LastPass verschlüsselt URLs. Was bedeutet das für Benutzer und Administratoren?
Der beliebte Passwort-Manager von LastPass wird von Millionen Menschen und hunderttausenden Unternehmen weltweit genutzt. Sicherheit und Datenschutz sind uns ein wichtiges Anliegen. In den vergangenen 18 Monaten haben wir deshalb viel Zeit und Mühe in eine noch stärkere Sicherheit investiert, die Benutzer dennoch nicht einschränkt. Auch unsere Security Operations und den Datenschutz haben wir verbessert.
Diese Entwicklung geht nun weiter mit der Verschlüsselung der in LastPass-Vaults gespeicherten URLs.
Warum diese Verschlüsselung – und warum gerade jetzt? Dieser Artikel erläutert Hintergründe und aktuelle Entwicklungen. Was hat es mit der URL-Verschlüsselung auf sich? Und inwiefern sind die Vaults unserer Benutzer dadurch besser geschützt? Lesen Sie weiter.
Der Weg zur URL-Verschlüsselung
Im Moment ist es so: Jedes Mal wenn Sie eine Website aufrufen, prüft LastPass, ob ihre URL bereits in Ihrem Vault gespeichert ist, um zu ermitteln, ob auf dieser Website befindliche Felder automatisch ausgefüllt werden könnten und sollten. Dazu gleicht LastPass die URL im Browser mit den (bislang noch) unverschlüsselten URL-Feldern in Ihrem Vault ab. Findet LastPass einen passenden Eintrag, werden die Website-Felder im Browser automatisch ausgefüllt.
Warum wurden URLs in den Vaults bisher noch nicht verschlüsselt? Weil 2008, als LastPass auf den Markt kam, die technischen Gegebenheiten noch ganz andere waren. Damals beanspruchte Datenentschlüsselung noch sehr viel Rechen- und Speicherleistung – mit entsprechender Auswirkung auf die Performance von Computern und Mobilgeräten, die nicht so leistungsstark waren. Vorgänge verlangsamten sich dadurch und der Akkuverbrauch bei Mobilgeräten stieg.
Zugunsten einer zufriedenstellenden User Experience entschied sich LastPass also dafür, die URLs in den Vaults nicht zu verschlüsseln. Im Laufe der Zeit kamen noch weitere URL-Abgleichsfunktionen hinzu, etwa die Funktion für äquivalente Domains.
Beschränkungen in puncto Rechenleistung und Speicher sind glücklicherweise heute bei den meisten Geräten kein Thema mehr. Deshalb kann LastPass nun alle URL-bezogenen Felder in Ihrem Vault verschlüsseln, ohne dass das Nutzungserlebnis davon beeinträchtigt würde.
Warum ist URL-Verschlüsselung wichtig?
URLs lassen unter Umständen Rückschlüsse auf das Konto zu, das mit Ihren gespeicherten Zugangsdaten verbunden ist (z. B. Banking, E-Mail oder Social Media).
Wenn wir die mit Ihren Konten assoziierten URLs sowie alle anderen im Vault gespeicherten Felder zur Eingabe vertraulicher Daten verschlüsseln, erweitert dies unsere Zero-Knowledge-Architektur. Es verbessert den Datenschutz und senkt das Risiko, indem zu bestimmten Diensten oder Konten gehörige im Vault gespeicherte URLs stets vertraulich bleiben.
Die Einführung der URL-Verschlüsselung erforderte ein Re-Engineering von LastPass sowie ein Refactoring betreffend die fast allen Client- und Backend-Komponenten eigene Funktionsweise. Eine solche Änderung ist nicht von jetzt auf gleich vollbracht, aber wir sind bereits entscheidend vorangekommen. Die Auslieferung der URL-Verschlüsselung steht kurz bevor. Damit sie wirksam wird, müssen auch unsere Kunden etwas tun.
Was kommt jetzt auf Kunden zu?
Die URL-Verschlüsselung wird in zwei Phasen eingeführt. Die erste Phase ist voraussichtlich bis Ende Juni abgeschlossen; das Roll-out wird im Juli starten. Privatbenutzer und Unternehmensadministratoren werden dann per E-Mail zu weiteren Schritten informiert, und wir werden mit der Verschlüsselung der primären URL-Felder der aktuell in den Vaults gespeicherten Konten beginnen. Verschlüsselt werden auch alle Konten, die nach der Änderung neu hinzukommen oder bearbeitet werden. Bei dieser Gelegenheit werden wir außerdem das veraltete und deshalb nicht mehr benötigte Duplikat-URL-Feld löschen.
In der zweiten Phase – nach derzeitigem Stand im Laufe der zweiten Hälfte von 2024 abgeschlossen – werden die verbleibenden sechs URL-bezogenen Felder in den LastPass-Vaults verschlüsselt. Eine Übersicht aller acht URL-bezogenen Felder finden Sie hier.
Wichtig: Aktuell müssen Benutzer und Administratoren nichts unternehmen. In den kommenden Monaten wird allen LastPass-Benutzern Schritt für Schritt erklärt, wie sie das Upgrade nach Phase eins der URL-Verschlüsselung abschließen und was sie zur Vorbereitung der sich daran anschließenden Verschlüsselung der restlichen URL-Felder tun müssen. Auch zu Funktionen, die nur LastPass-Business-Abonnements betreffen, wird es entsprechende Anweisungen geben.
Unser Ziel: mehr Sicherheit
Wir möchten den Vault unseres Passwort-Managers maximal sicher machen – ohne Einbußen bei der Benutzerfreundlichkeit. Die URL-Verschlüsselung ist ein weiterer Meilenstein auf dem Weg dorthin. Cybersicherheit ist kein starres Ziel, sondern ein Weg, den man fortwährend begeht, und wir setzen uns weiter dafür ein, dass LastPass auf einem Fundament aus Innovation, Sicherheit, Datenschutz und Vertrauen ruht.
Weitere Informationen zu unserem Einsatz für mehr Sicherheit und den dazu bislang ergriffenen Maßnahmen finden Sie hier.
