Veröffentlicht inDigital Life

„Passwörter ändern“: Experten warnen plötzlich vor beliebtem Passwortmanager – Millionen Nutzer betroffen

Dana Neumann von Dana Neumann

Fachleute für Sicherheit raten LastPass-Nutzer*innen, das Tool dringend zu wechseln. Grund dafür sind einige Sicherheitslücken und der Umgang des Herstellers damit

Hacker
© imago / Science Photo Library

Wie sicher ist mein Passwort?

Ein wichtiger Punkt - bevor man sich auf einer Plattform registriert - ist natürlich die Passwortwahl.Meist stellt sich auch die Frage: "Wie sicher ist mein Passwort?"

Der Passwortmanager LastPass hat nach eigener Aussage weltweit rund 33 Millionen Nutzerinnen und Nutzer. Dennoch legen die Sicherheitsexpert*innen von Intego nahe, das Programm umgehend zu wechseln. Wegen mehrerer Sicherheitslücken in den vergangenen Monaten sei es nicht sicher.

LastPass nicht zu empfehlen: Das wird geraten

„Wir empfehlen nicht, LastPass als Passwortmanager zu nutzen“, heißt es in dem entsprechenden Blogeintrag. Man rechne damit, dass Hacker bereits Zugriff auf jegliche Passwörter und Informationen in entsprechenden Konten gehabt haben könnten. Nutzer*innen sollten deshalb gleich zwei Maßnahmen ergreifen.

„1. LastPass-User sollten sofort damit beginnen, zu einem anderen Passwortmanager umzuziehen.

2. Nach der Migration zu einem neuen Passwortmanager sollten ehemalige LastPass-Nutzer die Passwörter zu allen Diensten ändern, die sie in LastPass gespeichert hatten.“

Intego

Bei der expliziten Warnung und den Handlungsempfehlungen beziehen sich die Expert*innen unter anderem auf Vorfälle seit August 2022. Aber auch die Reaktion von LastPass darauf sowie die Technologie, die das Unternehmen zum Schutz seiner Nutzerschaft verwendet, stehen in der Kritik.

Bestehende Vorwürfe gegen den Passwortmanager

Wie Intego berichtet, kam es bereits im August 2022 zu einem initialen Sicherheitsleck. Damals unterrichtete LastPass seine Kundschaft, dass es einen Zugriff auf die Entwicklungsumgebung durch unautorisierte Dritte gegeben habe. Nutzungsdaten sollen dabei nicht gestohlen worden sein.

Im November veröffentlichte der Passwortmanager dann ein neues Statement. Demnach seien „bestimmte Elemente […] von Kundeninformationen“ durch Hackerinnen oder Hacker entwendet worden.

Schließlich soll LastPass im Dezember zugegeben haben, dass die von den Hackern erbeuteten Daten für einen weiteren Angriff genutzt wurden.

Man habe damit einen Mitarbeiter des Unternehmens so getäuscht, dass dieser Schlüssel zu Anmeldedaten herausgab, mit denen später Kundeninformationen eingesehen und entschlüsselt werden konnten.

Auch andere Experten üben Kritik

Laut anderen Fachleuten, wie dem Sicherheitsforscher Wladimir Palent, seien die Statements von LastPass „voll von Auslassungen, Halbwahrheiten und geradeheraus gelogen“.

Eine diesbezügliche Anschuldigung lautet, dass die von LastPass implementierten Algorithmen zur Passwortstärkung gemessen an Industriestandards nicht stark genug seien. Nutzer könnten demnach viel zu leicht gehackt werden.

LastPass-Konkurrent 1Password erklärte, es würde Angreifer nur 100 Dollar oder weniger kosten, das Masterpasswort für LastPass-Tresore zu knacken.

Quellen: Intego, Palant

Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.

Du willst mehr von uns lesen? Folge uns auf Google News.