Kleine Sicherheitswarnung für die User von LastPass, dem Passwortmanager für Logindaten und Zahlungsdetails: Das Unternehmen wurde gehackt und User sollten ihr Master-Kennwort möglichst bald ändern. Die Warnung gilt für alle Nutzer, also auch auf iOS und Android.
Eindringlinge im LastPass-Netzwerk
Der virtuelle Einbruch geschah nach der Migration von SHA-1 auf SHA-256 in den vergangenen Monaten, der Zugriff durch die Hacker erfolgte spätestens am vergangenen Freitag. Das Sicherheitspersonal von LastPass wurde auf verdächtige Aktivitäten im eigenen Netzwerk aufmerksam. Die Hacker erbeuteten Mailadressen, Auth-Hashes, Server per User Salts und Passwort-Erinnerungen (?), so LastPass im eigenen Bericht.
Meine Empfehlungen für dich
Die 4-Stunden-Woche - Mehr Zeit, mehr Geld, mehr Leben | Der Welt-Besteller für eine geniale Work-Life-Balance, ortsunabhängiges Arbeiten und ein fantastisches Leben.
Bestes iPhone Leder-Case - Eleganter kannst du dein iPhone nicht gegen Schmutz und Kratzer schützen. Das 2in1 Leder-Case von Solo Pelle ist abnehmbar, kommt mit Kartenfächern daher und sieht einfach nur mega aus.
Mein liebster Arbeitsstuhl - Ohne den Swopper Air hätte ich sicherlich mehr Rückenschmerzen. Er fördert trotz Sitzposition eine bewegliche Wirbelsäule und hält mich beim Arbeiten aktiv. Das ist ein riesiger Vorteil zum stink normalen Bürostuhl.
Laut dem Anbieter der Passwort-Lösung wurden bereits sämtliche Schritte in die Wege geleitet, um Nutzerdaten zu schützen und den Schaden zu begrenzen. Es wurden (soweit bekannt) keine Passwörter preisgegeben, dennoch solltet ihr das für den Zugriff auf die Datenbank verwendete Master-Kennwort sicherheitshalber ändern. Falls ihr das Master-Kenntwort zu LastPass irgendwo anders einsetzt (ganz schlechte Angewohnheit!), sollte es an dieser Stelle natürlich auch geändert werden. Das Risiko ist insgesamt als gering einzuschätzen:
Insightful comment on @LastPass breach (via Ars) http://t.co/YENvcZVr0b) pic.twitter.com/mTsQZ7a9Ql
— SwiftOnSecurity (@SwiftOnSecurity) June 16, 2015
Priorität für Nutzer: Master-Kennwort ändern
Die in der Datenbank befindlichen Passwörter sind nicht betroffen und müssen daher auch nicht zwangsweise geändert werden. Es ist dennoch eine sinnvolle Angewohnheit, regelmäßig sämtliche Passwörter zu wechseln. Gerade deswegen ist ein Passwortmanager ja auch praktisch, weil ihr euch nur das Master-Kennwort merken müsst.
Ich selbst benutze übrigens das freie KeePassX auf dem Mac und unter Linux sowie MiniKeePass (App Store) unter iOS. Meine präferierte Lösung hat seit jüngsten Berichten einige strukturelle Schwächen, insbesondere mit dem Client unter Android (wo aber sowieso keine Erwartung auch nur annähernder Datensicherheit herrscht).
Verschlüsselte User-Vaults wurden nicht kompromittiert, so Lastpass am Montag und Dienstag im hauseigenen Blog. Die User wurden bereits per Mail informiert, allerdings dauert der Versand der Millionen Mails und nicht alle lesen diese Security-Bulletins. Falls ihr Nutzer des Passwordmanagers kennt, benachrichtigt diese bitte sicherheitshalber auch nochmals bei Gelegenheit, dass wieder Zeit für Passwortrotation angesagt ist.
Noch kein Fan? Folge WEBLOGIT auf Facebook oder Twitter, um nichts zu verpassen! ↵