{"id":67627,"date":"2023-09-15T10:30:14","date_gmt":"2023-09-15T08:30:14","guid":{"rendered":"https:\/\/www.pcspezialist.de\/blog\/?p=67627"},"modified":"2024-12-03T10:50:08","modified_gmt":"2024-12-03T09:50:08","slug":"lastpass-hack","status":"publish","type":"post","link":"https:\/\/pcspezialist.de\/blog\/2023\/09\/15\/lastpass-hack\/","title":{"rendered":"LastPass-Hack und die Folgen ## Masterpassw\u00f6rter scheinbar von Hackern entschl\u00fcsselt"},"content":{"rendered":"

Passwortmanager sind eine gute Sache, denn sie dienen der Passwortsicherheit. Wenn Hacker allerdings Zugriff auf Passworttresore bekommen, kann das \u00fcble Folgen haben, wie jetzt beim LastPass-Hack aus dem vergangenen Jahr.<\/strong><\/p>\n

Hackern sind n\u00e4mlich augenscheinlich in der Lage, die Masterpassw\u00f6rter zu knacken \u2013 mit schwerwiegenden Folgen.<\/p>\n

<\/p>\n

\n

Unser Beitrag \u00fcber LastPass-Hack im \u00dcberblick:\u00a0<\/strong><\/p>\n

    \n
  1. Passwortmanager LastPass gehackt<\/a><\/li>\n
  2. Masterpassw\u00f6rter entschl\u00fcsselt<\/a><\/li>\n
  3. LastPass-Hack: Was war passiert?<\/a><\/li>\n
  4. Sind Passw\u00f6rter noch sicher?<\/a><\/li>\n
  5. Was tun nach LastPass-Hack?<\/a><\/li>\n<\/ol>\n<\/div>\n

    Passwortmanager LastPass gehackt<\/h2>\n

    Im Dezember 2022 wurde bekannt, dass der beliebte Passwortmanager LastPass gehackt<\/strong> worden war. Da die Passworttresore aber mit einem komplexen Masterpasswort<\/strong> gesichert sind, schien die Gefahr f\u00fcr Nutzer zun\u00e4chst \u00fcberschaubar.<\/p>\n

    Laut LastPass mussten Kunden nicht einmal das Masterpasswort \u00e4ndern, denn es sei \u00e4u\u00dferst schwierig, die Masterpassw\u00f6rter mit Brute-Force-Attacken<\/a> zu erraten. Wenn man sich an die Empfehlungen des Anbieters halte, wie das Masterpasswort zu erstellen sei, dauere es laut LastPass \u201eMillionen von Jahren<\/strong>\u201c\u00a0bis ein Masterpasswort geknackt\u00a0 werde.<\/p>\n

    Doch jetzt, neun Monate nach dem LastPass-Hack<\/strong> sieht die Sache anders aus: Laut KrebsonSecurity ist es den Hackern gelungen, selbst komplizierteste Masterpassw\u00f6rter zu knacken. Zwar waren diese per 256-Bit-AES<\/strong> verschl\u00fcsselt, konnten aber durch den Online-Zugriff per Brute Force gewisserma\u00dfen mit roher Gewalt erraten werden.<\/p>\n

    \"LastPass-Hack:

    Mit roher Gewalt k\u00f6nnen die Hacker die Daten aus dem LastPass-Hack entschl\u00fcsseln. Bild: \u00a9Prostock-studio\/stock.adobe.com<\/p><\/div>\n

    Masterpassw\u00f6rter entschl\u00fcsselt<\/h2>\n

    Das gro\u00dfe Problem: In vielen F\u00e4llen lag im LastPass-Tresor<\/strong> ein privater Schl\u00fcssel f\u00fcr Krypto-Wallets<\/strong>, die sogenannte \u201eSeed Phrase\u201c. Wer Zugriff auf diese Seed Phrase hat, kann auch auf die Krypto-Besitzt\u00fcmer zugreifen und ins eigenen Portemonnaie verschieben. Durch den LastPass-Hack und die Entschl\u00fcsselung von Masterpassw\u00f6rtern konnten die Cyberkriminellen<\/a> laut KrebsonSecurity bereits mehr als 35 Millionen US-Dollar<\/strong> in verschiedenen Kryptow\u00e4hrungen stehlen.<\/p>\n

    \u00dcbrigens sind nicht nur private Nutzer vom LastPass-Hack betroffen. Auch Firmenkunden<\/strong> sind zum Opfer geworden. Und zwar diejenigen, die den sogenannten Federated Login<\/strong> einsetzen. In dem Fall besteht das \u201eHidden Master Password\u201c aus den zwei Komponenten K1 und K2, wobei K1 f\u00fcr alle Mitarbeiter zug\u00e4nglich ist. Mittlerweile musste LastPass eingestehen, dass die Angreifer K2 erbeuten konnten. Kompromittieren die Angreifer einen Mitarbeiter-Account, kann er auf s\u00e4mtliche LastPass-Daten der entsprechenden Firma zugreifen.<\/p>\n

    LastPass-Hack: Was war passiert?<\/h2>\n

    Was war eigentlich die Ursache des LastPass-Hack? Bereits im August 2022<\/strong> gab es die ersten Informationen, dass Angreifer den Quellcode von LastPass-Servern kopieren konnten. LastPass versicherte zu dem Zeitpunkt allerdings, dass es keine Zugriffe auf Kundendaten gegeben habe. Im September 2022<\/strong> wurde klar, dass die Angreifer insgesamt vier Tage lang Zugriff auf die LastPass-Systeme hatten. Im Dezember 2022<\/strong> kam dann raus, dass die Kriminellen nicht nur Kundendaten einsehen konnten, sondern auch die Kennworttresore der Kunden.<\/p>\n

    Im Nachhinein musste LastPass zwei Sicherheitsvorf\u00e4lle melden: Beim ersten Angriff<\/strong> haben sich die Kriminellen \u00fcber eine Sicherheitsl\u00fccke auf dem Firmenlaptop eines Software-Technikers Zugriff auf eine cloudbasierte Entwicklungsumgebung verschafft. Dort haben Sie Quellcode, technische Informationen<\/strong> und bestimmte interne LastPass-Systemgeheimnisse<\/strong> gestohlen.<\/p>\n

    Diese gestohlenen Daten erm\u00f6glichten dann den zweiten Angriff<\/strong>, bei dem die Hacker auf einen leitenden DevOps-Techniker abzielten und Schwachstellen in einer Drittanbieter-Software ausnutzen. Die Angreifer schleusten Malware ein, umgingen vorhandene Kontrollen und verschafften sich Zugriff auf Cloud-Backups. Dabei fischten Sie Informationen \u00fcber Systemkonfigurationsdaten, API-Schl\u00fcssel, Schl\u00fcssel f\u00fcr Drittanbieter-Integrationen sowie verschl\u00fcsselte und unverschl\u00fcsselte LastPass-Kundendaten<\/strong> ab.<\/p>\n

    \"LastPass-Hack:

    Auf die Zwei-Faktor-Authentifizierung sollten Sie bei keinem Online-Zugang verzichten. Bild: \u00a9THAWEERAT\/stock.adobe.com<\/p><\/div>\n

    Sind Passw\u00f6rter noch sicher?<\/h2>\n

    Zwar werden die Passw\u00f6rter in Passwortmanagern nicht im Klartext, sondern verschl\u00fcsselt gespeichert. Doch wenn, wie jetzt geschehen, Angreifer eine\u00a0Sicherungskopie der verschl\u00fcsselten Passwort-Tresore<\/strong> der Nutzer abgreifen k\u00f6nnen, ist es nur eine Frage der Zeit, bis Passw\u00f6rter entschl\u00fcsselt werden k\u00f6nnen. Problem: Passwort-Tresore sind Datenbanken, die s\u00e4mtliche in LastPass hinterlegten Passw\u00f6rter enthalten.<\/p>\n

    Zwar macht man es den Hackern so schwer wie m\u00f6glich, auf Passw\u00f6rter zuzugreifen, indem eine kryptografische Hashfunktion<\/a> plus Salt (zuf\u00e4llige Zeichenkette, die zum Schutz vor Angriffen auf Passw\u00f6rter genutzt wird) zum Einsatz kommt, die mehrmals angewendet wird. Zum Schutz der Passw\u00f6rter setzt LastPass zudem die Password-Based Derivation Function 2 (PBKDF2) ein und setzt bei der Verwendung standardm\u00e4\u00dfig auf 100.100 PBKDF2-Wiederholungen.<\/p>\n

    Um wirklich sicher zu sein, empfiehlt das Open Web Application Security Project (OWASP) allerdings\u00a0 600.000 Wiederholungen. Zwar folge LastPass dieser Empfehlung mittlerweile, allerdings nur bei neu angelegten Accounts. Bestandskunden gucken hier in die R\u00f6hre.<\/p>\n

    Was tun nach LastPass-Hack?<\/h2>\n

    Der LastPass-Hack<\/strong> zeigt, wie schwerwiegend Sicherheitsvorf\u00e4lle<\/strong> sein k\u00f6nnen, die einen Passwortmanager<\/strong> betreffen. Wenn Sie potenziell zum Opfer geworden sind und Ihre Daten gehackt<\/a> werden konnte, sollten Sie jetzt schleunigst handeln. Folgende Tipps k\u00f6nnen wir Ihnen geben:<\/p>\n