Online-Passwort-Manager können das Leben einfacher machen, da sie beim Einloggen auf Webseiten automatisch das richtige Passwort eingeben. Das ist sehr praktisch – außer der Service wird gehackt. Denn dann erhalten die Cyberkriminellen durch das Herausfinden eines einzigen Passworts eine ganze Menge wertvoller Informationen, bis hin zu den Zugangsdaten fürs Online-Banking.
Der beliebte Passwort-Manager LastPass entdeckte kürzlich einen Hacker-Einbruch. Die Angreifer kompromittierten die E-Mail-Adressen der Anwender, Passwort-Erinnerungen, Nutzer-Salts und Authentifizierungs-Hashes. Die Passwörter selbst waren nicht betroffen, da der Service diese nicht in der Cloud speichert. Dennoch empfiehlt LastPass seinen Anwendern, ihre Master-Passwörter zu ändern und die Multifaktoren-Authentifizierung einzuschalten.
Man muss das Unternehmen aber auch loben: Sobald LastPass den Einbruch festgestellt hatte, veröffentlichte es schnell eine Warnung. Ein gutes Vorbild für viele andere Firmen, die (zum Vorteil der Hacker) solche Einbrüche meist unter Verschluss halten.
Gleichzeitig scheinen die potenziellen Konsequenzen des Einbruchs aber zweifelhaft zu sein. Manche Forscher stützen die Aussage von LastPass, dass für Anwender mit starken Passwörtern kein Risiko bestehe.
We've updated the blog with follow-up information to user questions about yesterday's announcement: https://t.co/DaW6LiIp7M
— LastPass (@LastPass) June 16, 2015
Andere meinen dagegen, dass der Einbruch zu einer neuen Welle schädlicher Aktivitäten führen könnte, die sich direkt gegen die LastPass-Nutzer richten werden. Mit den Listen echter E-Mail-Adressen können die Hacker zielgerichtete Phishing-Kampagnen starten, um die fehlenden Daten herauszufinden. Deshalb empfiehlt LastPass den Anwendern, Ihre Master-Passwörter zu ändern.
Aber was hält die Cyberkriminellen davon ab, die LastPass-Nutzer mit als offiziell getarnten Betrugs-Mails zu bombardieren? Wenn die Anwender auf einmal eine unverdächtig aussehende Mail mit Warnungen und Tipps von den „Entwicklern“ bekommen, können sie darin ganz praktisch auch einen Link klicken, um ihr Master-Passwort zu ändern – und geben es damit direkt in die Hände der Cyberkriminellen.
Nutzer von #LastPass wird empfohlen, Ihre #Passwörter zu ändern
Tweet
Hier unsere Tipps für LastPass-Nutzer:
- Folgen Sie den offiziellen Empfehlungen: Änderung Sie Ihr Master-Passwort und schalten Sie die Multifaktoren-Authentifizierung ein. Toll wäre zudem, wenn Sie diese auch auf anderen Webseiten nutzen würden, zum Beispiel bei Sozialen Netzwerken und E-Mail-Diensten.
- Klicken Sie auf keine Links in E-Mails, die vorgeben, von LastPass zu kommen. Diese Mails könnten gefälscht sein, so dass es immer besser ist, wenn Sie die Webadresse manuell im Browser eingeben.
- Stellen Sie sicher, dass Sie Ihr Master-Passwort auf keiner anderen Webseite verwenden. Übrigens sollten Sie am besten für jeden Dienst, den Sie nutzen, ein eigenes Passwort verwenden.
LastPass hat nicht zum ersten Mal mit Sicherheitsproblemen zu kämpfen. Schon im letzten Sommer veröffentlichte die University of California in Berkeley Sicherheitslücken in fünf Passwort-Managern: Neben LastPass gehörten dazu RoboForm, My1Login, PasswordBox und NeedMyPassword.
Data breaches have become a routine. You can’t prevent it, but there is a way to minimize the damage. http://t.co/Gq4ERG41NK
— Kaspersky (@kaspersky) August 6, 2014
Wie Sie sicher wissen, ist keine Sicherheitslösung absolut perfekt. Für ein Unternehmen gehören viel Courage und Verantwortungsbewusstsein dazu, um Informationen zu einem Hacker-Einbruch zu veröffentlichen, selbst wenn dadurch Kunden abwandern könnten. Sicher werden manche LastPass-Anwender dadurch zu anderen Diensten wechseln, wobei andere dem Unternehmen treu bleiben werden, egal, was passiert.
Wenn Sie einen neuen Passwort-Manager suchen, können wir nicht anders, als den Kaspersky Password Manager zu empfehlen. Wir speichern die Passwörter der Anwender nicht, so dass diese Daten auch nicht von Servern gestohlen werden können.
Sie können auch noch weiter gehen und unsere große Lösung Kaspersky Total Security — Multi-Device installieren. Diese enthält neben dem Passwort-Manager alle Sicherheitsfunktionen, die Sie für den Schutz Ihrer Geräte und Daten brauchen.