Lastpass: Längere Masterpasswörter, Dark-Web-Überprüfung und MFA-Neustart
Um die Kennworttresor-Sicherheit zu erhöhen und letzte Gefahren eines schweren Sicherheitsvorfalls bei LastPass auszuräumen, müssen Nutzer nun aktiv werden.
(Bild: LightField Studios/Shutterstock.com)
Der Passwortmanager LastPass ergreift zusätzliche Maßnahmen, um seine Kunden abzusichern und aktuelle Empfehlungen der US-Behörden umzusetzen. Dazu gehört eine erzwungene Minimallänge von zwölf Zeichen für das Master-Passwort eines jeden Tresors. Die neu gewählten Hauptpasswörter werden zudem mit in Leaks bekannt gewordenen Passwortlisten verglichen. Wer LastPass mit Mehrfaktor-Authentifizierung nutzt und diese nach dem Sicherheitsvorfall im vergangenen März noch immer nicht neu eingerichtet hat, sollte das zügig nachholen.
Das Passwort für einen Kennworttresor ist besonders wichtig: Fällt es in die Hände eines Angreifers, so hat dieser Zugriff auf alle weiteren Zugangsdaten im Speicher und kann die digitale Identität seines Opfers vollständig übernehmen. LastPass zieht daher die Daumenschrauben an und fordert Nutzer mit kürzeren Master-Passwörtern auf, diese umgehend richtlinienkonform neu zu setzen. In einem Blogeintrag liefert der Softwarehersteller Hinweise für sichere Kennwörter und betont, dass die Standardlänge bereits seit 2018 zwölf Zeichen betrüge, viele Nutzer sich jedoch entschieden hätten, diesen Ratschlag auszuschlagen. Bis Ende Januar wolle man alle betroffenen Kunden informiert haben.
Leak-Prüfung für Passwörter
Ab Februar führt LastPass zudem für neue oder zurückgesetzte Hauptpasswörter eine automatische Überprüfung durch, ob diese bereits bei einem Datenleck offengelegt wurden und Kriminellen daher bekannt sind. Ob es sich bei der ungenannten Leak-Datenbank um den beliebten Dienst "Have I been pwned?" handelt, ist unklar – LastPass erwähnt die Datenquellen weder im Blogartikel noch in der Produktinformation zum "Darkweb-Monitoring". Mit diesem Werkzeug können. Nutzer ihre E-Mail-Adressen kontinuierlich auf unerwünschte Veröffentlichung prüfen lassen.
Firmen, die LastPass nutzen, sollten zudem alle Mitarbeiter mit aktivierter Mehrfaktor-Authentifizierung (MFA) benachrichtigen und deren Authenticator-Apps neu einrichten. Diese Maßnahme ist notwendig, um letzte Risiken des Einbruchs bei LastPass im vorvergangenen Jahr zu beseitigen. Damals hatten die Angreifer unter anderem MFA-Schlüssel kopiert. LastPass liefert Administratoren eine Schritt-für-Schritt-Anleitung inklusive einer (englischen) E-Mail-Vorlage für die Nutzer-Benachrichtigung.
(cku)
