Digital
Datenschutz

Der populäre Passwortmanager Lastpass hat eine gefährliche Schwachstelle – so verhindert man den GAU

Lastpass-Nutzer sollten gewisse Vorsichtsmassnahmen beachten.
Lastpass-Nutzer sollten gewisse Vorsichtsmassnahmen beachten.
Bild: watson

Der populäre Passwortmanager Lastpass hat eine gefährliche Schwachstelle – so verhindert man den GAU

Nicht auszudenken, welchen Schaden Kriminelle mit dem Master-Passwort anrichten können. Doch genau dieses Worst-Case-Szenario droht laut einem Sicherheitsforscher. Ein Ratgeber.
19.01.2016, 09:5119.01.2016, 14:16
Mehr «Digital»

In Kürze: Das müssen Lastpass-Nutzer tun, um sich vor gefährlichen Phishing-Attacken zu schützen:

  • Angebliche Lastpass-Benachrichtigungen, die im Web-Browser angezeigt werden, ignorieren! Falls man beim Surfen plötzlich aufgefordert wird, das Master-Passwort erneut einzugeben, auf keinen Fall reagieren.
  • Alle Login-Versuche und Fehlversuche automatisch aufzeichnen lassen, um Angriffe zu erkennen («Account History»).

Die Story:

Passwortmanager sind genial – und brandgefährlich. Vor allem, wenn man sich der Risiken nicht bewusst ist.

Das beste Beispiel ist Lastpass.

Am Montag hat das Online-Magazin Motherboard, das zum Medienkonzern «Vice» gehört, auf eine gefährliche Schwachstelle des populären Passwort-Managers hingewiesen. Der Sicherheitsforscher Sean Cassidy hat offenbar einen relativ einfachen Weg gefunden, um an die sensiblen Daten der Lastpass-Nutzer zu gelangen.

Ein Angreifer kann die Opfer auf eine präparierte Website locken und ihnen über eine gefälschte Browser-Meldung vorgaukeln, dass sie nicht mehr bei Lastpass angemeldet seien. In der Folge tippten die Ahnungslosen ihr Master-Passwort ein, um sich erneut anzumelden ...

Lostpass greift an

Wer sich von einem solchen Phishing-Angriff täuschen lässt, übermittelt die Daten natürlich nicht an die Lastpass-Server, sondern an den (kriminellen) Angreifer. Und dieser könnte dank Master-Passwort alle Daten ergaunern und anschliessend auf Raubzug gehen.

Seine Methode, die er Lostpass getauft hat, veröffentlicht Cassidy dieser Tage an einer Sicherheitskonferenz. Nicht ohne schon Monate vorher das Unternehmen diskret vorgewarnt zu haben. Lastpass bestätigte laut Bericht von Motherboard die Sicherheitslücke und veröffentlichte ein Update, das die Kunden bei Angriffsversuchen warnen soll.

Cassidy hält dies aber nicht für ausreichend, weil die präparierte Webseite die Alarmmeldung entdecken und im Browser unterdrücken könnte.

Zwei-Faktor-Authentifizierung biete keinen ausreichenden Schutz

Lastpass legt den sogenannten «Tresor» der Kunden, der hauptsächlich aus Benutzernamen und Passwörtern besteht, verschlüsselt auf eigenen Servern ab. Von dort können die Daten bei Bedarf jederzeit abgerufen werden. Vorausgesetzt, es besteht eine Internetverbindung.

Die Kunden können die kostenlose Lastpass-App oder die Browser-Erweiterung (für Chrome, Firefox und Co.) nutzen, um sich mit dem Smartphone, Tablet oder PC bequem und sicher bei Web-Diensten anzumelden.

Zusätzlichen Schutz verspricht die sogenannte Zwei-Faktor-Authentifizierung, die von Lastpass im letzten Jahr eingeführt wurde. Sie soll gewährleisten, dass die Daten nach einem Diebstahl nicht missbraucht werden können. Doch nun scheint selbst dies infrage gestellt ...

Dank Zwei-Faktor-Authentifizierung (ZFA) konnten sich Lastpass-Nutzer bislang sicher fühlen. Um sich unter fremdem Namen bei einem Online-Dienst anmelden zu können, benötigen die Angreifer zusätzlich auch noch das Mobilgerät des Opfers, um den Authentifizierungs-Code (PIN) zu erhalten. Wie der Sicherheitsforscher Sean Cassidy auf seiner Website schreibt, garantiere dies aber keinen Schutz vor Angriffen. Das Problem: Wenn die ZFA aktiviert ist, wird bei fremden Anmelde-Versuchen keine E-Mail-Bestätigung verschick t...

Lastpass hat kürzlich die Sicherheitsmassnahmen verstärkt und unter anderem eine Notfall-Funktion eingeführt. In der Vergangenheit sind mehrere Hackerangriffe auf die Firmen-Server vom Unternehmen selbst bestätigt worden. Einen erfolgreichen Datenklau im grosse Stil, bei dem mehrere Kunden betroffen waren, gab es bislang nicht.

via Macwelt

Sieben eindrückliche Hacker-Attacken

1 / 10
Sieben eindrückliche Hacker-Attacken
2014 wurden private Fotos – vor allem Nacktbilder – von über 100 Prominenten im Netz veröffentlicht, die von Apples Online-Speicher iCloud gestohlen wurden. Auch Jennifer Lawrence war davon betroffen.
quelle: jordan strauss/invision/ap/invision / jordan strauss
Auf Facebook teilenAuf X teilen
Du hast watson gern?
Sag das doch deinen Freunden!
Mit Whatsapp empfehlen
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
5 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
5
Mit diesem Stromer läutet Audi seine grosse E-Auto-Offensive ein
Audi ist wieder da: Ein neuer Elektro-SUV soll eine grosse Offensive mit weiteren E-Modellen einläuten. Der Q6 E-tron bekommt schnelles Laden, starke Motoren und eine einzigartige Lichttechnik.

Mit mehr als einem Jahr Verspätung bringt Audi einen neuen Elektro-SUV auf den Markt. Der 4,77 Meter lange Q6 E-tron wurde gemeinsam mit Porsche entwickelt und basiert auf der neuen Elektroauto-Plattform «Premium Platform Electric» (PPE).

Zur Story