Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

LastPass-Hack: Gestohlene Passwort-Datenbanken wohl geknackt

Angesichts der Vielzahl an Zugangsdaten, über welche man heutzutage verfügt, greifen die meisten Computer-Nutzer zu einem Passwortmanager. Viele Anbieter derartiger Apps ermöglichen die Synchronisierung der entsprechenden Datenbanken zwischen Notebooks, Desktops, Smartphones und Tablets mithilfe eines Cloud-Dienstes. Das ist zwar komfortabel, birgt allerdings auch Gefahren, wie im November 2022 der Angriff auf LastPass zeigte (siehe ). Hacker erbeuteten die Kennworttresore von über 25 Millionen Nutzern. Den Angaben des Unternehmens zufolge sind diese durch starke Verschlüsselung geschützt – Teile des digitalen Diebesguts wurden und werden aber offenbar erfolgreich geknackt.


Brute-Force-Attacken auf erbeutete LastPass-Tresore
Entgegen den damaligen Äußerungen von LastPass-CEO Karim Toubba, wonach die Passwörter der Nutzer nicht in Gefahr seien, gelangen den Cyberkriminellen wohl erfolgreiche Brute-Force-Attacken auf die erbeuteten Datenbanken. Das berichtet Brian Krebs in einem Beitrag auf seinem Blog „KrebsonSecurity“. Taylor Monahan von MetaMask, einem Krypto-Wallet für Ethereum, und andere Experten untersuchten dem Sicherheitsforscher zufolge in den vergangenen Monaten eine ganze Reihe von Vorfällen, bei denen über 150 Kunden digitale Guthaben in Höhe von zusammen mehr als 35 Millionen US-Dollar entwendet wurden.

Ethereum-Wallets im Visier der Cyberkriminellen
Alle von Monahan identifizierten Opfer hatten LastPass genutzt, um ihren privaten Schlüssel zu speichern. Die Cyberkriminellen waren daher mit an Sicherheit grenzender Wahrscheinlichkeit in der Lage, die Passwort-Datenbanken zu entschlüsseln und so an die Seed Phrases zu gelangen. Damit lösten sie dann Transaktionen aus und schickten das fremde Geld an eigene Krypto-Wallets. Die genaue Vorgehensweise beschreibt Brian Krebs in seinem Beitrag. LastPass mache es Cyberkriminellen vergleichsweise einfach, die digitalen Tresore zu knacken, zitiert er in seinem Beitrag den Sicherheitsexperten Wladimir Palant. Das Unternehmen halte sich nämlich nicht an einschlägige Empfehlungen im Hinblick auf einen bestimmten Aspekt gängiger Verschlüsselungstechniken. Denkbar sei allerdings auch, dass die bisherigen Opfer zu kurze oder nicht hinreichend komplexe Master-Passwörter für ihre Datenbanken genutzt hätten.

LastPass-Nutzer sollten alle Zugangsdaten ändern
Die LastPass-Hacker werden sich aller Voraussicht nach nicht auf Betrügereien im Zusammenhang mit Krypto-Wallets beschränken, sondern auch andere Ziele ins Visier nehmen. Alle Nutzer des populären Passwortmanagers sollten daher sämtliche Zugangsdaten, welche sie damit verwalten, so schnell wie möglich ändern. Dabei ist darauf zu achten, sichere Kennwörter zu verwenden und diese niemals mehrfach für verschiedene Dienste einzusetzen. LastPass hat sich zu der aktuellen Entwicklung bislang nicht öffentlich geäußert.

Kommentare

darkov
darkov12.09.23 09:39
Und immer wieder LastPass…
+4
jeti
jeti12.09.23 09:41
Passwörter hat man im Kopf und nirgends anders!
-33
FlyingSloth
FlyingSloth12.09.23 09:42
Das ist je schon ein ziemliches Brett!
Fly it like you stole it...
+4
FlyingSloth
FlyingSloth12.09.23 09:45
Was machst Du, wenn Dir was passiert und Deine Hinterbliebenen Deine Zugangsdaten benötigen?
jeti
Passwörter hat man im Kopf und nirgends anders!
Fly it like you stole it...
+11
TheGeneralist
TheGeneralist12.09.23 09:59
jeti
Passwörter hat man im Kopf und nirgends anders!
Ganz schlechte Einstellung - aus meiner Sicht zumindest grob fahrlässig es so zu handhaben.

Selbst wenn man ein extremes Gedächtnis-Genie ist, reicht die Kapazität nicht mal annähernd, um sich für alle relevanten Accounts (bei mir >500) jeweils unterschiedliche und gute Passworte zu merken. Auch wenn ein Passwort-Manager immer einen Angriffsvektor darstellt: aus meiner Sicht ist er immer noch in jedem Falle eine deutlich bessere Lösung als alle gedächtnisbasierten, teilmanuellen und sonstigen Lösungen...

Wirklich besser kann die Situation aus meiner Sicht erst mit Passkeys werden...
+14
athlonet12.09.23 10:11
Erfolgreiches Brute Force deutet aber eher auf schwache Passwörter bei den betroffenen Passwort-Tresoren hin.

Das muss einem schon klar sein, dass ein Passwort-Tresor die persönlichen Kronjuwelen sind, und die sollte man entsprechend mit einem langen und komplexen Passwort schützen.
+7
piik12.09.23 10:49
athlonet
Erfolgreiches Brute Force deutet aber eher auf schwache Passwörter bei den betroffenen Passwort-Tresoren hin.

Das muss einem schon klar sein, dass ein Passwort-Tresor die persönlichen Kronjuwelen sind, und die sollte man entsprechend mit einem langen und komplexen Passwort schützen.
Oder ausreichend schnelle Rechner.
Und wichtiger wäre, keine solche Daten (Tresore) auf fremden Servern abzulegen. Dann können sie auch nicht abgezogen werden.
+4
marcel15112.09.23 11:13
jeti
Passwörter hat man im Kopf und nirgends anders!
So ein Blödinn! Meine Passwörter sind alle kryptisch mit um die 20 Zeichen und für absolut JEDEN Dienst verschieden. Das kann man sich nicht merken. In meinem Fall liegen die in einer KeePass-Datenbank die auf meinem NAS liegt.
+7
dan@mac
dan@mac12.09.23 11:21
Passwörter gehören abgeschafft. Stichwort FIDO
+6
TheGeneralist
TheGeneralist12.09.23 11:24
piik
[...] Und wichtiger wäre, keine solche Daten (Tresore) auf fremden Servern abzulegen. Dann können sie auch nicht abgezogen werden.
Na wenn das so ist, dann ist dein System offenbar das erste und einzige in der Menschheitsgeschichte, das nicht gehackt werden kann. Wäre nett wenn du deine Specs mal postest, ich hätte nämlich auch gerne ein solches unhackbares System

Nee, ist schon klar was du meinst - ist natürlich eine Frage der Wahrscheinlichkeiten und ob sich jemand für dein System tatsächlich in dieser Weise "interessiert", verglichen mit der Wahrscheinlichkeit das Cloud-Speicher angegriffen werden. Aber genau da trügt die vermeintliche Sicherheit des heimatlichen Hafens oft auch - siehe z.B. Nebula 's Argumentation im parallelen Thread zu diesem Thema:
-1
TorstenW12.09.23 12:30
TheGeneralist
Selbst wenn man ein extremes Gedächtnis-Genie ist, reicht die Kapazität nicht mal annähernd, um sich für alle relevanten Accounts (bei mir >500) jeweils unterschiedliche und gute Passworte zu merken.

500????
Was ist denn bei dir alles relevant?
Ich komme vielleicht auf 5...

Ich bin mir nichtmal sicher, dass ich auf 500 Accounts generell insgesamt komme.. und das umfasst dann auch solche Foren wie dieses hier..
-4
frankenstein12.09.23 13:13
TorstenW
500????
Was ist denn bei dir alles relevant?
Ich komme vielleicht auf 5...

Ich bin mir nichtmal sicher, dass ich auf 500 Accounts generell insgesamt komme.. und das umfasst dann auch solche Foren wie dieses hier..

Mal unabhängig davon, wieviele Passworte man tatsächlich braucht: Ein halbwegs sicheres Passwort besteht aus mindestens 16, besser 20+ Zufalls-Zeichen. Davon kann man sich nicht einmal ein einziges merken.
+5
TorstenW12.09.23 13:48
frankenstein
Davon kann man sich nicht einmal ein einziges merken.

Öhm.. ich habe mehrere Passwörter mit 18+ Zeichen mit Zahlen, Buchstaben, Sonderzeichen Kombinationen ohne logischen Sinn.. und .. ich kann die auswendig..?
0
scheubo12.09.23 14:15
TorstenW

Öhm.. ich habe mehrere Passwörter mit 18+ Zeichen mit Zahlen, Buchstaben, Sonderzeichen Kombinationen ohne logischen Sinn.. und .. ich kann die auswendig..?

Hochachtung
0
Sindbad12.09.23 15:22
Kritische Passwörter (z.B. Banking) könnte man auch "nicht funktional" abspeichern.

Wie beim Banking: Die gespeicherte Komponente ist notwendig, reicht aber nicht aus; es braucht noch eine zweite (z.B. eine Tabelle, Wissen, Software, ein 2.Gerät o.ä.).

Seid etwas kreativ:
Man könnte Passwörter in 2 Teilen an verschiedenen Stellen speichern oder
das gespeicherte ist nur die Basis für einen weiteren Schritt oder … oder …
+2
TorstenW12.09.23 15:37
scheubo
Hochachtung
[/quote]

Zerlegen hilft.
Wenn du dir drei Passwörter mit 6 Zeichen merken kannst, kannst du dir auch eins mit 18 merken.
+3
Plebejer
Plebejer12.09.23 16:43
TorstenW
frankenstein
Davon kann man sich nicht einmal ein einziges merken.

Öhm.. ich habe mehrere Passwörter mit 18+ Zeichen mit Zahlen, Buchstaben, Sonderzeichen Kombinationen ohne logischen Sinn.. und .. ich kann die auswendig..?

Es wird der Tag kommen…

Nicht, dass ich es dir wünschen würde.
+1
MacKaltschale12.09.23 17:51
dan@mac
Passwörter gehören abgeschafft. Stichwort FIDO

Da bisher jedes sichere System irgendwann doch nicht mehr sicher war, traue ich dem nicht. Ich erwarte dabei irgendwann in mittelferner Zukunft den SuperGAU.

Kennwörter mit 2FA sind nicht das Problem, die unbelehrbaren Nutzer sind es.
TorstenW
TheGeneralist
Selbst wenn man ein extremes Gedächtnis-Genie ist, reicht die Kapazität nicht mal annähernd, um sich für alle relevanten Accounts (bei mir >500) jeweils unterschiedliche und gute Passworte zu merken.

500????
Was ist denn bei dir alles relevant?
Ich komme vielleicht auf 5...

Ich bin mir nichtmal sicher, dass ich auf 500 Accounts generell insgesamt komme.. und das umfasst dann auch solche Foren wie dieses hier..

Ich habe allein 24 aktive E-Mail-Adressen, da ich für kritische Services einen eigenen Account anlege. Logins habe ich 835. Natürlich alle mit unterschiedlichen Kennwörtern, meistens mit maximal möglicher Kennwortlänge und oft unterschiedlichen E-Mails - allein schon wegen der nervigen Benachrichtigungen oder möglichem Spam.
+4
TorstenW12.09.23 20:29
MacKaltschale
Ich habe allein 24 aktive E-Mail-Adressen, da ich für kritische Services einen eigenen Account anlege. Logins habe ich 835.

Okay..
Ich hielt mich für einen digital native, der deutlich zu viel Zeit am Rechner verbringt.
Jetzt fühle ich mich geheilt.
835 Logins.. wow.. ich kann mir nicht einmal vorstellen in den nächsten 20 Jahren auf so eine Anzahl zu kommen. Ich wüsste auch nicht, woher ich die Zeit nehmen sollte mich mit so vielen Dingen zu beschäftigen.
+2
MacKaltschale12.09.23 22:24
TorstenW
MacKaltschale
Ich habe allein 24 aktive E-Mail-Adressen, da ich für kritische Services einen eigenen Account anlege. Logins habe ich 835.

Okay..
Ich hielt mich für einen digital native, der deutlich zu viel Zeit am Rechner verbringt.
Jetzt fühle ich mich geheilt.
835 Logins.. wow.. ich kann mir nicht einmal vorstellen in den nächsten 20 Jahren auf so eine Anzahl zu kommen. Ich wüsste auch nicht, woher ich die Zeit nehmen sollte mich mit so vielen Dingen zu beschäftigen.

Sorry, mein Fehler. Es sind nur 669 Logins. 132 sind Softwarelizenzen, der Rest WLAN-Zugänge und E-Mail-Accounts. Als Selbständiger beinhaltet das natürlich auch alles für meine Arbeit, also nicht nur Privatzeug.
+3

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.