Lastpass - News zum Hack und was macht Ihr jetzt?

Faust2011

HTTP 418 - I'm a teapot
Moderator
Registriert
Aug. 2011
Beiträge
12.980
Ich hab heute morgen eine Mail von LastPass im Postfach zu deren Hack im Sommer letztes Jahr. Letztlich verweisen sie auf ihren Blog (Link) und die relevante Aussage ist eigentlich:
The threat actor was also able to copy a backup of customer vault data from the encrypted storage container
Na toll :o Einerseits sagen sie, dass die Vaults der Kunden nur auf on-premise Systemen liegen, aber gewisse Backups liegen (doch) in einem verschlüsselten Container in der Cloud und genau das wurde gestohlen: Das Backup und der Schlüssel dazu.

Weiterhin ist die Aussage, dass bei einem gut gewählten Masterpassword keine Gefahr für uns Nutzer von LastPass bestehe:
The threat actor may attempt to use brute force to guess your master password and decrypt the copies of vault data they took. Because of the hashing and encryption methods we use to protect our customers, it would be extremely difficult to attempt to brute force guess master passwords for those customers who follow our password best practices.
Wer von Euch ist auch bei LastPass? Welche Schlüsse zieht ihr für Euch daraus?
 
  • Gefällt mir
Reaktionen: Clausewitz
Hallo,

ich würde wechseln und alle Kunden informieren, dass Sie Ihre Kennwörter ändern müssen.
Die wurden ja nicht das erste Mal gehackt.
 
1) selbstverständlich liegen die Passwörter in der Cloud, sonst könnte der Dienst ja gar nicht funktionieren. Wo sagen sie, dass das anders wäre? Ist mir neu.

2) Schlüsse aus dem Thema:
--> es ist beunruhigend
--> gleichzeitig ist LastPass genau für diese Art Angriffe gebaut, also als ich mich für LP entschieden hab, war das, weil ich dieses Risiko das jetzt eingetreten ist, mitbetrachtet habe.
--> ich finde die Kommunikation von LastPass zu diesem Angriff absolut vorbildlich. Ich habe das Gefühl, ganz genau zu wissen was passiert ist, und LastPass gibt zudem sehr praktikable Empfehlungen aus.
--> ich beobachte das jetzt weiter.

Ich folge den Empfehlungen und habe ein starkes Masterpasswort und 2-Faktor darauf. Insofern ist das einzige Risiko, dass die Angreifer sich durch meine Passwörter brute-forcen. Oder dass Last-pass die Verschlüsselung schlecht implementiert hätte, wenn das der Fall ist, haben wir ein größeres Problem. Das wäre aber eine neue Information.

Eine weitere Maßnahme wird sein, über die Weihnachtstage unter meinen ~300 oder so Zugängen die wichtigsten auszusortieren und hier die Passwörter zu aktualisieren. Dank dem Passwortmanager ist das eine gut machbare Aufgabe für 1-2 Stunden.

Ah, und ich achte auf Phishing-Mails, die bestimmt irgendwann kommen.
 
  • Gefällt mir
Reaktionen: FabToGo, deYoda und Faust2011
Habe grundsätzlich Passwort-Safes nur lokal (KeePass) bzw. eventuell in Zukunft über eine eigene Bitwarden-Instanz (gerade in Erprobung).
Ich hab einfach ein besseres Gefühl wenn meine Passwörter nicht mit Millionen von anderen Nutzern auf einem gemeinsamen System liegen und somit ein deutlich lohnenderes Ziel bieten würden.

Übrigens on-premise heißt ja nur dass die Server vor Ort sind, die sind trotzdem (logischerweise) auf irgendeinem Weg aus dem Netz erreichbar und daher auch angreifbar. Zumindest die Webserver sind erreichbar und die brauchen Zugriff auf die Datenbanken.
Gibt es Hinweise darauf, dass die Backups nicht on-premise waren?
 
  • Gefällt mir
Reaktionen: Marco01_809, Ganymoe, Teckler und 2 andere
Faust2011 schrieb:
Wer von Euch ist auch bei LastPass? Welche Schlüsse zieht ihr für Euch daraus?
Zu Bitwarden umziehen. Aber das hab ich schon lange vorher erledigt.
 
  • Gefällt mir
Reaktionen: dahkenny, Shio, Tornhoof und eine weitere Person
Also der Zettel mit aufgeschriebenen Kennwörter daheim ist sicherer.

Alles andere macht es einfacher für einen selbst aber auch für Angreifer.
 
  • Gefällt mir
Reaktionen: Fatal3ty, ramius, Pjack und eine weitere Person
Clausewitz schrieb:
und habe ein starkes Masterpasswort und 2-Faktor darauf
2-Faktor ist eine gute Idee. Weiß gar nicht, ob das bei mir aktiv ist.
 
Faust2011 schrieb:
2-Faktor ist eine gute Idee. Weiß gar nicht, ob das bei mir aktiv ist.
Ja, unbedingt!

Ich habe mir diese Yubikeys geholt und einen am Schlüssel. Erfordert aber LastPass Premium. Man braucht mind. 2, besser 3 von den Dingern. https://www.yubico.com/products/

Falls das Geld dafür nicht vorhanden ist, einfach eine MFA-App verwenden wie Google Authenticator oder Microsoft Authenticator. Genau so sicher, nur nicht so chic.

Für die Zukunft würde ich glaube ich die Empfehlung auch ändern, weg vom Passwort-Manager hin zu passkeys. Allerdings steige ich durch passkeys noch nicht ganz durch. Vielleicht liest hier ja jemand mit, der zu dem Thema nochmal ein paar Infos geben kann.


Wichtig:
Jetzt Änderungen am Master-PW oder Multi-Faktor auf dem LP-Account macht die "alte" verschlüsselte LastPass-Passwortliste nicht sicherer. Also wenn Du (oder wer das hier sonst liest) ein kurzes, unsicheres Masterpasswort hat, dann unbedingt nochmal genau den Blog-Eintrag von LastPass lesen und die Empfehlungen dort befolgen. Denn dann ist das was passiert ist schon ein mittlerer Sicherheits-GAU.
 
Clausewitz schrieb:
ich finde die Kommunikation von LastPass zu diesem Angriff absolut vorbildlich
Hack im August, jetzt bekanntgabe, dass deine Passwörter (verschlüsselt) abgezogen worden sind. Angreifer hatten somit mehrere Monat Zeit die auf schwache Masterpasswörter zu testen.
Also wem seine Accounts jetzt noch nicht übernommen worden sind, werden es wahrscheinlich auch nicht mehr.
Ob der 2. Faktor da etwas bringt ist fraglich - der wird doch für die Authentifizierung benutzt aber der Container der mit AES 256 deine Passwörter verschlüsselt, dürfte nur durch ein statisches Masterpassword zu entschlüsseln sein.
 
  • Gefällt mir
Reaktionen: Marco01_809 und brooklands
Grundsätzlich ist es kein Problem, AES256 verschlüsselte Container für jeden verfügbar zu machen, so lange du ein starkes Passwort nutzt. Es dauert länger sowas zu bruteforcen als unsere Sonne noch leuchten wird. Wie es mit auf Decryption getrimmte ASIC aussieht, mögliche Schwachstellen die irgendwann gefunden werden, oder in Zukunft mit Quantencomputern, kann dir hier niemand sagen.

Faust2011 schrieb:
Das Backup und der Schlüssel dazu.

Welchen Schlüssel genau?

Falc410 schrieb:
Angreifer hatten somit mehrere Monat Zeit die auf schwache Masterpasswörter zu testen.

Ganz ehrlich, wenn die Leute schwache Passwörter verwenden -> SSKM
 
  • Gefällt mir
Reaktionen: VerdammteAxt
Clausewitz schrieb:
Für die Zukunft würde ich glaube ich die Empfehlung auch ändern, weg vom Passwort-Manager hin zu passkeys. Allerdings steige ich durch passkeys noch nicht ganz durch. Vielleicht liest hier ja jemand mit, der zu dem Thema nochmal ein paar Infos geben kann.
Bringt dir nichts so lange es die Dienste nicht unterstützen. Aber dazu gabs erst neulich eine lange Diskussion hier auf CB als etwas zu https://passkeys.dev/ in den News war
 
  • Gefällt mir
Reaktionen: Clausewitz
Clausewitz schrieb:
einfach eine MFA-App verwenden wie Google Authenticator oder Microsoft Authenticator.
Den Microsoft Authenticator habe ich sogar bereits auf dem Handy, aber für einen anderen Dienst. Weiß gar nicht genau, wie das funktioniert (muss ich mich über Weihnachten mal einlesen). Also kann ich einfach bei LP das aktivieren und den dann auch dafür verwenden, ohne in der App was einstellen zu müssen?

Clausewitz schrieb:
Jetzt Änderungen am Master-PW oder Multi-Faktor auf dem LP-Account macht die "alte" verschlüsselte LastPass-Passwortliste nicht sicherer.
Genau das ist der springende Punkt. Ich hoffe auch, dass das jedem klar ist. Die Vaults, die geklaut wurden, sind ja "abgekoppelt" und eben mit dem Passwort / Masterkey gesichert, der zum damaligen Zeitpunkt (August 2022 ?) verwendet wurde. Und in diesem Zustand liegen sie nun bei den "Hackern".

Clausewitz schrieb:
Also wenn Du (oder wer das hier sonst liest) ein kurzes, unsicheres Masterpasswort hat, dann unbedingt nochmal genau den Blog-Eintrag von LastPass lesen und die Empfehlungen dort befolgen. Denn dann ist das was passiert ist schon ein mittlerer Sicherheits-GAU.
Die Empfehlung ist das, was quasi naheliegt, aber auch aufwändig ist. Ich zitiere aus ihrem Blog: In this case, as an extra security measure, you should consider minimizing risk by changing passwords of websites you have stored.
Ergänzung ()

thrawnx schrieb:
Welchen Schlüssel genau?
Den hier:
While no customer data was accessed during the August 2022 incident, some source code and technical information were stolen from our development environment and used to target another employee, obtaining credentials and keys which were used to access and decrypt some storage volumes within the cloud-based storage service.
Also ein Schlüssel, den wir LP-Anwender nie sehen und eigentlich auch kein Interesse dran haben.
 
  • Gefällt mir
Reaktionen: Clausewitz
Falc410 schrieb:
Hack im August, jetzt bekanntgabe, dass deine Passwörter (verschlüsselt) abgezogen worden sind. Angreifer hatten somit mehrere Monat Zeit die auf schwache Masterpasswörter zu testen.
Also wem seine Accounts jetzt noch nicht übernommen worden sind, werden es wahrscheinlich auch nicht mehr.
Ob der 2. Faktor da etwas bringt ist fraglich - der wird doch für die Authentifizierung benutzt aber der Container der mit AES 256 deine Passwörter verschlüsselt, dürfte nur durch ein statisches Masterpassword zu entschlüsseln sein.

Fairer Punkt zum "vorbildliche Kommunikation."

Ein paar zusätzliche Fakten:
Den Zeitpunkt des Datendiebstahls legt LastPass nicht offen.
Am 25. August informiert LastPass über den Vorfall, und sagt "verschlüsselte Passwortlisten wurden nicht gestohlen."
Gestern, am 22.12. hat LastPass erneut informiert und gesagt "es wurden doch verschlüsselte Passwortlisten gestohlen."

Egal wie sie vorgegangen sind, vorbildlich ist das nicht. Das Ergebnis der forensischen Untersuchung ist sicher nicht erst nach 4 Monaten verfügbar. Und über den Zeitpunkt des Angriffs geben sie auch keine Auskunft.
 
  • Gefällt mir
Reaktionen: Falc410 und Faust2011
Faust2011 schrieb:
Den hier:

Also ein Schlüssel, den wir LP-Anwender nie sehen und eigentlich auch kein Interesse dran haben.

Wenn das nur der Key für den Container war in dem die verschlüsselten Vaults liegen, ist das eigentlich nicht wirklich von Belang.

Aber was deine Frage angeht im ersten Post, welchen Schluss man daraus zieht: Würde es mir ruhig angucken ob da irgendwelche Daten aus den User Containern auftauchen, aber mehr als nur unverschlüsselte E-Mail Addys. Wenn nichts auftaucht was mit mehr als 1234 als Masterpw verschlüsselt war, ist es eher ein gutes Zeugnis dass ihr Konzept funktioniert.

Clausewitz schrieb:
Egal wie sie vorgegangen sind, vorbildlich ist das nicht. Das Ergebnis der forensischen Untersuchung ist sicher nicht erst nach 4 Monaten verfügbar. Und über den Zeitpunkt des Angriffs geben sie auch keine Auskunft.

Kann sehr gut sein. Ich arbeite in einer anderen Art von Labor und Untersuchungen dauern teilweise 8-12+ Wochen. Mit Urlaubszeit etc. sind 4 Monate nicht völlig abwegig. Hängt von der Komplexität des Angriffs ab.
 
  • Gefällt mir
Reaktionen: Clausewitz und Faust2011
Ich sage es immer wieder:
Sobald etwas in der Cloud ist, ist es unsicher! Wichtige Daten dürfen nicht in die Cloud!
In die Cloud gehören nur Daten, die völlig unwichtig oder unwichtig und entsprechend versichert sind.

Passwörter sind das absolut Letzte, was in die Cloud gehört!
Passwort Manager müssen offline und Open Source bleiben.
Das bedeutet auch, dass man diese nicht in den Browser integrieren darf.
Sobald du dich irgendwo anmelden willst, öffnest du einen Open Source Passwort Manager wie KeePassXC oder Bitwarden und befüllst das Feld damit.
Wenn du die Passwörter synchronisieren willst, machst du das offline mit einem Kabel oder USB-Stick oder maximal über das WLAN mit Syncthing.

Da LastPass Closed Source, online und aus den USA ist, ist es (für mich) drei Mal nicht vertrauenswürdig.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Iqra, Eletron, Der Lord und 2 andere
Ganz ehrlich, das ist völliger Schwachsinn. Ob Zuhause oder in der Cloud, Sachen gehören ordentlich verschlüsselt. So bald sie es sind, macht die Cloud viel mehr Sinn, aufgrund der Redundanz und weil ein Angriff auf eine Cloudinfrastruktur um Potenzen schwerer durchzuführen ist als auf deine NAS.
 
  • Gefällt mir
Reaktionen: Azdak, FabToGo, M4ttX und 2 andere
Faust2011 schrieb:
Ich hab heute morgen ....

Danke für das Eröffnen des Threads, echt. Ich lerne hier wichtige Sachen dazu, auf die ich sonst so nicht gekommen wäre. Und das Thema ist mir natürlich sehr wichtig. Danke!
 
  • Gefällt mir
Reaktionen: X-Worf
@thrawnx
Der Angriff auf einer Cloudinfrastruktur ist auch um Potenzen vielversprechender, weshalb sich kein Profi um dein NAS interessiert.
Ordentlich verschlüsselt, ist auch dein NAS sicher. Und das garantiert sicherer als eine Cloud, da bei einer Cloud viele Angestellte die Möglichkeit haben alles von dir zu entschlüsseln oder sonst wem zu geben. Entweder weil man bezahlt oder gesetzlich verpflichtet wird.
 
Highspeed Opi schrieb:
Sobald etwas in der Cloud ist, ist es unsicher!
Das ist totaler Blödsinn. Ich bin weiß Gott kein Verfechter der Cloud aber zu sagen sie sei generell unsicher ist Bullshit. Es gibt genug Möglichkeiten Daten in der Cloud zu schützen, die größte Schwachstelle ist aber immer noch der Mensch durch Bequemlichkeit und die Vergabe von zu schwachen Kennwörtern etc.
Highspeed Opi schrieb:
Da LastPass Closed Source und auch noch online ist, ist es (für mich) nicht vertrauenswürdig.
Aber Keepass und Bitwarden sind es weil du den Sourcecode deuten kannst und dir sicher bist das sich dort keine Schwachstellen verstecken?
Oder weil Bitwarden auf der Eigenen Hard- und Software läuft die so viel sicherer ist als die in einem RZ?
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Azdak und PHuV

Ähnliche Themen

Zurück
Oben