Der Datenleck-Vorfall, der den Passwort-Manager traf (öffnet in neuem Tab) LastPass hat Anfang dieses Jahres gesehen, wie die Diebe Gauner verschlüsselte Passwort-Tresore von Kunden gestohlen haben, hat das Unternehmen bestätigt.
Der Passwort-Tresor ist der Ort, an dem die Menschen ihre Passwörter aufbewahren. Sollten die Angreifer also einen Weg finden, die Tresore zu entschlüsseln, könnten sie alle dort gespeicherten Passwörter lesen.
In einem (n aktualisieren (öffnet in neuem Tab) Der im LastPass-Blog veröffentlichte CEO Karim Toubba sagte, dass die Angreifer Cloud-Speicherschlüssel verwendet hätten, die einem LastPass-Mitarbeiter gestohlen worden seien, um auf Kundentresordaten zuzugreifen und diese zu exfiltrieren. Die gestohlenen Daten sind eine Kombination aus verschlüsselter Intelligenz – Passworttresore – und unverschlüsselten Informationen – in Tresoren gespeicherte Webadressen, Namen, E-Mail-Adressen, Telefonnummern und in einigen Fällen – Rechnungsinformationen.
Master-Passwort sicher
Die gute Nachricht ist, dass die Passwort-Tresore in einem „proprietären Binärformat“ gespeichert werden, was bedeutet, dass es nahezu unmöglich ist, den Inhalt tatsächlich zu lesen. Dazu bräuchten die Angreifer das Master-Passwort des Kunden, das außer dem Nutzer (hoffentlich) niemand kennt. LastPass behauptet, diese Informationen nicht zu kennen.
„Diese verschlüsselten Felder bleiben mit 256-Bit-AES-Verschlüsselung gesichert und können nur mit einem eindeutigen Verschlüsselungsschlüssel entschlüsselt werden, der mithilfe unserer Zero-Knowledge-Architektur aus dem Master-Passwort jedes Benutzers abgeleitet wird“, sagte Toubba. „Zur Erinnerung: Das Master-Passwort ist LastPass nie bekannt und wird von LastPass weder gespeichert noch verwaltet.“
Dennoch warnte das Unternehmen, dass Cyberkriminelle „versuchen könnten, Brute-Force anzuwenden, um Ihr Master-Passwort zu erraten und die Kopien der Tresordaten, die sie genommen haben, zu entschlüsseln“, was ein Problem sein könnte, wenn die Benutzer schwache und leicht zu erratende Master-Passwörter erstellen.
Für diejenigen, die befürchten, dass ihr Master-Passwort geknackt werden könnte, wäre es das Beste, es jetzt in ein widerstandsfähigeres zu ändern. Wenn Sie Grund zu der Annahme haben, dass der Inhalt Ihres Tresors kompromittiert sein könnte, ist das Ändern der Passwörter die einzige Möglichkeit, um sicher zu bleiben (abgesehen von der Einrichtung einer mehrstufigen Authentifizierung, wann immer möglich).