Nach einer Sicherheitsverletzung vor nicht allzu langer Zeit hat LastPass kürzlich seine Benutzer darüber informiert, dass es Hackern gelungen war, an ein Backup des Passwort-Tresors seiner Benutzer zu gelangen.
Das ist wahrscheinlich Eines der schlimmsten Dinge, die passieren könnten, aber laut LastPass bedeuten die von ihnen verwendeten Verschlüsselungs-und Sicherheitsprotokolle, dass es den Hackern unglaublich schwer fallen würde, einzubrechen, oder könnten sie? Das ist nicht das, was der Sicherheitsforscher Wladimir Palant in seinem Blogbeitrag überlegt seiner Website, auf der er behauptet, dass es viel schlimmer sein könnte, als wir dachten.
In seinem Beitrag weist er auf bestimmte Punkte in der Erklärung von LastPass hin, z. B. wie das Unternehmen behauptet, dass es dauern würde: „ Millionen von Jahren“, um Ihr Master-Passwort zu erraten, aber in Wirklichkeit könnte es nur zwei Monate dauern, und dass der Hacker nur eine einzige GPU brauchen würde, um es zu knacken. Angenommen, der Hacker hätte Zugriff auf leistungsfähigere Hardware, würde dies vermutlich die Zeit verkürzen.
„Ich übersetze: „Wenn du alles richtig gemacht hast, kann dir nichts passieren.“ Dies bereitet wiederum den Boden für Schuldzuweisungen an die Kunden. Man würde annehmen, dass Leute, die „die neuesten Technologien zum Knacken von Passwörtern testen“, es besser wissen würden. Wie ich berechnet habe, würde selbst das Erraten eines wirklich zufälligen Passworts, das ihre Komplexitätskriterien erfüllt, mit einer einzigen Grafikkarte im Durchschnitt weniger als eine Million Jahre dauern.
Aber von Menschen gewählte Passwörter sind alles andere als zufällig. Die meisten Menschen haben Probleme, sich ein wirklich zufälliges zwölfstelliges Passwort zu merken. Eine ältere Umfrage ergab, dass das durchschnittliche Passwort 40 Bit Entropie hat. Solche Passwörter ließen sich in etwas mehr als zwei Monaten auf derselben Grafikkarte erraten. Selbst ein ungewöhnlich starkes Passwort mit 50 Bit Entropie würde im Durchschnitt 200 Jahre dauern – nicht unrealistisch für ein hochwertiges Ziel, auf das jemand mehr Hardware werfen würde.“
Was bedeutet das also? Benutzer? Grundsätzlich sollten Sie alle Passwörter in Ihrem Tresor ändern, insbesondere für wichtigere Konten wie das Ihrer Bank, E-Mails usw. Je nachdem, wie viele Passwörter Sie gespeichert haben, kann es eine Weile dauern, aber Vorsicht ist besser als Nachsicht!
Quelle: 9to5Mac