In einem Blog-Eintrag hat LastPass eingeräumt, dass der Cloud-Speicher für die Sicherung und Synchronisation von Kennwörter am vergangenen Freitag Opfer eines Hack-Angriffs wurde. Nachdem verdächtige Netzwerkaktivitäten bemerkt wurden, musste das Sicherheitsteam feststellen, dass teilweise ein Zugriff auf Benutzerkonten stattfand. Hierzu zählen der digitale Abdruck des Hauptkennworts, zugehöriger Salt, E-Mail-Adressen sowie Einstellungen bei vergessenem Kennwort. Der verschlüsselte Kennwortspeicher war vom dem Angriff dagegen nicht betroffen.

LastPass hält es für sehr unwahrscheinlich, dass über einen Brute-Force-Angriff auf den Abdruck das Hauptkennwort erraten werden kann. Der digitale Abdruck wurde nämlich mit dem PBKDF2-SHA256-Verfahren sowie einem nutzerspezifischen Salt erstellt, wobei allein auf LastPass-Servern 100.000 Berechnungsrunden pro Abdruck durchgeführt wurden. Lediglich sehr simple Kennwörter wie 12345 könnten dadurch in angemessener Zeit von einigen Tagen erraten werden.

Unabhängig davon hat LastPass die Sicherheitsmaßnahmen verstärkt. Sofern Nutzer keine Zwei-Faktor-Anmeldung verwenden, müssen sie ab sofort per E-Mail die Anmeldung von einem unbekannten Gerät oder einer neuen IP-Adresse zunächst bestätigen. Darüber hinaus sollten Nutzer das Hauptkennwort ändern, wenn dieses bei mehreren Diensten zum Einsatz kommt.

Als plattformübergreifender Online-Schlüsselbund für Kennwörter liegt LastPass im besonderen Fokus von Hackern. Zuletzt meldete das Unternehmen vor ungefähr einem Monat einen derartigen Angriff und zog nach Zusammenarbeit mit Sicherheitsberatern daraus Konsequenzen. So wurden Netzwerkdienste physikalisch getrennt und die Protokollierung von Aktivitäten so ausgelagert, dass eine Manipulation nicht mehr möglich ist. Darüber hinaus wurde die Kennwortsicherung verbessert, wobei aufgrund der daraus entstandenen Systemüberlastungen der Dienst für einige Tage nur eingschränkt erreichbar war.

Weiterführende Links:

• LastPass-Blog
• LastPass im App Store
• LastPass im Mac App Store