Lastpass gehackt – was tun?
Ende vergangenen Jahres gab der Passwort-Manager Lastpass bekannt, dass ihr Betrieb gehackt wurde. Dabei ergatterten die Diebe ein Back-up mit den verschlüsselten Passwort-Tresoren der Kundinnen und Kunden. Ebenfalls sind Namen und Telefonnummern der Nutzerinnen und Nutzer in die Hände der Hacker gefallen. Was tun?
Text: Marc Bodmer
Entscheidend ist, das betont auch Lastpass, dass die Zugangsdaten nach wie vor sicher verschlüsselt sind. Denn wie andere Passwortmanager auch, verschlüsselt Lastpass die Passwörter lokal auf den Geräten der Nutzer und synchronisiert sie erst danach über die Cloud-Server.
Die Firma weist aber darauf hin, dass die gestohlenen Daten möglicherweise als Hinweise genutzt werden, um durch so genannte Brute-Force-Attacks, also das unentwegte Versuchen von neuen Buchstaben- und Zahlenkombinationen, das Master-Passwort zu erraten.
Weiter könnte es sein, dass die Hacker Kontakt mit den Kundinnen und Kunden von Lastpass aufnehmen, um sie auf diesem Weg zur Herausgabe des Master-Passworts, das nur den Nutzerinnen und Nutzern bekannt ist, zu bewegen. Das kann schriftlich über Phishing-Mails erfolgen oder telefonisch, so genanntes Social Engineering. LastPass weist darauf hin, dass die Firma niemals eine SMS, E-Mail oder einen Anruf tätigt, um persönliche Daten zu verifizieren. Das Master-Passwort wird nur in der Anwendung selber abgefragt.
Was tun, wenn man Lastpass-Kundin oder Kunde ist?
Was tun, wenn Sie Kundin oder Kunde von Lastpass sind? Seit 2018 verlangt Lastpass ein Master-Passwort bestehend aus mindestens 12 Buchstaben, Ziffern und Sonderzeichen. Je länger, desto besser. Darin sollten Gross- und Kleinbuchstaben enthalten sein. Es sollte aussprechbar sein, damit Sie sich das Passwort besser merken können, aber nicht einfach zu erraten. Hilfreich dabei ist eine so genannte Passwort-Phrase bei der jeweils nur die ersten Buchstaben der Worte benutzt werden. Beispiel: Wir feiern Weihnachten wie jedes Jahr am 25.12. und nicht bereits am 24. Dezember! Das ergibt das Passwort: WfWwjJa25.12.unba24.D! Wer ein solches Passwort sein Eigen nennt, kann ruhig schlafen, denn die Entschlüsselung benötigt Millionen von Jahre. Und: Verwenden Sie das Master-Passwort nie für ein anderes Programm oder andere Dienstleistung. Wer auf Nummer ganz sicher gehen will, kann sein Lastpass-Passwort aber auch erneuern.
- Hier finden Sie weitere Ratgeber zu digitalen Fragen.