Lastpass gehackt: Hier ist, was Sie tun müssen

Wir hatten LastPass so geliebt, dass wir es den besten Passwort-Manager nannten. Als vor einiger Zeit die Geschichte des Hacks ausbrach, befanden wir uns alle in einem Schockzustand. Aber bedeutet das, dass jeder LastPass fallen lassen und etwas anderes verwenden sollte? Sind Ihre Passwörter in der Cloud sicher? Können wir dem Unternehmen wieder vertrauen? Das versuchen wir herauszufinden.

Keine Panik

Dies ist natürlich das erste, was getan werden muss. Panik oder noch schlimmer, falsche Informationen über ein Medium zu verbreiten, ist einfach nicht der richtige Weg, um auf eine Krise zu reagieren. Während es natürlich ist, Angst zu haben, wenn Sie eine Nachricht wie diese lesen, müssen Sie sich darüber im Klaren sein, dass unnötige Panik einfach keinen Zweck erfüllt. In ihrem Blogbeitrag hat LastPass deutlich gemacht, und ich zitiere:

In unserer Untersuchung haben wir weder Hinweise darauf gefunden, dass verschlüsselte Benutzer-Vault-Daten verwendet wurden, noch dass auf LastPass-Benutzerkonten zugegriffen wurde.

Ja, das sagt es auch

Die Untersuchung ergab jedoch, dass die E-Mail-Adressen des LastPass-Kontos, Kennworterinnerungen, Server-pro-Benutzer-Salze und Authentifizierungs-Hashes kompromittiert wurden.

Aber was heißt das, fragst du? Einfach ausgedrückt bedeutet dies, dass alle Ihre Passwörter sicher sind, andere Informationen jedoch möglicherweise nicht. Für die wiederum hat der Blog-Beitrag bereits einige hilfreiche Tipps angegeben.

Ja, die Daten von Passwortmanagern werden in der Cloud gespeichert, die Informationen werden jedoch direkt auf Ihrem Computer verschlüsselt. Auch wenn die Cloud-Computing-Architektur ein geringes Risiko birgt, können Sie sich trotzdem darauf verlassen, dass alle verschlüsselten Daten niemals dort gespeichert werden. Welche enthalten alle Ihre Passwörter.

Hilfreicher Tipp: In unserem Ultimate Guide zu Passwörtern erfahren Sie alles über das Erstellen und Verwalten von Passwörtern im Internet.

Prävention ist immer besser als Heilung

Dieses alte Sprichwort könnte nie relevanter sein als in Zeiten des Internet-Schnüffelns und des Verlusts der Privatsphäre. Im Folgenden sind einige Schritte aufgeführt, die Sie in Bezug auf Ihr LastPass-Konto ausführen sollten, um sicherzustellen, dass Sie bei solchen Vorfällen nicht den Schlaf verlieren.

Ändern Sie das Master-Passwort

Um das Master-Passwort von LastPass zu ändern, klicken Sie einfach auf Einstellungen. Dort finden Sie links den Abschnitt Kontoeinstellungen. Wenn Sie darauf klicken, haben Sie die Möglichkeit, hier zu klicken, um die unten gezeigten Kontoeinstellungen zu starten.

Wenn Sie darauf klicken, wird eine neue Registerkarte geöffnet, in der Sie lediglich auf die Schaltfläche Change Master Password (Master-Passwort ändern) klicken und eine neuere (und stärkere) Alternative auswählen müssen.

Das ist der wichtigste Schritt, den Sie nach diesem Vorfall tun sollten!

2-Faktor-Authentifizierung und andere Sicherheitsoptionen

Wir halten es für sinnvoll, wenn immer möglich, die 2-Faktor-Authentifizierung zu verwenden, insbesondere an Orten, an denen vertrauliche Daten gespeichert sind. LastPass schlägt die Verwendung dieses Dienstes mit absoluter Korrektheit vor und wir sind der Ansicht, dass Sie dies sofort tun sollten, nachdem Sie Ihr Master-Passwort geändert haben. Wenn Sie gerade dabei sind, sollten Sie erwägen, allen Diensten, die Sie verwenden und die vertrauliche Daten enthalten, den zweistufigen Authentifizierungsfaktor hinzuzufügen.

In LastPass finden Sie Multifaktoroptionen in den Kontoeinstellungen (siehe oben). Hier finden Sie Optionen zur weiteren Sicherung Ihres LastPass-Kontos. Sie sehen auch die Option für die Rasterauthentifizierung, über die wir zuvor geschrieben haben.

Länderbasierte Einschränkung

Eine weitere Sicherheitsstufe, die LastPass seinen Benutzern bietet, ist die länderbasierte Beschränkungsrichtlinie. Sobald dies aktiviert ist, können nur Geräte, die aus dem Land Ihres Wohnsitzes stammen, auf Ihre LastPass-Daten zugreifen. Wenn ein Gerät aus einem anderen Land versucht, darauf zuzugreifen, wird eine Fehlermeldung angezeigt. Wir haben dies ausführlich behandelt und Sie sollten es auf jeden Fall lesen, wenn Sie es noch nicht getan haben.

Immer noch besorgt?

Sei nicht so. Hier gibt es nichts mehr zu tun. LastPass hat seine Sicherheit bereits aktualisiert und fordert Benutzer bereits dazu auf, per E-Mail überprüft zu werden, ob sie ein neues Gerät oder eine neue IP verwenden. Um dies zu überprüfen, haben wir genau das versucht und waren froh, Ihnen mitteilen zu können, dass dieser Schritt genauso funktioniert wie angekündigt.

Bestehende Benutzer werden ebenfalls aufgefordert, ihr Hauptkennwort zu ändern. Selbst wenn Sie diese Aufforderung nicht erhalten, bitten wir Sie, dies trotzdem zu tun. Zuletzt möchten wir Jeremi Gosney (ein Passwort-Sicherheitsexperte bei Stricture Group) zitieren, der mit Ars Technica über den Hack sprach -

Auf einer NVIDIA GTX Titan X, der derzeit schnellsten GPU für das Knacken von Passwörtern, kann ein Angreifer für einen einzelnen Passwort-Hash nur weniger als 10.000 Vermutungen pro Sekunde anstellen. Das ist richtig langsam! Sogar schwache Passwörter sind mit dieser Schutzstufe ziemlich sicher (es sei denn, Sie verwenden ein absurd schwaches Passwort.) Und dies berücksichtigt nicht einmal die Anzahl der clientseitigen Iterationen, die vom Benutzer konfiguriert werden können. Der Standardwert ist 5.000 Iterationen. Wir betrachten also mindestens 105.000 Iterationen. Ich habe tatsächlich 65.000 Iterationen eingestellt, das sind also insgesamt 165.000 Iterationen, die meine Diceware-Passphrase schützen. Also nein, ich schwitze diese Lücke definitiv nicht. Ich bin nicht einmal gezwungen, mein Master-Passwort zu ändern.

Tatsächlich verwenden einige Mitglieder unseres eigenen Teams das Tool und wir haben genau die gleichen Dinge getan, die wir oben angegeben haben. Und jetzt möchten wir das Wissen so vielen Menschen wie möglich vermitteln.

Möchten Sie Alternativen ausprobieren?

Okay, wenn Sie das Gefühl haben, dass Sie das Vertrauen in LastPass verloren haben, gibt es natürlich immer Alternativen. Wenn Sie bereit sind, ein wenig Geld (und etwas von diesem verlorenen Glauben) zu investieren, gibt es immer 1Password. Es ist die gleiche Architektur und Sicherheitsmaßnahmen im Spiel, aber Agilebits, das Unternehmen hinter 1Password, hat eine bessere Erfolgsbilanz als LastPass. Damit meinen wir, dass es nie gehackt wurde. Wurde nicht gemeldet, um genau zu sein. Noch.

Übertragen Sie Ihre Passwörter in iOS: Es ist einfach, Ihre Daten von LastPass nach 1Password für iOS zu übertragen, sobald Sie unseren hilfreichen Artikel dazu gelesen haben.

Wenn Sie nichts ausgeben möchten, gibt es eine kostenlose Alternative. Es heißt KeepPass und ist auch Open Source. Außerdem haben wir eine Anleitung geschrieben, wie Sie Ihre LastPass-Passwörter an Keepass übertragen können.

Auch wenn es nicht so praktisch ist wie 1Password, können ein paar Plugins hinzugefügt werden, um die Funktionalität des kostenpflichtigen Peers zu erfüllen. Es erfordert jedoch etwas Geduld, seien Sie also vorbereitet.

Unsere 2 Cent

Es ist sehr einfach, einem Unternehmen die Schuld zu geben und zu sagen, dass es mit Ihren Daten nicht vorsichtig umgegangen ist. Aber das ist genauso gut, als würde man bei einem Raubüberfall die Banken beschuldigen. Die Leute haben nicht aufgehört, ihr Geld dort abzulegen, und Sie sollten auch nicht aufhören, Passwortmanagern zu vertrauen, nur weil einer gehackt wurde.

Wir sagen nicht einmal, dass die Sicherheit von LastPass nachlässig war, aber sie müssen definitiv ihre Socken hochziehen. Es war nicht das erste Mal, dass eine Bedrohung in ihrem System entdeckt wurde, aber beide Male wurde nichts Großartiges gestohlen / verloren. Sie haben die Benutzer schnell und umgehend informiert und sich bereits mit dem Sicherheitsrisiko befasst, das dazu geführt hat. Mit ein wenig mehr Vorsichtsmaßnahme können Sie einen viel glücklicheren Geisteszustand sicherstellen. Wenn Sie die ganze Zeit über Ihr Bankguthaben nachdenken können, sind wir sicher, dass Sie sich ein paar Gedanken über die Passwörter machen können, die diese Passwörter auch schützen?