Die LastPass-Sicherheitslücke: So schützen Sie sich
Veröffentlicht: 2023-01-05Was Sie über die LastPass-Verletzung wissen und tun müssen
Wenn Sie ein LastPass-Benutzer sind, wie viele von uns in der WordPress-Community, suchen Sie vielleicht heute nach einer alternativen Passwortverwaltungslösung. Nach einer massiven Sicherheitsverletzung bei LastPass, die das Unternehmen nicht rechtzeitig offengelegt hat – was möglicherweise Ihre Daten gefährdet hat – sollten Sie prüfen, ob Sie zu Bitwarden oder 1Password wechseln möchten. Noch besser ist es, nach Möglichkeit mit der Verwendung von Passkeys zu beginnen – sie machen passwortlose Anmeldungen zur ultimativen Sicherheitslösung. Wenn Sie schließlich für die Sicherheit der Daten anderer verantwortlich sind oder eine Kommunikationsfunktion haben, können Sie aus den Fehlern von LastPass lernen – vor allem, was Sie nicht tun sollten. Werfen wir einen Blick darauf, was passiert ist, was hätte passieren sollen und wie Sie Ihre Online-Konten proaktiv sichern sollten.
Ein tieferes Loch zu graben bringt dich nicht raus
Im August 2022 veröffentlichte Karim Toubba, CEO von LastPass, die erste einer Reihe von immer schwerwiegenderen öffentlichen Enthüllungen über eine tiefgreifende und anhaltende Sicherheitsverletzung. Die erste Offenlegung besagte, dass „eine nicht autorisierte Partei“ teilweise auf die Entwicklungsumgebung der LastPass-Ingenieure zugegriffen hat, indem sie „ein einzelnes kompromittiertes Entwicklerkonto“ ausnutzte. Der Eindringling hat Quellcode und „proprietäre technische Informationen von LastPass“ gestohlen. Toubba sagte jedoch, dass es keine Auswirkungen auf die LastPass-Passwortverwaltungsplattform selbst oder ihre Kunden gab. Er versicherte LastPass-Kunden unmissverständlich, dass ihre Master-Passwörter, Daten und persönlichen Informationen sicher seien. Unsere kritischen Kontoinformationen waren absolut sicher, unberührt von Eindringlingen.
Leider stimmte das überhaupt nicht.
Was wirklich bei LastPass passiert ist
Ab Ende November nahm Toubba mehrere weitere Aktualisierungen an der Offenlegung von LastPass vor, die Zack Whittaker von TechCrunch hilfreich analysierte, um zu zeigen, was LastPass nicht erklärte. LastPass stellte schließlich klar, dass der Angreifer einige Kundendaten bei einem zweiten Verstoß gestohlen hatte, der durch „Informationen“ aus dem früheren Verstoß ermöglicht wurde. Zuerst hatte der Angreifer einen LastPass-Entwickler und dann einen anderen ins Visier genommen, um tiefer in die Systeme von LastPass einzudringen, einschließlich des Cloud-Speichers der Muttergesellschaft von LastPass, GoTo. (GoTo besitzt auch LogMeIn und GoToMyPC.)
In einem beunruhigenden Schritt versteckte GoTo seine eigene Offenlegung vor Suchmaschinen.
Dann, kurz vor Weihnachten, aktualisierte Toubba die Offenlegung der LastPass-Verletzung erneut. Er bestätigte, dass die Angreifer einen Backup-Snapshot von verschlüsselten Passwort-Tresoren von LastPass-Kunden gestohlen hatten. Toubba räumte auch ein, dass jeder mit dem Schnappschuss Brute-Force-Methoden verwenden könnte, um die verschlüsselten Passwort-Tresore der Kunden zu knacken. Die Verletzung umfasste die Namen von LastPass-Kunden, ihre Firmennamen und E-Mail-Adressen, ihre Telefonnummern und IP-Adressen, URLs, Notizen, Formulardaten und einige Rechnungsinformationen.
Das ist mehr als schlecht.
Die Auswirkungen einer schlechten Krisenkommunikation von LastPass
LastPass hat wichtige Fakten wie die Anzahl der Benutzerkonten in den gestohlenen Daten nicht offengelegt. Folglich sollten wir davon ausgehen, dass alle über 25 Millionen LastPass-Benutzer (Stand: November 2022) aufgrund dieser Sicherheitsverletzungen gefährdet sind. Darüber hinaus können jetzt sogar ehemalige Kunden gefährdet sein, wenn die gestohlenen Backup-Dateien ihre alten persönlichen Daten und Passwort-Tresordaten enthalten.
Ich verwende LastPass seit vielen Jahren für den Zugriff auf die Passwörter anderer Personen, die sie mir für Arbeitszwecke mitteilen. Obwohl ich selbst nicht für die Nutzung des Dienstes bezahlt habe, musste ich aus diesem Grund ein Konto bei LastPass führen. Ich habe die Sicherheitsverletzungsbenachrichtigungen von LastPass wie andere Kunden per E-Mail erhalten und war sofort besorgt. Mir ist aufgefallen, dass das Thema in Post Status Slack, einem beliebten Community-Forum für WordPress-Profis, diskutiert wurde. Robert Rowley, ein Developer Advocate für Patchstack, teilte die Neuigkeiten dort mit. Er bemerkte: „Keine Master-Passwörter oder gespeicherte Passwörter wurden durchgesickert. Es besteht kein Handlungsbedarf.“ Wie Millionen anderer Patchstack-Benutzer vertrauten wir alle dem, was das Unternehmen uns gesagt hatte, und wir lagen falsch.
Später teilten andere bei Patchstack und in der WordPress-Community Neuigkeiten darüber, dass GoTo ihre eigene Offenlegung von Sicherheitsverletzungen unterdrückt. Im Dezember kommentierte Rowley erneut und bemerkte, wie weit die Dinge von der ursprünglichen Aussage gekommen waren, an die wir alle glaubten. „Auf Kundentresore wurde nicht zugegriffen.“ Rowley verglich die Reihe widersprüchlicher Offenlegungen mit Schlägen und bemerkte: „Dies kann als Links-Rechts-Kombination von Vertrauensverlust angesehen werden, jede Aktualisierung verschlimmert den Vorfall.“
Was bei LastPass hätte passieren sollen
In der Open-Source-Community legen wir größten Wert auf Transparenz. Insbesondere im Bereich Sicherheit versuchen wir, eine Kultur der verantwortungsbewussten Offenlegung zu pflegen und zu schützen. Wenn wir Schwachstellen in Open-Source-Softwareprodukten entdecken, benachrichtigen wir unauffällig deren Besitzer und Betreuer. Wir erwarten, dass sie ihre Benutzer umgehend benachrichtigen und eine vollständige Offenlegung vornehmen, sobald sie einen ausnutzbaren Code gepatcht haben. Wir gehen davon aus, dass dies sehr schnell geschehen wird, als oberste Priorität. Auf diese Weise versuchen die Mitglieder der Open-Source-Community, sich gegenseitig bei der Lösung von Problemen zu helfen, die alle betreffen, anstatt sie zu vertuschen, was häufig bei proprietärer Software der Fall ist.
Eine ähnliche Ethik gilt, wenn böswillige Personen hochwertige und persönliche Identifikationsinformationen (PII) stehlen. Während die Gesetze zur Meldung von Sicherheitsverletzungen in verschiedenen Staaten und Ländern unterschiedlich sind, erfordern sie alle eine rechtzeitige Offenlegung gegenüber den betroffenen Personen. Es ist keine einfache Höflichkeit – es ist eine rechtliche und ethische Verpflichtung.
In der Sicherheit ist Vertrauen alles
Alle Sicherheitsverletzungen können das Vertrauen beschädigen. Das sind alles schlechte Situationen, die nur noch schlimmer werden können, wenn sie durch Verzögerung vertieft werden. Die Offenlegung falscher und unvollständiger Informationen kann für ein Unternehmen und eine Marke katastrophal sein, wie wir bei LastPass gesehen haben.
Warum sollte jemand einem Unternehmen vertrauen, das solch ein unverantwortliches, selbstbetroffenes und zwangsläufig selbstzerstörerisches Verhalten an den Tag legt, wenn es seine Kunden schwer im Stich gelassen hat? Ehrlichkeit, direkte und klare Kommunikation, die sich darauf konzentriert, Schäden für Kunden zu mindern, ist der einzig mögliche Weg, die Dinge zu verbessern.
Letztendlich ist Vertrauen keine Technologie oder kein technisches Konzept. Es geht um menschliche Beziehungen. Vertrauen hängt davon ab, wie Sie Menschen behandeln, insbesondere diejenigen, die Ihnen ihr Vertrauen geschenkt haben. Wir halten unsere Versprechen nicht immer ein und ein Scheitern ist immer möglich. Der einzige Weg nach vorne, der das Vertrauen erneuern könnte, wenn das Schlimmste passiert, besteht darin, zuzugeben, was passiert ist, und alles ehrlich darzulegen.
Wie sollten LastPass-Benutzer auf die Sicherheitslücke reagieren?
Angesichts der Art und Weise, wie LastPass diesen Verstoß offengelegt hat, werden zusätzliche Sicherheitsmaßnahmen auf LastPass zum Schutz Ihres Passwort-Tresors nicht helfen. Es ist an der Zeit, erstens zu beginnen, zu einem neuen Passwort-Manager wie 1Password, Bitwarden oder NordPass zu migrieren und zweitens und vor allem damit zu beginnen, die Passwörter auf kritischen Websites und Anwendungen zu ändern, deren Anmeldeinformationen Sie in Ihrem LastPass-Tresor gespeichert haben. Das Hinzufügen einer Zwei-Faktor-Authentifizierung zu diesen Websites wäre ein sehr kluger Schritt, wenn Sie dies noch nicht getan haben.
Wenn Ihr Tresor nicht durch ein starkes Master-Passwort geschützt war, werden schließlich alle Ihre Online-Konten kompromittiert. Selbst wenn Sie ein starkes Master-Passwort hätten, könnte es immer noch mit roher Gewalt geknackt werden.
Die Frage ist nicht, ob Ihre Daten entschlüsselt werden, sondern wann . Angesichts der Tatsache, dass dieser Verstoß fünf Monate vor der Bekanntgabe von LastPass, dass Kundentresore betroffen waren, stattfand, haben böswillige Angreifer bereits einen Vorsprung. Daher ist es wichtig, mit dem Sichern der Anmeldeinformationen für alle Konten zu beginnen, die Sie auf LastPass gespeichert haben.
Aus diesem Grund ist der nächste und wichtigste Schritt, alle Passwörter für alle Konten zu ändern, die Sie in LastPass gespeichert haben. Priorisieren Sie zuerst die wichtigsten – wie Finanzkonten, Site-Admin-Konten und andere, deren Verlust Sie teuer zu stehen kommen könnte.
Es ist Zeit, LastPass zu verlassen
Schließlich empfehlen wir Ihnen, Ihr LastPass-Konto zu schließen und zu einem anderen Dienst wie Bitwarden oder 1Password zu wechseln. Bitwarden verfügt über ein Migrationstool zum Importieren Ihrer LastPass-Kontodatensätze. So auch 1Password.
Es ist an der Zeit, LastPass zu verlassen. Wenn Sie genug Geld haben, um 1Password auszugeben, ist es eine robustere Alternative zu vielen anderen verfügbaren Passwort-Managern. Ihre Sicherheitseinrichtung stützt sich auch auf einen geheimen Schlüssel, um Tresore zu sichern. 1Password war die Wahl vieler Sicherheitsexperten und verfügt über großartige Systeme zum Teilen des Tresorzugriffs für Teams, die Zugriff auf zahlreiche Konten benötigen.
Eine weitere Alternative ist Bitwarden. Der Quellcode von Bitwarden ist ein Open-Source-Tool und kann auf Github überprüft werden, wo er regelmäßig von Sicherheitsforschern geprüft wird. Das bezahlte Konto kostet nur 10 US-Dollar pro Jahr, was die Unterstützung des Projekts für Leute mit kleinem Budget einfach macht. Sie können Ihren Bitwarden-Tresor auch selbst hosten, wenn Sie dies wünschen.
Eine Gelegenheit, Ihre eigenen Sicherheitspraktiken zu überdenken
Auch wenn Sie kein Kunde sind, ist die Verletzung von LastPass eine gute Gelegenheit, über Ihre eigenen Sicherheitsrichtlinien nachzudenken. Ein Hauptmerkmal von Passwort-Managern wie LastPass ist die Möglichkeit, den Zugriff auf Online-Konten mit anderen Personen zu teilen. Die Einschränkungen vieler Online-Dienste und Arbeitsplatzanforderungen veranlassen uns, den Kontozugriff aus Bequemlichkeit zu teilen. Das Teilen von Konten ist jedoch in der Regel eine sehr schlechte Sicherheitspraxis. Gewähren Sie nicht mehr als einer Person Zugriff auf Social-Media-Konten für Einzelbenutzer wie Twitter! Verwenden Sie stattdessen eine Mehrbenutzer-Social-Media-Manager-App. Dann können Sie einer beliebigen Anzahl von Personen erlauben, Tweets zu versenden, ohne den Verlust Ihres primären Kontos zu riskieren. Und wenn diese Personen ihre Rolle verlassen oder ändern, wird die Verwaltung ihrer Zugriffsrechte viel einfacher.
Jeder, dem Sie Zugriff auf Passwörter gewährt haben, die in einer App wie LastPass geteilt wurden, kann diese Passwörter behalten – für immer. Sie können sie aufschreiben. Sie können sie bequem im Passwort-Manager ihres Browsers speichern. Menschen kommen und gehen in jedem Team und jeder Organisation. Eine ordnungsgemäße Sicherheitspraxis erfordert, dass Sie ungenutzte Konten löschen und Passwörter unverzüglich ändern. Praktizierst du das? Wie gut machst du das? Haben Sie es so einfach und klar wie möglich gemacht? Haben Sie diese entscheidende Verantwortung an eine bestimmte Person delegiert? Wer überprüft und prüft die Zugriffsrechte Ihres Teams? Wie oft tun sie es?
Denken Sie an Ihre eigenen Worst-Case-Szenarien. Wie würden Sie mit der Kommunikation über eine Datenschutzverletzung umgehen, die Ihre Kundendaten offengelegt hat? Wie können Sie zu einer proaktiven Präventionsstrategie zurückkehren, damit dies nie passiert?
Kein Unternehmen ist zu klein, um diese wichtigen Aufgaben zu ignorieren. Was können Sie heute tun, um morgen das Risiko einer katastrophalen Datenschutzverletzung zu verringern?
Hauptschlüssel für den Sieg! Die Zukunft der digitalen Sicherheit
Dieses Ereignis unterstreicht die Probleme mit Passwörtern. Passwort-Manager versuchen, komplexere Passwörter zu unterstützen, und die Zwei-Faktor-Authentifizierung hat versucht, eine weitere Sicherheitsebene bereitzustellen. Laut dem Datensicherheitsbericht von Verizon verwenden jedoch weniger als 30 % der Benutzer tatsächlich 2FA. Passwörter sind wirklich gebrochen. Passkeys sind die Lösung für die Zukunft.
Ein Hauptschlüssel ist eine Art von Authentifizierungsmethode, bei der ein physisches Gerät wie ein Schlüsselanhänger oder eine Smartcard verwendet wird, um die Identität eines Benutzers zu überprüfen. Ein Computer oder Telefon mit zunehmend verbreiteten biometrischen Anmeldemethoden kann auch verwendet werden, um Ihre Identität auf einer Website zu authentifizieren. Passkeys gelten als sicherer als andere Authentifizierungsmethoden wie Passwörter, da sie eine zusätzliche Sicherheitsebene bieten.
Wenn Ihr Computer ein bekanntes, vertrauenswürdiges Gerät mit einem Hauptschlüssel für Ihr Bankkonto ist (oder die WordPress-Site, wenn Sie iThemes Security Pro verwenden), können Sie herkömmliche Site-Logins umgehen. Es reicht aus, wenn die Website Ihr Gerät erkennt und möglicherweise über Touch ID auf Apple-Geräten oder Windows Hello für Microsoft nach einem Fingerabdruck fragt.
True Peace of Mind ist passwortlos
Ein Vorteil von Passkeys besteht darin, dass sie nicht so leicht erraten oder geknackt werden können wie ein Passwort. Kennwörter können anfällig für Wörterbuchangriffe sein, bei denen ein Hacker eine Liste gängiger Kennwörter testet, um zu versuchen, Zugriff auf ein Konto zu erhalten. Passkeys hingegen sind in der Regel einzigartig und können nicht einfach repliziert werden, wodurch sie viel schwieriger zu kompromittieren sind.
Darüber hinaus können Passkeys in Verbindung mit anderen Authentifizierungsmethoden wie einem Gerätekennwort oder biometrischer Authentifizierung verwendet werden, um ein noch höheres Maß an Sicherheit zu bieten. Dies wird als Multi-Faktor-Authentifizierung bezeichnet und kann die Schwierigkeit für einen Hacker, Zugriff auf ein Konto zu erlangen, erheblich erhöhen.
Passkeys könnten bald Passwort-Manager wie LastPass überflüssig machen. Das wird das Internet sicherer machen, da große Plattform-Sicherheitsverletzungen wie bei LastPass der Vergangenheit angehören könnten. Wenn Sie eine WordPress- oder WooCommerce-Site betreiben, können Sie sich und Ihren Benutzern mit der Passkey-Funktion von iThemes Pro die hohe Sicherheit und den unübertroffenen Komfort passwortloser Anmeldungen bieten.
Der Stand der Passwort-Manager im Jahr 2023
Ein interaktiver Live-Online-Schulungskurs
10. Januar 2023 um 13:00 Uhr (Central)
In diesem Webinar besprechen wir die jüngste LastPass-Verletzung und was wir darüber lernen können, wenn wir unser digitales Leben (einschließlich unserer WordPress-Sites) schützen, und wir werden auch den aktuellen Stand von Passwörtern, Passwort-Managern, Zwei-Faktor-Authentifizierung und mehr, damit wir sicher ins Jahr 2023 einziehen können.
Wir werden auch über die Lösung sprechen, um Passwörter mit Passkeys hinter uns zu bringen, und den Stand der Implementierung von WebAuthn sowohl durch Technologiegiganten als auch durch iThemes Security.
Dan Knauss ist StellarWPs Technical Content Generalist. Er ist Autor, Lehrer und Freiberufler, der seit Ende der 1990er Jahre mit Open Source und seit 2004 mit WordPress arbeitet.