Nachdem unbekannte Angreifer Anfang Dezember 2022 auf einen Cloudspeicher des Passwortmanager-Onlinedienst LastPass zugriffen, ist nun bekannt geworden, dass die Angreifer auch Zugriff auf Kundendaten hatten. Unter anderem seien sie an E-Mail-Adressen, Telefonnummern und Passwörter gelangt - so LastPass ein einem Statement.

Derzeit sei unbekannt, wie viele Kunden von dem Angriff betroffen sind. LastPass versichert jedoch, dass viele Daten mit 256 Bit AES effektiv vor unbefugten Zugriffen geschützt seien. Die Angreifer müssten für den Zugriff einen Schlüssel aus dem Masterpasswort der Nutzer ableiten, jedoch werde dieser nur lokal auf den Geräten der Nutzer gespeichert.

Das Unternehmen warnt jedoch vor dem Einsatz kurzer bzw. wenig komplexer Masterpasswörter. Angreifer könnten diese über Brute-Force-Attacken erraten und dann auf die Daten zugreifen. LastPass setze, um Angriffe zu erschweren, auf das Verfahren Password-Based Derivation Function 2 (PBKDF2). Das Erraten von starken, den Richtlinien von LastPass entsprechenden Masterpasswörtern soll demnach Millionen Jahre dauern.

Kunden mit schwächeren Passwörtern wird empfohlen, diese umgehend anzupassen. LastPass will laut eigenen Angaben seine gesamte IT-Infrastruktur ausgebaut haben, um die Sicherheit zu erhöhen.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE