Wer intensiv mit dem Internet arbeitet, kommt um einen Passwortmanager kaum herum. Fast überall muss der Besucher für die Anmeldung Benutzernamen und Passwort angeben. Um Hackern und Datendieben das Leben schwer zu machen, sollte man für jedes Konto und jeden Zugang ein anderes Kennwort wählen und dabei auf eine ausreichende Komplexität achten. Doch niemand kann sich Dutzende Kombinationen zufällig ausgewählter Zeichen merken.
Hier helfen Passwortmanager. Allerdings geraten diese Tools nun stärker ins Visier krimineller Hacker. Denn wenn es ihnen gelingt, auf den Passwort-Safe zuzugreifen, können sie mit der Identität des Kontobesitzers auf seine Kosten Waren bestellen, Abos abschließen und eventuell sogar auf seine Konten zugreifen.
Als daher im August 2022 die Firma Lastpass meldete, dass die Systeme ihres Passwortmanagers erfolgreich angegriffen worden seien, erregte diese Nachricht große Aufmerksamkeit. Denn Lastpass ist eines der führenden Tools in dieser Softwaregattung und gilt aufgrund seiner umfangreichen Funktionalität als eines der besten.
Lastpass-Datenklau: Noch mehr Anwendungen sind betroffen
Lastpass wurde bereits in der Vergangenheit gehackt
Am 22. Dezember 2022 gab Lastpass zum ersten Mal zu, dass der Hacker, der in den vorangegangenen Monaten in die Server eingedrungen war, auch Zugriff auf die Kundendaten hatte.
IDG
Auf der anderen Seite erinnerten sich viele IT-Experten auch daran, dass es Hackern bereits im Jahr 2015 gelungen war, in die Serversysteme der Firma einzudringen. Zwar wurden damals keine Benutzerdaten gestohlen, die Angreifer erbeuteten jedoch unter anderem eine Liste mit Mailadressen der Kunden.
Nach dem erneuten Einbruch in die Serversysteme im vergangenen Jahr hieß es von Lastpass zunächst, die Hacker hätten keinen Zugriff auf Kundendaten gehabt. Diese Aussage musste die Firmenleitung jedoch bereits im September korrigieren: Tatsächlich hatten die Eindringlinge sogar ganze vier Tage lang Zugang zu den Servern der Firma. Allerdings sollen die Sicherheitseinstellungen einen Zugriff auf die Nutzerdaten verhindert haben, außerdem seien die Passwörter ja ohnehin verschlüsselt gespeichert.
Dann, im Dezember 2022, eine weitere Korrektur: Die Angreifer hatten doch Zugriff auf Kundendaten wie Mailadressen, Telefonnummern und Passwörtern gehabt. Allerdings seien diese Daten mit 256 Bit AES sicher verschlüsselt. Nur wer das Masterpasswort eines Anwenders kenne, sei in der Lage, diese Daten im Klartext zu lesen. Dieses Passwort werde aber nur lokal auf den Geräten der Kunden gespeichert – Lastpass selbst kennt es nicht und legt es auch nicht verschlüsselt auf seinen Servern ab.
Ende Februar 2023 veröffentlichte Lastpass dann ein umfangreiches Statement zu den Hintergründen des Angriffs auf seine Server. Dabei gab die Firma zu, dass die Hacker tatsächlich auf die Kennworttresore ihrer Kunden Zugriff hatten. Es gebe jedoch keinen Hinweis darauf, dass die Daten entschlüsselt und genutzt worden seien, die Gefahr sei mittlerweile gebannt. Doch wie konnten sich die Angreifer überhaupt auf die Server von Lastpass Zugriff verschaffen? Und welche Vorsichtsmaßnahmen sollten die Benutzer des Passwortmanagers nun treffen?
Lastpass: So exportieren und schützen Sie Ihre Passwörter
Wie Sie Lastpass jetzt absichern sollten?
Dem kriminellen Hacker, der sich Zugriff auf die Lastpass-Server verschafft hat, ist es offenbar nicht gelungen, an die Passwörter der Benutzer zu gelangen. Dennoch sollten Sie Vorsichtsmaßnahmen treffen, um Ihren Lastpass-Zugang gegen künftige Probleme noch besser zu schützen:
- Definieren Sie in der Browser-Erweiterung über „Konto –› Kontoeinstellungen –› Master-Passwort ändern“ ein neues Zugangskennwort. Achten Sie darauf, dass es mindestens 16 bis 20 Zeichen lang ist und aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen besteht.
- Richten Sie in den „Kontoeinstellungen“ im Register „Multifaktor-Optionen“ eine Zwei-Faktor-Authentisierung ein. Lastpass unterstützt dazu unter anderem Push-Meldungen an Ihr Smartphone, den Google- und den Microsoft-Authenticator oder auch den Yubikey für den USB-Anschluss.
- Setzen Sie den Wert für die „Iterationen“ hoch auf 600.000. Sie finden die Einstellung in den „Kontoeinstellungen“ nach einem Klick auf „Erweiterte Einstellungen anzeigen“.
Wie die Angreifer Zugriff auf die Lastpass-Server bekamen
Nach mehreren, immer wieder korrigierten Statements zu dem Hacker-Angriff auf Lastpass veröffentlichte die Firma Anfang März einen Blog-Beitrag, der alle bekannten Fakten zusammenfasste.
IDG
In einem Statement mit Datum vom 1. März 2023 erläutert der CEO von Lastpass, Karim Toubba, den Ablauf des Einbruchs, den die Firma in den Monaten zuvor analysiert hatte.
Alles begann damit, dass sich eine bis heute unbekannte Person Zugang zum PC eines Software-Entwicklers von Lastpass verschaffte. Damit konnte sie auf eine Entwicklungsumgebung in der Cloud zugreifen und Teile des Sourcecodes von Lastpass, technische Daten und interne, vertrauliche Informationen kopieren.
Da von der Entwicklungsumgebung aus kein Zugriff auf die Kundendaten möglich ist, ergriff Lastpass zusätzliche Sicherheitsmaßnahmen, tauschte die Umgebung aus, änderte die internen Dokumente und betrachtete den Fall dann bald als abgeschlossen.
Doch vermutlich der gleiche Täter startete einen weiteren Angriff. Dieses Mal nutzte er eine Sicherheitslücke in einer Mediensoftware aus, um in den privaten Rechner eines Lastpass-Entwicklers einzudringen und dort einen Keylogger zu installieren. Eine solche Software liest die Tastatureingaben des Benutzers mit und übermittelt sie per Internet an den Server des Hackers.
Sobald er sein Masterpasswort eingetippt hatte, konnten sich die Hacker mit dem Cloudspeicher von Lastpass verbinden und bekamen dort Zugriff auf Backup-Daten. Diese Backups enthielten unter anderem Informationen zur Systemkonfiguration, geheime Details zu Schnittstellen und zur Integration der Software von Drittherstellern sowie verschlüsselte als auch unverschlüsselte Daten von Lastpass-Kunden.
Lastpass erhöhte auch dieses Mal die Sicherheit seiner Systeme und tauschte die internen Dokumente aus.
Das Masterpasswort ist gegen Brute-Force-Attacken geschützt
Lastpass arbeitet mit dem PBKDF2-Verfahren, das die Rechenzeit bei einem Brute-Force-Angriff auf das Masterpasswort erheblich erhöht. Eine erfolgreiche Entschlüsselung in einer (vernünftigen) Zeitspanne ist damit sehr unwahrscheinlich.
IDG
Es stellt sich jetzt natürlich die Frage, ob die Datentresore der Benutzer für den oder die Hacker einsehbar waren. Doch das ist sehr unwahrscheinlich. Denn ohne Masterpasswort kann der Täter nur versuchen, den Zugang zum Tresor über eine Brute-Force-Attacke zu erzwingen, letztlich also durch stures Ausprobieren von Zeichenkombinationen.
Um diesen Vorgang so langwierig wie möglich zu machen, verwendet Lastpass – ebenso wie andere Hersteller von Passwortmanagern – ein kryptografisches Verfahren mit der Bezeichnung Password Based Key Derivation Function (PBKDF2). Es sorgt dafür, dass der Rechenaufwand beim Knacken von Passwörtern deutlich erhöht ist und auch beim Einsatz von Hochleistungs- GPUs der Zeitaufwand bis zu einer erfolgreichen Entschlüsselung des Masterpassworts unverhältnismäßig hoch wird.
Das Sicherheitslevel dieses Verfahrens ist allerdings unter anderem abhängig von der Zahl der Wiederholungen (Iterations). Je höher dieser Wert, desto länger dauert die Entschlüsselung des Masterpassworts. Wie viele Wiederholungen PBKDF2 anfordert, lässt sich in Lastpass vom Benutzer einstellen. In den vergangenen Versionen arbeitete die Software mit einem Wert von 100.100, empfohlen und in den neueren Versionen voreingestellt sind 600.000. Wie Sie den Wert in Lastpass verändern, steht im Kasten oben.
Der zweite wichtige Faktor für die Sicherheit des Masterpassworts ist seine Länge. Lastpass akzeptiert nur Kennwörter mit mindestens zwölf Zeichen, besser sei jedoch eine Länge von 16 bis 20 Zeichen – je länger, desto besser. Das Kennwort sollte mithilfe eines Zufallsalgorithmus angelegt und auf keinen Fall auch für andere Dienste verwendet werden.
Welche Konkurrenten von Lastpass sicherer sind
Der Passwortmanager Keepass kommt aus der Open-Source-Szene und speichert seine Datenbank standardmäßig auf der lokalen Festplatte. Über ein Plug-in lassen sich die Daten jedoch auch über Dropbox synchronisieren.
IDG
Glaubt man der Darstellung von Lastpass, so hat die Firma eigentlich nichts falsch gemacht. Der Einbruch in die Serversysteme war nur möglich, da sich der Hacker Zugriff auf PCs von Lastpass-Mitarbeitern verschaffte, wobei es sich in einem Fall um einen privaten Rechner handelte. Das Gleiche könnte bei jedem anderen Hersteller eines Passwortmanagers auch passieren. Eine Aussage, dass Lastpass grundsätzlich unsicher ist, lässt sich damit nicht belegen.
Es handelt sich eher um ein grundsätzliches Problem von Cloud-basierten Programmen. Ihre Datentresore sind weltweit von jedem Computer mit Internetanschluss aus zu erreichen, und zwar im Prinzip sowohl für befugte wie auch für unbefugte Nutzer. Dadurch vereinfacht sich für die Anwender zwar die Verwaltung und Nutzung ihrer Passwörter über mehrere Rechner hinweg, auf der anderen Seite eröffnen sich auf diese Weise auch Möglichkeiten für kriminelle Hacker.
Das Open-Source-Tool Password Safe überzeugt durch einfache Bedienung und bietet auch eine Backup-Funktion für seine Passwort-Datenbank an.
IDG
Einen Ausweg bieten zum einen Passwortmanager, die ihre Daten ausschließlich lokal auf dem PC des Benutzers speichern und auf die Cloudfunktionalität verzichten. In diese Gruppe gehören die beiden Open-Source-Programme Keepass und Password Safe.
Beide legen auf einem frei wählbaren Laufwerk eine sicher verschlüsselte Kennwort-Datenbank. Damit die Daten bei einem Verlust oder Defekt des Rechners nicht verloren sind, bietet Password Safe eine Backup-Funktion an, die auf Wunsch auch automatisch arbeitet. Keepass kann die Datenbank auf ein anderes Medium exportieren. Mit beiden Tools ist es möglich, die Datenbank auf einem Cloudspeicher wie Dropbox abzulegen. Aus Sicherheitsgründen ist das jedoch nicht zu empfehlen.
Master Password als Alternative zu einem Passwortmanager
Eine originelle Alternative ist das Tool Master Password, das ebenfalls aus der Open-Source-Szene kommt. Es speichert keine Passwörter, sondern berechnet bei jedem Aufruf aus dem eingegebenen Masterpasswort, dem Benutzernamen und der Bezeichnung des Dienstes oder der Website ein einmaliges, langes Passwort. Dieses Passwort wird nicht gespeichert, sondern bei jedem Aufruf des Tools neu generiert.
Außer den Bezeichnungen der Dienste und Websites und optional dem Benutzernamen legt das Tool keine Daten auf der Festplatte ab. Selbst wenn ein Hacker die gespeicherten Daten entschlüsseln könnte, hätte er ohne das Masterpasswort keinen Zugriff auf die Dienste. Master Password ist vor allem auf Mobilgeräten mit Android und iOS verbreitet.
Master Password ist kein Passwortmanager im eigentlichen Sinne, sondern eher ein Passwortschutz. Die Windows-Version ist für wenig Geld im Microsoft Store erhältlich, die Versionen für Android und iOS sind gratis.
IDG
Von den drei genannten Alternativen bietet Keepass den bei Weitem größten Funktionsumfang, außerdem sind für das Programm in der Open-Source-Szene zahlreiche Plug-ins erhältlich.
Passwort Safe bringt nicht ganz so viele Funktionen mit, zeichnet sich allerdings durch eine einfachere Bedienung aus.
Master Password schließlich ist kein Passwortmanager im eigentlichen Sinne und stellt auch nur eine Grundfunktion für den Zugriff auf Onlinedienste zur Verfügung.
Angriff auf Norton Lifelock
Nicht nur der Passwortmanager Lastpass war im vergangenen Jahr Ziel von Hackern, sondern auch die Firma Norton Lifelock. Sie stellt die Software Norton 360 her, in der auch ein Passwortmanager enthalten ist. Die Angreifer probierten bei dem Programm offenbar eine im Internet kursierende Liste mit Benutzernamen und Passwörter durch, die bei einem anderen Sicherheitsvorfall gestohlen worden war.
Solche Angriffe werden als Credential Stuffing bezeichnet. Die Hacker testen dabei, ob Anwender die geleakten Passwörter auch für andere Dienste verwenden. Falls ja, haben sie freien Zugriff auf die mit dem Manager verwalteten Konten und deren Zugriffsdaten.
Der Vorfall zeigt einmal mehr, wie wichtig es ist, für jeden Dienst ein anderes Kennwort zu definieren. Einen zusätzlichen Schutz bietet zudem eine Zwei-Faktor-Authentisierung, die neben dem Passwort noch ein weiteres Sicherheitsmerkmal abfragt.
Autor: Roland Freist
Roland Freist bearbeitet als freier IT-Fachjournalist Themen rund um Windows, Anwendungen, Netzwerke, Security und Internet.