Lastpass - News zum Hack und was macht Ihr jetzt?

[Faust2011]

Ich hab heute morgen eine Mail von LastPass im Postfach zu deren Hack im Sommer letztes Jahr. Letztlich verweisen sie auf ihren Blog (Link) und die relevante Aussage ist eigentlich:

The threat actor was also able to copy a backup of customer vault data from the encrypted storage container

Na toll Einerseits sagen sie, dass die Vaults der Kunden nur auf on-premise Systemen liegen, aber gewisse Backups liegen (doch) in einem verschlüsselten Container in der Cloud und genau das wurde gestohlen: Das Backup und der Schlüssel dazu.

Weiterhin ist die Aussage, dass bei einem gut gewählten Masterpassword keine Gefahr für uns Nutzer von LastPass bestehe:

The threat actor may attempt to use brute force to guess your master password and decrypt the copies of vault data they took. Because of the hashing and encryption methods we use to protect our customers, it would be extremely difficult to attempt to brute force guess master passwords for those customers who follow our password best practices.

Wer von Euch ist auch bei LastPass? Welche Schlüsse zieht ihr für Euch daraus?

 

[hxe1990]

Hallo,

ich würde wechseln und alle Kunden informieren, dass Sie Ihre Kennwörter ändern müssen.
Die wurden ja nicht das erste Mal gehackt.

 

[Clausewitz]

1) selbstverständlich liegen die Passwörter in der Cloud, sonst könnte der Dienst ja gar nicht funktionieren. Wo sagen sie, dass das anders wäre? Ist mir neu.

2) Schlüsse aus dem Thema:
--> es ist beunruhigend
--> gleichzeitig ist LastPass genau für diese Art Angriffe gebaut, also als ich mich für LP entschieden hab, war das, weil ich dieses Risiko das jetzt eingetreten ist, mitbetrachtet habe.
--> ich finde die Kommunikation von LastPass zu diesem Angriff absolut vorbildlich. Ich habe das Gefühl, ganz genau zu wissen was passiert ist, und LastPass gibt zudem sehr praktikable Empfehlungen aus.
--> ich beobachte das jetzt weiter.

Ich folge den Empfehlungen und habe ein starkes Masterpasswort und 2-Faktor darauf. Insofern ist das einzige Risiko, dass die Angreifer sich durch meine Passwörter brute-forcen. Oder dass Last-pass die Verschlüsselung schlecht implementiert hätte, wenn das der Fall ist, haben wir ein größeres Problem. Das wäre aber eine neue Information.

Eine weitere Maßnahme wird sein, über die Weihnachtstage unter meinen ~300 oder so Zugängen die wichtigsten auszusortieren und hier die Passwörter zu aktualisieren. Dank dem Passwortmanager ist das eine gut machbare Aufgabe für 1-2 Stunden.

Ah, und ich achte auf Phishing-Mails, die bestimmt irgendwann kommen.

 

[TrueAzrael]

Habe grundsätzlich Passwort-Safes nur lokal (KeePass) bzw. eventuell in Zukunft über eine eigene Bitwarden-Instanz (gerade in Erprobung).
Ich hab einfach ein besseres Gefühl wenn meine Passwörter nicht mit Millionen von anderen Nutzern auf einem gemeinsamen System liegen und somit ein deutlich lohnenderes Ziel bieten würden.

Übrigens on-premise heißt ja nur dass die Server vor Ort sind, die sind trotzdem (logischerweise) auf irgendeinem Weg aus dem Netz erreichbar und daher auch angreifbar. Zumindest die Webserver sind erreichbar und die brauchen Zugriff auf die Datenbanken.
Gibt es Hinweise darauf, dass die Backups nicht on-premise waren?

 

[M4ttX]

Wer von Euch ist auch bei LastPass? Welche Schlüsse zieht ihr für Euch daraus?

Zu Bitwarden umziehen. Aber das hab ich schon lange vorher erledigt.

 

[xxMuahdibxx]

Also der Zettel mit aufgeschriebenen Kennwörter daheim ist sicherer.

Alles andere macht es einfacher für einen selbst aber auch für Angreifer.

 

[Faust2011]

und habe ein starkes Masterpasswort und 2-Faktor darauf

2-Faktor ist eine gute Idee. Weiß gar nicht, ob das bei mir aktiv ist.

 

[sikarr]

Zu Bitwarden umziehen.

Und das löst das Problem weil?

 

[Clausewitz]

2-Faktor ist eine gute Idee. Weiß gar nicht, ob das bei mir aktiv ist.

Ja, unbedingt!

Ich habe mir diese Yubikeys geholt und einen am Schlüssel. Erfordert aber LastPass Premium. Man braucht mind. 2, besser 3 von den Dingern. https://www.yubico.com/products/

Falls das Geld dafür nicht vorhanden ist, einfach eine MFA-App verwenden wie Google Authenticator oder Microsoft Authenticator. Genau so sicher, nur nicht so chic.

Für die Zukunft würde ich glaube ich die Empfehlung auch ändern, weg vom Passwort-Manager hin zu passkeys. Allerdings steige ich durch passkeys noch nicht ganz durch. Vielleicht liest hier ja jemand mit, der zu dem Thema nochmal ein paar Infos geben kann.


Wichtig:
Jetzt Änderungen am Master-PW oder Multi-Faktor auf dem LP-Account macht die "alte" verschlüsselte LastPass-Passwortliste nicht sicherer. Also wenn Du (oder wer das hier sonst liest) ein kurzes, unsicheres Masterpasswort hat, dann unbedingt nochmal genau den Blog-Eintrag von LastPass lesen und die Empfehlungen dort befolgen. Denn dann ist das was passiert ist schon ein mittlerer Sicherheits-GAU.

 

[Falc410]

ich finde die Kommunikation von LastPass zu diesem Angriff absolut vorbildlich

Hack im August, jetzt bekanntgabe, dass deine Passwörter (verschlüsselt) abgezogen worden sind. Angreifer hatten somit mehrere Monat Zeit die auf schwache Masterpasswörter zu testen.
Also wem seine Accounts jetzt noch nicht übernommen worden sind, werden es wahrscheinlich auch nicht mehr.
Ob der 2. Faktor da etwas bringt ist fraglich - der wird doch für die Authentifizierung benutzt aber der Container der mit AES 256 deine Passwörter verschlüsselt, dürfte nur durch ein statisches Masterpassword zu entschlüsseln sein.

 

[thrawnx]

Grundsätzlich ist es kein Problem, AES256 verschlüsselte Container für jeden verfügbar zu machen, so lange du ein starkes Passwort nutzt. Es dauert länger sowas zu bruteforcen als unsere Sonne noch leuchten wird. Wie es mit auf Decryption getrimmte ASIC aussieht, mögliche Schwachstellen die irgendwann gefunden werden, oder in Zukunft mit Quantencomputern, kann dir hier niemand sagen.

Das Backup und der Schlüssel dazu.

Welchen Schlüssel genau?

Angreifer hatten somit mehrere Monat Zeit die auf schwache Masterpasswörter zu testen.

Ganz ehrlich, wenn die Leute schwache Passwörter verwenden -> SSKM

 

[Falc410]

Für die Zukunft würde ich glaube ich die Empfehlung auch ändern, weg vom Passwort-Manager hin zu passkeys. Allerdings steige ich durch passkeys noch nicht ganz durch. Vielleicht liest hier ja jemand mit, der zu dem Thema nochmal ein paar Infos geben kann.

Bringt dir nichts so lange es die Dienste nicht unterstützen. Aber dazu gabs erst neulich eine lange Diskussion hier auf CB als etwas zu https://passkeys.dev/ in den News war

 

[Faust2011]

einfach eine MFA-App verwenden wie Google Authenticator oder Microsoft Authenticator.

Den Microsoft Authenticator habe ich sogar bereits auf dem Handy, aber für einen anderen Dienst. Weiß gar nicht genau, wie das funktioniert (muss ich mich über Weihnachten mal einlesen). Also kann ich einfach bei LP das aktivieren und den dann auch dafür verwenden, ohne in der App was einstellen zu müssen?

Jetzt Änderungen am Master-PW oder Multi-Faktor auf dem LP-Account macht die "alte" verschlüsselte LastPass-Passwortliste nicht sicherer.

Genau das ist der springende Punkt. Ich hoffe auch, dass das jedem klar ist. Die Vaults, die geklaut wurden, sind ja "abgekoppelt" und eben mit dem Passwort / Masterkey gesichert, der zum damaligen Zeitpunkt (August 2022 ?) verwendet wurde. Und in diesem Zustand liegen sie nun bei den "Hackern".

Also wenn Du (oder wer das hier sonst liest) ein kurzes, unsicheres Masterpasswort hat, dann unbedingt nochmal genau den Blog-Eintrag von LastPass lesen und die Empfehlungen dort befolgen. Denn dann ist das was passiert ist schon ein mittlerer Sicherheits-GAU.

Die Empfehlung ist das, was quasi naheliegt, aber auch aufwändig ist. Ich zitiere aus ihrem Blog: In this case, as an extra security measure, you should consider minimizing risk by changing passwords of websites you have stored.

Ergänzung (23. Dezember 2022)

Welchen Schlüssel genau?

Den hier:

While no customer data was accessed during the August 2022 incident, some source code and technical information were stolen from our development environment and used to target another employee, obtaining credentials and keys which were used to access and decrypt some storage volumes within the cloud-based storage service.

Also ein Schlüssel, den wir LP-Anwender nie sehen und eigentlich auch kein Interesse dran haben.

 

[Clausewitz]

Hack im August, jetzt bekanntgabe, dass deine Passwörter (verschlüsselt) abgezogen worden sind. Angreifer hatten somit mehrere Monat Zeit die auf schwache Masterpasswörter zu testen.
Also wem seine Accounts jetzt noch nicht übernommen worden sind, werden es wahrscheinlich auch nicht mehr.
Ob der 2. Faktor da etwas bringt ist fraglich - der wird doch für die Authentifizierung benutzt aber der Container der mit AES 256 deine Passwörter verschlüsselt, dürfte nur durch ein statisches Masterpassword zu entschlüsseln sein.

Fairer Punkt zum "vorbildliche Kommunikation."

Ein paar zusätzliche Fakten:
Den Zeitpunkt des Datendiebstahls legt LastPass nicht offen.
Am 25. August informiert LastPass über den Vorfall, und sagt "verschlüsselte Passwortlisten wurden nicht gestohlen."
Gestern, am 22.12. hat LastPass erneut informiert und gesagt "es wurden doch verschlüsselte Passwortlisten gestohlen."

Egal wie sie vorgegangen sind, vorbildlich ist das nicht. Das Ergebnis der forensischen Untersuchung ist sicher nicht erst nach 4 Monaten verfügbar. Und über den Zeitpunkt des Angriffs geben sie auch keine Auskunft.

 

[thrawnx]

Den hier:

Also ein Schlüssel, den wir LP-Anwender nie sehen und eigentlich auch kein Interesse dran haben.

Wenn das nur der Key für den Container war in dem die verschlüsselten Vaults liegen, ist das eigentlich nicht wirklich von Belang.

Aber was deine Frage angeht im ersten Post, welchen Schluss man daraus zieht: Würde es mir ruhig angucken ob da irgendwelche Daten aus den User Containern auftauchen, aber mehr als nur unverschlüsselte E-Mail Addys. Wenn nichts auftaucht was mit mehr als 1234 als Masterpw verschlüsselt war, ist es eher ein gutes Zeugnis dass ihr Konzept funktioniert.

Egal wie sie vorgegangen sind, vorbildlich ist das nicht. Das Ergebnis der forensischen Untersuchung ist sicher nicht erst nach 4 Monaten verfügbar. Und über den Zeitpunkt des Angriffs geben sie auch keine Auskunft.

Kann sehr gut sein. Ich arbeite in einer anderen Art von Labor und Untersuchungen dauern teilweise 8-12+ Wochen. Mit Urlaubszeit etc. sind 4 Monate nicht völlig abwegig. Hängt von der Komplexität des Angriffs ab.

 

[DieRenteEnte]

Ich sage es immer wieder:
Sobald etwas in der Cloud ist, ist es unsicher! Wichtige Daten dürfen nicht in die Cloud!
In die Cloud gehören nur Daten, die völlig unwichtig oder unwichtig und entsprechend versichert sind.

Passwörter sind das absolut Letzte, was in die Cloud gehört!
Passwort Manager müssen offline und Open Source bleiben.
Das bedeutet auch, dass man diese nicht in den Browser integrieren darf.
Sobald du dich irgendwo anmelden willst, öffnest du einen Open Source Passwort Manager wie KeePassXC oder Bitwarden und befüllst das Feld damit.
Wenn du die Passwörter synchronisieren willst, machst du das offline mit einem Kabel oder USB-Stick oder maximal über das WLAN mit Syncthing.

Da LastPass Closed Source, online und aus den USA ist, ist es (für mich) drei Mal nicht vertrauenswürdig.

 

[thrawnx]

Ganz ehrlich, das ist völliger Schwachsinn. Ob Zuhause oder in der Cloud, Sachen gehören ordentlich verschlüsselt. So bald sie es sind, macht die Cloud viel mehr Sinn, aufgrund der Redundanz und weil ein Angriff auf eine Cloudinfrastruktur um Potenzen schwerer durchzuführen ist als auf deine NAS.

 

[Clausewitz]

Ich hab heute morgen ....

Danke für das Eröffnen des Threads, echt. Ich lerne hier wichtige Sachen dazu, auf die ich sonst so nicht gekommen wäre. Und das Thema ist mir natürlich sehr wichtig. Danke!

 

[DieRenteEnte]

@thrawnx
Der Angriff auf einer Cloudinfrastruktur ist auch um Potenzen vielversprechender, weshalb sich kein Profi um dein NAS interessiert.
Ordentlich verschlüsselt, ist auch dein NAS sicher. Und das garantiert sicherer als eine Cloud, da bei einer Cloud viele Angestellte die Möglichkeit haben alles von dir zu entschlüsseln oder sonst wem zu geben. Entweder weil man bezahlt oder gesetzlich verpflichtet wird.

 

[sikarr]

Sobald etwas in der Cloud ist, ist es unsicher!

Das ist totaler Blödsinn. Ich bin weiß Gott kein Verfechter der Cloud aber zu sagen sie sei generell unsicher ist Bullshit. Es gibt genug Möglichkeiten Daten in der Cloud zu schützen, die größte Schwachstelle ist aber immer noch der Mensch durch Bequemlichkeit und die Vergabe von zu schwachen Kennwörtern etc.

Da LastPass Closed Source und auch noch online ist, ist es (für mich) nicht vertrauenswürdig.

Aber Keepass und Bitwarden sind es weil du den Sourcecode deuten kannst und dir sicher bist das sich dort keine Schwachstellen verstecken?
Oder weil Bitwarden auf der Eigenen Hard- und Software läuft die so viel sicherer ist als die in einem RZ?