2268847

Lastpass: Zwei-Faktor-Authentifizierung arbeitete fehlerhaft

24.04.2017 | 15:49 Uhr |

Das Plus an Sicherheit durch die Zwei-Faktor-Authentifizierung sorgte bei Lastpass für ein neues Risiko.

Normalerweise sorgt die Zwei-Faktor-Authentifizierung für mehr Sicherheit, da das Anmelden bei einem Online-Dienst nur mit zwei voneinander unabhängigen Komponenten möglich ist. Ausgerechnet die Entwickler des Passwortmanagers Lastpass haben offenbar bei der Integration dieser Funktion gepatzt.

Der Sicherheitsforscher Martin Vigo kritisiert, dass die Lastpass-Entwickler bei der Einrichtung der Zwei-Faktor-Authentifizierung auf einen QR-Code setzen, der auf Basis des Passwort-Hashes entsteht und diesen als Bestandteil der URL verwendet. Über Cross-Site Request Forgery (CSRF) gelang es dem Forscher, einen gültigen Code für die Zwei-Faktor-Authentifizierung zu erstellen. Sogar eine Deaktivierung der Schutzfunktion ließ sich bewerkstelligen. Die Macher von Lastpass haben bereits reagiert und die Schwachstelle geschlossen. Der QR-Code basiert nun auch nicht mehr auf einem Passwort-Hash. Ein Update der Software ist nicht nötig, die Änderung übernimmt der Server des Unternehmens.

Die besten Passwort-Safes für Android

0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

2268847