Passwortmanager noch sicher?
Lastpass gehackt - Nutzerdaten gestohlen
Der beliebte Passwortmanager Lastpass wurde Opfer eines Hackerangriffs. Wie der Dienst warnt, seien auch sensible Daten entwendet worden. Nutzern wird empfohlen, ihr Masterpasswort zu ändern, um wieder sicher zu sein.
Der Passwortmanager Lastpass hat es sich zur Aufgabe gemacht, die Sicherheit seiner Nutzer durch die Verwaltung komplexer Passwörter zu erhöhen. Mehrere Millionen Anwender haben Lastpass ihre verschlüsselten Anmeldedaten anvertraut. Doch dieser Datenschatz macht den Cloud-Dienst zu einem lukrativ...
Der Passwortmanager Lastpass hat es sich zur Aufgabe gemacht, die Sicherheit seiner Nutzer durch die Verwaltung komplexer Passwörter zu erhöhen. Mehrere Millionen Anwender haben Lastpass ihre verschlüsselten Anmeldedaten anvertraut. Doch dieser Datenschatz macht den Cloud-Dienst zu einem lukrativen Ziel für Cyberkriminelle. Bereits 2011, wurde Lastpass Opfer eines Hackerangriffs. Nun meldet das Unternehmen erneut einen Datendiebstahl und ruft alle Nutzer via E-Mail dazu auf, ihr Masterpasswort zu ändern.
Wie Lastpass in einem offiziellen Blog-Eintrag berichtet, habe man am Freitag verdächtige Aktivitäten im eigenen Netzwerk entdeckt und anschließend blockiert. Die Untersuchung des Vorfalls habe ergeben, dass keine verschlüsselten Passwort-Tresore der Kunden entwendet wurden. Jedoch seien Lastpass-Kontodaten kompromittiert worden: E-Mail-Adressen, Passwort-Erinnerungen, Server-Per-User-Salts und Authentifizierungs-Hashes. Da die Authentifizierungs-Hashes zusätzlich von Lastpass mit einer starken Verschlüsselung geschützt wurden, sei man überzeugt, dass die Datendiebe diese nur schwer angreifen könnten. Eine vollständige Sicherheit gibt es aber nicht.
Lesetipp: Passwortmanager im Vergleich
Wer Lastpass nutzt, sollte also schnell handeln. Als Reaktion auf den Hackerangriff fordert Lastpass alle Nutzer dazu auf, ihr Masterpasswort zu ändern. Entsprechende E-Mails werden aktuell an alle Kunden verschickt. Da bei dem Datendiebstahl jedoch auch E-Mail-Adressen entwendet wurden, sollte man besonders aufpassen, keiner Phishing-Mail aufzusitzen, die sich fälschlicherweise als Lastpass-E-Mail ausgibt. Im Zweifelsfall können Sie lastpass.com direkt ansurfen, sich einloggen und ein neues Passwort vergeben.
Lesetipp: Phishing-Mails erkennen
Als zusätzliche Sicherheitsmaßnahme müssen alle Lastpass-Kunden beim Login über ein unbekanntes Gerät oder eine unbekannte IP ihr Konto via E-Mail verifizieren. Ausgenommen hiervon sind Nutzer mit aktivierter Multifactor-Authentifizierung. Diese sichert das Lastpass-Konto mit einem zusätzlichen Sicherheitsschritt ab - etwa einer per App generierten TAN-Nummer, Fingerabdrücken oder einer Smartcard. Gerade der Einsatz einer kostenlosen Mehrfaktor-Lösung wie etwa Google Authenticator bietet sich auch für Privatnutzer an. Die offiziellen Hilfe-Seiten erläutern, wie Sie Lastpass mit Multifactor-Authentifizierung absichern.
