Image Image Image Image

LastPass gehackt: Passwort schleunigst ändern!

LastPass gehackt: Passwort schleunigst ändern!

Kleine Sicherheitswarnung für die User von LastPass, dem Passwortmanager für Logindaten und Zahlungsdetails: Das Unternehmen wurde gehackt und User sollten ihr Master-Kennwort möglichst bald ändern. Die Warnung gilt für alle Nutzer, also auch auf iOS und Android.

Eindringlinge im LastPass-Netzwerk

Der virtuelle Einbruch geschah nach der Migration von SHA-1 auf SHA-256 in den vergangenen Monaten, der Zugriff durch die Hacker erfolgte spätestens am vergangenen Freitag. Das Sicherheitspersonal von LastPass wurde auf verdächtige Aktivitäten im eigenen Netzwerk aufmerksam. Die Hacker erbeuteten Mailadressen, Auth-Hashes, Server per User Salts und Passwort-Erinnerungen (?), so LastPass im eigenen Bericht.

ssl-hackers-cover

Laut dem Anbieter der Passwort-Lösung wurden bereits sämtliche Schritte in die Wege geleitet, um Nutzerdaten zu schützen und den Schaden zu begrenzen. Es wurden (soweit bekannt) keine Passwörter preisgegeben, dennoch solltet ihr das für den Zugriff auf die Datenbank verwendete Master-Kennwort sicherheitshalber ändern. Falls ihr das Master-Kenntwort zu LastPass irgendwo anders einsetzt (ganz schlechte Angewohnheit!), sollte es an dieser Stelle natürlich auch geändert werden. Das Risiko ist insgesamt als gering einzuschätzen:

Priorität für Nutzer: Master-Kennwort ändern

Die in der Datenbank befindlichen Passwörter sind nicht betroffen und müssen daher auch nicht zwangsweise geändert werden. Es ist dennoch eine sinnvolle Angewohnheit, regelmäßig sämtliche Passwörter zu wechseln. Gerade deswegen ist ein Passwortmanager ja auch praktisch, weil ihr euch nur das Master-Kennwort merken müsst.

Ich selbst benutze übrigens das freie KeePassX auf dem Mac und unter Linux sowie MiniKeePass (App Store) unter iOS. Meine präferierte Lösung hat seit jüngsten Berichten einige strukturelle Schwächen, insbesondere mit dem Client unter Android (wo aber sowieso keine Erwartung auch nur annähernder Datensicherheit herrscht).

Verschlüsselte User-Vaults wurden nicht kompromittiert, so Lastpass am Montag und Dienstag im hauseigenen Blog. Die User wurden bereits per Mail informiert, allerdings dauert der Versand der Millionen Mails und nicht alle lesen diese Security-Bulletins. Falls ihr Nutzer des Passwordmanagers kennt, benachrichtigt diese bitte sicherheitshalber auch nochmals bei Gelegenheit, dass wieder Zeit für Passwortrotation angesagt ist.


Übrigens: Wenn Du keine Neuigkeiten, Produkt-Tests oder Artikel von uns verpassen willst, dann folge uns am besten auf Facebook oder Twitter.



Hier kannst Du Deine Meinung loswerden:



← Menü öffnen weblogit.net | Home