LastPass Hacked: Ändern Sie Ihr Master-Passwort und aktivieren Sie die Multifaktor-Authentifizierung

LastPass hat heute in seinem Blog einen Sicherheitshinweis veröffentlicht, der die Benutzer darüber informiert, dass seine Server gehackt und einige Daten gestohlen wurden. Hier sehen Sie, was LastPass gesagt hat, wie Sie Ihr Hauptkennwort ändern und die Multifaktorauthentifizierung für ein gutes Maß aktivieren.

LastPass gehackt

In einem BlogeintragLastPass gab einige begrenzte Details darüber, was passiert ist:

Wir möchten unsere Community darüber informieren, dass unser Team am Freitag verdächtige Aktivitäten in unserem Netzwerk entdeckt und blockiert hat. Bei unserer Untersuchung haben wir keine Beweise dafür gefunden, dass verschlüsselte Benutzer-Tresordaten erfasst wurden oder dass auf LastPass-Benutzerkonten zugegriffen wurde. Die Untersuchung hat jedoch gezeigt, dass die E-Mail-Adressen des LastPass-Kontos, Kennworterinnerungen, Salze des Servers pro Benutzer und Authentifizierungs-Hashes kompromittiert wurden.

Wir sind zuversichtlich, dass unsere Verschlüsselungsmaßnahmen ausreichen, um die große Mehrheit der Benutzer zu schützen. LastPass verstärkt den Authentifizierungs-Hash mit einem zufälligen Salt und 100.000 Runden serverseitigem PBKDF2-SHA256 zusätzlich zu den clientseitig durchgeführten Runden. Diese zusätzliche Verstärkung macht es schwierig, die gestohlenen Hashes mit einer signifikanten Geschwindigkeit anzugreifen.

Das Unternehmen sagte außerdem: „Wir fordern, dass alle Benutzer, die sich von einem neuen Gerät oder einer neuen IP-Adresse aus anmelden, zuerst ihr Konto per E-Mail überprüfen, es sei denn, Sie haben die Multifaktor-Authentifizierung aktiviert. Als zusätzliche Vorsichtsmaßnahme werden wir die Benutzer auch auffordern, ihr Hauptkennwort zu aktualisieren. “

Eine Sache, die viele Benutzer ziemlich irritiert, ist, dass sie auf Websites über diese Neuigkeiten informiert werden. Wie das Unternehmen auch in seinem Beitrag sagte, werden E-Mails an alle Benutzer über den Sicherheitsvorfall gesendet. Zum Zeitpunkt dieses Schreibens habe ich noch keinen erhalten, und nach den Kommentaren im LastPass-Blog habe ich auch nicht viele andere Benutzer.

Ändern Sie Ihr LastPass-Master-Passwort

Um Ihr Hauptkennwort zu ändern, klicken Sie im linken Bereich auf Kontoeinstellungen.

Klicken Sie dann im Fenster Kontoeinstellungen im Abschnitt Anmeldeinformationen auf Hauptkennwort ändern.

Dadurch gelangen Sie zur Seite zum Zurücksetzen des Kennworts, auf der Sie einfach den Anweisungen auf dem Bildschirm folgen können, um Ihr Hauptkennwort zu ändern. Während des Vorgangs verschlüsselt LastPass alles neu und sendet Ihnen eine Bestätigungs-E-Mail, dass Sie den Master geändert haben.

Aktivieren Sie die MultiFactor-Authentifizierung für LastPass

Wir empfehlen, dass Sie die Multifaktorauthentifizierung für Ihr LastPass-Konto aktivieren. Es fügt Ihrem Konto eine zusätzliche Sicherheitsebene hinzu und gibt Ihnen mehr Sicherheit, dass Ihre Passwörter sicher sind.

In seiner heutigen Erklärung sagte LastPass: „Wir fordern, dass alle Benutzer, die sich von einem neuen Gerät oder einer neuen IP-Adresse aus anmelden, ihr Konto zuerst per E-Mail überprüfen, sofern Sie dies nicht getan haben Multifaktor-Authentifizierung aktiviert."

Wir haben Ihnen gezeigt, wie es geht Aktivieren Sie die LastPass-Zwei-Faktor-Authentifizierung vor einigen Jahren. Der Vorgang ist äußerst einfach und es gibt keinen besseren Weg, um Ihr LastPass-Konto zu sichern. In dem heutigen Online-Klima ist die Aktivierung der Zwei-Faktor-Authentifizierung nicht mehr optional, wenn Sie Ihre Online-Konten sicher halten möchten. Wir haben ausführlich darüber gesprochen hier bei groovyPost und wir planen, uns in den kommenden Wochen noch mehr darauf zu konzentrieren.

Um die Zwei-Faktor- oder Multifaktor-Authentifizierung in Lastpass zu aktivieren, gehen Sie einfach zu Kontoeinstellungen> Multifaktor-Optionen und wählen Sie die Methode aus, die Sie verwenden möchten. Google Authenticator ist wahrscheinlich die einfachste.

Es gibt andere Dienste, die Benutzer mit einem Premium-Konto (12 USD / Jahr) verwenden können, z. B. Fingerabdruckscanner und USB-Sticks.

Update 16.06.2015:

Heute habe ich endlich eine E-Mail von LastPass über das Sicherheitsproblem erhalten. Es ist kurz und enthält nicht viel mehr Details als das, was wir bereits wissen.

Sehr geehrter LastPass-Benutzer,

Wir wollten Sie darauf aufmerksam machen, dass unser Team kürzlich verdächtige Aktivitäten in unserem Netzwerk entdeckt und sofort blockiert hat. Es wurden keine verschlüsselten Benutzer-Tresordaten erfasst, andere Daten, einschließlich E-Mail-Adressen und Kennworterinnerungen, wurden jedoch kompromittiert.

Wir sind zuversichtlich, dass die von uns verwendeten Verschlüsselungsalgorithmen unsere Benutzer ausreichend schützen werden. Um Ihre Sicherheit weiter zu gewährleisten, benötigen wir eine Bestätigung per E-Mail, wenn Sie sich von einem neuen Gerät oder einer neuen IP-Adresse aus anmelden, und fordern die Benutzer auf, ihre Hauptkennwörter zu aktualisieren.

Wir entschuldigen uns für die Unannehmlichkeiten, glauben aber letztendlich, dass dies die LastPass-Benutzer besser schützt. Vielen Dank für Ihr Verständnis und für die Verwendung von LastPass.

Grüße,
Das LastPass-Team

Insgesamt scheint dies kein Grund zur Panik zu sein, da die in Ihrem Tresor gespeicherten Passwörter gut geschützt sind und nicht kompromittiert werden sollten. Sie sollten jedoch auf jeden Fall Ihr Hauptkennwort ändern und die Multifaktorauthentifizierung so schnell wie möglich aktivieren.