogger) –> 1 Ziel –> sehr unattraktiv. Online –> Tausende Ziele –> sehr attraktiv.

        • Nein, Sarkasmus ist ein Stilmittel, das unabhängig von sonstigen Argumenten ist. Tatsächlich kann Sarkasmus benutzt werden, um ein Argument anzubringen.
          So wie in meinem Fall: Es ist nun mal eine Tatsache, daß Firmen, die angeblich so viel für die Sicherheit der Daten ihrer Kunden tun, dabei ertappt werden, wie sie das nicht tun. Gesunde Zweifel an solchen Firmen ist daher durchaus angebracht.

          Du hast eine Behauptung über LastPass aufgestellt („überträgt LastPass das Masterpasswort nur per salted one way hash, der auch noch per PBKDF2-SHA256 in mehreren Runden verschlüsselt wird“). Hast du den Wahrheitsgehalt dieser Aussage selber überprüfen können? Wenn du nicht zufällig ein Mitarbeiter von LastPass oder irgendwie an den Quellcode gekommen bist. vermutlich nicht. In dem Fall gibst du einfach nur Aussage von LastPass ungeprüft wieder.
          Das kann gut gehen, muss aber nicht.

          Und da ich LastPass und co. nicht traue, vertraue ich meine Passwort-Datenbank keinem solchen Onlineservice an.

          • Klar kann Sarkasmus einer Argumentationen dienen, aber dafür braucht es auch ein Argument und das fehlte schlicht in dem vorherigen Kommentar.

          • „Nein, Sarkasmus ist ein Stilmittel, das unabhängig von sonstigen Argumenten ist. Tatsächlich kann Sarkasmus benutzt werden, um ein Argument anzubringen.“

            Diese Definition kannst Du Dir gerne ausdenken. Nur hat sie mit Sarkasmus nichts zu tun. Im Gegenteil, selbst wenn Du ein Argument hast, schwächst Du es durch dieses falsche rhetorische Mittel ab, denn Du ziehst die Diskussion qua korrekter Definition ins Lächerliche.

            „In dem Fall gibst du einfach nur Aussage von LastPass ungeprüft wieder.“

            Ja, denn der Ausgangspunkt einer sachlichen Diskussion sind sachliche Informationen. Ich weigere mich, dem aktuellen Zeitgeist zu folgen, und sämtliche Diskussionen mit Verschwörungserzählungen zu beginnen, die grundsätzlich davon auszugehen scheinen, dass alles und jeder grundsätzlich erst einmal unser Schlechtestes wollen.

            Und das dem nicht so ist, zeigte ja auch bereits die weitere Entwicklung:

            https://stadt-bremerhaven.de/lastpass-kein-unbefugter-zugriff-durch-dritte/

            • Wer denkt sich denn hier Sachen aus? „Sarkasmus ist ein Zeichen dafür, dass jemand in einer sachlichen Diskussion keine Argumente mehr hat.“ Das ist ausgedacht und hat keinerlei Bezug zur Realität.

              Sarkasmus ist eine Überspitzung einer Aussage um deren vermeintlich tatsächlichen Wert darzustellen und somit beides, eine Aussage und eine persönliche Bewertung. Durchaus ein Argument, da die Sache die hier sarkastiert(?^^) wurde beweisbar oft falsch ist, sogar ein sehr schlagkräftiges. Trotzdem muss das auf die Sache direkt nicht zutreffen. Aber gegenteiliges zu glauben ist schon sehr blauäugig.

              (Wieder so ein Argument dafür, besser eine Sprache gut zu können als zwei nicht so gut.)
              [Der Text ist hauptsächlich allgemein zu verstehen und bezieht sich nur durch das Beispiel auf die Person, deren Aussage genannt wurde.]

  3. Ich verstehe zwar, dass Cloud-Dienste zum Speichern von Passwörtern sehr bequem sind. Aber mir persönlich wäre unwohl bei dem Gedanken, dass alle meine Passwörter einen Hack oder ein Passwort-Leak entfernt sind in die Hände von irgendwelchen Ganove zu kommen.

    Klar, man kann sich mit einzigartigen Master-Passwörtern und 2FA auch davor schützen. Aber wer hält es mit diesen Ratschlägen schon immer so genau.

    Dann speichere ich die Passörter lieber lokal und mache von den verschlüsselten Daten regelmäßig ein Cloud Backup.

  4. An Ende könnte eher ein Client kompromittiert sein oder es wurde über die Feiertage wo ja in Europa viele Büros zu haben eher bereits bekannte Passwörter durchprobiert.

  5. Für mich ist es auch unverständlich, wie man Sicherheit durch Bequemlichkeit tauschen kann. Ich könnte auch mein Haus/Wohnung nicht abschließen, weil es bequemer ist, aber mache ich es deshalb?
    Für mich bleibt es ein Rätsel weshalb viele zwischen materieller und immaterieller Welt komplett unterschiedlich agieren.

    • Selbst wenn Du Deine Wohnung abschließt, 100%ige Sicherheit gibt es nie. Warum mauerst Du die Türe Deiner Wohnung nicht zu? Das würde die Sicherheit deutlich erhöhen. Nun sage nicht, es sei bequem, durch die Türe in die Wohnung gehen zu können. Das zählt ja offenbar nicht, nur Sicherheit. 😉

    • Sehe keine Probleme, hab es mit Keyfile und Passwort, sowie 2FA pro Client, der auf die Cloud zugreift. Ist zwar anderer Anbieter, aber auch in der Cloud. Keyhole und PW werden dabei nur offline gehandhabt.

    • Aber n Schlüssel bei bekannten hinerlegt? 😉

  6. Manche Kommentare verstehe ich einfach nicht.

    Der Vergleich mit einer nicht abgeschlossenen Haustür hinkt komplett, denn bei einem Passwortmanager ist die Tür nicht nur abgeschlossen (=mit Passwort geschützt), sondern häufig sogar noch mit einem über Gebühr guten Schlüssel versehen (=besonders starkes Masterpasswort).

    Und ja, natürlich kann der Client kompromittiert sein. Letztlich kann aber auch die App eines Offline-Passwortmanagers kompromittiert sein und mein Masterpasswort, oder – schlimmer – gleich die ganze Datenbank plaintext hochladen. Man kann hier Opensource vs Closedsource argumentieren, aber so richtig führt das dann auch nicht zum Ziel.

    Ich nutze selbst einen Online-Passwortmanager und ich habe da lange mit mir gerungen und so richtig wohl ist mir bei dem Gedanken immer noch nicht. Das Konzept aber mit fadenscheinigen Argumenten einfach runterzumachen hilft aber meiner Meinung nach nicht weiter.

  7. Na ja, es ist wohl nicht nur eine Frage der Bequemlichkeit sondern auch des technischen Wissens, Könnens und Verständnisses.
    Es ist halt einfacher, den Sync mit den Daten über den Anbieter des Onlinespeichers durchzuführen, um jederzeit auf allen Geräten Zugriff auf den gleichen Datenbestand zu haben.

  8. TL;DR: Cloud-basierte Passwort-Manager sind attraktivere Angriffsziele als offline Passwort-Manager.

    Es ist nunmal ein Fakt, dass Cloud-basierte Passwort-Manager grundsätzlich attraktive Angriffsziele sind. Alle die hier ihr super sicheres Master Passwort oder ihren MFA Zugriff oder was auch immer feiern, sind sich dennoch hoffentlich bewusst, dass es sowas wie Supply Chain Angriffe gibt. Einmal eine nicht gepatchte dependency bei Anbieter XY angreifen und dann KANN es ganz leicht gehen:

    * Zugriff auf Systeme des Anbieters erhalten
    * Websitecode manipulieren und Login-Seite austauschen
    * Warten bis Nutzer sich einloggt und die Datenbank mit Zweifaktor, yubikey und 65-Zeichen Passwort entschlüsselt hat
    * Entschlüsselte Daten abgreifen
    * Fertig.
    * (Würde natürlich auch bei einer Desktop App funktionieren, je nachdem wie die Anwendung aufgebaut ist)
    Das Opfer bekäme das nicht einmal mit.

    Klar ist eine lokale Passwortdatei auch nicht zu 100 Prozent sicher, aber EINE keepass Datei EINES Nutzers von dessen Festplatte abzugreifen oder den Bitwarden Account EINES Nutzers der bitwarden selbst hinter einem VPN betreibt zu übernehmen ist wesentlich unattraktiver als Manipulationen bei großen Anbietern.

    Und wer denkt, dass das alles Humbug ist und sowieso nie passiert kann sich ja Mal an den British Airways Hack vor einigen Jahren zurück erinnern, wo durch ein simples vertauschtes Javascript etliche Kreditkartendaten erbeutet wurden – genau derselbe Angriff ist wie oben geschildert grundsätzlich natürlich auch auf jeden Passwort-Manager möglich.

  9. Nordpass auch. Seit dem ich Nordpass ausprobiert habe. Bekomme ich oft Mails das jemand mein Account anmelden wollte. Außerhalb Deutschlands. Zum Glück habe ich 2FA

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.