Ein Sicherheitsexperte prangert LastPass für die Kommunikation des Hacking-Angriffs an.
Die Passwort-Manager-App LastPass wurde gehackt – und dabei wurden auch Passwort-Speicher von Nutzern kopiert: mehr dazu hier bei iTopnews.de. Laut einem Sicherheitsforscher ist die Situation deutlich kritischer, als von LastPass dargestellt.
Aussagen von LastPass analysiert
In seinem Blog analysiert er die Stellungnahme der Firma und weist auf die wahre Situation hin. Diese unterscheide sich stark von dem, was LastPass schreibe.
Passwort-Verschlüsselung lässt zu wünschen übrig
Auch die Verschlüsselung der Passwörter wird kritisiert. Diese erfülle nur die minimalen Anforderungen. Empfohlen werden jedoch deutlich stärkere Verschlüsselungen. Last Pass hat seine Sucherheitsmechanismen laut dem Forscher „seit Jahren“ nicht angepasst.
Zuletzt erklärten die Entwickler:
„Der Angreifer war auch in der Lage, eine Sicherungskopie der Daten des Kundentresors aus dem verschlüsselten Speichercontainer zu kopieren, der in einem proprietären Binärformat gespeichert ist, das sowohl unverschlüsselte Daten wie Website-URLs als auch vollständig verschlüsselte sensible Felder wie Website-Benutzernamen und -Passwörter, sichere Notizen und in Formulare eingegebene Daten enthält. Diese verschlüsselten Felder sind mit einer 256-Bit-AES-Verschlüsselung gesichert und können nur mit einem eindeutigen Verschlüsselungsschlüssel entschlüsselt werden, der mit Hilfe unserer Zero Knowledge-Architektur aus dem Master-Passwort jedes Benutzers abgeleitet wird. Zur Erinnerung: Das Master-Passwort ist LastPass niemals bekannt und wird von LastPass weder gespeichert noch verwaltet. Die Ver- und Entschlüsselung der Daten wird nur auf dem lokalen LastPass-Client durchgeführt.“