Passwörter-Leak: Schwere Vorwürfe gegen LastPass
Der Umgang von LastPass mit dem Datenleck bei seinem Passwort-Manager lässt die Wogen bei mehreren Sicherheitsforscher*innen hochgehen. Einer davon ist Wladimir Palant. Er zerpflückt die Stellungnahmen von LastPass zu dem Vorfall und behauptet, sie seien voller Auslassungen, Halbwahrheiten und offener Lügen.
Einfach einsehbare URLs
LastPass hat es offenbar als unbedenklich angesehen, Webseiten-URLs in den Einträgen von Nutzer*innen nicht zu verschlüsseln. Sie wurden als Klartext gespeichert, was es Hackern leichter machen könnte, zielgerichtete Phishing-E-Mails an Betroffene zu verschicken. Außerdem seien manche URLs mit Parametern versehen, die es z.B. erlauben können, Passwörter auf Webseiten zurückzusetzen.
Weiters kritisiert wird die Behauptung von LastPass, Nutzer*innen seien weiterhin sicher vor Cyberkriminellen, weil es schwierig sei, Master-Passwörter zu knacken. Diese seien mit einer Verschlüsselung gesichert, die "stärker als üblich" sei. Wie Betanews berichtet, sieht Palant dies ganz anders. Neueste Empfehlungen sehen wesentlich stärkere Algorithmen vor. LastPass habe sein Verfahren dagegen seit 2018 nicht verbessert.
Vieles bleibt unverschlüsselt
Wie Winfuture berichtet, kritisiert ein weiterer Sicherheitsforscher, Jeremi Gosney, eine andere Behauptung von LastPass. Das Unternehmen besitze nicht "null Wissen" über Anmeldungsvorgänge der Nutzer*innen seines Passwort-Managers. Stattdessen werde jede Anmeldung protokolliert. Die Software speichere viel mehr Daten unverschlüsselt, als es scheint: "Die meisten Leute stellen sich ihren Tresor als eine Art verschlüsselte Datenbank vor, in der die gesamte Datei geschützt ist, aber nein – bei LastPass ist ihr Tresor eine Klartextdatei und nur ein paar ausgewählte Felder sind verschlüsselt."