LastPass-Sicherheitslücken-Update – 22. August – 22. Dezember

26. Januar, Update 3:

CyberHoot hat einen neuen LastPass-Artikel: Der letzte Tropfen, der das Fass zum Überlaufen bringt separat mit Kriterien zur Auswahl eines Ersatz-Passwortmanagers.

23. Dezember 2022 Update 2:

Naked Security hat Dieser Artikel Sie schildern ihre Einschätzung zum LastPass-Datenleck und geben zu, dass verschlüsselte Tresore gestohlen wurden. Sie bieten hilfreiche Kommentare und Einblicke. Das hat CyberHoot zum Nachdenken gebracht …

Wir haben unsere Kreditkarteninformationen in LastPass gespeichert, um das Ausfüllen von Formularen zu vereinfachen. Werden wir unsere Kreditkarten sperren und neu ausstellen? Persönlich gesprochen, werde ich das nicht tun. Mein Master-Passwort war so lang und komplex, dass der erforderliche Aufwand zum Knacken laut diesem Passwortstärkemesser der Website war: 7 Billiarden Jahre, puh! Das ist eine Erleichterung.

23. Dezember 2022: Update zum CyberHoot LastPass-Datenleck:

LastPass hat neue Informationen zu seiner jüngsten Sicherheitslückenmeldung vom 30. November veröffentlicht, in der die Überwachung eine neue Sicherheitslücke (im Zusammenhang mit der Sicherheitslücke im August) identifizierte. In diesem Update vom 12 gibt das Unternehmen zu, dass 22-Bit-AES-verschlüsselte Client-Passwort-Tresore von Drittanbietern gestohlen wurden. Dies ist das erste Mal, dass das Unternehmen einräumt, dass Kundendaten gefährdet waren. Hier ist seine Einschätzung der Situation:

22. Dezember, LastPass-Blog-Update:  

Wenn Sie die oben genannten Standardeinstellungen verwenden, würde es Millionen von Jahren dauern, Ihr Master-Passwort mit allgemein verfügbarer Passwort-Knacktechnologie zu erraten. Ihre sensiblen Tresordaten wie Benutzernamen und Passwörter, sichere Notizen, Anhänge und Formularfelder bleiben dank der Zero-Knowledge-Architektur von LastPass sicher verschlüsselt. Derzeit gibt es keine empfohlenen Maßnahmen.

Beachten Sie jedoch, dass sich die Anzahl der Versuche, das Master-Passwort richtig zu erraten, deutlich verringert, wenn Ihr Master-Passwort nicht die oben genannten Standardeinstellungen verwendet. In diesem Fall sollten Sie als zusätzliche Sicherheitsmaßnahme die Passwörter der gespeicherten Websites ändern, um das Risiko zu minimieren.

Was bedeutet das also für alle LastPass-Benutzer da draußen oder für Unternehmen, die LastPass für ihre Benutzer bereitgestellt haben? Tatsächlich eine Menge Arbeit.

Folgenabschätzung von CyberHoot:

Unsere Mitarbeiter wissen, dass Folgendes zutrifft: In vielen der LastPass-Umgebungen, die wir im letzten Jahrzehnt betreut haben, haben wir trotz unserer Schulungsvideos und unserer Passwortrichtlinien, die Passwörter mit mindestens 14 Zeichen vorschreiben (2 länger als die LastPass-Standards), viele Master-Passwörter gesehen, die SCHWACH. Angesichts der allgemein mangelnden Passworthygiene im Allgemeinen zwingen diese neuen Informationen über Sicherheitsverletzungen bei LastPass CyberHoot dazu, jedem, der LastPass privat oder in seinem Unternehmen verwendet, die folgenden Empfehlungen auszusprechen:

1. Informieren Sie Ihre Benutzer über diesen Verstoß und geben Sie Folgendes an: „Zählen Sie noch heute die Länge Ihres Passworts. Wenn Ihr Master-Passwort weniger als 12 Zeichen lang ist, müssen Sie es noch heute ändern."
2. Wenn Ihr Master-Passwort 12 oder mehr Zeichen umfasst, können Sie die folgenden Hinweise befolgen. Wir halten dies jedoch nicht für unbedingt notwendig. Sie können direkt zu Schritt 100 weiter unten springen. Wenn Ihr Passwort jedoch kürzer ist, insbesondere 3.3 oder 8 Zeichen oder weniger, fahren Sie mit Schritt 9 fort.
3. Wenn Sie Ihr Master-Passwort aufgrund der oben genannten Empfehlung Nr. 1 ändern, dann tun Sie dies auch JEDES DER Folgenden:
   1. 1. Machen Sie das neue Master-Passwort zu einer 14 bis 20 Zeichen langen Passphrase! Beachten Sie dies CyberHoot-Passwörter und Passphrasen-Video für hilfreiche Tipps.
      2. Ändern Sie die Passwörter für ALLE IHRE WICHTIGEN KONTEN, die in Ihrem Passwort-Tresor gespeichert sind[Hinweis: Ja, wir hören den allgemeinen Protest über diesen Vorschlag. Tun Sie es trotzdem.] Der Grund: Wenn Sie ein kurzes Passwort haben, das mit Brute-Force-Methoden geknackt werden könnte, sind alle Ihre Passwörter gefährdet. Sie haben nur ein kurzes Zeitfenster, bevor die LastPass-Hacker theoretisch Ihren Vault angreifen und Ihr Konto mit Brute-Force-Methoden knacken können. Ändern Sie daher vorsichtshalber alle Ihre wichtigen Kontopasswörter, um sie vor Kompromittierung zu schützen.CyberHoot-Tipp: Ändern Sie zuerst Ihr E-Mail-Passwort, wenn Sie es nicht an die Multi-Faktor-Authentifizierung (auch bekannt als MFA) gebunden haben.
      3. Aktivieren Sie den Multi-Faktor-Zugriff auf Ihren LastPass-Passworttresor.  Verwenden Sie eine Authentifizierungs-App (es muss nicht LastPass Authenticator sein). Authentifizierungs-Apps sind sicherer als MFA für Textnachrichten. [CyberHoot-Hinweis: Die Aktivierung von MFA trägt NICHTS zum Schutz der gestohlenen Tresore bei diesem LastPass-Angriff bei. Die Diebe werden versuchen, die Passwort-Tresore ausschließlich aufgrund der Stärke (Länge) des von Ihnen festgelegten Master-Passworts zu knacken.]
4. Dieser Schritt gilt für ALLE. Aktivieren Multi-Faktor-Authentifizierung (MFA), mit einer Authenticator-App, oder, wenn Sie wirklich sicherheitsbewusst sind, mit einem Yubikey Hardware-Token für alle Ihre Online-Konten, die MFA unterstützen. Dies verhindert, dass selbst ein gehackter LastPass-Tresor Ihre MFA-geschützten Konten kompromittiert. MFA ist Ihr Freund. Es mag manchmal lästig erscheinen, aber die Wahrheit ist: Ein kompromittierter Zugriff ist weitaus schmerzhafter.  Tun Sie dies noch heute.

CyberHoot LastPass-Lebensfähigkeit:  Q: Hält CyberHoot LastPass angesichts dieses und früherer Datenlecks für eine praktikable Lösung?

Antwort: Diese Frage können wir Ihnen nicht beantworten. Für Cyberhoot werden wir weiterhin LastPass verwenden, da wir mittlerweile voll und ganz auf sie vertrauen. Unsere Master-Passwörter sind weitaus länger als 12 Zeichen, sodass unser Tresordiebstahl den Hackern hier wahrscheinlich nichts bringen wird. So schmerzhaft dieser Vorfall für LastPass auch war, er zeigt doch ihr Engagement für Transparenz und Sicherheit.  Es wäre für sie möglicherweise viel einfacher gewesen, diesen Vorfall zu vertuschen, indem sie ihn unter den Teppich gekehrt hätten.  Das haben sie nicht getan. Wir wünschen uns ein transparentes Unternehmen. Das Fehler zugibt, wenn sie passieren. Das über ein fortschrittliches Monitoring verfügt, um Sicherheitsvorfälle zu erfassen (wie in diesem Fall). Und das ehrlich und offen darüber berichtet. Wir schließen mit einer Aussage, die das FBI schon lange zitiert, weil sie für ALLE Unternehmen und ALLE Anbieter von Passwort-Manager-Software gilt.

"Es gibt zwei Arten von Unternehmen auf dieser Welt: Diejenigen, die wissen, dass sie gehackt wurden, und diejenigen, die nicht wissen, dass sie gehackt wurden.“

Wir wissen, wann und wie LastPass hier gehackt wurde. Ist uns bekannt, dass auch andere Anbieter von Passwort-Managern gehackt wurden?

Volle Transparenz:  CyberHoot hat mit LastPass keinen einzigen Cent verdient, weder durch Empfehlungsprogramme noch auf andere Weise. Wir haben wahrscheinlich Tausende von Dollar an Empfehlungsgeldern liegen lassen, weil wir bei unserer Berichterstattung auf Distanz bleiben wollten.

Quellen:

Naked Security-Artikel vom 23. Dezember zum LastPass-Datenleck

LastPass-Blog beschreibt den Verstoß und die Reaktion

Sichern Sie Ihr Unternehmen noch heute mit CyberHoot!!!

Jetzt anmelden