Der populäre Online-Dienst LastPass ist gehackt worden. Kunden sollten ihr Master-Passwort ändern.
Hacker haben am Freitag den Passwort-Dienst LastPass angegriffen. Das teilte CEO Joe Siegrist am Montag in «Security Notice» auf dem Blog der Firma mit. Das LastPass-Team habe «verdächtige Aktivitäten» bemerkt und blockiert. «In unserer Untersuchung haben wir keinen Beleg dafür gefunden, dass verschlüsselte Nutzerdaten gestohlen wurden oder dass Lastpass-Benutzerkonten abgerufen wurden», notiert Siegrist.
Das Schreiben an die Kunden. screenshot: lastpass
Passwort-Manager sind Dienste, die das Merken von Passwörtern stark vereinfachen: Sie erlauben es Nutzern, ihre Passphrasen innerhalb einer Software oder auf Servern in der Cloud abzulegen – wirklich einprägen muss man sich dann nur noch ein Master-Passwort. Das Speichern sensibler Daten in der Cloud hat aber auch seine Risiken.
Einer Untersuchung des IT-Branchenverbands Bitkom zufolge nutzt immerhin schon ein knappes Viertel aller deutschen Internetnutzer Passwort-Manager und cloudbasierte Passwort-Dienste. Einer der bekanntesten Anbieter ist das nahe Washington, D.C. ansässige Unternehmen LastPass. Wie viele der sieben Millionen Kunden den Dienst von der Schweiz aus nutzen, ist jedoch nicht bekannt.
Nach eigenen Angaben nutzt LastPass eine aufwendige Methode, um die auf seinen Servern hinterlegten Passwörter zu speichern. Dadurch wäre ein Entschlüsseln eventuell gestohlener Passwörter extrem zeitaufwendig. Ausserdem lässt LastPass Login-Versuche von bisher unbekannten Geräten nur nach einer zusätzlichen E-Mail-Authentifizierung des Nutzers zu.
Trotzdem sollten LastPass-Nutzer vorsorglich ihre Hauptpassphrase ändern. Das gilt vor allem dann, wenn Nutzer ein besonders unsicheres Passwort wie beispielsweise «123456» verwenden – oder aber ihr Passwort auch für andere Logins verwenden. Durch den Ansturm der Nutzer sind die LastPass-Server derzeit allerdings überlastet.
Offenbar hat LastPass noch nicht alle Nutzer über den Hack informiert. Im Forum des britischen Technikblogs «The Register» beklagen sich Leser, sie hätten noch keinerlei Nachricht von dem Passwort-Service bekommen und erst durch Medienberichte oder über Facebook davon erfahren.
Einen ähnlichen Vorfall gab es bei LastPass schon einmal im Mai 2011 – damals setzte das Unternehmen nach einem Angriff alle Passwörter zurück.
(abr)