Digitale Tresore

Passwort-Manager gehackt: Daten von 33 Millionen Nutzern in Gefahr

Passwort-Manager sollen unser Leben erleichtern. Sie merken sich alle Passwörter und sollen zudem besonders sicher sein. In einem Fall ging das nach hinten los.

Dortmund – Wer kann sich das eigentlich alles noch merken? Unzählige Benutzernamen und dazu auch noch hoch komplizierte Passwörter, bestehend aus mehreren Zeichen, Zahlen und Sonderzeichen. Zum Glück gibt es sogenannte Passwort-Manager, die den Job übernehmen und alles sicher verwahren. Doch in einem Fall hat das mit der Sicherheit nicht so gut geklappt.

LastPass Opfer einer großen Hacker-Attacke – Kriminelle erbeuten Nutzerdaten

Passwort-Manager sind eigentlich eine super Erfindung. Sie sammeln all unsere Benutzerdaten, Websites und Passwörter verschlüsselt an einem Ort. Wir müssen uns so nur noch ein Masterpasswort merken und haben so überall Zugriff auf unsere Passwörter. Toll!

Im Fall des beliebten Passwort-Managers LastPass ging das allerdings nach hinten los und Nutzer müssen um ihre Passwörter fürchten. Schon im August wurde LastPass Opfer einer Hacker-Attacke, im November dann erneut – teilte aber erst kurz vor Weihnachten mit, dass dabei Kundendaten wie Namen, Rechnungsadressen, E-Mail-Adressen und Telefonnummern erbeutet wurden. Zwar wurden keine Passwörter geklaut, das dicke Ende kann dennoch kurz bevor stehen.

Passwort-Manager geknackt: LastPass bleibt gelassen, doch Nutzer sollten aufpassen

LastPass selbst bleibt trotz dieses Hacker-Angriffs gelassen und betont, dass zwar auch Passwörter erbeutet wurden, diese aber im Gegensatz zu den übrigen Account-Daten weiterhin verschlüsselt wären. Alles also halb so schlimm? Jein.

LastPass geht von einer geringen Gefahr für Nutzer des Passwort-Managers aus. Allerdings auch nur, wenn User ein starkes Masterpasswort nutzen und alle empfohlenen Sicherheitseinstellungen in ihrem Account vorgenommen haben (mehr Warnungen bei RUHR24).

Passwort-Manager gehackt: „Würde Millionen Jahre dauern, das Masterpasswort zu knacken“

Seit 2018 müssen LastPass-Masterpasswörter mindestens zwölf Zeichen lang sein. Zudem gibt es laut CEO Karim Toubba weitere Schutzmaßnahmen, die das Risiko minimieren, dass das Masterpasswort geknackt wird. Demnach würde es „Millionen Jahre dauern, Ihr Masterpasswort mit derzeit gängigen Methoden zu knacken“, erklärt Toubba.

Sollte das Masterpasswort allerdings nicht den Standardeinstellungen entsprechen, wurde es beispielsweise vor 2018 mit weniger Zeichen erstellt oder wird auch auf anderen Websites verwendet, sollten Nutzer handeln. Denn dann „wäre die Anzahl der Versuche, bis jemand Ihr Masterpasswort erraten könnte, wesentlich geringer. In diesem Fall sollten Sie zur Minimierung des Risikos als zusätzliche Sicherheitsmaßnahme erwägen, die Passwörter für Ihre gespeicherten Websites zu ändern“, heißt es weiter in dem Blogeintrag.

LastPass wurde geknackt und Hacker sind nun im Besitz von Kundendaten.

LastPass Opfer von Hacker-Angriff: Passwort-Manager gibt wichtige Hinweise

Doch nicht nur das Masterpasswort ist eine Schwachstelle nach dem Hacker-Angriff. Hacker könnten anhand der erhaltenden Nutzerdaten via Phishing versuchen, an die fehlenden Passwörter heranzukommen. Entweder geben sie sich als Betreiber der Website aus, für die ein Passwort gespeichert ist, oder sie versuchen direkt an das Masterpasswort zu kommen.

Das könnten sie versuchen, indem sie sich als LastPass-Mitarbeiter ausgeben. Für den Fall weist LastPass darauf hin, dass die Betreiber des Passwort-Managers die User nie telefonisch, per E-Mail oder SMS um Verifizierung der persönlichen Daten bitten werden. Zudem heißt es: „Außer bei der Vault-Anmeldung über einen LastPass-Client fragen wir Sie nie nach Ihrem Masterpasswort.“

Für die rund 33 Millionen Nutzer von LastPass heißt es jetzt also selbst abwägen: Ist mein Masterpasswort sicher genug? Wer sich unsicher ist, sollte es womöglich ändern – sowie alle hinterlegten Passwörter. Das wiederum kann in einem Haufen Arbeit ausufern (mehr digitale News bei RUHR24).

Rubriklistenbild: © wavemovies/Imago