LastPass wird gehackt - Zeit für Logins ohne Passwort?

Password Manager-Dienst LastPass hat letzte Woche bekannt gegeben, dass eine Datenverletzung vorliegt, die die E-Mail-Adressen der Benutzer, verschlüsselte Passwörter und Erinnerungshinweise zum Klartext-Passwort offen legt.

Dem guten Rat folgend, niemals dasselbe Passwort zweimal zu verwenden und schwer zu erratende Passwörter zu wählen (und sich daran zu erinnern), verwenden viele Leute Passwortverwaltungsseiten wie LastPass. Aber das Problem mit einer Web-basierten dritten Partei, um Ihre Passwörter zu speichern, ist, dass sie auch gehackt werden können.

LastPass hat sicherlich viele Sicherheitsvorkehrungen getroffen, und einige von ihnen haben funktioniert. Zum Beispiel hatte LastPass im Klartext nie Zugriff auf die Master-Passwörter der Kunden. Aber sie speicherten andere Informationen über Benutzer in Klartext, und diese kompromittierten Informationen können verwendet werden, um schwache Master-Passwörter zu erraten.

Der angekündigte Blog von LastPass erklärt, dass Server-pro-Benutzer-Salze und Authentifizierungs-Hashes ebenfalls kompromittiert wurden. Mitarbeiter Joe Siegrist schrieb in einem Follow-up-Blog an Kunden:

& ldquo; Ein Angreifer könnte versuchen, Ihr Master-Passwort zu erraten, und dann anhand des Hashs pro Benutzer-Salzen und Authentifikation ermitteln, ob die Schätzung richtig war. [...] Wenn Ihr Master-Passwort schwach ist oder wenn Ihre Passwort-Erinnerung es leicht zu erraten gibt, könnte der Angreifer die Anzahl der Versuche, die er richtig erraten müsste, erheblich reduzieren. & rdquo;

Wann ist genug?

Die Welt der Kryptowährungen war relativ schnell bei der Aufnahme von passwortlosen Web-Logins. Es begann, als Satoshi Labs Benutzern Trecor Connect anbot, mit dem Sie sich auf teilnehmenden Webseiten anmelden können, indem Sie einfach eine Hardware-Geldbörse einstecken.

Die Cryptocurrency-Community zeigte kürzlich auch große Begeisterung beim weltweit ersten Secure Quick Reliable Login (SQRL), das QR-Codes und die Public-Key-Kryptographie hinter Bitcoin verwendet, um eine passwortlose Anmeldung zu erreichen.

Allein diese beiden Entwicklungen beweisen, dass Benutzernamen und Passwörter bei der Erzielung sicherer Online-Beziehungen zwischen Client und Server bei weitem nicht erforderlich sind.

Aber wird einer von ihnen abhauen? Wird sich ein anderer Ansatz als attraktiver erweisen? Es wird alles darauf ankommen, wie viele Datenverstöße die Verbraucher bereit sind zu ertragen.


Folge uns auf Facebook


  • LastPass
  • Hacker
  • Verschlüsselung
  • Trezor
  • Sicherheit