Wer besonders sicher im Netz unterwegs sein möchte der verwendet für seinen E-Mail-, Facebook, XING-, LinkedIN-, Amazon oder E-Bay-Account jeweils unterschiedliche Passwörter. Zu diesem Zweck werden gerne Passwortverwaltungen genutzt. Dumm nur wenn Hacker in die Reichweite von Passwortverwaltung gelangen. So geschehen bei dem Online-Passwortverwalter LastPass.
Der Inhalt im Überblick
Die Krux mit sicheren Passwörtern
Da „12345“ oder „54321“ keine wirklich sichere Passwortkombination darstellen, sollte auf eine ausreichende Passwortlänge (mindestens 8-10 Zeichen) und eine ausreichende Komplexität (Groß- und Kleinschreibung, Zahlen, Sonderzeichen und keine Wörter) geachtet werden. Falls ein Anbieter die Daten seiner Kunden nicht ausreichend schützt und verschlüsselt, sollte daneben für jeden Account ein anderes Passwort verwendet werden, so dass nicht gleich alle Accounts bei einem Hack kompromittiert werden. Da nicht jeder über ein fotografisches Gedächtnis verfügt, erfreuen sich sog. Passwortverwaltungsprogramme großer Beliebtheit.
Passwortverwaltung
Hierfür legt der Nutzer eine Datenbank an und legt ein ausreichend sicheres Masterpasswort fest, welches einen Zugriff auf die Passwörter aller anderen Accounts ermöglicht. Das Risiko hierbei ist jedoch, dass Hacker gleich eine ganze Datenbank an Passwörtern für unterschiedliche Accounts erhalten, wenn es ihnen gelingt das Masterpasswort mangels ausreichender Komplexität zu knacken oder die Datenbank nicht sicher verschlüsselt ist.
LastPass
Die Firma LastPass, welche solche Passwortdienste online anbietet, wurde nach Angaben des eigenen Blogs Opfer eines Hackerangriffs. Nach Firmenangaben seien E-Mail-Adressen, Passworterinnerungen in diesen E-Mails sowie Authentifizierungshashes etlicher Benutzerkonten von dem Einbruch betroffen. Es gäbe jedoch keine Hinweise darauf, dass auch verschlüsselte Benutzerdaten oder Benutzerkonten betroffen sind. LastPass zeigt sich zwar überzeugt, dass die getroffenen Verschlüsselungsmaßnahmen einem Angriff standhalten, rät seinen Nutzer jedoch dazu ihr Masterpasswort vorsorglich zu ändern.
Fazit
Passwortverwaltungen sind ein hervorragendes Mittel um die Sicherheit zu erhöhen. Die gilt aber nur, wenn auch hier die Spielregeln eingehalten werden. Dazu gehört sowohl ein ausreichend komplexes Masterpasswort zum Schutz vor Brute-Force-Angriffen als auch eine ausreichend sichere Verschlüsslung der Passwortdatenbank (z.B. AES-256) und des Masterpasswortes (z.B. SHA-256).
Sind hier nicht Schadenersatzansprüche vorstellbar? In den USA laufen derweil bereits entsprechende Verfahren de.scribd.com/document/618070795/Lastpass-Lawsuit Mastercard macht´s vor.