So werden LastPass-Benutzer vor der Wiederverwendung von Passwörtern geschützt

Die IT-Sicherheitsschlagzeilen der letzten Wochen wurden von Berichten zu Datenlecks und Sicherheitsvorfällen bei namhaften Portalen wie LinkedIn und MySpace beherrscht. Bei Hackerangriffen auf diese Netzwerke wurden mehrere Millionen Zugangsdaten, also Benutzernamen und Passwörter, erbeutet und veröffentlicht. Angreifer machen sich diese Zugangsdaten einfach zunutze, indem sie versuchen, sich mit derselben Kombination aus Benutzername und Passwort auf verschiedenen Websites anzumelden.

Bei diesem sogenannten Password-Reuse-Angriff können sich Angreifer schnell Zugang zu Konten auf anderen Websites verschaffen, da Benutzer für verschiedene Konten häufig dieselben Passwörter benutzen. Dabei weist die Website, auf die sich auf diese Weise Zugang verschafft wurde, keine Sicherheitslücke auf, doch deren Benutzer sind in Gefahr, wenn sie für verschiedene Websites dasselbe Passwort verwenden. Auch als einer der beliebtesten Passwort-Manager auf dem Markt ist unser Service vor Angriffen dieser Art nicht gefeit. Wir setzen jedoch alles daran, um unsere Benutzer zu schützen. Und da dasselbe Passwort häufig auf verschiedenen Websites verwendet wird, müssen wir unsere Benutzer manchmal auch vor sich selbst schützen.

Unser Team an Sicherheitsingenieuren durchsucht das Internet kontinuierlich nach Benutzernamen und Passwörtern, die nach einem Hackerangriff auf eine Website gestohlen wurden. Sobald uns ein neues Datenleck bekannt wird, beschaffen wir uns umgehend die Listen mit den erbeuteten Benutzernamen und Passwörtern und gleichen diese mit unserer eigenen Datenbank ab. Stimmen diese Daten mit denen eines LastPass-Kontos überein, wird dieses Benutzerkonto sofort deaktiviert, um den Vault des Benutzers zu schützen. LastPass verfolgt diese Strategie zum proaktiven Schutz unserer Benutzer bereits seit Jahren.

Welche Schritte haben wir unternommen?

Bei dem kürzlich bekannt gewordenen Datendiebstahl bei LinkedIn handelt es sich nicht um einen aktuellen Angriff. Die Daten wurden bereits vor einigen Jahren gestohlen, aber erst jetzt im Netz zum Verkauf angeboten. Daraufhin haben wir alle LastPass-Benutzerkonten deaktiviert, die mit den gestohlenen Zugangsdaten übereinstimmen. An dieser Stelle sei noch einmal gesagt, dass LastPass selbst nicht von einem Angriff oder Sicherheitsvorfall betroffen war. Bei der Deaktivierung des Kontos handelt es sich lediglich um eine Maßnahme unsererseits, um Benutzer zu schützen, die ihr Passwort auch auf angegriffenen Websites verwendet haben.

Verfügt LastPass über mein Master-Passwort?

Nein, Ihr Master-Passwort ist für LastPass unbekannt. LastPass lässt Passwörter, die von anderen Websites gestohlen wurden, mithilfe von Skripten ausführen, um damit einen Login-Versuch zu simulieren. Das Skript nutzt den Standard-Hash-Algorithmus PBKDF2, der von LastPass bei jedem Login angewendet wird. Dadurch können wir feststellen, ob das Passwort, das Sie eingegeben haben, korrekt ist. Anschließend vergleichen wir das Ergebnis des Skriptes mit dem Passwort-Hash, der in unserer Datenbank gespeichert ist. Stimmen die Passwort-Hashes überein, können wir daraus ableiten, dass das Passwort auch in Ihrem LastPass-Konto verwendet wurde, und Ihr Konto wird deaktiviert.

Was können LastPass-Benutzer tun?

Wenn Ihr Konto deaktiviert wurde, werden Sie dazu aufgefordert, sich von einem vertrauenswürdigen Standort aus einzuloggen, um Ihr Konto zu verifizieren und erneut zu aktivieren. So können Sie Ihr Konto erneut aktivieren:

  1. Loggen Sie sich im Web-Vault https://lastpass.com/ ein.
  2. Daraufhin wird Ihr Konto erneut aktiviert.
  3. Loggen Sie sich nun über die Erweiterung oder den Web-Vault ein. Sie werden dann auf die Seite zum Zurücksetzen Ihres Master-Passworts geleitet.

Wenn bei Ihrem Login-Versuch die Nachricht angezeigt wird, dass Ihr Konto deaktiviert ist, rufen Sie die Seite https://lastpass.com auf, um die Verifizierung zu starten. Wenn Sie sich über ein unbekanntes Gerät oder von einem neuen Standort aus einloggen, werden Sie aufgefordert, ein Gerät bzw. einen Standort (IP-Adresse) auszuwählen, von dem Sie sich zu einem früheren Zeitpunkt bereits angemeldet haben.

Nachdem der Vorgang abgeschlossen ist, können Sie Ihr Konto entsperren und Ihr Master-Passwort aktualisieren, indem Sie ein neues sicheres Passwort eingeben.

Wir raten dazu, den LastPass-Sicherheitstest durchzuführen. Prüfen Sie damit, ob sich in Ihrem Vault doppelt verwendete Passwörter befinden. LastPass unterstützt Sie dabei, diese Passwörter durch sichere, individuelle Passwörter zu ersetzen. Auch wenn Sie Ihr LastPass-Master-Passwort nur einmal verwenden, empfehlen wir, den Sicherheitstest durchzuführen. Nur so können Sie absolut sicher sein, dass Sie für jede Website ein anderes Passwort verwenden.