LastPass: Passworttresore gestohlen

Nutzer des Passwortmanagers LastPass sollten vor den Feiertagen noch einmal besondere Vorsicht walten lassen, denn Hackern ist es offenbar gelungen, die hinterlegten Kennworttresore abzugreifen. Diese sind zwar mit dem jeweiligen Masterpasswort der Nutzer verschlüsselt, doch hängt deren Sicherheit nun von der Stärke dieses Kennworts ab. Aber auch unverschlüsselte Daten wie hinterlegte URLs wurden gestohlen.

Bereits im August 2022 gelang es Hackern, in die Systeme von LastPass einzudringen. Dabei wurden anscheinend auch Daten geklaut, mit deren Hilfe die Angreifer nun an Passworttresore sowie weitere Informationen der Nutzer gelangen konnten. Die Tresore sind mit einem Masterkennwort AES-256-verschlüsselt, das LastPass noch einmal über mehrere Runden hinweg mit Salt-Werten kombiniert. Damit hängt die Sicherheit der gestohlenen Zugangsdaten von der Stärke des Masterpassworts ab, das LastPass selbst nicht bekannt ist. Daneben sind aber offenbar auch unverschlüsselte Daten in die Hände der Angreifer gelangt, darunter Webseiten-URLs, die ebenfalls sensibile Informationen beinhalten können. Details zu dem Vorfall hat LastPass in einem Blogbeitrag [1] veröffentlicht.