Am 1. März 2023 veröffentlichte der Passwort-Manager LastPass ein Update zu zwei Sicherheitsvorfällen, die in den letzten Monaten aufgetreten sind.
Eine böswillige Person hatte Zugriff auf vertrauliche Daten, die auf den Servern des Passwort-Managers gespeichert sind.
Was bedeutet das genau? Was ist passiert und welche Daten wurden kompromittiert? Welche Auswirkungen hat dies auf meine gemeinnützige Organisation und wie kann ich darauf reagieren?
Wir haben die Vorfallmeldungen gelesen und präsentieren Ihnen die wichtigen Informationen für Ihre NPO im Klartext.
Inhalt
Um das Folgende vollständig zu verstehen, empfehlen wir Ihnen, mit einigen Erklärungen zu beginnen, wie LastPass und Passwort-Manager im Allgemeinen funktionieren.
Ein Passwort-Manager ist ein Tool, das alle Ihre Passwörter sicher speichert, sodass Sie sich diese nicht mehr merken müssen.
Konkret werden die Passwörter in einer Datenbank gespeichert verschlüsselt. Für den Zugriff auf die Passwörter ist der Entschlüsselungsschlüssel erforderlich. Dieser Schlüssel wird durch ein einziges Passwort repräsentiert: Ihr Master-Passwort.
Der Vorteil dieses Systems ist, dass Sie sich nur ein Passwort merken müssen, anstatt ein Passwort pro Website.
Vorfälle
LastPass hat zwei Vorfälle gemeldet, die sich im Jahr 2022 ereignet haben.
Erster Vorfall
Ein Angreifer verschaffte sich Zugriff auf den Computer eines Softwareentwicklers von LastPass. Von diesem Computer aus konnten sie auf vertrauliche Informationen von LastPass zugreifen, aber keine Kundeninformationen. Die vom Angreifer während dieses Vorfalls gesammelten Daten ermöglichten es ihm, einen zweiten Angriff zu starten.
Zweiter Vorfall
Der Angreifer zielte dieses Mal auf einen Systemtechniker des Unternehmens, der ihm den Zugriff auf eine Datensicherung mit Kundendaten ermöglichte.
Kompromittierte Daten
Der Angreifer hatte Zugriff auf die folgenden vertraulichen Daten:
- Bestimmte E-Mail-Adressen;
- Die verschlüsselte Datenbank mit allen Kundenpasswörtern;
- Metadaten nicht angegeben. Dies können beispielsweise Informationen über Ihren Standort oder die Art der verwendeten Hardware sein;
- Telefonnummern verwendet fürZwei-Faktor-Authentifizierung;
- Eindeutige Kennungen der Zwei-Faktor-Authentifizierung pro Anwendung.
Die Risiken für NPOs
Die Datenbank mit den Passwörtern wird mit einem eindeutigen Schlüssel pro Kunde verschlüsselt. Dieser Schlüssel ist mit Ihrem Master-Passwort verknüpft. Das bedeutet, dass das Risiko von seiner Komplexität abhängt.
Wenn Sie ein komplexes Passwort mit mehr als 12 Zeichen verwendet haben, ist es unwahrscheinlich, dass der Angreifer Ihre Passwörter jemals knacken kann. Wenn Sie ein kurzes und einfaches Passwort verwendet haben, ist das Zugriffsrisiko größer.
Das wahrscheinlichste Risiko ist das von Phishing. Da der Angreifer Zugriff auf die Telefon- und E-Mail-Nummern bestimmter Kunden hat, kann er versuchen, Sie zu kontaktieren, indem er sich als LastPass ausgibt, um an vertrauliche Informationen oder Ihr Passwort zu gelangen. LastPass wird Sie niemals kontaktieren, um Sie nach diesen Informationen zu fragen.. Wenden Sie sich im Zweifelsfall direkt an sie ihre Webseite.
Dann kommt das Risiko der Zwei-Faktor-Authentifizierung hinzu. Mit der eindeutigen Kennung könnte der Angreifer zusätzlich zu Ihrem Master-Passwort Codes generieren, die für die Anmeldung bei Ihrem Konto erforderlich sind.
Zu ergreifende Maßnahmen
In seiner Pressemitteilung klassifiziert LastPass die zu ergreifenden Maßnahmen in zwei Kategorien, je nachdem, ob Sie ein „persönliches oder familiäres“ oder „berufliches“ Konto verwenden.
Persönliches oder Familienkonto
1. Ist Ihr Master-Passwort komplex?
Wenn Ihr Master-Passwort nicht länger als 12 Zeichen inklusive mindestens zwei Varianten (Ziffern, Großbuchstaben, Sonderzeichen) ist, leicht zu erraten ist und/oder auch anderweitig verwendet wird, raten wir Ihnen zu einer Änderung.
Verfahren zum Ändern des Master-Passworts.
2. Ändern Sie die Konfiguration der Anzahl der Iterationen des Master-Passworts
Um Ihr Master-Passwort sicherer zu machen, durchläuft LastPass es durch einen Prozess namens Hasch. Dieser Vorgang wird viele Male wiederholt. 100100 Mal für die meisten Konten. LastPass empfiehlt jetzt, diesen Wert auf 600000 zu ändern.
Verfahren zum Ändern der Anzahl der Iterationen
3. Verwenden Sie die Zwei-Faktor-Authentifizierung?
Wenn Sie bereits die Zwei-Faktor-Authentifizierung pro App für LastPass verwenden, ist es wichtig, Ihr eindeutiges Flag zu ändern.
Verfahren zum Ändern der eindeutigen Kennung der Zwei-Faktor-Authentifizierung:
Wenn Sie die Zwei-Faktor-Authentifizierung über das Telefon verwenden oder die Zwei-Faktor-Authentifizierung nicht verwenden, empfehlen wir Ihnen, diese zu aktivieren.
Verfahren zum Aktivieren der Zwei-Faktor-Authentifizierung
4. Überprüfen Sie Ihre Sicherheitsbewertung
LastPass bietet ein Tool zur Berechnung Ihrer Sicherheitsbewertung. Dieses Tool überprüft mehrere Faktoren wie:
- Die Einzigartigkeit Ihrer Passwörter;
- Das Erscheinen Ihrer personenbezogenen Daten in Vorfallberichten oder auf der dunkles Netz;
- Die Komplexität Ihrer Passwörter.
Erläuterungen zur Verwendung des LastPass Secure Score Tools.
5. Bleiben Sie dran
Behalten Sie die Nutzung Ihrer Online-Konten im Auge. Wenn Sie sich bei einer Website oder Anwendung nicht sicher sind, ändern Sie das Kennwort. Es ist auch eine Gelegenheit, einfache Passwörter durch komplexere Passwörter zu ersetzen und die Zwei-Faktor-Authentifizierung für alle Dienste zu aktivieren, die sie anbieten.
Professionelles Konto
Wenn Sie ein professionelles Konto verwenden, gelten die obigen individuellen Empfehlungen für alle Teammitglieder.
Der Unterschied besteht darin, dass bei diesen Konten eine Person für die Verwaltung des Kontos verantwortlich ist und die Möglichkeit hat, dem gesamten Team Regeln und Änderungen aufzuerlegen, wie zum Beispiel die Mindestkomplexität des Master-Passworts oder dessen Änderung.
Wenn Sie für die Verwaltung des LastPass-Kontos Ihrer Organisation verantwortlich sind, empfehlen wir Ihnen, unsere Ratschläge mit Ihrem Team zu teilen und sie durchzusetzen.
Da Sie darüber hinaus erheblichen Zugriff auf das Konto der Organisation haben, ist es wichtig, dass Sie alle Sicherheitsmaßnahmen auf Ihr Konto anwenden.
Sollten wir LastPass verlassen oder es vermeiden?
LastPass war gerade das Ziel eines Sicherheitsvorfalls. Es ist normal, die Frage zu stellen und sich zu fragen, ob Ihre Passwörter nicht woanders sicherer wären.
Unserer Meinung nach entsprechen die Maßnahmen, die LastPass zum Schutz Ihrer Passwörter ergriffen hat, den Empfehlungen für 2023. Wettbewerber sind den gleichen Angriffsrisiken ausgesetzt.
Heute wurde LastPass angegriffen, morgen könnten es BitWarden, Dashlane oder 1Password sein. Und das Ergebnis wäre sicherlich dasselbe.
Dieser Angriff beweist uns einmal mehr, dass das schwache Glied in der Sicherheit generell der Mensch ist. Der beste Weg, sich zu schützen, besteht darin, sich vor Phishing zu hüten und die uns zur Verfügung stehenden Sicherheitstools zu verwenden:
- Langes und komplexes Passwort
- Zwei-Faktor-Authentifizierung
- Passwortmanager
Fragen ?
Wenn Sie Fragen zum Inhalt dieses Artikels, zur Cybersicherheit oder zu Digital for Nonprofits im Allgemeinen haben, schreiben Sie uns. Es wird uns eine Freude sein, unser Wissen zu teilen.
