LastPass Hacked: Ändern Sie Ihr Master-Passwort, aktivieren Sie die Multifactor-Authentifizierung

LastPass hat heute einen Sicherheitshinweis in seinem Blog veröffentlicht, der die Benutzer darüber informiert, dass ihre Server gehackt wurden und einige Daten gestohlen wurden. Hier sehen Sie, was LastPass gesagt hat, wie Sie Ihr Master-Passwort ändern und die Multifactor-Authentifizierung aktivieren.

LastPass gehackt

In einem Blog-Post gab LastPass einige begrenzte Details zu dem, was passiert ist:

Wir möchten unsere Community darüber informieren, dass unser Team am Freitag verdächtige Aktivitäten in unserem Netzwerk entdeckt und blockiert hat. In unserer Untersuchung haben wir keine Hinweise darauf gefunden, dass verschlüsselte Benutzertresor-Daten erstellt wurden oder dass auf LastPass-Benutzerkonten zugegriffen wurde. Die Untersuchung hat jedoch ergeben, dass LastPass-Konto-E-Mail-Adressen, Passwort-Erinnerungen, Server-pro-Benutzer-Salze und Authentifizierungs-Hashes kompromittiert wurden.

Wir sind zuversichtlich, dass unsere Verschlüsselungsmaßnahmen ausreichen, um die große Mehrheit der Nutzer zu schützen. LastPass verstärkt den Authentifizierungs-Hash zusätzlich zu den Runden, die clientseitig durchgeführt werden, mit einem zufälligen Salt und 100.000 Runden des serverseitigen PBKDF2-SHA256. Diese zusätzliche Verstärkung macht es schwierig, die gestohlenen Hashes mit einer signifikanten Geschwindigkeit anzugreifen.

Das Unternehmen sagte auch: "Wir verlangen, dass alle Benutzer, die sich von einem neuen Gerät oder einer neuen IP-Adresse aus anmelden, ihr Konto zuerst per E-Mail bestätigen, es sei denn, Sie haben die Multifaktor-Authentifizierung aktiviert. Als zusätzliche Vorsichtsmaßnahme werden wir die Benutzer außerdem auffordern, ihr Master-Passwort zu aktualisieren. "

Eine Sache, die für viele Benutzer eher irritierend ist, ist, dass sie über diese Neuigkeiten auf Websites erfahren. Wie das Unternehmen in seinem Beitrag auch sagte, werden E-Mails an alle Benutzer über den Sicherheitsvorfall gesendet. Zum Zeitpunkt des Schreibens habe ich noch keines erhalten, und nach den Kommentaren auf dem LastPass-Blog habe ich auch nicht viele andere Nutzer.

Ändern Sie Ihr LastPass-Master-Passwort

Um Ihr Hauptkennwort zu ändern, klicken Sie im linken Bereich auf Kontoeinstellungen.

Klicken Sie dann im Fenster Kontoeinstellungen im Abschnitt Anmeldedaten auf Master-Passwort ändern.

Dadurch gelangen Sie zur Seite zum Zurücksetzen des Passworts, wo Sie einfach die Anweisungen auf dem Bildschirm befolgen können, um Ihr Master-Passwort zu ändern. Während des Vorgangs wird LastPass alle Daten neu verschlüsseln und Ihnen eine Bestätigungs-E-Mail senden, mit der Sie den Master geändert haben.

Aktivieren Sie die MultiFactor-Authentifizierung für LastPass

Wenn Sie schon dabei sind, empfehlen wir Ihnen, die Multifaktor-Authentifizierung für Ihr LastPass-Konto zu aktivieren. Es fügt Ihrem Konto eine zusätzliche Sicherheitsstufe hinzu und gibt Ihnen mehr Sicherheit, dass Ihre Passwörter sicher sind.

In seiner heutigen Erklärung sagte LastPass: "Wir verlangen, dass alle Benutzer, die sich von einem neuen Gerät oder einer neuen IP-Adresse aus anmelden, ihr Konto zuerst per E-Mail bestätigen, es sei denn, Sie haben die Multifaktor-Authentifizierung aktiviert."

Wir haben Ihnen vor ein paar Jahren gezeigt, wie Sie die LastPass Two Factor Authentication aktivieren können. Der Prozess ist äußerst einfach und es gibt keinen besseren Weg, Ihr LastPass-Konto zu sichern. Ehrlich gesagt, im Online-Klima, das wir heute haben, ist die Zwei-Faktor-Authentifizierung wirklich nicht mehr optional, wenn Sie Ihre Online-Konten sicher halten wollen. Wir haben darüber ausführlich bei gesprochen und planen, uns in den kommenden Wochen noch stärker darauf zu konzentrieren.

Um die Zweifaktor- oder Multifaktor-Authentifizierung in Lastpass zu aktivieren, gehen Sie einfach zu Account-Einstellungen> Multifaktor-Optionen und wählen Sie die Methode, die Sie verwenden möchten ... Google Authenticator ist wahrscheinlich der einfachste.

Es gibt andere Dienste Benutzer, die ein Premium-Konto haben ($ 12 / Jahr) können wie Fingerabdruck-Scanner und USB-Schlüssel verwenden.

Update 16.06.2015:

Heute habe ich endlich eine E-Mail von LastPass über das Sicherheitsproblem erhalten. Es ist kurz und gibt nicht viel mehr Details als das, was wir bereits wissen.

Sehr geehrter LastPass-Nutzer,

Wir möchten Sie darauf hinweisen, dass unser Team kürzlich verdächtige Aktivitäten in unserem Netzwerk entdeckt und sofort blockiert hat. Es wurden keine verschlüsselten Benutzertresordaten erstellt, jedoch wurden andere Daten, einschließlich E-Mail-Adressen und Kennworterinnerungen, kompromittiert.

Wir sind zuversichtlich, dass die von uns verwendeten Verschlüsselungsalgorithmen unsere Benutzer ausreichend schützen werden. Um Ihre Sicherheit weiter zu gewährleisten, benötigen wir eine Bestätigung per E-Mail, wenn Sie sich von einem neuen Gerät oder einer neuen IP-Adresse aus anmelden, und werden die Benutzer auffordern, ihre Master-Passwörter zu aktualisieren.

Wir entschuldigen uns für die Unannehmlichkeiten, aber letztendlich glauben wir, dass dies LastPass-Benutzer besser schützen wird. Vielen Dank für Ihr Verständnis und für die Verwendung von LastPass.

Grüße,
Das LastPass-Team

Insgesamt scheint dies kein Grund zur Panik zu sein, da die in Ihrem Depot gespeicherten Passwörter gut geschützt sind und nicht kompromittiert sein sollten. Sie werden jedoch auf jeden Fall Ihr Master-Passwort ändern und so bald wie möglich die Multifactor-Authentifizierung aktivieren.