Beliebter Passwort-Manager gehackt: Was Nutzer wissen sollten
Einer der beliebtesten Passwortmanager ist von Hackern attackiert worden. Das ist bisher bekannt.
Berlin – Mit der voranschreitenden Digitalisierung steigt auch die Gefahr von Cyberangriffen. Um ihre Passwörter einfacher verwalten zu können, haben mittlerweile viele Nutzerinnen und Nutzer einen Passwortmanager im Gebrauch. Jetzt scheint einer Hacker-Gruppe ein Coup gelungen zu sein.
Unbefugte sollen sich zuletzt Zugriff auf die Server des beliebten Passwortmanagers LastPass verschafft haben, wie das Technik-Unternehmen am Mittwoch (30. November) bekannt gab.
Sicherheit im Netz: Hacker attackieren Server von Passwortmanager
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt auf seiner Website vor Passwortdiebstahl. „Alle Passwörter können auf einmal gestohlen werden, sollte ein Cyber-Angriff auf einen Passwort-Manager erfolgreich sein“, heißt es vonseiten des BSI.
| Software | LastPass |
|---|---|
| Entwickler | GoTo |
| Erscheinungsjahr | 2008 |
Auf welche Daten die Hacker bei der aktuellen Attacke Zugriff bekommen haben, ist bislang noch unklar. Die Passwörter sollen jedoch durch das Zero-Knowledge-Prinzip trotz des Zugriffs geschützt sein. Bei diesem Prinzip werden keine Informationen des Masterpasswortes an die Server von LastPass versendet. Deshalb könnten die Hacker auch keinen Zugriff auf das Masterpasswort, und somit die restlichen Passwörter, haben. Die Angreifer hätten jedoch „Zugang zu bestimmten Informationen“ der Kunden bekommen, räumt das Unternehmen in einer Stellungnahme ein.
Hacker-Angriff: Zugriff wahrscheinlich durch Daten aus früherer Aktion möglich geworden
Möglich gemacht haben den Angriff offenbar Daten, die bereits im August 2022 in die Hände der Hacker gelangt sind. Nachdem die Unregelmäßigkeiten festgestellt wurden, wendete sich das Unternehmen an die Strafverfolgungsbehörden und leitete eine Untersuchung durch eine Sicherheitsfirma ein, wie heise.de schreibt.
„Wir arbeiten fleißig daran, den Umfang des Vorfalls zu verstehen und festzustellen, auf welche spezifischen Informationen zugegriffen wurde“, heißt es von LastPass.
Technik soll schützen: Ein Zugriff auf Passwörter scheint unwahrscheinlich
Die Daten der Nutzerinnen und Nutzer von LastPass, werden bereits auf den Geräten verschlüsselt, weshalb ein Zugriff auf die Passwörter als unwahrscheinlich angesehen werden kann. Ohne das sogenannte Master-Passwort können Dritte die Dateien nicht entschlüsseln, so das Unternehmen. Das Unternehmen wirbt für seine Dienstleistungen unter anderem mit einer „Transparenten Reaktion auf Vorfälle“.
- Sicherheitsempfehlungen von LastPass für das Masterpasswort:
- Sicherheit durch Masse: Mindestens 12-Zeichen muss das Master-Passwort, welches alle anderen Passwörter schützt, lang sein.
- Sicherheit durch Komplexität: Wer Sonderzeichen, Zahlen und Groß, sowie Kleinbuchstaben mischt, erhält einen höheren Schutz für sein Master-Passwort.
- Phrasen: Das Unternehmen empfiehlt zudem leicht zu merkende Passphrase zu verwenden.
- Persönliche Informationen: Im Master-Passwort sollte gänzlich auf persönliche Informationen wie Geburtsdaten oder Namen verzichtet werden.
„Obwohl der Angreifer auf die Entwicklungsumgebung zugreifen konnte, verhinderten unser Systemdesign und unsere Kontrollen, dass der Angreifer auf Kundendaten oder verschlüsselte Passwort-Tresore zugreifen konnte“, stellt Karim Toubba, CEO von LastPass klar.
Sind meine Passwörter sicher? Wie Nutzer prüfen können, ob ihr Passwort gehackt wurde
Wer auf Nummer sicher gehen will, kann über Webseiten wie haveibeenpwned.com/Passwords oder den HPI-Security-Checker seine Daten überprüfen. Auf den Webseiten sind Datenbanken mit gehackten Passwörtern und anderen Daten hinterlegt.
Über eine Suchfunktion können diese Datenbanken nach den eigenen Zugängen durchsucht werden. Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt die Verwendung dieser Angebote, kann jedoch keine Aussage zu deren Genauigkeit geben. (Lucas Maier)
Nach einer massiven Datenpanne haben Betroffene Aussicht auf bis zu 1000 Euro Schmerzensgeld.