Beliebter Passwortmanager LastPass gehackt: Masterpasswort wechseln

Der beliebte Passwortmanager LastPass ist Ziel eines Hackerangriffs geworden. Wie das Unternehmen mitteilt, konnten Unbekannte Zugriff auf die online verwalteten Login-Daten und auf Nutzer-Informationen erlangen. LastPass bittet nun seine Nutzer, ... mehr... passwort, Passwortverwaltung, passwortmanager, lastpass Bildquelle: LastPass passwort, Passwortverwaltung, passwortmanager, lastpass passwort, Passwortverwaltung, passwortmanager, lastpass LastPass

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Lange auf diese News gewartet und doch nicht enttäuscht worden...
 
@Slurp: naja verschlüsselte Passwort-container sind nicht betroffen.
Wer sich also ewtas mühe gegeben hat seine Passwörter zu schützen ist immer noch auf der sicheren seite.
 
@DNFrozen: Nicht vergessen dieses Jahr wieder den Wunschzettel für den Weihnachtsmann zu schreiben!
Zitat Gandalf: "Närrischer Tuck!"
 
Ich habe mir Keepass ins OneDrive geschoben. Das ist natürlich auch nicht vor Hacker-Angriffen sicher, aber funktioniert allemal so gut. Ist also eine Alternative zu LastPass.
 
@kritisch_user: Im Prinzip könnten sie es bei LastPass ganz ähnlich gestalten. Der auf der Hand liegende Vorteil von Keepass mit Onedrive/Dropbox ist ja, dass man für die Synchronisation und die Verschlüsselung des Passwortcontainers unterschiedliche Passwörter hat. Von letzterem braucht dann auch kein Passworthash auf dem Server zu liegen, weil der Container ja heruntergeladen und dann nur lokal entschlüsselt wird. Klaut jemand die Hashes vom Onedrive und errät dein Passwort per Bruteforce, hätte er trotzdem nur Zugriff auf den verschlüsselten Container und für diesen weder Passwort noch Hash, kommt also nicht an den Inhalt.
Bei Lastpass wird zwar auch nur lokal entschlüsselt und verschlüsselt, doch ist das Passwort dafür blöderweise das gleiche wie für den Online-Account, über den die Synchronisation läuft. Für diesen muss ja zwangsläufig ein Hash auf dem Server liegen, sonst könnte man sich für die Sync ja nicht anmelden. Ich würde es ja auch bevorzugen, wenn die das voneinander trennen würden. Muss man halt bei der Einrichtung einmalig zwei Passwörter eingeben. :)
 
@kritisch_user: Bei einem Hacker-Angriff würde nur das kdbx file entwendet werden. So ein File zu knacken ist so gut wie unmöglich. Selbst, wenn du nur ein kurzes Master-Passwort verwendet hast wird es ewig dauern da man mit einem Standard-PC nur ein Passwort pro Sekunde bruteforcen kann.
Man kann also definitiv sagen, dass das Konzept von Keepass wesentlich sicherer ist als von Lastpass.
 
@Headcool: "Wesentlich" kann man nicht sagen... Wenn man im Lastpass-Client sein Master-Passwort eingibt, wird dieses mit 5000 Iterationen SHA-256 gehasht, darum dauert es auch auf einem modernen PC bei Lastpass immer 2-3 Sek., bis nach Absenden der Login-Daten eine Reaktion erfolgt. Der Hash wird dann an die LP-Server geschickt, wo er nochmals 10000x mit SHA-256 iteriert wird. Der resultierende Hash wird mit einem Salt versehen und gegen den online gespeicherten verglichen.
Das eigtl. Master-Passwort, mit dem lokal der Inhalt des Passwortsafes verschlüsselt wird, wird niemals übertragen, sodass keiner, auch nicht mit dem bei LP gespeicherten Hash, den Inhalt entschlüsseln kann.
Die einzig denkbare Möglichkeit an den Inhalt zu kommen ist, den insgesamt dann 15000 mal iterierten und gesalteten Hash zu erbeuten und darauf einen Brute-Force-Algorithmus loszulassen. Dabei kommt dann das zum Zuge, was du sagst, nämlich dass es einige Sek. pro Passwort dauert. Ist das Passwort komplex genug, dauert das Jahre.
In der Praxis ist das somit nicht wirklich unsicherer als die Variante Keepass+Onedrive. Man könnte jetzt eben nur noch eine Schippe drauflegen und eben noch ein extra Passwort nur für die Verschlüsselung des Safes hinzu nehmen. Das würde bedeuten, hätten die Hacker anhand des Hashes und jahrelangem Bruteforce-Aufwand doch mal das Passwort erraten, dann könnten sie damit immer noch nicht den Tresor entschlüsseln weil dieser mit einem anderen PW verschlüsselt ist. :)
Böse geht es bei Lastpass eigtl. nur aus, wenn das Passwort "1234" oder ähnlich primitiv ist. Das hat ein Bruteforcer sofort raus und dann eben direkt Zugriff auf Synchronisation + Tresorinhalt im Klartext.
 
@mh0001: Bei Keepass gibts ja auch die "Schlüsseltransformationen". Ist das eigentlich das gleiche wie die Iterationen? Im FAQ steht zumindest auch was von SHA-256 und "gesalted" wird wohl auch. Meine kdbx Datenbank schafft 14.519.296 Transformationen in ca. einer Sekunde. Klingt schon derbe ;-)
 
@mh0001: Du brauchst nicht unbedingt das Passwort. Der Hash reicht aus. Da kann er noch so oft iteriert sein. Das Versenden der verschlüsselten Passwortdatenbank an sich ist da weniger kritisch.
 
@Headcool: was machste, wenn die datei 1 Millionen mal kopiert wird und dann 1 Millionen mal 1 Passwort die Sekunde getestet wird?

Es stellt sich doch die Frage, WER die daten hat und was das Ziel ist... Ich gehe mal davon aus, das 99,7% alle WF nutzer weder besonders Spannende noch besonders Sensible daten hat (selbst Kontodaten haben und dann sich was vom Konto zu holen sind zwei paar schuhe)...
Aber wenn jemand wie z.B. die NSA wirklich Interesse hat... ich glaube das so ziemlich alles Knackbar ist... <- selbst wenn es ein paar Wochen dauert.

Ich hab mir angewöhnt einiges so zu sichern das der Normaluser nicht rankommt (8 Stelliges Kryptisches passwort)... nur die dinge die mir Wirklich wichtig sind haben dann 16-24 stelliges Passowrt und das steht dann auch nirgendwo... (mit dem Risiko, das ich selbst irgendwann mal nach nen Brainlag nicht mehr hinkomme...)
Und selbst diese Daten (z.B. meine HBCI schlüssel), so ungern ich diese mit anderen teile, sind nicht 100%tig SICHER!
 
@baeri: Man trinkt gemütlich sein Bier weiter. Wenn man alle möglichen Werte bei SHA-256 ausprobieren will gibt es 2^256 mögliche Hash Werte. 2^256/2^20 macht eine Zahl mit 72 Dezimalstellen. Die wirst du nicht berechnen können mit lächerlichen 1 Millionen Versuchen pro Sekunde bis die Welt unter geht.
 
@Illidan: das ist nicht ganz korrekt,... du versuchst den hashcode zu entschlüsseln, das ist wohl tatsächlich "Komplex"...

wenn ich ein 7 Stelliges "einfaches" Passwort prüfen will gibt es Lediglich 8 Milliarden möglichkeiten und das hat man dann in 8000 Sekunden (etwas über 2 Stunden) durch! <- und das bei eine Millionen Tests (so mancher Clustersurfer schafft das ein Vielfaches)

Wie verkryptet das ist ist in dem Fall völlig egal solange ich "oft und schnell" genug testen kann => meistens verhindert aber lediglich die Software viele tests, nicht aber das zu "entschlüsselnde" medium...

dumit versuche ich nicht den hashwert zu entschlüsseln sondern durch testen der einzelnen Passwöter herausfinden welches Passwort zum Hashwert passt...
=> wobei auch hier gilt ich müsste wissen wir der Hashwert entsteht (es lebe Open Source :P ...)
 
@baeri: schön, wer ein 7 stelliges Passwort nutzt ist selber Schuld.
 
@Illidan: ich beziehe mich auf die Aussage: "Selbst, wenn du nur ein kurzes Master-Passwort verwendet hast" von Headcool

selbst wenn ich ein 8 oder mehrstelliges Passwort verwende => es gibt immer jemanden der viel Rechenleistung hat...
 
@kritisch_user: geile Sache. Nennt sich kritisch User und benutzt zu einem PW Manager auch noch ne Cloud Lösung dazu. Ich finde wenn man sich von einen proprietären PW Manager ins Haus holt sollte man nicht so doof sein, dann noch alle PW in die Wolke zu schieben. Und kommt mir jetzt nicht mit unknackbarer Verschlüsselung. Wen ich mir nen PW Manager hole, dann sollte der PS Tresor auch tunlichst lokal auf dem Rechner bleiben. Alles andere ist fahrlässig.
 
@Hinweis: Keepass ist OpenSource.
 
@kritisch_user: dito so mache ich das auch und komme damit bisher sehr gut klar.
 
Die Master-Passwörter wurden selbstverständlich NICHT erbeutet, sondern lediglich Hashes davon. Je nach dem wie sicher man dieses Passwort gewählt hat, kann es mit aktueller Hardware Jahre dauern, um aus den erbeuteten Hashes das Passwort durch Bruteforce zu ermitteln. Da ich ein ziemlich komplexes Master-Passwort habe und noch dazu einen Yubikey als 2FA, werde ich jetzt nichts übereilen und erstmal abwarten, bis sich die Aufregung gelegt hat und wirklich klar ist, was jetzt eigtl. passiert ist.
 
Ich hatte auch meine Passwörter bei LastPass gespeichert und habe diese nun erst mal für die wichtigsten Dienste geändert, sicher ist sicher...
 
Ja ich finde das gerechtfertigt und ja ich verspüre sogar Schadenfreude (Man mag es mir nicht übel nehmen). Welcher voll zurechnungsfähiger Mensch würde so welche sensiblen Daten im Internet speichern. Mensch habt ihr nichts gelernt? Wozu wird denn einen etwas in den Jungen Jahren beigebracht?
 
@Menschenhasser: Schadenfreude? Worüber? Es ist laut aktuellem Kenntnisstand nichts Schlimmes passiert. Ich sehe aktuell nicht einmal eine Notwendigkeit mein Master-Passwort ändern... Wenn Daten stark genug verschlüsselt sind, braucht man sich keine Sorgen zu machen wenn der verschlüsselte Datensatz in falsche Hände gerät (das ist im übrigen der Sinn der Verschlüsselung). Vertraut man nicht darauf, dass die Verschlüsselung hält, kann man es auch gleich ganz sein lassen damit. Ich habe momentan keinen Grund daran zu zweifeln, dass bei Lastpass eine Verschlüsselung auf aktuellem Stand der Technik verwendet wurde und die Hacker mit den erbeuteten Daten somit rein gar nichts anfangen können.
 
@Menschenhasser: Nun, der Sinn der Verschlüsselung ist ja gerade der Schutz der Daten - auch wenn diese online, also "nicht zu Hause beim Anwender" lagern. Und

Ein wenig so wie Wertsachen im Schließfach der Bank, diese liegen nicht bei ihrem Besitzer (Inhaber?) zu Hause, dennoch wird i.a. davon ausgegangen, dass der Tresor der Bank hinreichend Schutz vor unberechtigtem Zugriff bietet.

Verspürst Du die selbe Schadenfreude, wenn in eine Bank eingebrochen wurde und Wertsachen aus den Schließfächern / dem Tresor gestohlen wurden - "Welcher voll zurechnungsfähige Mensch würde so wertvolle Gegenstände bei der Bank hinterlegen"?

Was wäre eigentlich, wenn jemand seine Daten zu Hause lagerte und dort eingebrochen und der Datenträger entwendet worden wäre? Wärest Du dann ebenfalls schadenfroh ("Welcher voll zurechnungsfähige Mensch würde sowas zu Hause lagern, man weiss doch dass Wohnungstüren / Fenster aufgebrochen werden können")? Und wenn Du nun sagst "ja, man muss die Daten halt auch verschlüsseln, damit sie auch bei Diebstahl nicht verwendet werden können" - das ist bei Lastpass ja nun ebenfalls der Fall...

So ganz klar wird mir Deine Reaktion folglich nicht. Aber vielleicht hast Du Deinen Nickname hier sorgfältig und sinnvoll gewählt ;)
 
@Menschenhasser: Selten so einen Schwachsinn gehört. Alleine schon aus Prinzip anderen ist Leuten was schlechtes wünschen völliger Müll und zeigt was für einen beschränkten Charakter du hast. Wie alt bist du ? 10 ? Weil dann würde es passen.
 
Wer speichert denn bitte seine Passwörter online?

Da ist es ja noch sicherer nur wenige Passwörter zu verwenden, die dann auch im Kopf bleiben.

Da gabs hier doch auch mal eine Studie zu dem Thema.
 
@karstenschilder: Nö, ist es nicht. Ich verwende dank Passwortmanager für jeden einzelnen Login ein eigenes 16-20 stelliges komplexes Passwort. Falls einer der Seiten geknackt wird, ist nur der dortige Login betroffen und es genügt, dass dieser dann durch ein neues einzigartiges Passwort ersetzt wird. Der Schaden beschränkt sich auf den einen Login.
Wenn die Datenbank des Passwortmanagers stark genug verschlüsselt ist, ist es völlig egal ob die nur lokal oder online gespeichert wird. Ich hätte kein Problem damit, die jeder x-beliebigen fremden Person in die Hand zu drücken oder sie auf rapidshare etc. hochzuladen. Selbst laut Edward Snowden ist es nicht einmal Geheimdiensten wie der NSA möglich, ausreichend stark verschlüsselte Daten zu knacken.
Hinter den meisten Websites steckt jedoch nicht das nötige Know-How bzw. die Absicht, die Nutzerdaten ausreichend stark zu verschlüsseln, dort schaffen es oft genug Kriminelle, die Daten im Klartext zu erbeuten - darum ist die Variante mit vielen verschiedenen Passwörtern und Passwortmanager meiner Meinung nach die sicherere.
 
@mh0001: Wenn Sie aber den Passwortmanager knacken bringt es dir auch nichts wenn du für jeden Service einen eigenen Login hast ;) Sie haben ja dann alle :D
 
@skrApy: Klar, aber das ist bislang bei seriösen Anbietern von Passwortmanagern noch nicht vorgekommen, auch dieses Mal nicht. Wenn die Verschlüsselung der Passwortcontainer stark genug ist, können Hacker so viel Daten erbeuten wie sie wollen, sie kommen nicht an den Inhalt.
Da vertraue ich lieber einem Anbieter, der stark verschlüsselt, eine Passwortdatenbank an, als vielen einzelnen Websites, die nicht oder unzureichend verschlüsseln mein einziges Passwort.
 
@mh0001: ja das stimmt :)
 
@mh0001: Meine privat-genutzten Passwörter basieren immer noch auf einem meiner ersten Passwörter (ca. 25 Jahre alt). Das bildet heute sozusagen den Rumpf. Es ist kein Wort aus dem Wörterbuch. Ich habe für jede Seite ein eigenes Passwort, wobei jeweils der Rump enthalten ist plus ein Akronym vom jeweiligen Dienst. Abhängg vom Dienst bildet das Akronym den Präfix bzw.Suffix. Angenomen der Rumpf wäre "senojI#", dann könnte ich beispielsweise für winfuture "wfsenojI#" verwenden. Klar gehts sicherer, aber für die von mir genutzten Dienste mit Ein-Faktor-Authentifizierug genügt mir das als relative Sicherheit.
Bei lastpassword sehe ich das Problem, dass wenn dort der Masterzugang gehackt wurde, die Hacker sich jegliche Schüssel ansehen und benutzen können.
Eigentlich könnte man für alle Dienste das gleiche Passwort nehmen, wenn man denn für jeden Dienst einen unterschiedliche Login-Namen wählt. Nur die Arbeit macht sich leider kaum einer. Dann könnte man auch schneller erkennen, welcher Dienst genau gehackt wurde. So oder so bleibt eine Ein-Faktor-Authenfizierung unsicher, da ich mich quasi nur anhand des Passworts authentifizierte, welches eigentlich geheim bleben sollte. Bei der Anmeldung vertraue ich dem jeweiligen Dienst aber genau das Passwort in Klarext an. Für sicherheitskritische Bereiche ist das so oder so zu unsicher.
 
@ijones: Dann richte bei Lastpass eine mehrfach Authentifizierug ein und da hast deinen Schutz. Gibt ja acht! verschiedene Methoden bei Lastpass. Kannst ja alle acht aktivieren, dann dauert der Login zwar 30 Minuten aber er ist sicher ;).

mfg
 
@Kredar: Was nützt mir der achtstufige Login, wenn jemand die Datenbank klaut und die Daten möglicherweise gar nicht so gut verschlüsselt sind? Also ich weiß meine Daten da doch lieber in eigenen Händen. Ist ja ein größerer Aufwand, ob ich 100.000 Datensätze aus einer Datenbank extrahiere, als wenn ich von 100.000 verschlüsselten Festplatten die verschlüsselte keepass-Datenbank entschlüsseln muss. Für Unternehmenszwecke gibts ja mittlerweile auch brauchbare Intranetlösungen mit entsprechendem Rollen- und Auditsystem.
 
Ich kann nicht verstehen, wer in der heutigen Zeit vor allem Passwörter online speichert. Das ist doch Wahnsinn. Die Bequemlichkeit forderte mal wieder seinen Preis und wenn man ganz sicher sein möchte, sollten alle Passwörter von allen genutzten Diensten geändert werden. Solche Passwort Container oder allgemein Login-Daten sollten, wenn sie den PC verlassen, allerhöchstens auf eine externe Festplatte oder USB Stick.
 
@WindowsNutzer8: Welcher Preis wurde gefordert? Es ist nichts passiert, worüber man sich Sorgen machen müsste. Verschlüsselte Passwort-Container kannst du ruhig öffentlich machen, es würde Jahre dauern die zu knacken. Aber nicht einmal die wurden entwendet, sondern 100000-fach iteriert verschlüsselte Hashes vom Master-PW.
Damit das in irgendeiner Weise für mich bedrohlich wird, müssten die Hacker aus den zig hunderttausend erbeuteten Hashes sich genau meinen raussuchen und diesen anfangen mit einer Rechnerfarm zu bruteforcen (mehrere Hashes gleichzeitig knacken bei 100000x SHA-256 ist utopisch, jedes einzelne Passwort dauert 2-3 Sek. um den Hash zu errechnen, Milliarden Stück müssten sie allerdings durchprobieren). Wenn die das dann tatsächlich machen weil ich ja eine so wichtige Person bin und nach einem Jahr Dauer-Rechenlast fertig damit sind und mein Master-PW im Klartext haben, könnten sie sich damit in mein LP-Account einloggen.
Doch Moment, zwischendurch habe ich das Master-PW längst mal geändert - und schwuppdiwupp war der ganze Aufwand für die Katz.
Mal abgesehen davon, dass mein LP-Account zusätzlich durch 2FA über Google Authenticator und Yubikey gesichert ist. Streng genommen habe ich nicht einmal Grund, jetzt das Master-PW zu ändern.
 
Korrekt, musst das Masterpasswort theroretisch nicht ändern. Mehrstufige Anmeldung sei dank :D. Wer das nicht hat bei acht! verschiedenen Möglichkeiten, auch kombinierbar bei Lastpass, ist selber schuld oder hat sich damit nicht genug befasst seinen Account nicht nur mit einem Masterpasswort zu sichern. Bei Outlook, Google&Co. geht das übrigends auch, ich meine diese Accounts werden auch immer wichtiger (App kauf,usw...), sollten nicht nur mit Masterpasswort gesichert sein. Man kann alles knacken, aber über mehrere Geräte hinweg wird es uninteressant für den jenigen der es knackt (Aufwand und Nutzen)...

mfg
 
Passwörter in einer Cloud abzulegen ist ein Widerspruch in sich.
 
Tja, wer 200-300 Passwörter (bspw. als Einmann-Betrieb und seine Kundenaccounts), oder aus anderen Gründen viele verschiedene Passwörter verwalten muss, ist er/sie besser bedient mit lastpass, als die passwörter auf seinem pc zu verwalten. Pc ist eben leichter zu knacken als Lastpass.

Das ist zumindest meine Meinung.
 
@itprisma: Ich verwalte ~500 Passwoerter bzw Einzelaccounts in einer Keepass Datenbank auf OneDrive. Hab auch angefangen Famile und Freunde auf KeePass umzustellen. Denke eine Reiner "cloudanbieter" ist die schlechtere Wahl
 
Die wollen mir jetzt aber nicht sagen, dass ein Unternehmen welches sich auf das (sichere) speichern von Passwörtern spezialisiert hat die Master-Passwörter (und Sicherheitsfragen) ohne vernünftigen Hash und Salt abspeichert.
WENN da Hash und Salt genutzt wurde sind die "Passwörter",.die da entwendet wurden praktisch nutzlos, da für jedes Salt ein Rainbow Table erstellt werden müsste...

Ich gehe jetzt einfach mal schwer davon aus, dass Lastlogin das so gemacht hat. Damit sind die Passwortcontainer immer noch genauso sicher wie vorher und die Änderung des Master-Passworts ist nur eine reine Sicherheitsmaßnahme.

Das nur mal an die Leute die meinen, wie kann man nur Passwörter online speichern....
Eben genau drum, da arbeitet ein "Spezialist", der sich darum kümmert, das sowohl die Logins sicher sind als auch der eigentliche Container sehr sicher ist.
Ich sehe keine Alternative zu einem Passwort-Manager. Ich habe >200 Passwörter in KeePass, wie sollts man bei der Anzahl sonst starke einzigartige Passwörter nehmen. Auf Papier aufschreiben und jedesmal 20+ Zeichen abtippen? Nein danke...
 
@Draco2007: Natürlich haben sie die Passwörter gehasht, und zwar auf eine Weise bei der es Monate wenn nicht Jahre für eine einzelnes Passwort dauern würde es zu knacken (insgesamt 100000 Iterationen PBKDF2-SHA-256).
Die Aufforderung, das Master-Passwort zu ändern, bringt nur ein Quäntchen zusätzliche Sicherheit für den extrem hypothetischen Fall, dass sich irgendwer die Mühe und Kosten macht, genau dein Passwort mit seiner Rechnerfarm ein Jahr lang zu bruteforcen bis er es hat. Was natürlich überaus wahrscheinlich ist, dass das bei hundert tausenden erbeuteten Daten jemand mit genau deinem Passwort-Hash vorhat. :P
Und investierst du jetzt die eine Minute, dir ein neues sicheres Master-Passwort zu überlegen, steht der Hacker nach 1 Jahr Bruteforcen, tausenden Euros Betriebskosten für die Rechnerfarm vor einer Loginmaske, die "Passwort ungültig" sagt. ;)
 
mich würde auch echt mal ne Liste interessieren, was die Leute so als Mastpasswort benutzen. Die wenigstens sicher ein kryptisches, sondern ein leicht knackbares. Das in Kombi mit einer Cloud Lösung - eh voila.
 
Seine persönlichen Zugangsdaten irgendwo online abzulegen, ist eine gute Idee weil... ?
 
Also bei Lastpass kann man auch mit "Mehrstufigen Anmeldung" einrichten. Dort kann man acht! verschiedene Methoden wählen oder auch kombinieren. Wo gibt es soviele verschiedene Methoden schon? Ich kenne keine andere Firma die soviele verschiedene Methoden anbietet.

Da können Sie ruhig mein Masterpasswort haben, ohne die "Mehrstufige Anmeldung" geht bei denen eh nichts und sie kommen noch nicht mal auf meinen Tresor geschweige denn in meinen Account. Wer sich nur auf das Masterpasswort bei Lastpass verlässt, sollte sich mal die "Mehrstufige Anmeldung" anschauen ;). Zumal eh jede "Bewegung" von einer anderen IP oder nicht vertrauenswürdigen PC/Gerät gleich mit einer E-Mail bestätigt wird. Kam da bisher bei euch per E-Mail nichts, kommt auch nichts mehr...

Mehrstufige Anmeldungen gehen z.b. auch bei Outlook, PayPal, eBay, Battle.net und Google & Co. Einfach dort mal schauen und seinen Account extra Sichern.

Wenn man will kann man jedes Passwort knacken, sei es noch so kompliziert. Man kann es den jenigen nur so schwer wie möglich machen es zu knacken und extra sichern wie mir einer "Mehrstufigen Sicherung". Persönlichste Dinge haben in einem Passwortsafe, sei es Lastpass oder Keypass eh nichts zu suchen...

Und der "innere" Ring bei Lastpass war nicht betroffen, also auch kein Passwortklau in dem Sinn. Das Masterpasswort wurde gehackt bzw. Hashes erbeutet okay, wenn man seinen Account nicht Mehrstufig gesichert hat kein gutes Gefühl gebe ich zu.....

Und eine Cloud okay, aber die ist auch angreifbar siehe iCloud (war es letztes oder dieses Jahr keine Ahnung). Sicher ist nur der eigene Kopf auf dem Hals mit seinen Passwörtern drin, die hoffentlich nicht zu einfach sind ala 123456 oder Password ;).

mfg
 
Der Zugang bei Lastpass lässt sich nicht nur per 2-Faktor-Authentifizierung härten, sondern auch auf bestimmte Länder eingrenzen. Auch das Tor-Netzwerk kann man ausschließen.

Wer seine Passwörter nicht online speichern mag, kann ja nur einen Teil dort speichern: Nehmen wir an das Passwort lautet 123abc123. Online wird nur der Teil 123abc gespeichert und die letzten 3 Ziffern fügt man manuell an. So erbeutete ein Angreifer selbst wenn er an die Daten kommt immer nur ein Teil-Passwort und kann damit nichts anfangen.

Die größte Gefahr des derzeitigen Hacks ist wahrscheinlich, dass man Phishing-Emails bekommt und möglicherweise aus Leichtsinn eine präparierte Webseite besucht. Daher macht es möglicherweise Sinn, die Master E-Mail zu ändern. Kommt dann noch was auf der alten E-Mail Adresse an, weiß man sofort, dass es nicht legitim ist.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles