Die Nachricht, dass die Netzwerksicherheit von LastPass kompromittiert wurde, ist natürlich ein ernstes Problem. Dass das Unternehmen, das verletzt wurde, ein Passwort-Management-Service anbietet, erhöht die Seriosität um eine Stufe – oder um zehn. Warum ziehe ich mich, jemand, der seine Karriere im Schreiben über IT-Sicherheit aufgebaut hat, nicht darüber aus? Abgesehen von der Tatsache, dass ich niemanden habe, an dem ich ziehen kann, ist der LastPass-Verstoß für einige von uns keine so große Sache wie für andere.
Wir haben keine Beweise dafür gefunden, dass verschlüsselte Benutzertresordaten entnommen wurden oder dass auf LastPass-Benutzerkonten zugegriffen wurde, teilt uns ein LastPass-Sprecher mit. Was ist also der ganze Wirbel, fragen Sie sich vielleicht – wo ist das Risiko? Nun, es ist zweierlei, wie ich es sehe. Da E-Mail-Adressen und zugehörige Passworterinnerungen kompromittiert wurden, erwarte ich zunächst gezielte Phishing-Versuche in Form von gefälschten Nachrichten zum Zurücksetzen des Master-Passworts. Ich würde gerne denken, dass ich nicht darauf reinfalle.
Wie konvertiert man ein Wort in JPEG?
Was das zweite Risiko betrifft, werden schwache Master-Passwörter derzeit Brute-Force-Cracking-Versuchen ausgesetzt, dank der Server-Pro-User-Salts und Authentifizierungs-Hashes, auf die zugegriffen wird. Was solche Cracking-Versuche betrifft, so macht es die Tatsache, dass LastPass diese Authentifizierungs-Hashes mit einem zufälligen Salt verstärkt und zusätzliche 100.000 Runden von serverseitigem PBKDF2-SHA256 einfügt, es schwieriger, sie zu knacken. Wenn das Master-Passwort jedoch schlecht ist, ist es immer noch offen für Brute-Force-Angriffe; es wird nur ein bisschen länger dauern, es zu knacken.
LastPass erzwingt also bei den meisten Benutzern eine Änderung des Master-Passworts und fordert von denen, die sich von einem neuen Gerät oder einer neuen IP-Adresse aus anmelden, eine E-Mail-Verifizierung. Ich werde jedoch mein Master-Passwort nicht ändern, und ich habe es auch (sehen wir mal) seit 442 Tagen nicht mehr, weil es zufällig ist, es ist komplex, es ist mehr als 25 Zeichen lang, es wird nirgendwo anders verwendet und ich kann sich auswendig daran erinnern. Darüber hinaus wird es durch die folgenden zwei Zauberworte unterstützt: Multifaktor-Authentifizierung.
Boom! Für mich ist der ganze Aufwand, in die Peripherie des LastPass-Netzwerks zu gelangen, umsonst, da ich ein starkes Master-Passwort verwende, das durch Multifaktor-Authentifizierung gesichert ist. Selbst wenn mein Master-Passwort irgendwie kompromittiert wurde, müsste der Angreifer dann auf meinen YubiKey (ein physisches Token) zugreifen, um meinen Passwort-Tresor zu entschlüsseln. Diese erweiterten Einstellungen können kostenlos verwendet werden und stehen den Benutzern seit einiger Zeit zur Verfügung – außerdem müssen Sie keinen YubiKey kaufen; Sie können eine kostenlos herunterladbare App wie Google Authenticator verwenden, wenn Sie möchten. Warum sollten Sie die Zwei-Faktor-Authentifizierung (2FA) auf keiner Site oder einem Dienst verwenden, auf dem sie angeboten wird? Nein im Ernst?
Apropos erweiterte Einstellungen, es gibt eine andere, die ich verwende, die mir eine weitere Vertrauenswürdigkeit dafür gibt, dass meine Daten mit LastPass einigermaßen sicher sind, und das ist eine geografische Zugriffssperre. Sie können Länderbeschränkungen festlegen, die es Ihnen ermöglichen, die Länder festzulegen, von denen aus auf Ihren Passwort-Tresor zugegriffen werden kann. Ich halte dies für Großbritannien gesperrt, es sei denn, ich reise ins Ausland. In diesem Fall aktiviere ich diesen bestimmten Ort vor meiner Abreise. Oh, und ich erlaube auch keine Anmeldungen von Tor-Netzwerken. Paranoid, moi? Nein, nur vernünftig, den Zugriff auf diese Schlüssel des Königreichs einzuschränken. So wie du auch sein solltest.
Was mich am LastPass-Kompromiss am meisten beunruhigt, ist seltsamerweise nicht der Kompromiss selbst, sondern die Reaktion darauf; und insbesondere die der Medien – sowohl im beruflichen als auch im sozialen Bereich. Es scheint ein unterschwelliges Gefühl der Freude zu geben, LastPass zu treten, und viele haben Ihnen so berichtet. Aber was hast du uns genau gesagt? Was ist hier genau passiert? Soweit wir sehen, wurden keine verschlüsselten Passwortdaten kompromittiert, und LastPass hat das Ereignis ziemlich transparent offengelegt und Schritte eingeleitet, um das Vertrauen der Benutzer weiter zu sichern.
Was würden die Neinsager der Medien von uns verlangen? Zurück zu Stift und Papier oder vielleicht zu einer technischeren Verschlüsselungslösung? Ich habe gesehen, dass beides vorgeschlagen wurde, und keines verringert das Risiko für den durchschnittlichen Joe, ganz im Gegenteil. Vielleicht zu einem anderen Passwort-Management-Anbieter wechseln? Nochmal, wie hilft das, wenn Sie nicht wissen, wie sie reagieren würden, wenn – nicht wenn – sie einen Verstoß erleiden? Zumindest wissen Sie, dass LastPass am Ball ist, wenn es um die Reaktion auf Sicherheitsverletzungen geht.
Für mich bleibt ein Passwort-Manager für die meisten Menschen die sicherste Option, und wenn Sie meinem Beispiel folgen und ein starkes Master-Passwort mit Multifaktor-Authentifizierung und einigen Login-Lockdown-Optionen kombinieren, reduzieren Sie das Risiko einer Kompromittierung so weit wie möglich.
Und deshalb, lieber Leser, brauche ich mein Master-Passwort nicht zu ändern; oder mein Passwort-Manager für diese Angelegenheit.
