Vermeintlicher Einbruch bei LastPass – Was nun?

Das LastPass Team vermeldet in seinem Blog, dass eventuell Logindaten (keine Passworte und andere gespeicherte Daten) in falsche Hände gefallen sein könnten. Laut Blogeintrag sei es am gestrigen Tage zu einem unüblich großen Volumen an Datentransfer zwischen einem weniger wichtigen (und deshalb leider wohl auch schlechter abgesicherten) VoIP-Server und einer der Datenbanken gekommen. Vom Datenvolumen passt die Menge zur Kombination „Email-Adresse – verschlüsseltes Passwort (Hash)“. Dazu gleich mehr.


Als richtige und wichtige Gegenmaßnahme wurden sofort alle beteiligten Systeme vom Netz genommen und neu (hoffentlich sicherer) aufgesetzt. Allerdings fehlt bisher eine entscheidende Info: Der BEWEIS, dass tatsächlich jemand Daten entwendet hat! Denn es scheint absolut keine Hinweise auf einen Einbruch zu geben! Bis auf den kleinen Peak im Datenvolumen existieren nämlich weder verdächtige Logeinträge, noch wurden unübliche Dateien und Dienste auf den vermeintlich kompromittierten Systemen gefunden.
Wenn es ein Einbruch war, dann war er verdammt gut gemacht. Denkbar wäre aber auch, dass ein Switch oder Eine Netzwerkkarte einfach dabei ist, sich zu verabschieden.

In den Kommentaren des Blogs tobt natürlich derzeit noch der übliche FlameWar: „Unfähige!“, „Steinigt Sie!“ und so weiter. Schaut man jedoch etwas emotionsfreier dahinter, wird relativ schnell klar, dass das alles viel weniger schlimm ist, als es auf den ersten Blick zu sein scheint.

Ich will versuchen, hier einige der Argumente, die mir aufgefallen sind, zu kommentieren.


 

„Alle meine Daten wurden gestohlen!“

Die einzigen Daten, die vielleicht „weg“ sind, sind die E-Mail-Adresse und der Hash des Passworts, der  nicht mit dem Passwort selbst verwechselt werden sollte. Der Hash ist nämlich zusätzlich noch mit einem Salt versehen worden. Dieses Verfahren verhindert, dass man Durch einfaches Vergleichen zwischen Hash und Passwort durch Ausprobieren (wenn auch sehr oft und lange) auf Letzteres schließen kann.

 

„Ich komme nicht mehr an meine Daten ran!“

Wieder falsch! LastPass bietet kompletten Offlinezugriff auf alle Daten an, da sie nie unverschlüsselt den eigenen PC/Mac/Linux verlassen. Dazu kann man zum Beweis entweder einfach das Netzwerk trennen und den Browser mal öffnen oder alternativ unter https://lastpass.com/misc_download.php zum Beispiel LastPass Pocket herunterladen. Das sind aber alles Infos, die man eigentlich sowieso wissen müsste. Denn wenn man seine persönlichen Daten einem Online-Service anvertraut, sollte man sich im Vorfeld eventuell mal darüber Gedanken machen, wie das alles funktioniert. Oder anschließend, wenn man keine Ahnung hat, einfach mal die Klappe halten. 🙂


„LastPass hat mich ausgesperrt!“
Kann ausnahmsweise stimmen. LastPass hat im Zuge der Gegenmaßnahmen entschieden, dass jeder LastPass-Benutzer sein Passwort ändern muss. Zusätzlich wird beim Login überprüft, ob der Vorgang von einem vertrauten Rechner erfolgt. Wenn man üblicher Weise von zu Hause einloggt, es nun aber bei einem Freund versucht, kann tatsächlich eine Sicherheitsmeldung erscheinen und ein erflogreiches Login verhindern. Dann heißt es: Keine Panik und einfach am heimischen PC oder am Arbeitsplatz noch einmal probieren. Sollte das auch nicht klappen, hilft eine Mail an support@lastpass.com.

„Ich kann mein neues Passwort nicht aktivieren, weil ich mein E-Mail Passwort nicht kenne!“

Tja, klassiches Henne-Ei-Problem. bei der Passwortänderung wird ja ein Link an die eigene E-Mail-Adresse  geschickt. Kennt man das Passwort des Mail-Anbieters nicht, steht man vor dem Problem, sich nicht mit LastPass anmelden zu können, weil LastPass ja schon „zu gemacht“ hat. Aber auch in diesem Falle hilft die Vorgehensweise wie unter Punkt 2.
Zukünftig sollte man vielleicht darüber nachdenken, extrem wichtige Passworte vielleicht nicht nur von LastPass generieren zu lassen. Denn mnemonische Passwörter sind sicherlich ähnlich sicher wie zufällige, solange sie nur einen Mix aus Groß- und Kleinschreibung, Zahlen und Sonderzeichen enthalten. „186/pant0ffel-schmUhrbr@ten“ dürfte  durchaus gängigen Komplexitätsrichtlinien standhalten. Datenschutz.ch* meint jedenfalls, dass es das tut. Jetzt allerdings nicht mehr, weil es ja hier steht 🙂

„Mein LastPass-Passwort steht im Duden / Wörterbuch!“

Sorry, aber zu so viel Dummheit fällt mir nichts ein!

Fazit: Ich werde LastPass auch weiterhin mein Vertrauen schenken. Alle Alternativen haben deutlich mehr Nach- als Vorteile und durch hinreichend sichere Passworte fühle ich mich nach wie vor bei einem Unternehmen, das mit Pannen offen und transparent umgeht, sehr gut aufgehoben. Nimmt man das Verhalten von Amazon oder Sony in Bezug auf die kürzlichen Datenpannen zum Vergleich, kann man sich denken, welches Vorgehen auf lange Sicht eher Vertrauen schafft…


Update: Bei PCWorld.com gibt es ein ausführliches Interview (auf englisch), in dem Joe Siegrist, CEO von LastPass, zu den Ereignissen detailliert Stellung nimmt. Wer des Englischen nicht mächtig ist, muss sich mit meiner Zusammenfassung begnügen: „Alles ist gut, solange Dein Master-Passwort sicher war!“

* Noch eine Anmerkung zur Online-Überprüfung von Passworten. Dazu habe ich hier schon einmal etwas geschrieben.


2 thoughts on “Vermeintlicher Einbruch bei LastPass – Was nun?

  1. Timo 5. Mai 2011 / 21:54

    Ist halt mal wieder ein Dienst bei dem sich nicht wenige Leute anmelden ohne zu begreifen, was dort überhaupt vorgeht („Passwortsalz? Dit raff ick jetz nich“) und ohne sich darüber im Klaren zu sein, dass sie über weggegebene Daten letztendlich keine Kontrolle mehr haben.

    Den Dienst nutze ich selber nicht, daher kann ich das nicht bewerten. Die Transparenz ist auf jeden Fall vorbildlich! Wenn man sich anschaut, wie Sony zu Beginn bei ihrem Fiasko rumgeeiert ist..

    Nur meine 2 Eurocents…

    Zum Artikel: gut strukturiert, formatiert und schön formuliert. Lässt sich gut lesen 🙂

  2. Ollie 5. Mai 2011 / 22:08

    Danke Dir für den netten Kommentar 🙂

Comments are closed.