Wenn Sie jemals LastPass verwendet haben, sollten Sie jetzt alle Ihre Passwörter ändern

Persönliche Daten und Passwort-Tresore mit den Anmeldeinformationen von Millionen von Benutzern sind jetzt in den Händen von Kriminellen. Wenn Sie jemals den Passwort-Manager LastPass verwendet haben, sollten Sie jetzt alle Ihre Passwörter für alles ändern. Und Sie sollten umgehend weitere Maßnahmen ergreifen, um sich zu schützen.

Was ist bei der LastPass-Datenverletzung 2022 passiert?

LastPass ist ein Passwortverwaltungsdienst, der nach einem „Freemium“-Modell arbeitet. Benutzer können alle ihre Passwörter und Logins für Online-Dienste mit LastPass speichern und über die Weboberfläche, über Browser-Add-Ons und über spezielle Smartphone-Apps darauf zugreifen.

Passwörter werden in „Tresoren“ gespeichert, die durch ein einziges Master-Passwort geschützt sind.

Im August 2022 gab LastPass bekannt, dass Kriminelle ein kompromittiertes Entwicklerkonto verwendet hatten, um auf die LastPass-Entwicklungsumgebung, den Quellcode und technische Informationen zuzugreifen.

Weitere Details wurden im November 2022 veröffentlicht, als LastPass hinzufügte, dass einige Kundendaten offengelegt worden seien.

Die wahre Schwere des Verstoßes wurde am 22. Dezember enthüllt, als in einem LastPass-Blogbeitrag festgestellt wurde, dass Kriminelle einige der bei dem früheren Angriff erhaltenen Informationen verwendet hatten, um Sicherungsdaten zu stehlen, darunter Kundennamen, Adressen und Telefonnummern, E-Mail-Adressen, IP-Adressen, und unvollständige Kreditkartennummern. Darüber hinaus gelang es ihnen, Benutzerpassworttresore zu stehlen, die unverschlüsselte Website-URLs und Websitenamen sowie verschlüsselte Benutzernamen und Passwörter enthielten.

Ist es für Kriminelle schwierig, Ihr LastPass-Master-Passwort zu knacken?

Theoretisch ja, Hacker sollten es schwierig finden, Ihr Master-Passwort zu knacken. Der LastPass-Blogbeitrag stellt fest, dass es bei Verwendung der empfohlenen Standardeinstellungen „Millionen von Jahren dauern würde, Ihr Master-Passwort mit allgemein verfügbarer Technologie zum Knacken von Passwörtern zu erraten“.

LastPass verlangt, dass das Master-Passwort mindestens 12 Zeichen lang ist, und empfiehlt, „dass Sie Ihr Master-Passwort niemals auf anderen Websites wiederverwenden“.

LastPass ist jedoch einzigartig unter den Passwortverwaltungsdiensten, da es Benutzern ermöglicht, einen Passworthinweis festzulegen, der sie an ihr Master-Passwort erinnert, falls sie es verlieren sollten.

Effektiv ermutigt dies Benutzer dazu, Wörter und Phrasen aus dem Wörterbuch als Teil ihres Passworts zu verwenden, anstatt ein wirklich zufälliges starkes Passwort. Kein Passworthinweis wird helfen, wenn Ihr Passwort „lVoT=.N]4CmU“ lautet.

Die LastPass-Passworttresore sind seit einiger Zeit in den Händen von Kriminellen, und obwohl sie verschlüsselt sind, werden sie irgendwann Brute-Force-Angriffen ausgesetzt sein.

Angreifer finden ihre Arbeit dank der Existenz riesiger Datenbanken mit häufig verwendeten Passwörtern einfacher. Sie können beispielsweise eine 17 GB große Passwortliste mit den 613 Millionen häufigsten Passwörtern von haveibeenpwned herunterladen . Andere Listen mit Passwörtern und Zugangsdaten sind im Dark Web verfügbar.

Es würde Minuten dauern, jeden der halben Milliarde der gängigsten Schlüssel gegen einen einzelnen Tresor zu testen, und obwohl relativ wenige die erforderlichen 12 Zeichen wären, ist es wahrscheinlich, dass Cyberkriminelle leicht in einen Großteil der Tresore eindringen können.

Hinzu kommt die Tatsache, dass die Rechenleistung von Jahr zu Jahr zunimmt und dass motivierte Kriminelle verteilte Netzwerke nutzen können, um bei der Arbeit zu helfen; „Millionen von Jahren“ erscheint für die meisten Konten nicht machbar.

Betrifft die Verletzung von LastPass nur Passwörter?

Während die Schlagzeilen lauten, dass Kriminelle sich die Zeit nehmen können, in Ihren LastPass-Tresor einzubrechen, können sie Sie auf andere Weise ausnutzen, indem sie Ihren Namen, Ihre Adresse, Telefonnummer, E-Mail-Adresse, IP-Adresse und einen Teil Ihrer Kreditkartennummer verwenden.

Diese können für eine Reihe von schändlichen Zwecken verwendet werden, darunter Spearphishing-Angriffe gegen Sie und Ihre Kontakte, Identitätsdiebstahl, Aufnahme von Krediten und Darlehen in Ihrem Namen und SIM-Swap-Angriffe.

Wie können Sie sich nach den Datenschutzverletzungen von LastPass schützen?

Sie sollten davon ausgehen, dass Ihr Master-Passwort innerhalb weniger Jahre kompromittiert und alle darin enthaltenen Passwörter Kriminellen bekannt sein werden. Sie sollten sie jetzt ändern und eindeutige Passwörter verwenden, die Sie noch nie zuvor verwendet haben und die in keiner der häufig verwendeten Passwortlisten enthalten sind.

In Bezug auf die anderen Datenkriminellen, die von LastPass stammen, sollten Sie Ihr Guthaben einfrieren und einen Kreditüberwachungsdienst beauftragen, um alle neuen Karten- oder Kreditanträge in Ihrem Namen zu überwachen. Wenn Sie Ihre Telefonnummer ohne allzu große Unannehmlichkeiten ändern können, sollten Sie dies auch tun.

Übernehmen Sie die Verantwortung für Ihre eigene Sicherheit

Es ist leicht, LastPass für die Datenschutzverletzungen verantwortlich zu machen, durch die Ihre Passworttresore und persönlichen Daten in die Hände von Kriminellen fielen, aber Passwortverwaltungsdienste, die Ihr Leben sichern und Ihnen helfen, einzigartige Kombinationen zu erstellen, sind immer noch der beste Weg, Ihr Online-Leben zu sichern.

Eine Möglichkeit, potenziellen Dieben den Zugriff auf Ihre wichtigen Daten zu erschweren, besteht darin, einen Passwort-Manager auf Ihrer eigenen Hardware zu hosten. Es ist billig, einfach durchzuführen und einige Lösungen, wie VaultWarden, können sogar auf einem Raspberry Pi Zero bereitgestellt werden.