LastPass führt ein paar Kontoänderungen ein. Hier erfahren Sie, warum.

Ihnen ist wahrscheinlich schon aufgefallen, dass wir unsere Kunden in letzter Zeit gebeten haben, ein paar Änderungen an ihrem LastPass-Konto vorzunehmen. Unter anderem baten wir Sie, die Länge und Komplexität Ihres Master-Passworts an die empfohlenen Best Practices anzupassen sowie sich wieder für die Multifaktor-Authentifizierung anzumelden. Damit möchten wir die Datensicherheit unserer Kunden erhöhen, denn angesichts stetig zunehmender Cyberbedrohungen sind diese Änderungen wichtiger denn je. Hier erfahren Sie, welche spezifischen Gefahren uns zu einigen der erwähnten Änderungen veranlasst haben und wie diese die Bedrohungen abwehren sollen. Neue Vorgaben für Master-Passwörter Warum ist das notwendig? Die Menge macht's: Längere Passwörter sind weniger leicht zu hacken. Aber das ist nur ein Aspekt – die Passwortstärke hängt von mehreren Faktoren ab, z. B. Länge, Komplexität und Durchschaubarkeit. Die US-Behörde für Standardisierungsprozesse, das National Institute of Standards and Technology (NIST), schreibt in ihren Richtlinien für benutzergenerierte Passwörter eine Mindestlänge von acht Zeichen vor (NIST 800-3B). Wir raten allerdings zu längeren Passwörtern, denn erstens entwickeln sich die Technologien für Passwortentzifferung und Brute-Force-Angriffe in einem rasanten Tempo und zweitens hat der Mensch die Angewohnheit, Passwörter zu erstellen, die man sich einfach merken kann – und die leider auch ziemlich leicht zu erraten sind. Die neue Längenanforderung für LastPass-Master-Passwörter ist Teil einer Reihe aufeinander fußender Schutzmaßnahmen, die dazu dienen, dass unsere Kunden sich selbst besser gegen aktuelle und zukünftige Bedrohungen wappnen können. Zwar sind Master-Passwörter bei LastPass bereits seit 2018 standardmäßig zwölf Zeichen lang, allerdings konnten Benutzer die empfohlenen Standardeinstellungen bisher umgehen und auf Wunsch ein kürzeres Master-Passwort erstellen. Die Mindestlänge von zwölf Zeichen ist jetzt Pflicht, und zusammen mit der Erhöhung der PBKDF2-Iterationen, die ebenfalls in diesem Jahr eingeführt wurde, helfen wir damit unseren Kunden, stärkere und angriffssicherere Schutzmaßnahmen für den Zugang und die Entschlüsselung ihrer Daten im LastPass-Vault umzusetzen. Mehr zu den neuen Vorgaben Seit April 2023 müssen alle neuen LastPass-Kunden (sowie alle bestehenden Kunden, wenn sie ihr Master-Passwort zurücksetzen) eine Passwort-Mindestlänge von zwölf Zeichen einhalten. Ab Januar 2024 wird diese Vorgabe auf die Konten aller LastPass-Kunden ausgeweitet. Um die Einhaltung dieser Vorgabe sicherzustellen, müssen Kunden sich zunächst bei ihrem LastPass-Konto anmelden und eines der folgenden zwei Szenarien bestätigen:

• Kunden, deren Master-Passwort bereits mindestens zwölf Zeichen lang ist, müssen nichts weiter tun, da sie die Vorgabe bereits erfüllen.
• Kunden, deren Master-Passwort zu kurz ist, werden aufgefordert, ein neues, aus mindestens zwölf Zeichen bestehendes Passwort zu erstellen.

Beim Erstellen eines neuen Master-Passworts ist Folgendes zu beachten:

• Ihr Passwort muss mindestens zwölf Zeichen umfassen, aber ein längeres Passwort ist noch besser
• Verwenden Sie folgende Zeichentypen mindestens je einmal: Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen
• Sie sollten sich das Passwort leicht merken können, es sollte aber nicht leicht zu erraten sein – eine Passphrase ist eine gute Lösung
• Verwenden Sie etwas, das nur Sie kennen
• Verwenden Sie nicht Ihre E-Mail-Adresse als Master-Passwort
• Fügen Sie keine persönlichen Informationen in Ihr Master-Passwort ein
• Verwenden Sie keine Zeichenfolgen wie „1234“ oder Zeichenverdoppelungen wie „aaaa“
• Verwenden Sie Ihr Master-Passwort nicht mehrmals, z. B. für ein weiteres Konto oder eine Anwendung

Warum wurde ich noch nicht zum Ändern meines Master-Passworts aufgefordert? Diese Richtlinie wird nach und nach eingeführt. Als Erstes benachrichtigen wir Free-, Premium- und Families-Benutzer, gegen Ende Januar 2024 sind Teams- und Business-Kunden an der Reihe. Da LastPass-Kunden selbst festlegen können, wie häufig sie zur erneuten Eingabe ihres Master-Passworts aufgefordert werden sollen, können wir nicht genau abschätzen, wie lange es dauert, bis diese Initiative all unsere Kunden erreicht hat. Richten Sie vor Ändern des Master-Passworts die Kontowiederherstellung ein So ändern Sie Ihr Master-Passwort Prüfung neuer Master-Passwörter im Darkweb Ab nächsten Monat prüft LastPass zudem neue oder zurückgesetzte Master-Passwörter gegen eine Datenbank gehackter Anmeldedaten, um sicherzustellen, dass das gewünschte Passwort nicht zuvor im Darkweb preisgegeben wurde. Taucht das Passwort im Zusammenhang mit einer früheren Datensicherheitsverletzung auf, wird eine Sicherheitswarnung eingeblendet, in der der Kunde darüber informiert und zur Eingabe eines anderen Passworts aufgefordert wird. Warum ist das notwendig?  Das ist einfach zu beantworten: Preisgegebene Passwörter sind leicht zu knacken. Moderne Passwort-Cracking-Tools können Listen bekannter Passwörter in ihr Dataset aufnehmen, sodass sie die Anmeldedaten betroffener Konten noch schneller erraten. Wir lassen nur Passwörter zu, die noch nicht zuvor veröffentlicht wurden, und sorgen damit dafür, dass die Passwörter um einiges schwieriger zu knacken sind. Was ist die Darkweb-Überwachung? So aktivieren Sie die Darkweb-Überwachung in LastPass Erneute Anmeldung bei der Multifaktor-Authentifizierung (MFA) Bereits im Mai 2023 begann LastPass, die erneute MFA-Anmeldung für diejenigen Business-Kunden ohne Verbundanmeldung zu vereinfachen, die gängige Authentifikatoren wie Microsoft Authenticator, Google Authenticator oder LastPass Authenticator verwenden. Die erneute Anmeldung für die Grid-Authentifizierung wird in Kürze folgen, und die Kunden können sich dann über Microsoft oder Google neu anmelden. Warum ist das notwendig?  Wie wir bereits im März 2023 in unserer Mitteilung zu den Sicherheitsvorfällen erwähnten, muss die MFA zurückgesetzt werden, um das verbleibende Risiko zu minimieren, das sich aus der vorherigen Preisgabe des Backups der LastPass-MFA-/Verbundanmeldungsdatenbank ergab. Falls Sie das noch nicht getan haben, sollten Sie eine manuelle Neuanmeldung bei der MFA für alle Kunden ohne Verbundanmeldung initiieren. Eine detaillierte Anleitung finden Sie in unserem Sicherheitsbericht. Fazit Diese Änderungen sollen die Sicherheit unserer Kunden erhöhen. Wir wappnen uns damit gegen Cyberbedrohungen, die ständig im Wandel begriffen sind. LastPass fordert Sie nie ohne guten Grund auf, Maßnahmen zu ergreifen oder Änderungen vorzunehmen, und wir erläutern den jeweiligen Grund stets so transparent wie möglich. Folgen Sie den Blogposts von LastPass Labs, um sich über zukünftige Änderungen und die neuesten Cyberbedrohungen zu informieren, die für Authentifizierungsmethoden, unsere Branche und unsere Kunden gefährlich werden können.