Inhaltsverzeichnis
Im August 2022 wurden Passwortmanager-Anbieter LastPass Opfer eines erfolgreichen Angriffs auf ihre IT-Systeme. Dabei konnten Angreifer Quellcode von LastPass-Servern kopieren, jedoch versicherte das Unternehmen zu diesem Zeitpunkt, dass keine Zugriffe auf Kundendaten stattgefunden hatten. Im September 2022 stellte sich jedoch heraus, dass die Angreifer vier Tage lang Zugriff auf Kundendaten hatten, darunter auch auf die Kennworttresore von Kunden. Wie ist es dazu gekommen?
Angreifer haben den Privat-PC eines DevOpS-Entwicklers gehackt
Laut einer Erklärung von LastPass ist es den Angreifern gelungen, Zugangsdaten von einem LastPass-Mitarbeiter zu erbeuten. Diese waren jedoch verschlüsselt und konnten somit nicht direkt für den Zugriff auf den Cloud-Speicher des Unternehmens genutzt werden. Um an den Schlüssel für die Log-in-Daten zu gelangen, sollen die Angreifer den Privat-PC eines DevOpS-Entwicklers gehackt haben. Hierfür nutzten sie eine Sicherheitslücke in einem Mediensoftware-Paket und installierten einen Keylogger auf dem Computer. Auf diese Weise konnten sie das Master-Passwort mitschneiden und sich Zugang zum Cloud-Speicher verschaffen. Dort hatten die Angreifer Zugriff auf Backups und weitere Schlüssel.
LastPass hat seine Systeme gegen weitere Angriffe gehärtet
LastPass hat inzwischen angekündigt, seine Systeme gegen weitere Angriffe zu schützen. Dazu haben sie unter anderem die Authentifizierungsverfahren verschärft. Die Passwörter von Kunden werden verschlüsselt in einem Tresor aufbewahrt, um eine Rekonstruktion so schwer wie möglich zu machen. Hierbei kommt eine kryptografische Hashfunktion plus Saltwert zum Einsatz, die mehrmals angewendet wird.
Empfehlungen für die Sicherheit von Passwörtern
LastPass setzt standardmäßig auf Password-Based Derivation Function 2 (PBKDF2) mit 100.100 Wiederholungen und der Hashfunktion SHA256. Experten empfehlen jedoch mindestens 310.000 Wiederholungen, um eine optimale Sicherheit zu gewährleisten. Es wurde jedoch auch bekannt, dass einige Nutzer nur wenige Wiederholungen bei der Anwendung von PBKDF2 nutzen. Hierbei handelt es sich um ein vermeidbares Sicherheitsrisiko.
User suchen sicheren Ersatz für LastPass
Als Reaktion auf den LastPass-Hack und um die Sicherheit ihrer Passwörter zu erhöhen, suchen viele Nutzer nach Alternativen zu LastPass. Bitwarden ist eine empfehlenswerte Alternative zu LastPass, die sich durch ihre Benutzerfreundlichkeit, Sicherheit und Open-Source-Plattform auszeichnet.
Benutzerfreundlichkeit
Bitwarden bietet eine intuitive Benutzeroberfläche und eine einfache Integration in verschiedene Browser. Es ist auch möglich, die Anwendung auf mobilen Geräten zu nutzen und auf alle Ihre Passwörter und Tresore zuzugreifen. Die Benutzerfreundlichkeit und Flexibilität von Bitwarden machen es zu einer idealen Wahl für Einzelpersonen und Unternehmen.
Sicherheit
Bitwarden verwendet eine starke Verschlüsselung, um Ihre Passwörter und Daten zu schützen. Die Daten werden auf Ihren Geräten verschlüsselt, bevor sie auf die Server von Bitwarden hochgeladen werden. Die Daten werden auch verschlüsselt, während sie auf den Servern von Bitwarden gespeichert werden. Bitwarden bietet auch Funktionen wie Zwei-Faktor-Authentifizierung und eine Vielzahl von Sicherheitseinstellungen, um sicherzustellen, dass Ihre Daten sicher sind.
Open-Source-Plattform
Bitwarden ist eine Open-Source-Plattform, was bedeutet, dass jeder den Quellcode der Anwendung einsehen und überprüfen kann. Dies erhöht das Vertrauen in die Sicherheit der Anwendung, da potenzielle Schwachstellen von der Entwicklergemeinschaft entdeckt und behoben werden können.
Fazit
Der erfolgreiche Angriff auf LastPass zeigt, wie wichtig es ist, die Sicherheit von Passwörtern und IT-Systemen ständig zu überprüfen und zu verbessern. Nutzer von Passwortmanagern sollten auf eine ausreichend hohe Wiederholungsrate bei der Anwendung von PBKDF2 achten und gegebenenfalls anpassen. Unternehmen sollten zudem sicherstellen, dass ihre Mitarbeiter geschult sind und Sicherheitsrichtlinien einhalten, um die Wahrscheinlichkeit von Angriffen zu minimieren.
Schützen Sie Ihre IT mit dem besten VPN
- Sehr einfach in der Einrichtung
- Schnelle Server
- Eigene Infrastruktur
- Deutsch
- Geeignet für TV/Video inkl. Netflix!
- Eigene Router
- P2P auf einigen Servern erlaubt
- Relativ teuer