Wer eine Vielzahl unterschiedlicher Online-Services verwendet und dabei die Sicherheit nicht ganz aus dem Auge lassen will, kommt heutzutage um einen Passwortmanager kaum mehr herum. Am bequemsten sind da sicherlich jene, die den Passwortspeicher automatisch zwischen mehreren Geräten synchronisieren, immerhin will man darauf ja nicht nur am Laptop, sondern auch am Smartphone und vielleicht auch noch anderen Geräten zugreifen können.

Doch all das hat auch eine Schattenseite: Da hierfür die Daten irgendwo zwischengespeichert werden müssen – also auf den Servern des jeweiligen Betreibers –, ergeben sich zusätzliche Angriffspunkte. Dass diese Gefahr nicht nur theoretischer Natur ist, demonstriert nun einer der beliebtesten Dienste in diesem Bereich auf für die Nutzer unerfreuliche Weise.

Zugriff

In einem Blogposting gesteht Lastpass ein, dass ein erstmals im August vermeldeter Hackerangriff auf die eigenen Server viel schlimmer war als bisher angenommen. Konnten die Angreifer doch Zugriff auf die Passwortspeicher der Nutzer nehmen.

Das Unternehmen versucht in diesem Zusammenhang aber zu kalmieren, zentrale Daten wie Login-Name, Passwort sowie Notizen seien dort nämlich verschlüsselt gespeichert, und zwar mit einem Schlüssel, der von der Master-Passphrase der User abgeleitet ist. Dieser ist wiederum mit 256-Bit-AES-Verschlüsselung gut geschützt, was das Ausrechnen der Keys also mathematisch derzeit so gut wie unmöglich mache.

Kritik

Das klingt zunächst beruhigend, ist es aber nur halb. Immerhin hängt der Schutz damit weitgehend an der Qualität des Master-Passworts. So geht denn auch Kryptografie-Experte Matthew Greene davon aus, dass Hacker über Wörterbuchattacken – bei denen einfach eine Vielzahl an Passwörtern in rascher Abfolge ausprobiert werden – den Safe knacken können, wenn das Master-Passwort schwach gewählt ist.

Unverschlüsselte Informationen

Dazu kommt, dass einige Informationen an dieser Stelle ohnehin unverschlüsselt gespeichert waren. Dazu gehört etwa, zu welchen Webseiten die jeweiligen Einträge gehören. Ein Wissen, das als Grundlage für weitere Attacken genutzt werden könnte.

Vor allem aber haben die Hacker auch persönliche Daten aus dem Lastpass-Konto selbst erbeutet, darunter Name, E-Mail, Rechnungsadresse, Telefonnummern und selbst IP-Adressen, von denen aus die Nutzer auf den Service zugegriffen haben. Kreditkartendaten sollen hingegen nicht betroffen sein.

Reaktion

Bei Lastpass betont man, mittlerweile Lehren aus dem Vorfall gezogen zu haben, so seien die betroffenen Server von Grund auf neu aufgebaut und sämtliche Zertifikate ausgetauscht worden. Dass man nun den vollen Umfang erst Monate nach dem Vorfall und noch dazu kurz vor den Feiertagen – wo die öffentliche Aufmerksamkeit für solche Dinge besonders gering ist und Firmen entsprechend gerne unerfreuliche Nachrichten "begraben" – dürfte das Vertrauen in die Firma nicht gerade stärken.

Tausch

Für die Nutzer des Services muss angesichts der unklaren Situation der Rat eigentlich heißen, aus Sicherheitsgründen nicht nur das Master-Passwort, sondern auch alle in Lastpass gespeicherten Passwörter zu wechseln. (apo, 23.12.2022)