Passwortmanager noch sicher?

Lastpass gehackt - Nutzerdaten gestohlen

Der beliebte Passwortmanager Lastpass wurde Opfer eines Hackerangriffs. Wie der Dienst warnt, seien auch sensible Daten entwendet worden. Nutzern wird empfohlen, ihr Masterpasswort zu ändern, um wieder sicher zu sein.

© Lastpass

LastPass Security Notice: Mit dieser E-Mail informiert der Passwortmanager aktuell seine Nutzer über einen Einbruch in seine Systeme.

Der Passwortmanager Lastpass hat es sich zur Aufgabe gemacht, die Sicherheit seiner Nutzer durch die Verwaltung komplexer Passwörter zu erhöhen. Mehrere Millionen Anwender haben Lastpass ihre verschlüsselten Anmeldedaten anvertraut. Doch dieser Datenschatz macht den Cloud-Dienst zu einem lukrativen Ziel für Cyberkriminelle. Bereits 2011, wurde Lastpass Opfer eines Hackerangriffs. Nun meldet das Unternehmen erneut einen Datendiebstahl und ruft alle Nutzer via E-Mail dazu auf, ihr Masterpasswort zu ändern.

Wie Lastpass in einem offiziellen Blog-Eintrag berichtet, habe man am Freitag verdächtige Aktivitäten im eigenen Netzwerk entdeckt und anschließend blockiert. Die Untersuchung des Vorfalls habe ergeben, dass keine verschlüsselten Passwort-Tresore der Kunden entwendet wurden. Jedoch seien Lastpass-Kontodaten kompromittiert worden: E-Mail-Adressen, Passwort-Erinnerungen, Server-Per-User-Salts und Authentifizierungs-Hashes. Da die Authentifizierungs-Hashes zusätzlich von Lastpass mit einer starken Verschlüsselung geschützt wurden, sei man überzeugt, dass die Datendiebe diese nur schwer angreifen könnten. Eine vollständige Sicherheit gibt es aber nicht.

Lesetipp: Passwortmanager im Vergleich

Wer Lastpass nutzt, sollte also schnell handeln. Als Reaktion auf den Hackerangriff fordert Lastpass alle Nutzer dazu auf, ihr Masterpasswort zu ändern. Entsprechende E-Mails werden aktuell an alle Kunden verschickt. Da bei dem Datendiebstahl jedoch auch E-Mail-Adressen entwendet wurden, sollte man besonders aufpassen, keiner Phishing-Mail aufzusitzen, die sich fälschlicherweise als Lastpass-E-Mail ausgibt. Im Zweifelsfall können Sie lastpass.com direkt ansurfen, sich einloggen und ein neues Passwort vergeben.

Lesetipp: Phishing-Mails erkennen

Als zusätzliche Sicherheitsmaßnahme müssen alle Lastpass-Kunden beim Login über ein unbekanntes Gerät oder eine unbekannte IP ihr Konto via E-Mail verifizieren. Ausgenommen hiervon sind Nutzer mit aktivierter Multifactor-Authentifizierung. Diese sichert das Lastpass-Konto mit einem zusätzlichen Sicherheitsschritt ab - etwa einer per App generierten TAN-Nummer, Fingerabdrücken oder einer Smartcard. Gerade der Einsatz einer kostenlosen Mehrfaktor-Lösung wie etwa Google Authenticator bietet sich auch für Privatnutzer an. Die offiziellen Hilfe-Seiten erläutern, wie Sie Lastpass mit Multifactor-Authentifizierung absichern.

Mehr zum Thema

Meldepflicht für Hacker-Attacken

Unternehmen sollen melden, wenn Hacker-Angriffe stattfinden. Das plant EU-Kommissarin Neelie Kroes. Das Vertrauen in die IT soll wachsen, so könnte…
Internet-Sicherheit

Akamai warnt vor der Zeus-Crimeware. Hauptsächliche Angriffsziele sind Fortune-500-Unternehmen und deren Zugangsdaten zu webbasierten Applikationen…
Spideroak

Edward Snowden stuft Dropbox als zu unsicher ein und empfiehlt stattdessen Spideroak. Wir zeigen, was es mit der sicheren Dropbox-Alternative auf sich…
WD My Cloud, MyFritz & Co.

Wir zeigen, wie Sie Cloud-Server im Heimnetzwerk einrichten. Wir erklären Western Digital My Cloud, AVM MyFritz und Synology Quickconnect.
Sicherer Cloud-Server

Eigener Cloud-Server: Wir zeigen, wie Sie OwnCloud auf dem Raspberry Pi inklusive Verschlüssung einrichten.