LastPass wurde Opfer eines Hackerangriffs

CyberkriminalitätSicherheit
Hacker-Angriff (Bild Shutterstock)

Kriminelle entwendeten offenbar E-Mail-Adressen sowie Authentifizierungs-Hashes. Laut dem Anbieter des Passwort-Managers haben die unbekannten Täter jedoch keine verschlüsselten Anwenderdaten gestohlen. Dennoch fordert das Unternehmen seine Nutzer auf, ihr Master-Passwort zu ändern.

Eigenen Angaben zufolge hat LastPass verdächtige Aktivitäten in seinem Netzwerk entdeckt und blockiert. Bei dem Angriff wurden laut dem Anbieter des Passwort-Managers E-Mail-Adressen, Passwort-Erinnerungen sowie Authentifizierungs-Hashes gestohlen. Die unbekannten Täter sollen jedoch keine verschlüsselten Tresore mit Anwender-Passwörtern entwendet haben.

“Wir sind zuversichtlich, dass unsere Verschlüsselung ausreichend ist, um die große Mehrheit der Nutzer zu schützen”, erklärt Joe Siegrist, CEO von LastPass. Sein Unternehmen stärke alle Authentifizierungs-Hashes mit einem zufälligen Wert sowie dem serverseitigen, passwortbasierenden Hash-Algorithmus PBKDF2-SHA256.

PBKDF2-SHA256 soll das Master-Passwort für einen Passwort-Tresor gegen Brute-Force-Angriffe absichern. Der Algorithmus wandelt überdies das Master-Passwort auf Rechnern und anderen Geräten in einen Verschlüsselungsschlüssel um. LastPass rät in erster Linie Nutzern, die ein schwaches Master-Passwort einsetzen, dies unverzüglich zu ändern. Als schwach bewertet das Unternehmen Kennwörter, die lediglich aus einem Wort bestehen, welches obendrein noch in Wörterbüchern verzeichnet ist. Das Gleiche gelte auch für Passwörter, die in abgewandelter Form für andere Websites oder Dienste genutzt werden.

Anwender, die sich mit einer neuen IP-Adresse oder einem neuen Gerät anmelden, werden im Zuge einer Sicherheitsmaßnahme aufgefordert, ihr Konto per E-Mail zu bestätigen. Dies gilt jedoch nicht, wenn die mehrstufige Authentifizierung aktiv ist.

“Da keine verschlüsselten Nutzerdaten erbeutet wurden, müssen Sie die Passwörter für Sites, die sie in ihrem LastPass Vault hinterlegt haben, nicht ändern”, führt Siegrist weiter aus. “Selbstverständlich empfehlen wir als zusätzliche Sicherheitsmaßnahme für ihr Konto, die Mehrschritt-Authentifizierung zu aktivieren.”

Nutzer des Passwortdienstes bemängeln derweil, dass das Unternehmen erst am Montag über den Angriff informiert hat, obwohl die Kompromittierung bereits am Freitag stattfand. Ferner haben viele Kunden offenbar erst aus den Medien von dem Datenverlust erfahren – und nicht durch LastPass selbst.

Darüber hinaus soll der Dienst gegenwärtig überlastet sein. Viele Anwender sind demnach also gar nicht in der Lage, der Empfehlung zur Änderung ihres Master-Passworts nachzukommen. Sie sehen angeblich nur eine Fehlermeldung und werden aufgefordert, es in Kürze erneut zu versuchen.

Bereits 2011 war LastPass das Opfer eines Hackerangriffs. Damals stellte das Unternehmen sein Angebot vorübergehend ein, um einen Datenverlust zu verhindern.

lastpass-hacker (Bild: LastPass)
Hackerangriff auf LastPass (Bild: LastPass)

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp der Redaktion: Fast schon regelmäßig verschaffen sich Hacker Millionen Nutzerdaten von Online-Diensten. Das können Sie alleine nicht verhindern. Doch mit unseren Tipps für eine sichere Passwort-Strategie müssen Sie sich weniger Sorgen um Ihre virtuellen Identitäten machen.

Lesen Sie auch :
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen