LastPass-Hack ist schlimmer als gedacht: Passwörter gefährdet

Anfang Dezember informierte LastPass seine Nutzer*innen über ein Datenleck. Das Unternehmen erklärte, dass ungewöhnliche Aktivitäten auf einem Cloud-Speicher festgestellt wurden, den man sich mit seiner Muttergesellschaft GoTo (früher als LogMeIn bekannt) teilt (futurezone hat berichtet). Hintergrund des Vorfalls war ein Angriff aus dem August, bei dem Quellcode von dem Dienst gestohlen wurde (futurezone hat berichtet).

Zuerst war noch unklar, welche Daten gestohlen wurden. In einem Update schreibt LastPass nun, dass es den Angreifer*innen wohl gelungen ist, verschlüsselte Datenbanken mit Nutzer*innen-Passwörtern abzugreifen. Nun könnten sie versuchen, diese Datenbanken per Brute-Force-Methode zu knacken. 

Master-Passwort

Ob die eigenen Passwörter nun gefährdet sind, hängt in erster Linie davon ab, wie sicher das eigene Master-Passwort ist. Sofern jenes lange genug ist, Sonderzeichen enthält und sonst nirgends verwendet wurde, dürfte es Millionen Jahre dauern, bis die Datenbank per Brute-Force geknackt werden kann. Schlechter schaut es aus, wenn es sich um wörterbuchtaugliche Begriffe handelt. 

LastPass schreibt, dass man derzeit keine Handlungsempfehlungen für Anwender*innen habe. Wer wirklich auf Nummer sicher gehen möchte, hat nur die Möglichkeit, jedes in LastPass hinterlegte Passwort sowie das Master-Passwort zu ändern.