Passwortmanager: LastPass-Hacker nach sich ziehen Zugriff uff Kennworttresore von Kunden
[ad_1]
Dieser Passwortmanager-Onlinedienst LastPass gesteht ein, dass Unbefugte beim Einbruch in dies Cloudsystem eines Drittanbieters doch Zugriffe uff Kundendaten hatten. Darunter sind unter anderem E-Mail-Nachricht-Adressen und Passwörter. Viele Wissen sollen hinwieder verschlüsselt sein.
Ursprung Monat der Wintersonnenwende 2022 konnten unbekannte Angreifer uff zusammenführen Cloudspeicher mit Wissen von LastPass zupacken. Dazu nach sich ziehen sie mittels Informationen von im August 2022 erbeuteten Quellcode zusammenführen Mitwirkender attackiert und sind so an die Cloud-Zugangsdaten gelangt. Im Monat der Wintersonnenwende hieß es noch, dass die Passwörter von Kunden sicher seien. Wie viele Kunden davon betroffen sind, ist derzeit nicht veröffentlicht.
Wissen kopiert, hinwieder noch geschützt
In einem aktualisierten Statement teilt LastPass nun mit, dass die Angreifer doch Zugriff uff Kundendaten wie E-Mail-Nachricht-Adressen, Telefonnummern und Passwörter hatten. In aus einem Sicherheitskopie kopierten Passworttresoren von Kunden sollen sich etwa unverschlüsselte URLs und verschlüsselte Wissen wie Nutzernamen und Passwörter Ergehen. Man sollte beherzigen, dass beiläufig URLs sensible Informationen enthalten können.
Die Verantwortlichen versichern, dass die verschlüsselten Wissen mit 256 Bit AES effektiv vor Fremdzugriffen geschützt seien. Zum Vorlesung halten dieser verschlüsselten Wissen müssten die Angreifer zusammenführen Schlüssel aus dem Masterpasswort von Nutzern folgern. Dasjenige Masterpasswort wird hinwieder nur lokal uff Geräten von Nutzern gespeichert.
Sicherheitsmaßnahmen
LastPass warnt hinwieder vor dem Kaution von kurzen und leichtgewichtig zu erratenen Masterpasswörtern. Denn dann könnten die Angreifer unter Umständen die Passwörter via Brute-Force-Attacken erraten. Damit solche Attacken so schwergewichtig wie möglich sind, setzt LastPass dies Verfahren Password-Based Derivation Function 2 (PBKDF2) ein.
Darüber werden Passwörter mit einer kryptologischen Hashfunktion und einem Saltwert um weitere zufällig gewählte Zeichenfolgen erweitert. Dasjenige Ganze wird mehrmals uff dies Ergebnis angewendet, sodass eine Rekonstruktion via Brute-Force-Attacken und Rainbow Tables offensichtlich erschwert wird.
Standardmäßig setzt LastPass uff 100.100 PBKDF2-Wiederholungen. Qua Hashfunktion kommt SHA256 zum Kaution. Für jedes solche Zusammensetzung empfiehlt dies Open Web Application Security Project (OWASP) 310.000 Wiederholungen. LastPass-Nutzer können den Zahl in Ihrem Benutzerkonto individuell herrichten.
Sicherheit gewährleistet?
LastPass weist darauf hin, dass dies Knacken von nachher ihren Richtlinien erstellten starken Masterpasswörtern im Zusammenspiel mit dieser Verschlüsselung und PBKDF2 Mio. Jahre dauern würde. Kommen hinwieder schwächere Kennwörter zum Kaution, sollten Kunden solche individuell herrichten. Außerdem sollte man niemals identische Passwörter unter verschiedenen Online-Diensten einsetzen. Ist dies dieser Sachverhalt, könnten Angreifer mit nur einem geknackten Kennwort uff viele Dienste zupacken.
Geschäftskunden, die LastPass Federated Zugang Services einsetzen, sollen sich aufgrund weiterer Absicherungen nicht vor Brute-Force-Attacken fürchten, versichert LastPass. Andernfalls könnte dies Erraten von Passwörtern offensichtlich weniger Versuche einfordern und Geschäftskunden sollten in LastPass gespeicherte Kennwörter ändern.
Um weitere Sicherheitsvorfälle vorzubeugen, gibt LastPass an, seine gesamte IT-Unterbau neu und mit weiteren Sicherheitsmechanismen aufgebaut zu nach sich ziehen.
(des)