Angreifer verschaffen sich Zugang zu LastPass-Accounts

    Derzeit erhalten einige Nutzer E-Mails, die über einen erfolgreichen Zugriff auf deren LastPass-Account informieren. Die Angreifer melden sich also mit dem korrekten Master-Passwort ein. LastPass sagt zwar, dass die korrekten Passwörter aus einem anderen Hack stammen, wo Nutzer das gleiche Passwort verwenden, aber es haben schon mehrere betroffene Nutzer berichtet, dass diese ein einzigartiges Passwort für LastPass verwenden, was die Theorie von LastPass widerlegen würde.

    LastPass-Nutzer sollten umgehend Folgendes tun:

    • Master-Passwort von LastPass ändern
    • Zwei-Faktor-Authentifizierung in LastPass einrichten
    • Alle in LastPass gespeicherten Passwörter ändern

    Ref: https://appleinsider.com/articles/21/12…een-compromised

    Zitat von Sören Hentzschel

    Die Angreifer melden sich also mit dem korrekten Master-Passwort ein.

    Unabhängig von den Passwörtern dahinter, halte ich das für die wichtige Information dahinter. Wie kommt man an ein Master-PW, dass nur dem Besitzer bekannt sein sollte? Dazu muss ja auch die Kennung (Besitzeranmeldename) bekannt sein.

    Wenn du weinen möchtest, bist du falsch hier. Hier gibt es nur Lösungen!
    Oh Herr, wirf Hirn, oder Steine - Hauptsache, du triffst endlich.
    Zu viele Goofies und Dulleks vom Dienst. Schlabokka!

    Einmal editiert, zuletzt von .DeJaVu (29. Dezember 2021 um 11:59) aus folgendem Grund: Typo

    Ganz schön heftig!

    Zitat von Sören Hentzschel

    LastPass-Nutzer sollten umgehend Folgendes tun:

    • Master-Passwort von LastPass ändern
    • Zwei-Faktor-Authentifizierung in LastPass einrichten
    • Alle in LastPass gespeicherten Passwörter ändern

    Ref: https://appleinsider.com/articles/21/12…een-compromised

    Es ist auch sinnvoll, seinen LastPass-Anmeldenamen (email-Adresse) zu prüfen auf Hacks, z.B. über den Firefox-Monitor. In meinem Fall ist meine bislang "saubere" email-Adresse vor drei Wochen dem Monitor angefügt worden; habe den Anmeldenamen jetzt auch geändert.

    "Krieg ist ein zu ernstes Geschäft, als daß man ihn den Generälen überlassen dürfte." Georges B. Clemenceau (1841-1929), Französischer Journalist und Politiker/Ministerpäsident

    Einmal editiert, zuletzt von Amsterdammer (29. Dezember 2021 um 12:00)

    Moin,

    ich nutze allein 16 verschiedene Passwörter. Alle mit Groß- und Klenschreibung, Sonderzeichen (hierbei mag macher Account nicht die Sonderzeichen, die ich möchte), sowie Zahlen. Alles hat zwischen 12 und 16 Zeichen. Bisher alles im Kopf aber auch außerhalb und sicher notiert (für den Fall der Fälle) und sie werden halbjährlich gewechselt.

    P.S. Mit der Cloud hätte ich auch so meine Bedenken. Sicherlich werde dort auch mal Daten geklaut.

    Freundliche Grüße
    Barbara

    ____________

    Weil Keepass das so bietet (nutze ich unter Android). Könnte man aber auch online speichern, damit man mit Anmeldung drauf zugreifen kann.

    Zitat von 2002Andreas

    Ich speichere meine Passwörter im Kopf

    Könnte ja dann nicht allzu schwer oder allzu viele sein ;)

    Wenn du weinen möchtest, bist du falsch hier. Hier gibt es nur Lösungen!
    Oh Herr, wirf Hirn, oder Steine - Hauptsache, du triffst endlich.
    Zu viele Goofies und Dulleks vom Dienst. Schlabokka!

    Ich kann mir nur eine merken, weil die wie bei Barbara 14-stellig aufwärts bunt gewürfelt (bis auf eine Ausnahme, weil technisch). Und halt das Passwort für die Datenbank.

    Klar gibt es Methoden, um diverse (wenige) Wörter und Zahlen zu kombinieren, damit es einfach sicherer wird, das wird sogar empfohlen. Aber selbst die (geringe) Menge könnte ich mir nicht ad hok merken, das bräuchte Zeit, und wehe es ändert sich was. Ich muss sogar überlegen, welche Checkkarte welche PIN hat, wenn ich die zücke. :D

    Wenn du weinen möchtest, bist du falsch hier. Hier gibt es nur Lösungen!
    Oh Herr, wirf Hirn, oder Steine - Hauptsache, du triffst endlich.
    Zu viele Goofies und Dulleks vom Dienst. Schlabokka!

    Das gleiche Passwort mehrfach zu verwenden, ist so ziemlich das schlimmste Foul, welches man in Bezug auf Passwort-Sicherheit begehen kann, klare Rote Karte. Dass zu einfache Passwörter wie "1234" keine Option sein können, sollte auch klar sein. Wenn man dann nicht nur auf fünf Websites einen Account hat, sondern auf deutlich mehr Websites, beglückwünsche ich denjenigen, der sich die tatsächlich alle merken kann. Bei mir zeigt about:logins in Firefox aktuell 703 (!) gespeicherte Zugangsdaten an. Und das sind nur die im Browser gespeicherten Zugangsdaten. Ohne Passwort-Manager geht das fast gar nicht, ohne andere Grundregeln der IT-Sicherheit zu missachten. Ich schreibe fast, weil ich ja schon ein paar Mal erwähnt habe, dass ich häufig Passwörter über eine Regel ableite. Aber das ist natürlich auch nicht immer und überall anwendbar. Server-Logins (sei es für Kunden oder eigene) beispielsweise sind immer komplett zufallsgeneriert, da weiß ich nicht mal die Benutzernamen auswendig.

    Zitat von schlingo

    brauche dafür aber ganz bestimmt keinen Dienst im Internet.

    Zitat von BarbaraZ-

    P.S. Mit der Cloud hätte ich auch so meine Bedenken. Sicherlich werde dort auch mal Daten geklaut.

    Zitat von 2002Andreas

    Ich würde auch niemals wichtige Daten in einer Cloud speichern.

    Generelle Vorbehalte sind auch nicht zielführend. Ich sag nur Firefox Sync. In 11 1/2 Jahren Firefox Sync (das ist nur gezählt, seit es Firefox Sync heißt; ich weiß gerade nicht, wie lange es vorher schon "Weave" gab) gab es bei Mozilla nicht einen einzigen Vorfall dieser Art. Lokal gespeichert ist nicht zwingend sicherer. Wie immer kommt es auf alle Umstände an.

    Zitat von Sören Hentzschel

    Das gleiche Passwort mehrfach zu verwenden

    Das habe ich ja auch nicht. ;)

    Ok, meine Anzahl von Passwörtern ist übersichtlich, weil ich nicht sehr viele habe.

    Zitat von Sören Hentzschel

    Generelle Vorbehalte sind auch nicht zielführend.

    Naja, kommt halt für mich immer drauf an, um was genau es dabei geht.

    Zumindest für mich gibt es keinen Grund, wichtige/persönliche Daten in einer Cloud zu haben.

    Zitat von Sören Hentzschel

    Firefox Sync. In 11 1/2 Jahren

    Jetzt kommt der Standardspruch ;)

    Irgendwann ist immer das erste Mal.

    Zitat von 2002Andreas

    Das habe ich ja auch nicht. ;)

    Ich meinte auch nicht, dass konkret du überall das gleiche Passwort verwendest. Aber ganz allgemein gesprochen: Je mehr Accounts man hat, desto weniger ist es für einen Menschen überhaupt möglich, sich die alle ohne Hilfsmittel zu merken, ohne grundlegende Sicherheitsregeln zu verletzen, indem z.B. überall oder zumindest häufig das gleiche Passwort verwendet wird oder die Passwörter sehr einfach werden. Deswegen ist so eine Aussage, sich alles zu merken und kein Hilfsmittel einzusetzen, schön und gut und mag im Einzelfall sogar funktionieren, in der Regel funktioniert es aber nicht ohne Kompromisse, die deutlich zu Lasten der Sicherheit gehen. ;)

    Zitat von 2002Andreas

    Jetzt kommt der Standardspruch ;)

    Irgendwann ist immer das erste Mal.

    Nur funktioniert dieser Standardspruch hier nicht, weil's im Falle von Mozilla egal wäre. ;) Selbst wenn es einem Einbrecher gelingen würde, die Daten vom Server zu stehlen, was bisher noch nie gelungen ist: Jeder Benutzer hat eine individuelle Verschlüsselung, die sich aus dem vom Nutzer gewählten Passwort ableitet. Selbst wenn es dem Angreifer gelingt, die Daten eines Nutzers zu entschlüsseln, bringt das dem Angreifer schon für den nächsten Nutzer gar nichts mehr. Nicht einmal Mozilla selbst kann die Daten ohne den passenden Schlüssel entschlüsseln.

    Theoretisch könnte es auch mal um einen einzelnen Nutzer gehen. Aber außerhalb von Hollywood ist das dann vermutlich gerade noch bei einem Regierungsbeamten oder einer anderen extrem wichtigen Person realistisch. ;) Du musst ja bedenken, dass der Aufwand, in eine Infrastruktur einzubrechen, die so gut geschützt ist wie die von Mozilla oder sicherlich auch LastPass, extrem hoch und außerordentlich riskant ist. Und nur mit einem Bruchteil der Daten lässt sich überhaupt was "Sinnvolles" anfangen. So ein Einbruch muss ja irgendeinen Zweck erfüllen, in der Regel wahrscheinlich monetärer Natur. Normalerweise betreffen solche Angriffe also so viele Menschen wie möglich, weil Aufwand (und je nach Aufwand vielleicht sogar Kosten), Risiko und potentieller Nutzen sonst in keinem Verhältnis stehen.

    Andererseits, wenn man das Passwort kennt und nicht erst stehlen muss (z.B. weil es aus einem anderen Diebstahl stammt und die Daten erworben wurden oder man die Person persönlich kennt und an das Passwort kam), kann man sich den Servereinbruch natürlich auch sparen. Auch wieder ein Grund, überall ein unterschiedliches Passwort zu verwenden. Und ein guter Grund, überall auf eine Zweifaktor-Authentifizierung zu setzen, wo es möglich ist. Bei LastPass ist es möglich, bei Mozilla ebenfalls. Übrigens auch bei uns im Forum. ;) Mit einem zweiten Faktor bringt einem der Zugang alleine überhaupt nichts.

    Zitat von Sören Hentzschel

    Normalerweise betreffen solche Angriffe

    Du hast natürlich recht.

    Mir ging es bei meiner Aussage auch mehr darum, nichts ist unmöglich bzw. nichts ist 100% sicher.

    Von div. Hackerangriffen liest man ja öfter mal im Internet.

    Oft sind es auch gar keine bösen Buben, sondern es wird eine Webseite/Server etc. nur ausgetestet ob es möglich ist, um dann den Betreibern davon zu berichten, damit diese Änderungen vornehmen können.

    PS:

    Wahrscheinlich liegt vieles auch an meiner pers. Einstellung.

    Ich glaube nicht alles blind was andere/Medien sagen oder im Net schreiben. ;)

    Zitat von 2002Andreas

    Ich speichere meine Passwörter im Kopf, und verlasse mich niemals auf andere.

    Ich speichere keine Daten in irgendeiner Cloud, von Mozilla Sync einmal abgesehen, da ich schon immer bezüglich der Datensicherheit misstrauisch war und bin.

    Ich könnte mir auch nicht vorstellen, ein Betriebssystem oder Programme zu nutzen, das nicht auf meinem Computer gespeichert ist. (Office 365....)

    Nun gut, in der heutigen Zeit gibt es Bereiche, wo Arbeiten in der Cloud einfach unerlässlich ist, der Rettungswagen oder das NEF fährt aber immer noch auf der Straße. ;)

    BTT: Ich gehe mal davon aus bzw. glaube, das ein Insider bei Last Pass die Hand im Spiel hatte. Vielleicht gibts da ja ne Backdoor etc. etc.

    Zitat von Sören Hentzschel

    Übrigens auch bei uns im Forum. ;) Mit einem zweiten Faktor bringt einem der Zugang alleine überhaupt nichts.

    Danke für den Tipp. :thumbup: Soeben umgesetzt. War mir noch gar nicht aufgefallen.

    Für den Firefox PM nutze ich ebenfalls die 2-Faktor Authentifizierung.

    Gruß
    dbpdw

    Ubuntu 21.10Fx snap 99.0.1

    Zitat von Sören Hentzschel

    Ich sag nur Firefox Sync.

    Hallo Sören :)

    ok, daran hatte ich jetzt nicht gedacht. Meine Aussage bezog sich auf PW-Manager wie LastPass. Fx Sync verwende ich schon.

    Zitat von Boersenfeger

    Ich könnte mir auch nicht vorstellen, ein Betriebssystem oder Programme zu nutzen, das nicht auf meinem Computer gespeichert ist. (Office 365....)

    Du kennst Microsoft 365 (den Nachfolger von Office 365)? Du kannst damit zwar (komplett) in der Cloud arbeiten, genauso aber auch komplett lokal. Microsoft 365 ist vor allem die Abo-Variante von MSO.

    Gruß Ingo

    Zitat von schlingo

    Du kennst Microsoft 365 (den Nachfolger von Office 365)? Du kannst damit zwar (komplett) in der Cloud arbeiten, genauso aber auch komplett lokal. Microsoft 365 ist vor allem die Abo-Variante von MSO.

    Zwangsläufig, da mein Arbeitgeber dieses nutzt. Privat kommt es mir nicht auf den Rechner.. :)