Persönliche Daten und Passwort-Tresore mit den Anmeldeinformationen von Millionen von Benutzern sind jetzt in den Händen von Kriminellen. Wenn Sie jemals den Passwort-Manager LastPass verwendet haben, sollten Sie jetzt alle Ihre Passwörter für alles ändern. Und Sie sollten sofort weitere Maßnahmen ergreifen, um sich zu schützen.
Was ist bei der LastPass-Datenverletzung 2022 passiert?
LastPass ist ein Passwortverwaltungsdienst, der nach einem „Freemium“-Modell arbeitet. Benutzer können alle ihre Passwörter und Logins für Online-Dienste mit LastPass speichern und über die Weboberfläche, über Browser-Add-Ons und über spezielle Smartphone-Apps darauf zugreifen.
Passwörter werden in „Tresoren“ gespeichert, die durch ein einziges Master-Passwort geschützt sind.
Im August 2022 gab LastPass bekannt, dass Kriminelle ein kompromittiertes Entwicklerkonto verwendet hatten, um auf die LastPass-Entwicklungsumgebung, den Quellcode und technische Informationen zuzugreifen.
Weitere Details wurden im November 2022 veröffentlicht, als LastPass hinzufügte, dass einige Kundendaten offengelegt worden seien.
Die wahre Schwere des Verstoßes wurde am 22. Dezember enthüllt, als a LastPass-Blogbeitrag stellte fest, dass Kriminelle einige der bei dem früheren Angriff erhaltenen Informationen verwendet hatten, um Sicherungsdaten zu stehlen einschließlich Kundennamen, Adressen und Telefonnummern, E-Mail-Adressen, IP-Adressen und teilweise Kreditkartendaten Zahlen. Darüber hinaus gelang es ihnen, Benutzerpassworttresore zu stehlen, die unverschlüsselte Website-URLs und Websitenamen sowie verschlüsselte Benutzernamen und Passwörter enthielten.
Ist es für Kriminelle schwierig, Ihr LastPass-Master-Passwort zu knacken?
Theoretisch ja, Hacker sollten es schwierig finden, Ihr Master-Passwort zu knacken. Der LastPass-Blogbeitrag stellt fest, dass es bei Verwendung der empfohlenen Standardeinstellungen „Millionen von Jahren dauern würde, Ihr Master-Passwort mit allgemein verfügbarer Technologie zum Knacken von Passwörtern zu erraten“.
LastPass verlangt, dass das Master-Passwort mindestens 12 Zeichen lang ist, und empfiehlt, „dass Sie Ihr Master-Passwort niemals auf anderen Websites wiederverwenden“.
LastPass ist jedoch einzigartig unter den Passwortverwaltungsdiensten, da es Benutzern ermöglicht, einen Passworthinweis festzulegen, der sie an ihr Master-Passwort erinnert, falls sie es verlieren sollten.
Effektiv ermutigt dies Benutzer dazu, Wörter und Phrasen aus dem Wörterbuch als Teil ihres Passworts zu verwenden, anstatt ein wirklich zufälliges starkes Passwort. Kein Passworthinweis wird helfen, wenn Ihr Passwort "lVoT=.N]4CmU" ist.
Die LastPass-Passworttresore sind schon seit einiger Zeit in den Händen von Kriminellen, und obwohl sie verschlüsselt sind, werden sie es irgendwann tun Brute-Force-Angriffen ausgesetzt sein.
Angreifer finden ihre Arbeit dank der Existenz riesiger Datenbanken mit häufig verwendeten Passwörtern einfacher. Sie können eine 17 GB große Passwortliste mit den 613 Millionen häufigsten Passwörtern herunterladen wurde pwned, zum Beispiel. Andere Listen mit Passwörtern und Zugangsdaten sind im Dark Web verfügbar.
Jeden der halben Milliarde der gängigsten Schlüssel gegen einen einzelnen Tresor auszuprobieren, würde Minuten dauern, und wenn auch relativ wenige Wären die erforderlichen 12 Zeichen, ist es wahrscheinlich, dass Cyberkriminelle leicht in einen guten Teil davon eindringen können Gewölbe.
Hinzu kommt die Tatsache, dass die Rechenleistung von Jahr zu Jahr zunimmt und dass motivierte Kriminelle verteilte Netzwerke nutzen können, um bei der Arbeit zu helfen; "Millionen von Jahren" scheint für die Mehrheit der Konten nicht machbar zu sein.
Betrifft die Verletzung von LastPass nur Passwörter?
Während die Schlagzeilen lauten, dass Kriminelle sich Zeit nehmen können, um in Ihren LastPass-Tresor einzudringen, können sie es ausnutzen von Ihnen auf andere Weise durch Verwendung Ihres Namens, Ihrer Adresse, Telefonnummer, E-Mail-Adresse, IP-Adresse und teilweiser Kreditkarte Nummer.
Diese können für eine Reihe von schändlichen Zwecken verwendet werden, einschließlich Spearphishing-Angriffe gegen Sie und Ihre Kontakte, Identitätsdiebstahl, Aufnahme von Krediten und Darlehen in Ihrem Namen und SIM-Swap-Angriffe.
Wie können Sie sich nach den Datenschutzverletzungen von LastPass schützen?
Sie sollten davon ausgehen, dass Ihr Master-Passwort innerhalb weniger Jahre kompromittiert und alle darin enthaltenen Passwörter Kriminellen bekannt sein werden. Sie sollten sie jetzt ändern und eindeutige Passwörter verwenden, die Sie noch nie zuvor verwendet haben und die in keiner der häufig verwendeten Passwortlisten enthalten sind.
In Bezug auf die anderen Datenkriminellen, die von LastPass erhalten wurden, Sie sollten Ihr Guthaben einfrieren, und beauftragen Sie einen Kreditüberwachungsdienst, um alle neuen Karten- oder Kreditanträge in Ihrem Namen zu überwachen. Wenn Sie Ihre Telefonnummer ohne allzu große Unannehmlichkeiten ändern können, sollten Sie dies auch tun.
Übernehmen Sie die Verantwortung für Ihre eigene Sicherheit
Es ist leicht, LastPass für die Datenschutzverletzungen verantwortlich zu machen, bei denen Ihre Passwort-Tresore und persönlichen Daten in die Hände von Kriminellen fielen. Aber Passwortverwaltungsdienste, die Ihr Leben sichern und Ihnen helfen, einzigartige Kombinationen zu generieren, sind immer noch der beste Weg, um Ihr Internet zu sichern Leben.
Eine Möglichkeit, potenziellen Dieben den Zugriff auf Ihre wichtigen Daten zu erschweren, besteht darin, einen Passwort-Manager auf Ihrer eigenen Hardware zu hosten. Es ist billig, einfach durchzuführen und einige Lösungen, wie VaultWarden, können sogar auf einem Raspberry Pi Zero bereitgestellt werden.
