Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
LastPass Passwort-Manager

Lastpass-Nutzer sollten gewisse Vorsichtsmassnahmen beachten.
Bild: watson

Der populäre Passwortmanager Lastpass hat eine gefährliche Schwachstelle – so verhindert man den GAU

Nicht auszudenken, welchen Schaden Kriminelle mit dem Master-Passwort anrichten können. Doch genau dieses Worst-Case-Szenario droht laut einem Sicherheitsforscher. Ein Ratgeber.



In Kürze: Das müssen Lastpass-Nutzer tun, um sich vor gefährlichen Phishing-Attacken zu schützen:

Die Story:

Passwortmanager sind genial – und brandgefährlich. Vor allem, wenn man sich der Risiken nicht bewusst ist.

Das beste Beispiel ist Lastpass.

Am Montag hat das Online-Magazin Motherboard, das zum Medienkonzern «Vice» gehört, auf eine gefährliche Schwachstelle des populären Passwort-Managers hingewiesen. Der Sicherheitsforscher Sean Cassidy hat offenbar einen relativ einfachen Weg gefunden, um an die sensiblen Daten der Lastpass-Nutzer zu gelangen.

Ein Angreifer kann die Opfer auf eine präparierte Website locken und ihnen über eine gefälschte Browser-Meldung vorgaukeln, dass sie nicht mehr bei Lastpass angemeldet seien. In der Folge tippten die Ahnungslosen ihr Master-Passwort ein, um sich erneut anzumelden ...

Lostpass greift an

Wer sich von einem solchen Phishing-Angriff täuschen lässt, übermittelt die Daten natürlich nicht an die Lastpass-Server, sondern an den (kriminellen) Angreifer. Und dieser könnte dank Master-Passwort alle Daten ergaunern und anschliessend auf Raubzug gehen.

Seine Methode, die er Lostpass getauft hat, veröffentlicht Cassidy dieser Tage an einer Sicherheitskonferenz. Nicht ohne schon Monate vorher das Unternehmen diskret vorgewarnt zu haben. Lastpass bestätigte laut Bericht von Motherboard die Sicherheitslücke und veröffentlichte ein Update, das die Kunden bei Angriffsversuchen warnen soll.

Cassidy hält dies aber nicht für ausreichend, weil die präparierte Webseite die Alarmmeldung entdecken und im Browser unterdrücken könnte.

Zwei-Faktor-Authentifizierung biete keinen ausreichenden Schutz

Lastpass legt den sogenannten «Tresor» der Kunden, der hauptsächlich aus Benutzernamen und Passwörtern besteht, verschlüsselt auf eigenen Servern ab. Von dort können die Daten bei Bedarf jederzeit abgerufen werden. Vorausgesetzt, es besteht eine Internetverbindung.

Die Kunden können die kostenlose Lastpass-App oder die Browser-Erweiterung (für Chrome, Firefox und Co.) nutzen, um sich mit dem Smartphone, Tablet oder PC bequem und sicher bei Web-Diensten anzumelden.

Zusätzlichen Schutz verspricht die sogenannte Zwei-Faktor-Authentifizierung, die von Lastpass im letzten Jahr eingeführt wurde. Sie soll gewährleisten, dass die Daten nach einem Diebstahl nicht missbraucht werden können. Doch nun scheint selbst dies infrage gestellt ...

Dank Zwei-Faktor-Authentifizierung (ZFA) konnten sich Lastpass-Nutzer bislang sicher fühlen. Um sich unter fremdem Namen bei einem Online-Dienst anmelden zu können, benötigen die Angreifer zusätzlich auch noch das Mobilgerät des Opfers, um den Authentifizierungs-Code (PIN) zu erhalten. Wie der Sicherheitsforscher Sean Cassidy auf seiner Website schreibt, garantiere dies aber keinen Schutz vor Angriffen. Das Problem: Wenn die ZFA aktiviert ist, wird bei fremden Anmelde-Versuchen keine E-Mail-Bestätigung verschick t...

Lastpass hat kürzlich die Sicherheitsmassnahmen verstärkt und unter anderem eine Notfall-Funktion eingeführt. In der Vergangenheit sind mehrere Hackerangriffe auf die Firmen-Server vom Unternehmen selbst bestätigt worden. Einen erfolgreichen Datenklau im grosse Stil, bei dem mehrere Kunden betroffen waren, gab es bislang nicht.

via Macwelt

Hacker-News auf watson

Sieben eindrückliche Hacker-Attacken

Du hast watson gern?
Sag das doch deinen Freunden!
Mit Whatsapp empfehlen

Das könnte dich auch interessieren:

Darum führen selbstfahrende Autos ohne staatliche Lenkung zu mehr Verkehr

Link zum Artikel

16 Bilder, die zeigen, wie die Welt gegen das Coronavirus kämpft

Link zum Artikel

«Bombenstimmung», schwierige Entscheidungen und leise Hoffnung in Mitholz

Link zum Artikel

Gottéron, Zug und ein grosser Abend für… Patrick Fischer

Link zum Artikel

Trevor Noah erzählt, wie er sich auf Roger Federer vorbereitete – es ist köstlich

Link zum Artikel

Musk kam, sah und wurde fast von Ameisen gebodigt – das steckt hinter der Wut auf Tesla

Link zum Artikel

Instagram-Star Morena Diaz hat einen ehemaligen Freund wegen Vergewaltigung angezeigt

Link zum Artikel

Covid-19 zertrümmert den Mythos von der Effizienz des chinesischen Systems

Link zum Artikel

Attentat von Hanau: «Rechtsextreme Influencer radikalisieren die ‹einsamen Wölfe›»

Link zum Artikel

6 Schweizer Mythen im Faktencheck

präsentiert vonMarkenlogo
Link zum Artikel

Das Verkehrsregel-Quiz: Wer hier versagt, muss den Bus nehmen

präsentiert vonMarkenlogo
Link zum Artikel

Waadtländer wird von falscher Geliebter abgezockt – und zwar so richtig

Link zum Artikel

Schweizer Zahnärzte haben ein Hygiene-Problem – und niemand tut etwas dagegen

Link zum Artikel

Bill Gates hat sein erstes Elektroauto gekauft – jetzt rate, was für eins! 🙈

Link zum Artikel

«Der Drogenkonsum war nicht das Schlimmste» – Jasmin über ihr Leben bei süchtigen Eltern

Link zum Artikel

An dieser Monsterschlange mussten Skifahrer anstehen, um auf den Lift zu kommen 😨

Link zum Artikel

«Obwohl ich ihn heiraten will, kriege ich jetzt Panik …»

Link zum Artikel

«Natürlich hatte ich schon mit Piloten Sex»: Eine Swiss-Stewardess erzählt

Link zum Artikel

Du kannst mit dem letzten Penalty alles klar machen … UND DANN SCHIESST DU SO?!

Link zum Artikel

Du willst Polizist werden? Dann musst du zuerst dieses Deutsch-Diktat meistern

Link zum Artikel
Alle Artikel anzeigen

Das könnte dich auch interessieren:

Darum führen selbstfahrende Autos ohne staatliche Lenkung zu mehr Verkehr

67
Link zum Artikel

16 Bilder, die zeigen, wie die Welt gegen das Coronavirus kämpft

13
Link zum Artikel

«Bombenstimmung», schwierige Entscheidungen und leise Hoffnung in Mitholz

8
Link zum Artikel

Gottéron, Zug und ein grosser Abend für… Patrick Fischer

34
Link zum Artikel

Trevor Noah erzählt, wie er sich auf Roger Federer vorbereitete – es ist köstlich

7
Link zum Artikel

Musk kam, sah und wurde fast von Ameisen gebodigt – das steckt hinter der Wut auf Tesla

184
Link zum Artikel

Instagram-Star Morena Diaz hat einen ehemaligen Freund wegen Vergewaltigung angezeigt

257
Link zum Artikel

Covid-19 zertrümmert den Mythos von der Effizienz des chinesischen Systems

101
Link zum Artikel

Attentat von Hanau: «Rechtsextreme Influencer radikalisieren die ‹einsamen Wölfe›»

91
Link zum Artikel

6 Schweizer Mythen im Faktencheck

32
Link zum Artikel

Das Verkehrsregel-Quiz: Wer hier versagt, muss den Bus nehmen

194
Link zum Artikel

Waadtländer wird von falscher Geliebter abgezockt – und zwar so richtig

10
Link zum Artikel

Schweizer Zahnärzte haben ein Hygiene-Problem – und niemand tut etwas dagegen

27
Link zum Artikel

Bill Gates hat sein erstes Elektroauto gekauft – jetzt rate, was für eins! 🙈

84
Link zum Artikel

«Der Drogenkonsum war nicht das Schlimmste» – Jasmin über ihr Leben bei süchtigen Eltern

41
Link zum Artikel

An dieser Monsterschlange mussten Skifahrer anstehen, um auf den Lift zu kommen 😨

115
Link zum Artikel

«Obwohl ich ihn heiraten will, kriege ich jetzt Panik …»

129
Link zum Artikel

«Natürlich hatte ich schon mit Piloten Sex»: Eine Swiss-Stewardess erzählt

223
Link zum Artikel

Du kannst mit dem letzten Penalty alles klar machen … UND DANN SCHIESST DU SO?!

10
Link zum Artikel

Du willst Polizist werden? Dann musst du zuerst dieses Deutsch-Diktat meistern

118
Link zum Artikel

Das könnte dich auch interessieren:

Darum führen selbstfahrende Autos ohne staatliche Lenkung zu mehr Verkehr

67
Link zum Artikel

16 Bilder, die zeigen, wie die Welt gegen das Coronavirus kämpft

13
Link zum Artikel

«Bombenstimmung», schwierige Entscheidungen und leise Hoffnung in Mitholz

8
Link zum Artikel

Gottéron, Zug und ein grosser Abend für… Patrick Fischer

34
Link zum Artikel

Trevor Noah erzählt, wie er sich auf Roger Federer vorbereitete – es ist köstlich

7
Link zum Artikel

Musk kam, sah und wurde fast von Ameisen gebodigt – das steckt hinter der Wut auf Tesla

184
Link zum Artikel

Instagram-Star Morena Diaz hat einen ehemaligen Freund wegen Vergewaltigung angezeigt

257
Link zum Artikel

Covid-19 zertrümmert den Mythos von der Effizienz des chinesischen Systems

101
Link zum Artikel

Attentat von Hanau: «Rechtsextreme Influencer radikalisieren die ‹einsamen Wölfe›»

91
Link zum Artikel

6 Schweizer Mythen im Faktencheck

32
Link zum Artikel

Das Verkehrsregel-Quiz: Wer hier versagt, muss den Bus nehmen

194
Link zum Artikel

Waadtländer wird von falscher Geliebter abgezockt – und zwar so richtig

10
Link zum Artikel

Schweizer Zahnärzte haben ein Hygiene-Problem – und niemand tut etwas dagegen

27
Link zum Artikel

Bill Gates hat sein erstes Elektroauto gekauft – jetzt rate, was für eins! 🙈

84
Link zum Artikel

«Der Drogenkonsum war nicht das Schlimmste» – Jasmin über ihr Leben bei süchtigen Eltern

41
Link zum Artikel

An dieser Monsterschlange mussten Skifahrer anstehen, um auf den Lift zu kommen 😨

115
Link zum Artikel

«Obwohl ich ihn heiraten will, kriege ich jetzt Panik …»

129
Link zum Artikel

«Natürlich hatte ich schon mit Piloten Sex»: Eine Swiss-Stewardess erzählt

223
Link zum Artikel

Du kannst mit dem letzten Penalty alles klar machen … UND DANN SCHIESST DU SO?!

10
Link zum Artikel

Du willst Polizist werden? Dann musst du zuerst dieses Deutsch-Diktat meistern

118
Link zum Artikel

Abonniere unseren Newsletter

5
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
5Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • It's-a-me, Mario 19.01.2016 11:21
    Highlight Highlight Ich erkenne gerade nicht, was daran eine Sicherheitslücke von LastPass sein soll?
    Irgendwelche Benachrichtigungen, welche dem Benutzer bestimmte Daten entlocken wollen, gibt es überall, das heisst aber nicht, dass es dafür eine Sicherheitslücke geben muss.
    Wer halt einfach seine Daten in eine gefälschte Meldung eingibt, ist - klingt jetzt wahrscheinlich böse, ist aber so - einfach selbst schuld.
    Korrigiert mich, falls ich da was falsch verstanden habe ..
    • Madison Pierce 19.01.2016 11:59
      Highlight Highlight Ganz richtig. Phishing geht überall, vom gefälschten Windows-Anmeldebildschirm über das Webmail bis zum Online Banking. Das Problem ist der User.

      LastPass als Passwortmanager sollte sich aber etwas mehr Mühe geben und zum Beispiel zeitabhängige Tokens fürs Login verwenden. Die kann ein Angreifer immer noch verwenden, muss aber schnell sein.

      Die Sache "Sicherheitslücke" zu nennen ist aber auf jeden Fall übertrieben.
  • C0BR4.cH 19.01.2016 10:57
    Highlight Highlight LastPass ist eine WebAnwendung, speichert die Passwörter in ihrer Cloud und ist nicht mal OpenSource? Ohje, da kommt mir ja schon die Gänsehaut.

    Halt etwas umständlicher (da keine WebApp mit Cloud etc.), aber sehr empfehlenswert ist KeePass (http://keepass.info/).
    KeePass ist ausserdem OpenSource.

    Neben dem Masterpasswort, kann hier noch ein Key generiert werden, der vorhanden sein muss, um die KeePass-DB zu öffnen.
  • ⚡ ⚡ ⚡☢❗andre ☢ ⚡⚡ 19.01.2016 10:04
    Highlight Highlight 2FA bietet genau den Schutz, dass jemand der das Masterpasswort hat eben gerade nicht an die Daten kommt. Das man keine Mail benachritigung bekommt, ändert nichts daran. 2FA sollte eigentlich Pflicht sein.
    Wer ein bisschen logisch denkt, dem ist klar: Das Problem ist nicht bei LassPass, sondern dass man die LastPass Desktop Notification (und auch jede andere) nachmachen kann.
    • @schurt3r 19.01.2016 10:30
      Highlight Highlight 2FA von LastPass bietet laut Sicherheitsforscher Cassidy keinen Schutz, weil seine Angriffsmethode (Lostpass) auch nach diesen Eingaben phisht.
      Quelle: https://www.seancassidy.me/lostpass.html

      Good News:
      LastPass hat inzwischen reagiert und verlangt jetzt bei jeder Neu-Anmeldung eine Bestätigung per Mail.

Der grosse Vergleich zeigt: Das sind die günstigsten Kreditkarten für Auslandeinkäufe

Wer im Ausland mit der Kreditkarte einer Smartphone-Bank auf Einkaufstour geht, zahlt unter Umständen deutlich weniger Gebühren als mit der Kreditkarte einer klassischen Bank. Das Sparpotenzial beträgt laut dem Vergleichsportal Moneyland über 500 Franken. Auf eine «klassische» Kreditkarte sollte man auf Reisen jedoch nicht verzichten.

In einer am Mittwoch veröffentlichten Auswertung hat Moneyland die Gebühren für Einkäufe und Bargeldbezüge im Ausland mit Debit- und Kreditkarten verschiedener …

Artikel lesen
Link zum Artikel