Spoiler-Alarm: Eines dieser Dinge ist die Suche nach einem neuen Passwort-Manager.
LastPass, einer der weltweit beliebtesten Passwort-Manager, erlitt Ende letzten Jahres einen schwerwiegenden Datenverstoß, der die persönlichen Daten der Benutzer gefährdete und ihre Online-Passwörter und andere vertrauliche Informationen ernsthaft gefährdete.
Im Dezember gab Karim Toubba, CEO von LastPass, in einem Blogbeitrag zu, dass ein Sicherheitsvorfall, den das Unternehmen erstmals im August bekannt gab, schließlich einer „unbefugten Partei“ den Weg ebnete, Kundenkontoinformationen und sensible Tresordaten zu stehlen. Der Datenverstoß war nur der jüngste in einer langen und besorgniserregenden Reihe von Sicherheitsvorfällen im Zusammenhang mit LastPass, die mehr als ein Jahrzehnt zurückreichen .
Es war auch das Besorgniserregendste.
Laut Toubba konnte sich der Unbefugte Zugriff auf unverschlüsselte Kundenkontoinformationen wie LastPass-Benutzernamen, Firmennamen, Rechnungsadressen, E-Mail-Adressen, Telefonnummern und IP-Adressen verschaffen. Derselbe Unbefugte war auch in der Lage, Kunden-Tresordaten zu stehlen, darunter unverschlüsselte Daten wie Website-URLs sowie verschlüsselte Daten wie Benutzernamen und Passwörter für alle Websites, die LastPass-Benutzer in ihren Tresoren gespeichert haben.
Im März schloss LastPass eine „umfassende Untersuchung“ des Verstoßes ab, wie aus einem von Toubba veröffentlichten Blogbeitrag hervorgeht, in dem Kunden darüber informiert wurden, welche Maßnahmen das Unternehmen nach dem Verstoß ergriffen hat. Toubba gelobte, die Dinge für die Kunden in Ordnung zu bringen, und versprach eine effektivere Kommunikation für die Zukunft. Gleichzeitig fügte er hinzu, dass das Unternehmen „seit dem 26. Oktober 2022 keine Aktivitäten von Bedrohungsakteuren mehr gesehen“ habe.
Dennoch sollten Sie als LastPass-Abonnent aufgrund der Schwere dieses Verstoßes nach einem anderen Passwort-Manager suchen, da Ihre Passwörter und persönlichen Daten immer noch dem Risiko ausgesetzt sind, preisgegeben zu werden. Zumindest müssen Sie alle Passwörter, die Sie bei LastPass gespeichert haben, sofort ändern, falls Sie dies noch nicht getan haben.
Was sollten LastPass-Abonnenten tun?
Das Unternehmen machte keine Angaben dazu, wie viele Benutzer betroffen waren, und LastPass reagierte nicht auf die Anfrage von CNET nach einem zusätzlichen Kommentar zu dem Verstoß. Wenn Sie zum Zeitpunkt des Vorfalls jedoch LastPass-Abonnent waren, müssen Sie davon ausgehen, dass Ihre Benutzer- und Tresordaten mit bösen Absichten in die Hände einer unbefugten Partei geraten sind. Obwohl die sensibelsten Daten verschlüsselt sind, besteht das Problem darin, dass der Bedrohungsakteur „Brute-Force“-Angriffe auf diese gestohlenen lokalen Dateien ausführen kann. LastPass schätzt, dass es „Millionen von Jahren“ dauern würde, Ihr Master-Passwort zu erraten – wenn Sie die Best Practices befolgt haben.
Wenn Sie dies nicht getan haben – oder wenn Sie einfach völlig beruhigt sein möchten – müssen Sie einiges an Zeit und Mühe aufwenden, um Ihre individuellen Passwörter zu ändern. Und während Sie das tun, möchten Sie wahrscheinlich auch von LastPass weggehen.
Vor diesem Hintergrund müssen Sie sofort Folgendes tun, wenn Sie zum Zeitpunkt des Verstoßes im letzten Jahr LastPass-Abonnent waren:
1. Finden Sie einen neuen Passwort-Manager . Angesichts der Vergangenheit von LastPass mit Sicherheitsvorfällen und der Schwere dieses jüngsten Verstoßes ist jetzt ein besserer Zeitpunkt denn je, nach einer Alternative zu suchen. Die Liste der besten Passwort-Manager von CNET ist ein guter Ausgangspunkt.
2. Ändern Sie sofort Ihre wichtigsten Passwörter auf Site-Ebene . Dazu gehören Passwörter für alles wie Online-Banking, Finanzunterlagen, interne Firmen-Logins und medizinische Informationen. Stellen Sie sicher, dass diese neuen Passwörter sicher und eindeutig sind.
3. Ändern Sie jedes einzelne Ihrer anderen Online-Passwörter . Auch hier empfiehlt es sich, die Passwörter in der Reihenfolge ihrer Wichtigkeit zu ändern. Beginnen Sie damit, die Passwörter für Konten wie E-Mail- und Social-Media-Profile zu ändern. Anschließend können Sie zu anderen Konten übergehen, die möglicherweise nicht so wichtig sind.
4. Aktivieren Sie nach Möglichkeit die Zwei-Faktor-Authentifizierung . Nachdem Sie Ihre Passwörter geändert haben, stellen Sie sicher, dass Sie 2FA für jedes Online-Konto aktivieren, das dies anbietet. Dies bietet Ihnen einen zusätzlichen Schutz, indem es Sie benachrichtigt und Sie auffordert, jeden Anmeldeversuch zu autorisieren. Das heißt, selbst wenn jemand Ihr neues Passwort erhält, sollte er ohne Ihr sekundäres Authentifizierungsgerät (normalerweise Ihr Telefon) keinen Zugriff auf eine bestimmte Website erhalten.
5. Ändern Sie Ihr Master-Passwort . Auch wenn sich dadurch die Bedrohungsstufe der gestohlenen Tresore nicht ändert, ist es dennoch ratsam, die Bedrohungen durch mögliche zukünftige Angriffe zu mindern – das heißt, wenn Sie sich entscheiden, bei LastPass zu bleiben.
Zu berücksichtigende LastPass-Alternativen
- Bitwarden : Der beste Passwort-Manager von CNETist eine hochsichere und quelloffene LastPass-Alternative. Mit der kostenlosen Stufe von Bitwarden können Sie den Passwort-Manager auf einer unbegrenzten Anzahl von Geräten aller Gerätetypen verwenden. Lesen Sie unseren Bitwarden-Test .
- 1Password : Ein weiterer hervorragender Passwort-Manager, der nahtlos auf allen Plattformen funktioniert. 1Password bietet kein kostenloses Kontingent an, aber Sie können es 14 Tage lang kostenlos testen.
- NordPass : Ein neuerer Passwort-Manager, der von den Leuten hinterNordVPN. Es verfügt über ein ausgezeichnetes kostenloses Kontingent und eine Fülle erstklassiger Premium-Funktionen zu einem budgetfreundlichen Preis. Außerdem ist die Nutzung auf allen Plattformen ein Kinderspiel.
- iCloud-Schlüsselbund : Apples integrierter Passwort-Manager für iOS-, iPadOS- und MacOS-Geräte ist eine hervorragende LastPass-Alternative, die Apple-Benutzern ohne zusätzliche Kosten zur Verfügung steht. Der iCloud-Schlüsselbund ist sicher und einfach einzurichten und auf allen Ihren Apple-Geräten zu verwenden. Es bietet sogar einen Windows-Client mit Unterstützung für Chrome- und Edge-Browser.
Wie ist es dazu gekommen?
Im August 2022 veröffentlichte LastPass einen von Toubba verfassten Blog-Beitrag , in dem es heißt, dass das Unternehmen „festgestellt hat, dass sich eine nicht autorisierte Partei über ein einziges manipuliertes Entwicklerkonto Zugriff auf Teile der LastPass-Entwicklungsumgebung verschafft und Teile des Quellcodes sowie einige proprietäre technische Informationen von LastPass gestohlen hat.“ “
Damals sagte Toubba, dass die Bedrohung eingedämmt worden sei, nachdem LastPass „ein führendes Unternehmen für Cybersicherheit und Forensik engagiert“ und „verstärkte Sicherheitsmaßnahmen“ implementiert habe. Dieser Blog-Beitrag wurde jedoch in den folgenden Monaten mehrmals aktualisiert, da sich das Ausmaß des Verstoßes allmählich ausweitete.
Am 15. September aktualisierte Toubba den Blogbeitrag , um Kunden darüber zu informieren, dass die Untersuchung des Vorfalls durch das Unternehmen abgeschlossen sei.
„Unsere Untersuchung ergab, dass die Aktivität des Bedrohungsakteurs auf einen Zeitraum von vier Tagen im August 2022 begrenzt war. Während dieses Zeitraums erkannte das LastPass-Sicherheitsteam die Aktivität des Bedrohungsakteurs und dämmte dann den Vorfall ein“, sagte Toubba. „Es gibt keine Hinweise auf Aktivitäten von Bedrohungsakteuren über den festgelegten Zeitraum hinaus. Wir können auch bestätigen, dass es keine Hinweise darauf gibt, dass dieser Vorfall Zugriff auf Kundendaten oder verschlüsselte Passwort-Tresore beinhaltete.“
Toubba versicherte den Kunden damals, dass ihre Passwörter und persönlichen Daten in der Obhut von LastPass sicher seien.
Es stellte sich jedoch heraus, dass der Unbefugte letztendlich tatsächlich auf die Kundendaten zugreifen konnte. Am 30. November aktualisierte Toubba den Blogbeitrag noch einmal, um Kunden darauf aufmerksam zu machen, dass das Unternehmen „festgestellt hat, dass eine unbefugte Partei mithilfe der bei dem Vorfall im August 2022 erhaltenen Informationen Zugriff auf bestimmte Elemente der Informationen unserer Kunden erhalten konnte“.
Dann, am 22. Dezember , veröffentlichte Toubba ein ausführliches Update des Blog-Beitrags, in dem er die beunruhigenden Details darüber darlegte, auf welche Kundendaten die Hacker bei der Sicherheitsverletzung genau zugreifen konnten. Zu diesem Zeitpunkt kam schließlich der volle Ernst der Lage ans Licht und die Öffentlichkeit erfuhr, dass die persönlichen Daten von LastPass-Kunden in den Händen eines Bedrohungsakteurs waren und alle ihre Passwörter ernsthaft gefährdet waren, preisgegeben zu werden.
Dennoch versicherte Toubba Kunden, die die Best Practices von LastPass für Passwörter befolgen und die neuesten Standardeinstellungen aktiviert haben, dass derzeit keine weiteren Maßnahmen ihrerseits empfohlen werden, da ihre „sensiblen Tresordaten wie Benutzernamen und Passwörter, sichere Notizen, Anhänge usw.“ Formular-Ausfüllfelder bleiben basierend auf der Zero-Knowledge-Architektur von LastPass sicher verschlüsselt.“
Toubba warnte jedoch, dass diejenigen, die die Standardeinstellungen von LastPass nicht aktiviert haben und die Best Practices des Passwort-Managers nicht befolgen, einem höheren Risiko ausgesetzt sind, dass ihre Master-Passwörter geknackt werden. Toubba schlug vor, dass diese Benutzer darüber nachdenken sollten, die Passwörter der von ihnen gespeicherten Websites zu ändern.
Am 1. März 2023 veröffentlichte Toubba einen neuen Blog-Beitrag, in dem Kunden ausführlich über den aktuellen Stand der Dinge informiert werden , auf welche Daten zugegriffen wurde und welche Schritte LastPass unternommen hat, um seine Sicherheit zu verbessern . LastPass gab in dem Blogbeitrag auch eigene Empfehlungen dazu, was sowohl Geschäftskunden als auch Privatkunden tun sollten, um ihre Daten zu schützen.
Dem Blogbeitrag zufolge hat das Unternehmen seine Untersuchung des Datenverstoßes abgeschlossen und erklärt, seit Oktober keine unbefugten Aktivitäten mehr festgestellt zu haben. Als Reaktion auf den Verstoß hat LastPass außerdem „erhebliche Investitionen in Sicherheit, Datenschutz und betriebliche Best Practices priorisiert und eingeleitet“ und „eine umfassende Überprüfung unserer Sicherheitsrichtlinien durchgeführt und gegebenenfalls Änderungen vorgenommen, um Zugriff und Privilegien einzuschränken“, heißt es in der Mitteilung Blogeintrag.
Was bedeutet das alles für LastPass-Abonnenten?
Der anfängliche Verstoß führte dazu, dass Unbefugte auf vertrauliche Benutzerkontodaten und Tresordaten zugreifen konnten. Das bedeutet, dass LastPass-Abonnenten äußerst besorgt um die Integrität der Daten sein sollten, die sie in ihren Tresoren gespeichert haben, und die Fähigkeit von LastPass, diese aufzubewahren, in Frage stellen sollten Ihre Daten sind sicher – selbst wenn man die neuesten Sicherheitsverbesserungen bedenkt, die das Unternehmen in seinem neuesten Blogbeitrag dargelegt hat.
Wenn Sie ein LastPass-Abonnent sind, kann eine unbefugte Partei Zugriff auf persönliche Daten wie Ihren LastPass-Benutzernamen, Ihre E-Mail-Adresse, Ihre Telefonnummer, Ihren Namen und Ihre Rechnungsadresse haben. Bei dem Verstoß wurden auch die beim Zugriff auf LastPass verwendeten IP-Adressen offengelegt, was bedeutet, dass der Unbefugte auch die Standorte sehen konnte, von denen aus Sie Ihr Konto verwendet haben. Und da LastPass die gespeicherten Website-URLs der Benutzer nicht verschlüsselt, kann der Unbefugte alle Websites sehen, für die Sie Anmeldeinformationen mit dem Passwort-Manager gespeichert haben (auch wenn die Passwörter selbst verschlüsselt sind).
Informationen wie diese geben einem potenziellen Angreifer reichlich Munition, um einen Phishing-Angriff zu starten und über Social Engineering an die Passwörter Ihres Kontos zu gelangen. Und wenn Sie Links zum Zurücksetzen des Passworts gespeichert haben, die möglicherweise noch aktiv sind, kann ein Angreifer problemlos ein neues Passwort für sich selbst erstellen.
Laut LastPass bleiben verschlüsselte Tresordaten wie Benutzernamen und Passwörter, sichere Notizen und gestohlene Formulardaten weiterhin geschützt. Wenn ein Angreifer jedoch zum Zeitpunkt des Verstoßes Ihr Master-Passwort knacken würde, hätte er Zugriff auf alle diese Informationen, einschließlich aller Benutzernamen und Passwörter für Ihre Online-Konten. Wenn Ihr Master-Passwort zum Zeitpunkt des Verstoßes nicht sicher genug war, sind Ihre Passwörter besonders gefährdet, offengelegt zu werden mp3 player.
Wenn Sie jetzt Ihr Master-Passwort ändern, wird das Problem leider nicht gelöst, da die Angreifer bereits über eine Kopie Ihres Tresors verfügen, die mit dem Master-Passwort verschlüsselt wurde, das Sie zum Zeitpunkt des Verstoßes hatten. Das bedeutet, dass die Angreifer im Wesentlichen unbegrenzt Zeit haben, dieses Master-Passwort zu knacken. Deshalb ist die sicherste Vorgehensweise ein Site-by-Site-Passwort-Reset für alle Ihre bei LastPass gespeicherten Konten. Nach einer Änderung auf Site-Ebene würde das bedeuten, dass die Angreifer an Ihre alten, veralteten Passwörter gelangen würden, wenn es ihnen gelänge, die gestohlenen verschlüsselten Tresore zu knacken.
Wenn Sie mehr darüber wissen möchten, wie Sie online sicher bleiben, finden Sie hier Datenschutztipps, die Experten für digitale Sicherheit gerne hätten, und Browsereinstellungen, die Sie ändern sollten , um Ihre Daten besser zu schützen.