Passwort-Manager attackiert Hacker stehlen Nutzer-Datenbank von Lastpass

Dem Passwort-Manager-Dienst ist die Datenbank mit den Kennwörtern seiner Nutzer abhanden gekommen. Das Unternehmen beschwichtigt trotzdem.

Hacker*innen haben ein Back-up der Datenbank des Passwort-Managers Lastpass erbeuten können. Darin gespeichert sind auch die Passwörter, die Nutzer*innen dem Dienst anvertraut haben, wie Lastpass nun mitteilte. Im August, als Lastpass seine Nutzer*innen erst mal über einen Hackangriff informierte, hiess es noch, Passwörter seien nicht gestohlen worden, wie «The Verge» berichtet.

Dennoch beschwichtigt das Unternehmen nun. Die Passwörter seien verschlüsselt in der Datenbank gesichert worden, nur mit der Kenntnis des Master-Passwortes sei der Zugriff möglich. Das wurde nicht von Lastpass gespeichert und konnte deshalb auch nicht gestohlen werden.

Vorausgesetzt, die Nutzer*innen haben beim Erstellen des Master-Passwortes die Empfehlungen von Lastpass befolgt, würde es «Millionen von Jahren» dauern, um die Verschlüsselung zu knacken, so Lastpass-CEO Karim Toubba.

Betrügen für «Emily in Paris»?Teilen Briten Netflix-Passwörter, droht ihnen Knast

In der Praxis besteht durchaus Gefahr

Das ist allerdings nur der Idealfall. Denn der Sinn eines Master-Passwortes besteht darin, dass du dir selbiges auch merken kannst, da es bei Verwendung eines Passwort-Managers ja das einzige Kennwort ist, welches nur im eigenen Kopf gespeichert werden soll. Ist das Master-Passwort dann etwa eine Kombination aus echten Wörtern, ist das Knacken viel einfacher.

Denn zum Knacken einer Verschlüsselung wird üblicherweise die Brute-Force-Methode angewendet. Hierbei bombardieren die Hacker*innen eine verschlüsselte Datenbank mit potenziellen Kennwörtern, bis sie das richtige finden. Üblich ist hier ein Wörterbuchangriff, bei der einfach Kombinationen von Wörtern in unzähligen Sprachen ausprobiert werden.

Besteht ein Passwort dann nicht aus wirklich rein zufällig ausgewählte Zeichen, dauert das Knacken mit der richtigen Ausstattung dann eher Minuten statt «Millionen Jahre». Denn bei so einem Wörterbuchangriff können teils Hunderttausende Passwortvarianten in der Sekunde ausprobiert werden.

Mehr SicherheitBei Chrome kommst du jetzt ohne Passwörter aus

Passwörter ändern

Verschärft wird die Situation noch dadurch, dass die URLs zu Websites, deren Passwörter in der Datenbank gesichert wurden, nicht verschlüsselt waren. Die Hacker*innen können so ihre Ressourcen auf Lastpass-Nutzer*innen mit besonders wertvollen Zugangsdaten beschränken, statt nur schnöde Facebook-Accounts zu hacken.

Wenn du also nicht ein absolutes bombensicheres Master-Passwort gewählt hast, solltest du als Lastpass-Nutzer*in sowohl das Master-Passwort als auch die Passwörter für sämtliche Dienste, mit denen du Lastpass verwendest, ändern.

Instagram gehacktEva Nidecker wurde Opfer eines Internet-Betrügers