Online-Passwortmanager

Gefahr: Passwörter waren bei Lastpass nicht sicher

Der Online-Passwortmanager Lastpass könnte dank einer großen Sicherheitslücke alle Kennwörter des Nutzers über präparierte Websites verraten haben. Die Sicherheit wurde mittlerweile wieder hergestellt. Anwender sollten unbedingt die Updates des Programms bzw. der Browser-Plugins installieren.

Von   Uhr

Passwortmanager sind der Hauptgewinn für Hacker. Knacken sie deren Schutz, können sie nicht nur ein einzelnes Kennwort erbeuten sondern alle, die der Anwender darin gespeichert hat. Das kann sich durchaus lohnen.

Tavis Ormandy von Google Project Zero hatte im Passwortmanager LastPass eine riesige Sicherheitslücke entdeckt, die eine Kompromittierung des Datenspeicher ermöglichte. Der Angreifer hätte so die Kennwörter des Nutzers im Klartext ausgelesen können.

Wieviele Nutzer der Passeortmanager hat, ist nicht bekannt. Vermutlich ist nur die Firefox-und die Chrome-Plugin-Variante verwundbar. Die Browser-Erweiterung des Passwortmanagers gibt es auch für Safari.


Beim Besuch präparierter Websites erlaubte es der Fehler, die Lastpass-Erweiterung über ein kleines Javascript anzugreifen. So konnte der Angreifer nicht nur neue Kennwörter beim Nutzer anlegen, bestehende löschen sondern auch alle gespeicherten Logins- und Kennwörter im Klartext abgreifen.

Online-Passwortverwaltung mit Lastpass gefährlich

Lastpass hatte schon im Juni 2015 Sicherheitsprobleme. Während es diesmal ein Sicherheitsforscher war, der die Lücke entdeckte, die vermutlich nicht ausgenutzt wurde, war das im Sommer letzten Jahres anders. Damals war es Hackern gelungen, E-Mail-Adressen, Passworthinweise und Authentifizierungshashes von einigen Nutzerkonten zu erbeuten. Die Kennwörter selbst waren damals nicht betroffen. Dennoch mussten alle Nutzer ihr Masterkennwort ändern.

Der Google-Sicherheitsexperte will auch den beliebten Kennwortmanager 1Passwort unter die Lupe nehmen.

Das Update für das Firefox-Plugin wird für den manuellen Download angeboten und soll auch über den Firefox-Updatemechanimus eingespielt werden können. Chrome aktualisiert seine Plugins bei bestehender Netzwerkverbindung nach einem Neustart selbstständig.

Diskutiere mit!

Hier kannst du den Artikel "Gefahr: Passwörter waren bei Lastpass nicht sicher" kommentieren. Melde dich einfach mit deinem maclife.de-Account an oder fülle die unten stehenden Felder aus.

Die Kommentare für diesen Artikel sind geschlossen.