Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Kennwort-Datenbank LastPass meldet Hack-Angriff

In einem Blog-Eintrag hat LastPass eingeräumt, dass der Cloud-Speicher für die Sicherung und Synchronisation von Kennwörter am vergangenen Freitag Opfer eines Hack-Angriffs wurde. Nachdem verdächtige Netzwerkaktivitäten bemerkt wurden, musste das Sicherheitsteam feststellen, dass teilweise ein Zugriff auf Benutzerkonten stattfand. Hierzu zählen der digitale Abdruck des Hauptkennworts, zugehöriger Salt, E-Mail-Adressen sowie Einstellungen bei vergessenem Kennwort. Der verschlüsselte Kennwortspeicher war vom dem Angriff dagegen nicht betroffen.

LastPass hält es für sehr unwahrscheinlich, dass über einen Brute-Force-Angriff auf den Abdruck das Hauptkennwort erraten werden kann. Der digitale Abdruck wurde nämlich mit dem PBKDF2-SHA256-Verfahren sowie einem nutzerspezifischen Salt erstellt, wobei allein auf LastPass-Servern 100.000 Berechnungsrunden pro Abdruck durchgeführt wurden. Lediglich sehr simple Kennwörter wie 12345 könnten dadurch in angemessener Zeit von einigen Tagen erraten werden.

Unabhängig davon hat LastPass die Sicherheitsmaßnahmen verstärkt. Sofern Nutzer keine Zwei-Faktor-Anmeldung verwenden, müssen sie ab sofort per E-Mail die Anmeldung von einem unbekannten Gerät oder einer neuen IP-Adresse zunächst bestätigen. Darüber hinaus sollten Nutzer das Hauptkennwort ändern, wenn dieses bei mehreren Diensten zum Einsatz kommt.

Als plattformübergreifender Online-Schlüsselbund für Kennwörter liegt LastPass im besonderen Fokus von Hackern. Zuletzt meldete das Unternehmen vor ungefähr einem Monat einen derartigen Angriff und zog nach Zusammenarbeit mit Sicherheitsberatern daraus Konsequenzen. So wurden Netzwerkdienste physikalisch getrennt und die Protokollierung von Aktivitäten so ausgelagert, dass eine Manipulation nicht mehr möglich ist. Darüber hinaus wurde die Kennwortsicherung verbessert, wobei aufgrund der daraus entstandenen Systemüberlastungen der Dienst für einige Tage nur eingschränkt erreichbar war.

Weiterführende Links:

Kommentare

Rharbarber
Rharbarber16.06.15 17:29
Super, da habe ich zielsicher den richtigen Anbieter ausgewählt...
0
koobcam16.06.15 18:07
Rharbarber
Super, da habe ich zielsicher den richtigen Anbieter ausgewählt...

Wenn du ein starkes Passwort (min. 8 Zeichen und keine Wörter aus einem Wörterbuch) werden die Angreifer dein PW nicht so schnell rausfinden können. Ich, zumindest bin froh, dass LastPass dies kommuniziert. Spricht für das Unternehmen. Angegriffen werden alle Passwortmanagern die online sind, musst halt wie gesagt ein starkes PW haben und am besten Zwei-Faktor-Anmeldung benutzen.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.