Wie der Passwort-Manager LastPass in jüngster Vergangenheit mitteilte, wurden Kennworttresore von Kund:innen gestohlen. Per Brute-Force-Methode wäre es möglich, diese zu knacken.
Anfang Dezember gab LastPass bekannt, dass es eine Datenpanne gab. Das Unternehmen meldete ungewöhnliche Aktivitäten auf einem Cloud-Speicher. Der Vorfall hatte seinen Ursprung in einem Angriff, der im August stattfand und bei dem Quellcode gestohlen wurde.
Vorerst war nicht bekannt, welche Daten tatsächlich entwendet wurden. LastPass gab in einem erneuten Beitrag bekannt, dass die Hacker verschlüsselte Datenbanken mit Passwörtern von Nutzer:innen gestohlen hatten. Dies betrifft sowohl unverschlüsselte URLs als auch verschlüsselte Daten wie Nutzernamen und Passwörtern. Des Weiteren ist zu beachten, dass auch URLs sensible Informationen enthalten können. Aktuell wird davon ausgegangen, dass diese mittels Brute-Force versuchen zu knacken.
Verschlüsselte Daten mit 256 Bit AES-Schlüssel gesichert
Das Unternehmen gewährleistet, dass die verschlüsselten Daten mit einem 256 Bit AES-Schlüssel effektiv vor Fremdzugriffen geschützt sind. Die Angreifer müssten aus dem Masterpasswort von Nutzern den Schlüssel für die Verschlüsselung der Daten ableiten. Das Masterpasswort wird zum Glück ausschließlich auf den Geräten der Nutzer gespeichert.
Masterpasswort
Vorerst sind die Passwörter der Betroffenen sicher, sofern das Masterpasswort stark genug ist. Das Masterpasswort sollte im besten Fall Sonderzeichen enthalten und nirgendwo anders verwendet werden, wie auch bei keinem Datenleck bereits veröffentlicht worden sein. Ob Sie bereits gehackt worden sind, können Sie bei Have I Been Pwned überprüfen.
Wenn das Passwort lange genug ist und Sonderzeichen enthält, würde es viele Jahre dauern, bis die Datenbank durch Brute-Force-Angriffe geknackt werden könnte. Schlechter sieht es aus, wenn es sich um wörterbuchtaugliche Begriffe handelt.
Wer vollkommen sichergehen möchte, sollte die Passwörter, wie auch das Masterpasswort in LastPass ändern.