Ist LastPass sicher? Hier ist, was wir über seine Sicherheitsgeschichte wissen

Mai 20, 2024 Eskere Guru

LastPass-Website auf einem Laptop. — Digitale Trends

LastPass war im letzten Jahrzehnt ziemlich häufig in den Nachrichten. Nach einigen Datenschutzverletzungen und Sicherheitsvorfällen fragen Sie sich möglicherweise, ob die Verwendung des bekannten Passwort-Managers jetzt sicher ist – unabhängig davon, ob Sie ein ehemaliger, aktueller oder potenzieller LastPass-Benutzer sind.

Werfen wir einen Blick auf die aktuellen Funktionen und Sicherheitsmaßnahmen von LastPass sowie auf die früheren Vorfälle.

Was ist LastPass?

Hauptseite von LastPass. — Digitale Trends

LastPass ist eine Passwortverwaltungsanwendung, die im Web, auf dem Desktop und auf Mobilgeräten sowie mit Browsererweiterungen verfügbar ist. Neben den grundlegenden Funktionen zur Passwortverwaltung bietet es Multifaktor-Authentifizierung, biometrische Anmeldung, automatisches Ausfüllen, einen Passwortgenerator und Dark-Web-Überwachung.

Aus Sicherheitsgründen verwendet LastPass AES-256-Datenverschlüsselung , PBKDF2-Hashing mit SHA-256-Salting und ein Zero-Knowledge-Modell. LastPass verfügt außerdem über mehrere Sicherheitszertifizierungen, darunter ISO 27001, TRUSTe, SOC3 und andere.

Derzeit hat LastPass über 33 Millionen Nutzer und einen geschätzten Jahresumsatz von 143,7 Millionen US-Dollar .

Das klingt alles großartig, oder? Also, was ist das Problem?

LastPass-Sicherheitsvorfälle

Konzept der Cyber-Sicherheit zerschmettert. — Madartzgraphics / Pixabay

Es gibt einen Grund, warum Leute fragen, ob die Verwendung von LastPass sicher ist. Sicherheitsverletzungen und der Diebstahl von Informationen im Laufe der Jahre geben sicherlich Anlass zur Sorge. Um mehr über diese Vorfälle zu erfahren, werfen wir einen kurzen Blick auf die Zeitleiste der Ereignisse.

2011: Sicherheitsmeldung

LastPass hat eine Unregelmäßigkeit im Netzwerkverkehr sowie eine entsprechende Unregelmäßigkeit in einer seiner Datenbanken festgestellt. Auch wenn kein konkreter Verstoß festgestellt wurde, forderte LastPass seine Benutzer auf, ihre Master-Passwörter zu ändern, aus Angst, dass einige seiner Daten gehackt worden sein könnten.

2015: Sicherheitsverletzung

LastPass teilte seiner Community mit , dass es in seinem Netzwerk „verdächtige Aktivitäten entdeckt und blockiert“ habe. In der Benachrichtigung wurde darauf hingewiesen, dass E-Mail-Adressen, Passworterinnerungen, Server-pro-Benutzer-Salts und Authentifizierungs-Hashes kompromittiert wurden. Es wurden jedoch keine Beweise dafür gefunden, dass Benutzer-Tresordaten gestohlen wurden, und es wurde angegeben, dass kein Zugriff auf Benutzerkonten stattgefunden habe.

2021: Tracker und Master-Passwörter von Drittanbietern

Ein LastPass-Benutzer hat in der mobilen Android-App mehrere Tracker von Drittanbietern entdeckt. Während ähnliche Passwort-Manager auch diese Art von Trackern enthielten, wurde darauf hingewiesen, dass LastPass zwischen 1Password, Bitwarden und Dashlane am meisten hat.

„Über diese Tracker konnten keine sensiblen, persönlich identifizierbaren Benutzerdaten oder Tresoraktivitäten übertragen werden. Diese Tracker sammeln begrenzte aggregierte statistische Daten darüber, wie Sie LastPass nutzen, die uns helfen, das Produkt zu verbessern und zu optimieren“, heißt es in der Erklärung eines LastPass-Vertreters gegenüber The Register .

Später im Jahr 2021 wurde berichtet, dass LastPass-Benutzer per E-Mail darüber informiert wurden, dass ihre Master-Passwörter kompromittiert wurden und Anmeldeversuche mit diesen Passwörtern blockiert wurden. Ein LastPass-Vertreter gab jedoch an, dass das Unternehmen diese Berichte untersucht und „festgestellt hat, dass die Aktivität mit recht häufigen Aktivitäten im Zusammenhang mit Bots zusammenhängt …“

2022: Datendiebstahl

Der wahrscheinlich denkwürdigste Sicherheitsvorfall ereignete sich, als ein Hacker eine Kopie der LastPass-Kundendatenbank sowie Passwort-Tresore und Daten wie Namen, E-Mail- und Rechnungsadressen, teilweise Kreditkartennummern und URLs stahl. Dabei handelte es sich um eine Mischung aus verschlüsselten und unverschlüsselten Daten.

Der LastPass-Sicherheitsvorfallbericht beginnt mit dem oben genannten Vorfall vom August 2022. Anschließend werden in den nächsten Monaten Updates veröffentlicht, in denen die Untersuchung ungewöhnlicher Aktivitäten in einem gemeinsam genutzten Cloud-Speicherdienst eines Drittanbieters erläutert wird, der zur Speicherung von Backups und anderen Daten verwendet wird.

Später im Jahr 2022 gab LastPass an, dass die bei dem ursprünglichen Vorfall im August erlangten Daten verwendet wurden, um Zugriff auf Kundeninformationen zu erhalten, die Passwörter jedoch weiterhin verschlüsselt blieben.

Die natürliche oder juristische Person konnte Quellcode und technische Informationen erhalten, um später einen LastPass-Mitarbeiter ins Visier zu nehmen. Sie erhielten Zugangsdaten und Schlüssel, um auf Speichervolumes innerhalb dieses Cloud-Dienstes zuzugreifen und diese zu entschlüsseln. Anschließend kopierten sie Informationen aus einem Backup, das Firmennamen, Benutzernamen, E-Mail- und Rechnungsadressen, Telefonnummern und IP-Adressen enthielt.

Im September 2023 wurde ein Zusammenhang zwischen dem Datendiebstahlvorfall im Jahr 2022 und dem Diebstahl von mehr als 35 Millionen US-Dollar an Kryptowährungen von über 150 Opfern seit dem vergangenen Dezember festgestellt.

Zusätzliche LastPass-Sicherheitsmaßnahmen

Wie bereits erwähnt, verwendet LastPass den Industriestandard für die Verschlüsselung, PBKDF2-Hashing mit Salting und eine wissensfreie Methode zum Schutz Ihrer Daten.

Darüber hinaus werden die Dienste und die Infrastruktur regelmäßigen Audits und Tests unterzogen und Benutzern wird Zugriff auf das Sicherheitsteam gewährt, um mögliche Schwachstellen zu melden. LastPass nutzt außerdem ein sogenanntes Bug-Bounty-Programm, bei dem White-Hat-Hacker gefundene Fehler einreichen können.

Sollten Sie LastPass verwenden?

Verriegelte und entriegelte Vorhängeschlösser. — Methodshop / Pixabay

Angesichts der aktuellen Sicherheitsmaßnahmen, eines guten Funktionsumfangs und Millionen von Benutzern erscheint es sinnvoll , LastPass als Passwort-Manager Ihrer Wahl zu verwenden – wenn Sie über die Sicherheitsvorfälle von über einem Jahrzehnt hinwegblicken können.

Aber darauf kommt es wirklich an. Können Sie über die Vorfälle hinwegsehen? Hätten Sie das Gefühl, dass Ihre Daten sicher sind? Wie viel Vertrauen sind Sie bereit, LastPass zu schenken?

Es gibt viele Unternehmen mit Passwortverwaltungsprodukten , die keine Schlagzeilen gemacht haben oder Vorfälle wie LastPass hatten. Und es sieht so aus, als hätte LastPass ein permanentes Ziel von Hackern und Dieben im Visier. Hoffentlich ergreift das Unternehmen die notwendigen Maßnahmen, um die Probleme zu beheben, aber jetzt müssen Sie entscheiden, ob es das Risiko wert ist.