838594

LastPass gehackt? Jetzt Master-Passwort ändern!

06.05.2011 | 10:49 Uhr |

Der Passwort-Dienst LastPass warnt alle Nutzer vor einem möglichen Datendiebstahl. Unsichere Master-Passwörter sollten umgehend durch sichere ersetzt werden.

Millionen von User weltweit nutzen den Dienst LastPass, um ihre Passwörter komfortabel zu verwalten. Umso erschreckender sind nun die Hinweise darauf, dass es Hackern gelungen sein könnte, den Passwort-Dienst LastPass erfolgreich anzugreifen. Immerhin befinden sich auf den Servern von LastPass Millionen von Passwörtern.

Die Betreiber von LastPass hatten Mitte der Woche ungewöhnlich viel Traffic auf ihre Server verzeichnet und daraufhin umgehend die Sicherheitsmaßnahmen erhöht. In einem exklusiven Interview mit PC-WORLD (der US-Schwesterpublikation von PC-WELT) erläutert Lastpass-Chef Joe Siegrist, was tatsächlich passiert ist. Demnach sei es eher unwahrscheinlich, dass es Hackern gelungen sein könnte, einen Zugriff auf die auf den Lastpass-Servern gespeicherten Passwörter der Anwender zu erhalten. Man habe aber auf die ersten Anzeichen eines Hackerangriffs sofort reagiert und habe auch in einem Blog-Eintrag umgehend die User darauf hingewiesen.

Die Untersuchungen haben ergeben, dass Hacker an einige Datensätze von Usern gelangt sein könnten. Diese Datensätze, so Siegrist, enthalten die Lastpass-Usernamen, Passwort-Hashes und die sogenannten "Salt". "Salting" ist eine Technik, mit der der Missbrauch gestohlener Passwörter erschwert werden soll, indem zufällig generierte Schlüssel zu den Passwörtern hinzugefügt werden, ehe die Passwörter gehashed werden.

Die fünf häufigsten Passwort-Fehler

"Aufgrund dessen und der Größe der Daten, glauben wir nicht, dass mehr als einige hundert Datensätze gestohlen worden sein könnten", so Siegrist. Die Mail-Adressen der User, deren Hinweise für das Master-Passwort und die Salt-Daten könnten dazu genutzt werden, um mittels mathematischer Verfahren die Master-Passwörter zu ermitteln.

Anwender, die ein starkes Master-Password gewählt haben, sollten sich nicht um ihre Daten sorgen. Eine kleine Gefahr bestehe aber für alle die User, die kein starkes Master-Passwort ausgewählt hatten. Das Risiko liege in diesen Fällen aber bei eins zu einer Million, wenn man berücksichtigt, wie wenig Daten nur übertragen wurden.

Passwort-Addons für Firefox

Siegrist empfiehlt: "Wenn Sie ein schwaches Master-Passwort ausgewählt hatten, wäre es klug, wenn sie dieses nun durch ein starkes Master-Passwort ersetzen." Außerdem sollten diese Anwender auch darüber nachdenken, die Passwörter für kritische Seiten (Online-Banking, Mail-Dienste) zu ändern.

Anwender, die ein schwaches Master-Passwort ausgewählt hatten, fordert LastPass mittlerweile automatisch dazu auf, ihr Passwort zu ändern.

Um vor künftigen Angriffen sicher zu sein, will LastPass die Einführung stärkerer Authentifizierungsmaßnahmen beschleunigen. Außerdem werden die angegriffenen Server  komplett neu aufgesetzt. Die Nutzer müssen entweder ihre Mail-Adresse neu validieren oder sich über eine IP-Adresse einloggen, die zuvor genutzt wurde, um das Master-Passwort zurückzusetzen.

0 Kommentare zu diesem Artikel
838594