Das bedeutet, dass LastPass-Benutzer ihre Tresore durchsuchen und zusätzliche Schritte unternehmen sollten, um sich zu schützen – einschließlich der Änderung aller ihrer Passwörter.
Beginnen Sie damit, die Zwei-Faktor-Authentifizierung für so viele Ihrer Konten wie möglich zu aktivieren, insbesondere für hochwertige Konten wie Ihre E-Mail-, Finanzdienstleistungs- und häufig genutzten Social-Media-Konten. Selbst wenn Angreifer die Passwörter für die Konten kompromittieren, können sie sich auf diese Weise nicht ohne den Einmalcode oder den Hardware-Authentifizierungsschlüssel anmelden, den Sie als „zweiten Faktor“ hinzugefügt haben. Ändern Sie als Nächstes die Passwörter für all diese sensiblen und hochwertigen Konten. Ändern Sie dann alle verbleibenden Passwörter, die in Ihrem LastPass-Vault gespeichert sind.
Während Sie all dies tun (oder zumindest so viel wie möglich), ist die Zeit reif, auf einen neuen Passwort-Manager umzusteigen. Sie können dem neuen Dienst Konten hinzufügen, wenn Sie sie ändern. WIRED empfiehlt 1Password und den kostenlosen Dienst Bitwarden sowie einige Alternativen. Wir haben LastPass nicht mehr empfohlen, seit das Unternehmen seine kostenlosen Angebote vor ein paar Jahren zurückgefahren hat, da LastPass in der Vergangenheit eine Reihe von Sicherheitsvorfällen erlitten hatte, bevor dieser letzte, schwerste Verstoß überhaupt aufgedeckt wurde.
„Einhundertprozentig, ja, die Leute sollten zu anderen Passwort-Managern wechseln“, sagt ein leitender Sicherheitsingenieur, der darum bat, wegen beruflicher Beziehungen zu Leuten im Sicherheitsteam von LastPass nicht genannt zu werden. „Sie haben das versäumt, was sie bieten sollten – Cloud-basierte sichere Speicherung von Anmeldeinformationen.“
Sicherheitsfachleute betonen allgemein, dass die Situation mit LastPass die Leute nicht davon abhalten sollte, Passwortmanager im Allgemeinen zu verwenden. Und wenn Sie ein treuer LastPass-Benutzer sind, sollten Sie trotzdem Ihr Vault-Passwort ändern, zwei Faktoren für jedes Konto aktivieren, das es anbietet, und alle Passwörter in Ihrem Vault ändern, selbst wenn Sie dabei nicht zu einem anderen Ort migrieren.
„Als jemand mit Erfahrung in der Handhabung und Übermittlung von Meldungen über Datenschutzverletzungen in der EU würde ich sagen, dass die von LastPass gewählte Kommunikationsstrategie das Vertrauen der Benutzer untergraben könnte“, sagt Lukasz Olejnik, ein unabhängiger Datenschutzforscher und -berater. „Das große Problem ist auch das Timing. Warum tun Sie das kurz vor den Feiertagen zum Jahresende, wenn die ersten Ermittlungen schon vor Monaten begonnen haben?“
Als Jeremi Gosney, ein langjähriger Passwortknacker und Senior Principal Engineer des Yahoo-Sicherheitsteams, schrieb diese Woche in einer umfangreichen Reihe von Posts über die Situation: „Früher habe ich LastPass unterstützt. Ich habe es jahrelang empfohlen und öffentlich in den Medien verteidigt … Aber die Dinge ändern sich.“