Verwenden Sie LastPass? Sie müssen dringend wechseln, sagt Sicherheitsfirma
Es ist eine gute Idee, einen der besten Passwort-Manager zu verwenden, um Ihre Logins sicher zu halten, aber jetzt warnt ein Sicherheitsunternehmen, dass einer der beliebtesten Passwort-Manager der Welt nicht sicher zu verwenden ist.
Die außergewöhnliche Behauptung stammt von Intego, einer Firma, die sich auf Mac-Sicherheit spezialisiert hat. Intego machte seine Behauptung auf der Grundlage einer Reihe von Sicherheitsverletzungen, die LastPass in den letzten Monaten erlitten hat, der Art und Weise, wie LastPass auf diese Vorfälle reagiert hat, und der zugrunde liegenden Technologie, die LastPass zum Schutz von Kundenkonten einsetzt.
In seinem Bericht skizzierte Intego die LastPass-Saga, von der ersten Offenlegung einer Sicherheitslücke im August 2022 bis zu einer Untersuchung durch den konkurrierenden Passwort-Manager 1Password im Dezember. Diese Zeitleiste zeichnet das Bild eines Passwort-Managers mit fragwürdigen Praktiken und Technologien, so Intego.
Im August 2022 teilte LastPass den Benutzern mit, dass auf seine Entwicklungsumgebung von einem unbefugten Dritten zugegriffen wurde, aber keine Kundendaten entnommen wurden. Dann gab LastPass im November eine neue Erklärung heraus, in der es hieß, Hacker hätten „bestimmte Elemente von … Kundeninformationen“ gestohlen.
Schließlich gab LastPass im Dezember zu, dass die von den Hackern abgerufenen Daten verwendet wurden, um einen Mitarbeiter des Unternehmens dazu zu bringen, Schlüssel für einige Kundenanmeldeinformationen zu übergeben, die dann zum Zugriff auf und zur Entschlüsselung von Kundendaten verwendet wurden.
Fragwürdige Praktiken
Intego behauptet jedoch, dass Analysen Dritter zu dem Verstoß auf ein beunruhigenderes Szenario hindeuten. Laut dem Sicherheitsforscher Wladimir Palant waren beispielsweise die Aussagen von LastPass „voller Auslassungen, Halbwahrheiten und glatter Lügen“. Einer der Vorwürfe von Palant ist, dass die LastPass-Implementierung eines passwortverstärkenden Algorithmus basierend auf Industriestandards als nicht stark genug angesehen wird, wodurch die Tresore der Benutzer viel zu leicht zu hacken sind.
Der konkurrierende Passwort-Manager 1Password hat seine Meinung in die Mischung aufgenommen und behauptet, dass es einen Hacker 100 $ oder weniger kosten würde, die Master-Passwörter zu knacken, die viele LastPass-Tresore schützen, das ist die Schwäche der Hash-Methoden von LastPass.
All dies hat Intego dazu veranlasst, zu erklären: „Angesichts dessen, was wir jetzt über LastPass wissen – sowohl wie das Unternehmen arbeitet als auch über seine Technologie – empfehlen wir die Verwendung von LastPass als Passwort-Manager nicht.“
So bewahren Sie Ihre Passwörter sicher auf
Angesichts der Popularität von LastPass ist dies eine bemerkenswerte Aussage. LastPass selbst behauptet, über 33 Millionen Benutzer zu haben – wenn die Behauptungen über seine laxe Sicherheit zutreffen, ist das eine riesige Anzahl von Menschen, deren Konten, Passwörter und Kreditkartendaten jetzt alle potenziell anfällig sind.
Im Moment rät Intego LastPass-Benutzern, sofort mit der Migration ihrer Konten zu einem anderen Passwort-Manager zu beginnen. Sobald dies abgeschlossen ist, empfiehlt das Unternehmen den Benutzern, alle in LastPass gespeicherten Passwörter durch neue zu ersetzen.
Es zeigt, dass nicht einmal die beliebtesten Dienste vor Hackerangriffen und Sicherheitsverletzungen gefeit sind. Unabhängig davon, ob Sie einen Passwort-Manager verwenden oder nicht, können Sie sich schützen, indem Sie starke, eindeutige Passwörter verwenden, die nicht auf mehreren Websites verwendet werden. Auf diese Weise führt ein Verstoß nicht dazu, dass alle Ihre anderen Konten kompromittiert werden.