Nach der Cyber-Attacke auf den Passwort-Manager Lastpass sind die Daten von Millionen Nutzern bedroht. Antworten auf die wichtigsten Fragen.
Was ist Lastpass überhaupt?
Der Dienst verwaltet Passwörter. Nutzer können dort ihre Anmeldedaten für Webseiten wie Google oder Amazon speichern. Man muss sich dann nur noch ein sogenanntes Master-Passwort merken, mit dem man den virtuellen Safe mit allen anderen Passwörtern aufschließen kann.
Welche Daten wurden erbeutet?
Lastpass zufolge haben die Angreifer Zugriff auf E-Mail-Adressen und Passworthinweise der Nutzer erlangt. Das verschlüsselte Archiv, in dem die Passwörter selbst liegen, ist Lastpass zufolge sicher.
Wie beurteilt Lastpass das Risiko?
Alle Passwörter werden verschlüsselt gespeichert. Deshalb sei es für Angreifer nur mit großen Aufwand möglich, die tatsächlichen Passwörter im Klartext auszulesen. Lastpass ist "zuversichtlich", dass die Verschlüsselung ausreiche, um "die überwiegende Mehrheit der Nutzer" zu schützen.
Wie beurteilen Experten das Risiko?
Die Meinungen gehen auseinander. Joseph Bonneau ein Kryptografie-Forscher aus Stanford glaubt, dass lange, zufällig generierte Master-Passwörter sicher sind. Wer ein simples Master-Passwort nutze, solle es schleunigst ändern, sagt er gegenüber dem Magazin Wired. "Sollte ich in Panik verfallen, weil Lastpass gehackt wurde?", fragt der Sicherheitsexperte Robert Graham in seinem Blog. Er rechnet vor, wie lange es mit unterschiedlichen Angriffsmethoden dauern würde, um Passwörter zu entschlüsseln. Je nach Länge und Komplexität des Passworts bewege sich die Zahl zwischen Sekunden und Millionen von Jahren. Grundsätzlich gelte, dass jedes zusätzlich verwendete Zeichen die Gefahr einer Dechiffrierung exponentiell verringere. Tod Beardsley von der Sicherheitsfirma Rapid7 warnt nun vor Phishing-Mails. Da die Angreifer in den Besitz vieler E-Mail-Adressen gekommen seien, könnten sie somit gefälschte Nachrichten verschicken. Beardsley empfiehlt deshalb, alle E-Mails von Lastpass besonders gründlich auf Echtheit zu prüfen. Jeremi Gosney, Experte für Passwort-Sicherheit bei der Firma Stricture Group, ist vergleichsweise zuversichtlich. Er schreibt, dass die aufwendige Verschlüsselung selbst schwache Master-Passwörter recht gut absichere. Er selbst fühle sich nicht mal gezwungen, sein Master-Passwort zu ändern.
Was unternimmt Lastpass?
Alle Nutzer wurden per E-Mail über den Hack informiert und aufgefordert, das Master-Passwort zu ändern. Wer sich mit einem neuen Gerät bei Lastpass einloggt, muss sich per E-Mail identifizieren. Alternativ kann die sogenannte Zwei-Faktor-Authentifizierung verwendet werden. Dabei muss der Nutzer seine Identität nach dem Einloggen über ein zweites Gerät, etwa seinem Smartphone, noch mal bestätigen.
Was sollten Nutzer unternehmen?
Den Empfehlungen von Lastpass zu folgen, ist ein guter Anfang: Master-Passwort ändern, Zwei-Faktor-Authentifizierung aktivieren. Nutzer, die ihr Master-Passwort auf weiteren Seiten verwenden, sollten dort ihre Login-Daten ändern. Unabhängig vom aktuellen Hack ist es sinnvoll, für jeden Dienst unterschiedliche Passwörter zu nutzen und diese regelmäßig zu ändern.
Wie sicher ist Lastpass jetzt noch?
Als Reaktion auf "ungewöhnlichen Datenverkehr" im Jahr 2011 implementierte das Unternehmen neue Sicherheitsmaßnahmen; darunter auch die Verschlüsselungsmethode, ohne die der aktuelle Hack wohl schlimmere Folgen gehabt hätte. Trotz der Bemühungen von Lastpass, die Daten seiner Kunden möglichst gut zu schützen, sind Passwort-Dienste eines der lukrativsten Ziele für Hacker. Wer es schafft, die dort gespeicherten Informationen zu erbeuten, kann die komplette Online-Identität der Nutzer übernehmen. Das spricht nicht dagegen, Dienste wie Lastpass zu verwenden. Sie sind allemal sicherer, als auf vielen Seiten dieselben Login-Daten zu verwenden, weil man zu bequem ist, lange zufallsgenerierte Passwörter zu notieren. Der Hack spricht aber auf jeden Fall dafür, sich zumindest für sein Master-Passwort etwas Besseres als "1234passwort" einfallen zu lassen.