Karim Toubba, CEO von LastPass, hat bekannt gegeben, dass das Kennwortverwaltungsunternehmen zuletzt eine Sicherheitsverletzung erlitten hat Monat, mit Angreifern, die sich mit unverschlüsselten Kundenkontodaten und Kundentresoren mit verschlüsselten Benutzernamen und Passwörtern davonmachen.
Dies könnte für LastPass ein Albtraum werden, aber die meisten Benutzer sollten keinem nennenswerten Risiko ausgesetzt sein weil die Zero-Knowledge-Sicherheitsarchitektur des Unternehmens verhindert, dass es auf das Master-Passwort eines Benutzers zugreifen oder es kennen kann – das Gestohlene Daten enthalten keine Master-Passwörter. Diese Sicherheitsmaßnahme sollte die Angreifer daran hindern, die gestohlenen Benutzernamen und Passwörter zu entschlüsseln.
LastPass hat den Verstoß transparent gemeldet und diese Woche mit weiteren Details nachgereicht. Obwohl die lokale Produktionsumgebung von LastPass nicht verletzt wurde, konnte der Angreifer Informationen nutzen, die bei einer früheren Verletzung des Kontos eines Entwicklers im August 2022 erfasst wurden, um das Konto eines anderen Mitarbeiters anzugreifen und Daten aus dem Cloud-basierten Speicher zu stehlen, den LastPass für die Sicherung verwendete.
Dieser Vorfall zeigt Schwachstellen im Sicherheitsansatz von LastPass auf. Zu den gestohlenen Daten gehörten unverschlüsselte Kundenkontoinformationen (Namen, Adressen und Telefonnummern, aber keine Kreditkartendaten) und verschlüsselte Kundentresordaten. LastPass sichert Benutzernamen, Passwörter, sichere Notizen und Formulardaten mit 256-Bit-AES-Verschlüsselung und sie können nur mit einem eindeutigen Verschlüsselungsschlüssel entschlüsselt werden, der aus dem Master-Passwort jedes Benutzers abgeleitet wird. Innerhalb von Benutzer-Tresoren wurden jedoch Website-URLs, die mit Passworteingaben verknüpft sind, nicht verschlüsselt.
LastPass verlässt sich vollständig auf dieses vom Benutzer ausgewählte Master-Passwort, um verschlüsselte Daten zu sichern. Obwohl das Unternehmen die Mindestanforderungen für das Festlegen von Passwörtern verschärft hat, können Benutzer Master-Passwörter festlegen, die schwach genug sind, um anfällig für Cracking-Versuche zu sein. iCloud-Schlüsselbund von Apple, Cloud-basierter Speicher von 1Password und einige andere Lösungen mischen gerätebasierte Schlüssel mit Master-Passwörtern oder Kontoanmeldungen für weitaus größeren Widerstand – ein Angreifer muss ein Gerät erlangen und entsperren zusätzlich zur Kompromittierung eines Tresor-oder Kontopassworts.
Welche Maßnahmen sollten LastPass-Benutzer ergreifen?
Solange Sie Ihr LastPass-Master-Passwort nur bei LastPass verwendet und die Standardeinstellungen des Unternehmens beibehalten haben, LastPass empfiehlt derzeit keine Maßnahmen. (Die Standardeinstellungen erfordern Master-Passwörter mit mindestens 12 Zeichen und geben eine hohe Anzahl von Iterationen in einem Passwortverstärkungsalgorithmus an.)
Eine Brute-Force-Entschlüsselung Ihres Master-Passworts könnte erfolgreich sein, wenn Sie es wiederverwenden Stellen Sie auf einer anderen kompromittierten Website eine mit weniger als 12 Zeichen ein (tun Sie das niemals!) oder verringern Sie die Standardeinstellungen für die Passwortverstärkung. Wenn einer davon zutrifft, ändern Sie sofort Ihr Master-Passwort und aktivieren Sie die Multifaktor-Authentifizierung. (Verwenden Sie die LastPass Authenticator-App: Klicken Sie für Anweisungen im LastPass-Supportportal auf Funktionen & Tools und dann auf Multifaktor-Authentifizierung.)
Da die Tresore gestohlen wurden, können Sie nichts tun, um die Integrität dieser Daten zu schützen, die sich bereits in den Händen der Diebe befinden. LastPass empfiehlt Personen, bei denen das Risiko besteht, dass ihr Master-Passwort geknackt wird, in Erwägung zu ziehen, Passwörter auf gespeicherten Websites zu ändern. Beginnen Sie mit den wichtigsten Konten, die verwendet werden könnten, um sich als Sie auszugeben, wie E-Mail, Mobiltelefon und soziale Medien, sowie mit solchen, die Finanzdaten enthalten. Wenn Sie sich Sorgen machen, ändern Sie Passwörter umfassender. (Normalerweise müssen Sie einzigartige, starke Passwörter nie ändern, aber hier wurden Ihre Kerngeheimnisse gestohlen, selbst wenn sie verschlüsselt bleiben.)
Diejenigen mit schwachen Master-Passwörtern sollten sie auch ändern und die Multifaktor-Authentifizierung für ihre aktivieren LastPass-Konten. Auch wenn das Pferd aus dem Stall ist, können Sie ein neues Pferd bekommen und die Tür dahinter sichern: Mögliche zukünftige Einbrüche werden Sie weniger treffen, wenn Sie die in Ihrem Tresor gespeicherten Passwörter aktualisiert und mit einem neuen starken gesichert haben , eindeutiges Passwort.
Unabhängig von der Stärke ihrer Master-Passwörter müssen LastPass-Benutzer jetzt besonders auf weitere Phishing-Angriffe achten. Da LastPass-Vault-Backups Website-URLs nicht verschlüsselt haben, können Phisher sie mit einer E-Mail-Adresse kombinieren, die mit Ihren unverschlüsselten Kontoinformationen verknüpft ist.
Wenn Sie sich überhaupt nicht sicher sind, dass eine E-Mail oder Textnachricht auf eine Anmeldeseite verweist nicht legitim ist, navigieren Sie direkt in Ihrem Browser zur Website und melden Sie sich über Links auf der Website an. Vertrauen Sie nicht der URL-Vorschau – es ist zu einfach, Domainnamen auf eine Weise zu fälschen, die fast unmöglich zu identifizieren ist. Achten Sie besonders auf Kreditkartenwarnungen und Paketverfolgungswarnungen – beides sind in den besten Zeiten gute Pfade für Phisher und täuschen Benutzer während der Weihnachtszeit noch eher.
Fragen und Bedenken
Offensichtlich hat LastPass hier Fehler gemacht, aber zumindest macht das Unternehmen transparent, was passiert ist. Es scheint nicht so, als wäre LastPass in Sachen Sicherheit unbekümmert gewesen – das klingt nach einem ausgeklügelten, mehrgleisigen Angriff, dessen Durchführung Monate gedauert hat. Es ist eine lohnende Lektion für alle Unternehmen, zu erkennen, dass gezielte Angriffe auf einen Mitarbeiter und dann auf einen anderen letztendlich die Verletzung riesiger Datenmengen ermöglichten. Dennoch wirft das Ergebnis Fragen und Bedenken auf.
Sollten LastPass-Benutzer den Wechsel zu einer anderen Passwortverwaltungslösung in Erwägung ziehen?
Das Hauptargument, das ich für einen Wechsel anführen könnte, ist, dass die Angreifer die gestohlenen Informationen weiterhin ausnutzen könnten, um die Systeme von LastPass erneut zu kompromittieren. LastPass härtete sein System als Reaktion auf den Angriff auf das Konto eines Entwicklers im August, aber das reichte nicht aus, um den Angriff auf den zweiten Mitarbeiter im November zu verhindern.
Umgekehrt, soweit wir wissen, die Zero-Knowledge-Architektur von LastPass bleibt sicher. Wenn Sie also mit der Stärke Ihres Master-Passworts vertraut sind und der Gesamtarchitektur von LastPass vertrauen, sollten Sie in der Lage sein, es ohne zusätzliche Sorgen weiter zu verwenden.
Als jemand, der LastPass für verwendet hat Viele Jahre als meine primäre Lösung – Tonya verwendet 1Password, und wir teilen dort auch einen Familientresor mit Tristan –, habe ich nicht vor, allein aufgrund dieses Verstoßes von LastPass abzuweichen. Ich hatte jedoch ein paar andere Irritationen mit LastPass – die passwortfreie Authentifizierung schlägt auf der Apple Watch fehl und ihre Chrome-Erweiterung wird häufig beschädigt (siehe „Chrome Extensions Disappearing? Click Repair“, 24. August 2021) – so dass die Verletzung möglicherweise weitergeht mich zu einer anderen Lösung, wahrscheinlich 1Password.
Ist dieser Verstoß eine Anklage gegen das gesamte Konzept von Cloud-basierten Passwortverwaltungsdiensten?
Während einige zweifellos ja sagen würden und argumentieren, dass lokal verwaltete Passwörter nicht anfällig für Angriffe auf ein Unternehmen sind, hat das Problem mehr damit zu tun, wie Cloud-basierte Daten gesichert werden. Obwohl LastPass die Verschlüsselungsschlüssel für Ihre Daten nicht enthält, ist seine Verschlüsselungsmethode nicht wirklich „End-to-End“, da die gesamte Verschlüsselungsleistung in einem Schlüssel eingeschlossen ist, der überall eingegeben werden kann, anstatt alle oder einige Komponenten zu erfordern ausschließlich auf Geräten gespeichert werden. Sie können eine Schatzkiste mit einem starken Schloss versehen, aber wenn sie von einer entschlossenen Gruppe geknackt werden kann, ist sie nicht so effektiv wie ein Schloss, das durch ein weiteres, teuflisch schwierigeres Schloss gesichert ist.
Der Wolke abschwören-basierte Speicherung zugunsten lokal verwalteter Passwörter setzt auch voraus, dass Sie nicht Opfer von Phishing oder anderen Angriffen werden, die zufällig statt gezielt auf Sie abzielen. Die Verletzung von LastPass erforderte direkte Angriffe auf bestimmte Mitarbeiter, aber Scattershot-Angriffe können automatisiert oder über Malware weit verbreitet werden – die Angreifer wissen nicht, wer ihre Opfer sind, oder kümmern sich nicht darum, wer ihre Opfer sind.
Außerdem bieten Cloud-basierte Systeme zwei Möglichkeiten überzeugende Funktionen: Synchronisierung zwischen mehreren Geräten und Plattformen und gemeinsame Nutzung bestimmter Passwörter mit anderen Benutzern desselben Systems. Die Synchronisierung ist ziemlich einfach mit iCloud, Dropbox oder ähnlichem zu replizieren, aber das Teilen von Passwörtern mit anderen Personen erfordert im Allgemeinen eine Art gemeinsames Konto.
Sind andere Passwort-Manager anfällig für ähnliche Angriffe?
Das würde ich nicht glauben. Die LastPass-Verletzung stützte sich auf zuvor gestohlene Informationen, die Zugriff auf sekundären Backup-Speicher ermöglichten, dank Anmeldeinformationen und Informationen, die bei Angriffen auf einzelne Mitarbeiter gestohlen wurden. Es war ein benutzerdefinierter Angriff und konnte nicht gegen andere Firmen eingesetzt werden. Und die Abhängigkeit von LastPass von einem einzigen Master-Passwort setzt auch die Daten seiner Benutzer einem einzigartigen Risiko aus.
Trotzdem muss ich davon ausgehen, dass alle Passwortverwaltungsdienste nahezu ständig angegriffen werden, weil, um Bankräuber Willie zu paraphrasieren Sutton, dort sind die Passwörter. Diese Unternehmen betrachten solche Angriffe möglicherweise als normal oder nutzen den Vorfall von LastPass als Vorwand, um ihre Sicherheitspraktiken erneut zu überprüfen, um sicherzustellen, dass sie nichts übersehen haben. LastPass hat vermutlich vor August 2022 nicht geglaubt, irgendetwas übersehen zu haben.
Wann werden Passkeys solche Probleme beseitigen?
Ich weiß es nicht, aber es kann nicht früh genug passieren. Siehe „Why Passkeys Will Be Simpler and More Secure Than Passwords“ (27. Juni 2022).