16. Juni 2015
Lastpass-Hack: Konsequenzen und Tipps
Passwörter sind aus der digitalen Welt nicht wegzudenken. Sie sind ein wichtiger Schutz für sensible Informationen, die nur berechtigte Personen einsehen sollen. Passwörter sind zugleich der größte Unsicherheitsfaktor im Internet. Denn schlecht gesicherte Passwörter werden massenweise gestohlen und für kriminelle Zwecke genutzt. Ein ähnliches Problem ergibt sich, wenn man ein Passwort für mehrere Accounts benützt.
Leicht zu merken, schwer zu erraten
Die Anforderung an Passwörter ist daher klar: Sie sollten nach dem Prinzip “leicht zu merken, schwer zu erraten” ausgewählt werden. Und für unterschiedliche Logins sollte man stets unterschiedliche Passwörter verwenden. Der zunehmende Anstieg der Rechenleistung von Computern bietet Kriminellen und Hackern immer bessere Möglichkeiten, Passwortkombinationen in Sekundenbruchteilen auszuprobieren. Das hat besonders dann fatale Konsequenzen, wenn man als Benutzer eine Vielzahl an Logins besitzt. Genau dieses Problem sollen Passwortmanager-Tools lösen.
Eines für alle
Ihr Prinzip ist einfach: Sie bieten ein Tool, das wie ein Safe zur sicheren Speicherung von Benutzerlogins und dazugehörenden Passwörtern dient. Mit dieser Hilfe ist es auf einfache Weise möglich, komplexe Passwörter (z.B. “oIh_u3=mb2;wp!xTgvS#”) zu speichern, ohne sie auswendig lernen zu müssen. Der Benutzer selbst benötigt lediglich nur mehr ein einzelnes Passwort – das „Master Passwort“, mit dem dieser Safe aufgesperrt werden kann. Passwortmanager-Systeme können online als Clouddienst, aber auch offline benutzt werden.
Der Fall Lastpass
Dass mit dem Online-Dienst Lastpass einer der größten Anbieter eines solchen Tools selbst zum Opfer eine Hackerattacke (https://blog.lastpass.com/de/2015/06/lastpass-security-notice.html) geworden ist, wirft Fragen auf. Wie sicher sind solche Systeme tatsächlich? Halten sie, was sie versprechen?
Lastpass verweist einerseits darauf, dass keine “Safes” mit den verschlüsselten Passwörtern gestohlen wurden. Andererseits war es den Angreifern jedoch möglich, Details einzelner Benutzeraccounts zu entwenden. Sie umfassen E-Mail-Adresse, Salts (eine zufällig generierte Zahlenfolge zur sicheren Speicherung der Passwörter), Hashwerte zur Authentifizierung und vor allem Passwort-Reminder. Nach den veröffentlichten Informationen speichert Lastpass die Passwörter in einem sicheren Verfahren ab, sodass selbst bei entwendeten Safes eine direkte Entschlüsselung nicht ohne weiteres möglich wäre. Gravierend ist jedoch der Diebstahl von E-Mail-Adresse und Password-Reminder. Ihr Besitz erleichtert zielgerichtete Angriffe (z.B. „spear phishing“ mit persönlichem Phising-Ansatz) auf Personen deutlich.
Wem vertrauen?
Trotz des Lastpass-Einbruchs gilt: Passwortmanager-Tools bieten für Benutzer durchaus Mehrwert. Wichtig ist in diesem Zusammenhang auch, dass Lastpass aktiv Informationen über den Einbruch in die eigene Infrastruktur kommuniziert hat – und seine Kunden auffordert, ihr Master-Passwort zu ändern. Welchem Passwortmanager-Anbieter man mehr vertraut – online oder offline, großer oder kleiner Anbieter – muss man letztlich selbst entscheiden.
- Passwortmanager-Tools bieten bei richtiger Anwendung hohen Schutz und reduzieren negative Konsequenzen der eigenen Bequemlichkeit bei der Passwortwahl. Lassen Sie sich durch den Lastpass-Hack nicht abschrecken. Ändern Sie sofort Ihr Master-Passwort. Entscheiden Sie sich gegebenenfalls für einen anderen Anbieter.
- Tragen Sie sich die Termine für das Ändern des Master-Passworts am besten als wiederholenden Termin im Kalender ein.
- Das Master-Passwort muss wirklich sicher sein: Investieren Sie Zeit und Gehirnschmalz in Ihre Entscheidung.