LastPass gehackt

News

Wer besonders sicher im Netz unterwegs sein möchte der verwendet für seinen E-Mail-, Facebook, XING-, LinkedIN-, Amazon oder E-Bay-Account jeweils unterschiedliche Passwörter. Zu diesem Zweck werden gerne Passwortverwaltungen genutzt. Dumm nur wenn Hacker in die Reichweite von Passwortverwaltung gelangen. So geschehen bei dem Online-Passwortverwalter LastPass.

Die Krux mit sicheren Passwörtern

Da „12345“ oder „54321“ keine wirklich sichere Passwortkombination darstellen, sollte auf eine ausreichende Passwortlänge (mindestens 8-10 Zeichen) und eine ausreichende Komplexität (Groß- und Kleinschreibung, Zahlen, Sonderzeichen und keine Wörter) geachtet werden. Falls ein Anbieter die Daten seiner Kunden nicht ausreichend schützt und verschlüsselt, sollte daneben für jeden Account ein anderes Passwort verwendet werden, so dass nicht gleich alle Accounts bei einem Hack kompromittiert werden. Da nicht jeder über ein fotografisches Gedächtnis verfügt, erfreuen sich sog. Passwortverwaltungsprogramme großer Beliebtheit.

Passwortverwaltung

Hierfür legt der Nutzer eine Datenbank an und legt ein ausreichend sicheres Masterpasswort fest, welches einen Zugriff auf die Passwörter aller anderen Accounts ermöglicht. Das Risiko hierbei ist jedoch, dass Hacker gleich eine ganze Datenbank an Passwörtern für unterschiedliche Accounts erhalten, wenn es ihnen gelingt das Masterpasswort mangels ausreichender Komplexität zu knacken oder die Datenbank nicht sicher verschlüsselt ist.

LastPass

Die Firma LastPass, welche solche Passwortdienste online anbietet, wurde nach Angaben des eigenen Blogs Opfer eines Hackerangriffs. Nach Firmenangaben seien E-Mail-Adressen, Passworterinnerungen in diesen E-Mails sowie Authentifizierungshashes etlicher Benutzerkonten von dem Einbruch betroffen. Es gäbe jedoch keine Hinweise darauf, dass auch verschlüsselte Benutzerdaten oder Benutzerkonten betroffen sind. LastPass zeigt sich zwar überzeugt, dass die getroffenen Verschlüsselungsmaßnahmen einem Angriff standhalten, rät seinen Nutzer jedoch dazu ihr Masterpasswort vorsorglich zu ändern.

Fazit

Passwortverwaltungen sind ein hervorragendes Mittel um die Sicherheit zu erhöhen. Die gilt aber nur, wenn auch hier die Spielregeln eingehalten werden. Dazu gehört sowohl ein ausreichend komplexes Masterpasswort zum Schutz vor Brute-Force-Angriffen als auch eine ausreichend sichere Verschlüsslung der Passwortdatenbank (z.B. AES-256) und des Masterpasswortes (z.B. SHA-256).

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Aufbau, Optimierung und Überprüfung der IT-Sicherheit nach anerkannten Standards
  • Vorbereitung auf eine Zertifizierung nach ISO 27001 oder IT-Grundschutz
  • Stellung von externen IT-Sicherheitsbeauftragten

Informieren Sie sich hier über unser Leistungsspektrum: IT-Sicherheit

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.