Was ist passiert?
Lastpass wurde gehackt. Der Dienst verwaltet Passwörter. Nutzer können dort ihre Anmeldedaten für Webseiten wie Google, Amazon und Facebook oder ihren Login fürs Online-Banking speichern. Man muss sich dann nur noch ein sogenanntes Master-Passwort merken, mit dem man den virtuellen Safe mit allen anderen Passwörtern aufschließen kann. Neben 1Password gehört Lastpass zu den größten Diensten dieser Art.
Welche Daten wurden erbeutet?
Auf seinem Blog berichtet Lastpass über den Einbruch in seine Server und gibt zumindest teilweise Entwarnung. Demnach habe man am vergangenen Freitag verdächtige Aktivitäten im Netzwerk festgestellt. Die Angreifer hätten Zugriff auf E-Mail-Adressen und Passworthinweise der Nutzer erlangt und Informationen erbeutet, die unter Umständen Rückschlüsse auf das Master-Passwort zulassen könnten. Das verschlüsselte Archiv, in dem die Passwörter für die einzelnen Dienste liegen, sei Lastpass zufolge sicher.
Wie beurteilt Lastpass das Risiko?
Alle Passwörter werden nach Auskunft von Lastpass mit einer sehr aufwändigen Verschlüsselung (wer es genau wissen will: 100 000 PBKDF2-SHA256-Iterationen) auf den Servern gespeichert. Deshalb sei es für Angreifer nur mit großen Aufwand möglich, Klartext-Informationen aus den erbeuteten Hashcodes herauszulesen. Man sei "zuversichtlich", dass die verwendeten Maßnahmen zur Verschlüsselung ausreichen würden, um "die überwiegende Mehrheit der Nutzer" zu schützen, schreibt der Lastpass-Chef Joe Siegrist.
Wie beurteilen Experten das Risiko?
Noch sind wenige Details über die Dauer und den Umfang der Attacke bekannt. Deshalb halten sich viele Experten mit endgültigen Einschätzungen zurück.
Joseph Bonneau, ein Kryptographie-Forscher aus Stanford, glaubt, dass lange, zufällig generierte Master-Passwörter sicher seien. Wer ein kurzes, leicht zu merkendes Master-Passwort nutze, solle es schleunigst ändern, sagt er gegenüber der amerikanischen Wired. Die Auswirkungen des Hacks hängen Bonneau zufolge stark davon ab, wie schnell Lastpass den Angriff entdeckt habe; darüber habe die Firma aber noch nicht öffentlich informiert.
"Sollte ich in Panik verfallen, weil Lastpass gehackt wurde?", fragt der Sicherheitsexperte Robert Graham auf seinem Blog Errata Security. Eine echte Antwort kann er nicht geben: "Vielleicht, vielleicht aber auch nicht." Er rechnet vor, wie lange es mit unterschiedlichen Angriffsmethoden dauern würde, um Passwörter zu entschlüsseln. Je nach Länge und Komplexität des Passworts sowie der Rechenpower der zum Knacken genutzten Computer bewege sich die Zahl zwischen Sekunden und Millionen von Jahren. Grundsätzlich gelte, dass jedes zusätzlich verwendete Zeichen im Passwort die Gefahr einer Dechiffrierung exponentiell verringere.
Um die Sicherheit eines Passworts zu berechnen, braucht es zwei Schritte. Zunächst muss man herausfinden, wie viele Kombinationen für ein Passwort existieren. Dafür gibt es eine Formel: Kombinationen = Zeichenraumgröße hoch Passwortlänge.
Die Zeichenraumgröße ist dabei die maximale Anzahl an möglichen Zeichen, also etwa 26 Großbuchstaben oder zehn Ziffern.
Im zweiten Schritt teilt man die Anzahl der Kombinationen durch zwei Milliarden. So erhält man die Zeit in Sekunden, die ein Superrechner längstens brauchen würde, um es zu knacken.
Das klingt komplizierter als es ist. Zwei Beispiele:
"123456" besteht ausschließlich aus Zahlen. Da es zehn Ziffern gibt und das Passwort sechs Stellen hat, ist die Anzahl der Kombinationsmöglichkeiten zehn hoch sechs = eine Million. Geteilt durch zwei Milliarden ergibt: Dieses Passwort wäre im Bruchteil einer Sekunde geknackt.
Das beliebte "password" besteht aus acht Buchstaben, von denen das deutsche Alphabet 26 besitzt. Da es ausschließlich Kleinbuchstaben sind, ergibt die Formel: 26 hoch 8 = 208.827.064.576, also immerhin gut 208 Milliarden Kombinationsmöglichkeiten. Ein Superrechner bräuchte dennoch maximal 104 Sekunden, also weniger als zwei Minuten, um alle Kombinationen zu testen. Da das "password" aber seit Jahren auf den ersten Plätzen der häufigsten Passwörter rangiert, würde ein kluger Hacker dieses vermutlich als erstes ausprobieren.
Tod Beardsley von der Sicherheits-Firma Rapid7 weist auf die Gefahr von Phishing-Mails hin. Da die Angreifer in den Besitz der E-Mailadressen vieler Lastpass-Nutzer gekommen seien, könnten sie nun gefälschte E-Mails verschicken und dazu auffordern, das Lastpass-Passwort zu erneuern. Der Link führt auf eine täuschend echt aussehende Seite, die sich nur durch die URL unterscheidet. Geben Nutzer dort ihr Passwort ein, landet es direkt bei den Hackern. Beardsley empfiehlt deshalb, alle E-Mails und Nachrichten von Lastpass besonders gründlich auf Echtheit zu prüfen.
Jeremi Gosney, Experte für Passwort-Sicherheit bei der Firma Stricture Group, ist vergleichsweise zuversichtlich. Beim amerikanischen Tech-Blog Ars Technica schreibt er, dass die aufwändige Verschlüsselung von Lastpass selbst schwache Master-Passwörter einigermaßen gut absichere. Er selbst gerate angesichts des Hacks "definitiv nicht ins Schwitzen." Er fühle sich nicht mal gezwungen, sein Master-Passwort zu ändern.
Welche Schritte unternimmt Lastpass?
Alle Nutzer wurden am Dienstag per E-Mail über den Hack informiert, ein Teil wurde bereits dazu aufgefordert, das Master-Passwort zu ändern. Wer sich mit einem neuen Gerät oder einer bislang nicht verwendeten IP-Adresse bei Lastpass einloggt, muss sich per E-Mail identifizieren. Alternativ kann die von Lastpass angebotene Zwei-Faktor-Authentifizierung verwendet werden. Das bedeutet, dass für die Anmeldung nicht nur ein Passwort, sondern ein weiterer Schlüssel notwendig ist. Dieser Code kann beispielsweise per SMS verschickt oder mit einer App auf dem Smartphone ausgelesen werden.
Welche Schritte sollten Nutzer unternehmen?
Den Empfehlungen von Lastpass zu folgen, ist schon mal ein guter Anfang. Sprich: Master-Passwort ändern, Zwei-Faktor-Authentifizierung aktivieren. Nutzer, die ihr Master-Passwort auf weiteren Seiten verwenden, sollten dort ihre Login-Daten ändern. Auch der Hinweis von Tod Bearsley ist wichtig: Da E-Mail-Adressen erbeutet wurden, könnten die Angreifer bald Phishing-Nachrichten verschicken und sich als Lastpass ausgeben. Misstrauen ist deshalb geboten.
Unabhängig vom aktuellen Hack ist es sinnvoll, für jeden Dienst unterschiedliche Anmeldedaten zu nutzen und diese regelmäßig zu ändern. Je größer der Schaden bei einem Hack, desto ernster sollte man diese Empfehlung nehmen: Ebay- oder Paypal-Account sind demnach lukrativere Ziele als der Login für das private Blog.
Wie sicher ist Lastpass?
Bereits 2011 entdeckte Lastpass "ungewöhnlichen Datenverkehr" in seinem Netzwerk, der vermutlich auf einen Hacker-Angriff zurückzuführen war. Alle Nutzer mussten ihr Master-Passwort ändern, außerdem implementierte das Unternehmen mehrere neue Sicherheitsmaßnahmen; darunter auch die besonders sichere Verschlüsselungs-Methode, ohne die der aktuelle Hack wohl deutlich schwerwiegendere Folgen gehabt hätte.
Trotz der Bemühungen von Lastpass, die Daten seiner Kunden möglichst gut zu schützen, sind Passwort-Dienste eines der lukrativsten Ziele für Hacker. Wer es schafft, die dort gespeicherten Informationen zu erbeuten und im Klartext auszulesen, kann die komplette Online-Identität der Nutzer übernehmen.
Das spricht nicht dagegen, Dienste wie Lastpass zu verwenden - sie sind allemal sicherer, als auf vielen Seiten dieselben Login-Daten zu verwenden, weil man zu bequem ist, lange zufallsgenerierte Passwörter zu notieren. Das spricht aber auf jeden Fall dafür, sich zumindest für sein Master-Passwort etwas Besseres als "1234passwort" einfallen zu lassen.