Lastpass schrieb zuletzt viele Negativschlagzeilen. Wir geben einen Überblick über die Probleme, mit denen dieser bekannte Passwort-Manager kämpft und geben eine Einschätzung zu seiner weiteren Verwendung.
Der lange Niedergang von Lastpass
Unabhängig davon, ob Sie den Passwort-Manager bereits nutzen oder über ein Abonnement nachdenken, fragen Sie sich wahrscheinlich, ob die Nutzung nach den jüngsten Hacks noch sicher ist.
Die Antwort lautet nein, aber das liegt nur zum Teil an der letzten Datenpanne. Als Passwortmanager, der alle Ihre Logins speichert – vielleicht auch Benutzernamen und Passwörter für Online-Banking und andere wichtige Dienste – sollte die Software absolut vertrauenswürdig sein. Obwohl Sie bei jedem Online- oder Cloud-basierten Dienst, der behauptet, zu 100 Prozent sicher zu sein, vorsichtig sein sollten, sieht es für ein Unternehmen wie Lastpass wirklich nicht gut aus, wenn es wiederholt zu Sicherheitsproblemen kommt.
In der Vergangenheit wurde Lastpass bei zahlreichen Gelegenheiten ein Vertrauensvorschuss gewährt. Im Jahr 2015 wurde das Unternehmen gehackt, wobei auf die E-Mail-Adressen und Passwort-Erinnerungen der Nutzer zugegriffen wurde. Dann wurde 2017 eine Schwachstelle in der Browsererweiterung gefunden, die zum Stehlen von Passwörtern genutzt werden konnte. Diese Lücke wurde gepatcht, aber 2019 geschah etwas Ähnliches, als das zuletzt verwendete Passwort angreifbar war.
Im August 2022 teilte Last Pass in seinem Blog mit, dass ein für die Entwicklung genutzter Computer kompromittiert worden war, es aber keine Beweise dafür gab, dass auf Kundendaten oder Passwörter zugegriffen worden war. Lastpass erklärte damals, dass keine Maßnahmen erforderlich seien, da das Master-Passwort und die verschlüsselten Tresore (mit den Logins und Passwörtern) weiterhin sicher seien.
Leider erwies sich diese Aussage als zu optimistisch: Nur wenige Monate später nutzten Kriminelle die Informationen, die sie im August erbeutet hatten, um sich erneut bei Lastpass einzuhacken – dieses Mal mit Zugriff auf die E-Mail-Adressen, Telefonnummern und IP-Adressen der Benutzer. Das gelang ihnen, indem sie einen Lastpass-Mitarbeiter täuschten und es schafften, die notwendigen Informationen zu erhalten, um auf einen Cloud-Speicher zuzugreifen, den Lastpass zur Aufbewahrung der Kundendaten und der Passwort-Tresore verwendet. Mehr dazu lesen Sie in diesen beiden Meldungen:
Lastpass: Angreifer haben Zugriff auf Nutzerdaten des Passwort-Managers
Lastpass: Hacker stehlen Passwort-Tresore tausender Kunden
Hier erfahren Sie zudem, wie Sie sich von Lastpass trennen: Lastpass – so exportieren und schützen Sie Ihre Passwörter.
Die Passwörter, Benutzernamen und alle Notizen in diesen Tresoren sind natürlich verschlüsselt, aber nicht alle Daten in den Datensätzen sind so sicher: Lastpass hat bestätigt, dass sie auch unverschlüsselte URLs von Websites enthalten. Hacker müssten Ihr Master-Passwort erraten, um die Informationen in diesen Tresoren zu entschlüsseln. Da sie jedoch Software verwenden können, um diesen Prozess zu beschleunigen (Brute-Force-Angriff), ist es nur eine Frage der Zeit, bis sie es schaffen, einige davon zu knacken. Das könnte vor allem dann gefährlich werden, wenn Sie ein schwächeres Passwort verwendet haben.
Ich bin ein Lastpass-Benutzer. Was soll ich tun?
Wenn Sie ein sicheres und langes Passwort verwenden, sollten Sie keine Probleme haben – sagt Lastpass – denn allgemein verfügbare Software würde “Millionen Jahre“ brauchen, um es zu knacken. “Aufgrund der Hashing- und Verschlüsselungsmethoden, die wir zum Schutz unserer Kunden einsetzen, wäre es äußerst schwierig, Master-Passwörter von Kunden, die unsere Ratschläge für Passwörter befolgen, mit einem Brute-Force-Angriff zu erraten. Wir testen routinemäßig die neuesten Technologien zum Knacken von Passwörtern mit unseren Algorithmen, um mit unseren kryptografischen Kontrollen Schritt zu halten und sie zu verbessern. Der Bedrohungsakteur kann Kunden auch mit Phishing-Angriffen, Credential Stuffing oder anderen Brute-Force-Angriffen auf Online-Konten, die mit Ihrem Last-Pass-Tresor verbunden sind, angreifen.
Um sich vor Social Engineering- oder Phishing-Angriffen zu schützen, ist es wichtig zu wissen, dass Lastpass Sie niemals anrufen, eine E-Mail schreiben oder eine SMS schicken wird und Sie nie auffordert, auf einen Link zu klicken, um Ihre persönlichen Daten zu verifizieren. Außer bei der Anmeldung in Ihrem Tresor von einem Lastpass-Client aus wird Lastpass Sie niemals nach Ihrem Master-Passwort fragen,“ erklärt das Unternehmen.
Das Problem: Wenn die Hacker bereits eine Kopie Ihres Tresors haben, die mit Ihrem alten Passwort verschlüsselt ist, macht das Ändern des Master-Passworts keinen Unterschied mehr. Diese Änderung würde nur die Verschlüsselung der Version ändert, die Lastpass speichert, nicht jedoch die Kopie, in deren Besitz die Hacker sind. Das bedeutet, dass Ihre einzige Möglichkeit darin besteht, die Kennwörter für die Konten im Tresor zu ändern. So können die Hacker, falls es ihnen jemals gelingt, Ihren Tresor zu entschlüsseln, die erhaltenen Kennwörter nicht mehr verwenden.
Das ist sehr mühsam und zeitaufwändig. Es lohnt sich aber natürlich, dies für alle Bankkonten oder andere Finanz-Accounts zu tun. Das gilt auch für Konten bei Online-Shops, die Ihre Zahlungsdaten speichern, wie z. B. Amazon – und vergessen Sie nicht PayPal und ähnliche Anbieter.
Soll ich Lastpass trotzdem verwenden?
Nein. Wir können Ihnen einfach nicht empfehlen, Lastpass weiterzuverwenden. Die Sicherheitsverstöße und Schwachstellen waren schon schlimm genug, aber die Tatsache, dass es den Hackern nun gelungen ist, verschlüsselte Passwort-Tresore in die Hände zu bekommen, ist der Tropfen, der das Fass zum Überlaufen gebracht hat.
Hinzu kommt die Tatsache, dass der Code von Lastpass “Closed Source“ ist. Im Gegensatz zu Open-Source-Software bedeutet dies, dass niemand außerhalb von Lastpass den verwendeten Code auf etwaige Schwachstellen überprüfen kann. Es gibt alternative Open-Source-Passwortmanager, darunter Bitwarden und KeePass, die Sie verwenden können. Sie sollten also als Lastpass-Kunde nicht nur die Passwörter zu allen Finanz-Diensten ändern, sondern auch einen anderen Passwortmanager finden und Ihre Passwörter dorthin migrieren. In unserem Test stellen wir die besten Passwort-Manager und Lastpass-Alternativen ausführlich vor. Hier lesen Sie zudem, wie Sie Ihre Daten aus Lastpass retten: Lastpass – so exportieren und schützen Sie Ihre Passwörter.
Die meisten Passwort-Manager arbeiten wie Lastpass und speichern Ihren Passwort-Tresor in der Cloud. Sie tun dies, um die Synchronisierung der Logins zwischen all Ihren Geräten zu erleichtern, aber einige bieten auch eine “selbst gehostete“ Option an, bei der Sie Ihren Tresor lokal auf Ihrem Gerät speichern können. Das ist aus Sicherheitsgründen besser, bedeutet aber auch, dass es nicht so einfach ist, neue Logins und Passwortänderungen auf allen verwendeten Geräten zu synchronisieren. Sicherheit und Bequemlichkeit gehen eben selten Hand in Hand.