Nach LastPass-Hack: Angreifer konnten Passwort-Tresore erbeuten
Bereits im August entwendete Teile des Quellcodes, die für einen großangelegten Angriff Anfang Dezember verwendet wurden, werden LastPass jetzt zum Verhängnis. Ging das Unternehmen hinter dem webbasierten Datentresor bisher davon aus, dass kein direkter Passwort-Diebstahl erfolgen konnte, gesteht man nun doch ein, dass Angreifern ein Teil der Kundendaten in die Hände gefallen ist. Dazu gehören unter anderem E-Mail-Adressen, Passwörter, Telefonnummern und gespeicherte URLs.
Infografik: Ein sicheres Passwort wählen
Das Master-Passwort wird lokal auf den Geräten der Nutzer gespeichert und von der "Password-Based Key Derivation Function 2" (PBKDF2) geschützt. Dabei handelt es sich um einen speziellen Algorithmus zur Stärkung des Passworts in Vorbeugung auf sogenannte Brute-Force-Attacken, deren Ziel es ist, Passwörter zu erraten. Dem Unternehmen zufolge sollen sich Nutzer des Passwort-Managers keine großen Sorgen machen.
Statement von LastPass: "Wenn Sie unsere Standardeinstellungen verwenden, würde es Millionen von Jahren dauern, um Ihr Master-Passwort mit einer allgemein erhältlichen Technologie zum Knacken von Passwörtern zu erraten. Ihre sensiblen Daten im Tresor, wie z.B. Benutzernamen und Passwörter, Notizen, Anhänge und Felder zum Ausfüllen von Formularen, bleiben auf der Grundlage der Zero Knowledge-Architektur von LastPass verschlüsselt. Es gibt keine empfohlenen Maßnahmen, die Sie zu diesem Zeitpunkt ergreifen müssen."
Als Reaktion auf den Vorfall vom August und Dezember 2022 hat LastPass eigenen Angaben zufolge die gesamte Entwicklungsumgebung außer Betrieb genommen und eine gesonderte Umgebung gänzlich neu aufgebaut. Zudem sollen die Prozesse und Authentifizierungsmechanismen ersetzt und weiter verbessert worden sein.
Siehe auch:
Download KeePass - Passwort-Sammlungs-Tool Download 1Password: Umfassender Passwort-Manager
Ohne Master-Passwort (angeblich) kein Zugang
Trotz der Misere versichert LastPass, dass sowohl Nutzernamen als auch Passwörter mit einer 256-Bit-AES-Verschlüsselung gesichert sind und somit nur schwer entschlüsselt werden können. Einzig und allein das vom Nutzer festgelegte, mindestens 12-stellige Master-Passwort würde den Angreifern eine Chance geben, auf die Daten zuzugreifen.Das Master-Passwort wird lokal auf den Geräten der Nutzer gespeichert und von der "Password-Based Key Derivation Function 2" (PBKDF2) geschützt. Dabei handelt es sich um einen speziellen Algorithmus zur Stärkung des Passworts in Vorbeugung auf sogenannte Brute-Force-Attacken, deren Ziel es ist, Passwörter zu erraten. Dem Unternehmen zufolge sollen sich Nutzer des Passwort-Managers keine großen Sorgen machen.
Statement von LastPass: "Wenn Sie unsere Standardeinstellungen verwenden, würde es Millionen von Jahren dauern, um Ihr Master-Passwort mit einer allgemein erhältlichen Technologie zum Knacken von Passwörtern zu erraten. Ihre sensiblen Daten im Tresor, wie z.B. Benutzernamen und Passwörter, Notizen, Anhänge und Felder zum Ausfüllen von Formularen, bleiben auf der Grundlage der Zero Knowledge-Architektur von LastPass verschlüsselt. Es gibt keine empfohlenen Maßnahmen, die Sie zu diesem Zeitpunkt ergreifen müssen."
Als Reaktion auf den Vorfall vom August und Dezember 2022 hat LastPass eigenen Angaben zufolge die gesamte Entwicklungsumgebung außer Betrieb genommen und eine gesonderte Umgebung gänzlich neu aufgebaut. Zudem sollen die Prozesse und Authentifizierungsmechanismen ersetzt und weiter verbessert worden sein.
Siehe auch:
- Britische Regierung stuft Passwort-Sharing als illegal und Betrug ein
- Passkeys: Chrome unterstützt Authentifizierung ohne Passwort
- 2FA: Entwickler nutzt Commodore SX-64 als Passwort-Generator
- Heylogin: Mozilla investiert in Passwort-Manager ohne Master-Passwort
- Azure Virtual Desktop: Microsoft startet passwortlose Anmeldung
Download KeePass - Passwort-Sammlungs-Tool Download 1Password: Umfassender Passwort-Manager
Kommentar abgeben
Netiquette beachten!
Neueste Downloads
Video-Empfehlungen
Beliebt im Preisvergleich
- cat swsec_av:
Neue Nachrichten
Beliebte Nachrichten
Videos
Folgt uns auf Twitter
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen