Ist LastPass noch sicher? Experten kritisieren den Passwortmanager

LastPass gab kürzlich bekannt, dass die Passwort-Tresore von einigen Nutzern gestohlen wurden. Dies ist der siebte Sicherheits-Vorfall des Unternehmens in den letzten etwa zehn Jahren. Einige Cybersecurity-Experten kritisieren die Reaktion des Passwortmanagers, da sich Nutzer dadurch sicherer fühlen könnten, als sie seien.

Denn laut LastPass müsse man keine besonderen Maßnahmen ergreifen, um sich vor möglichen, erneuten Angriffen zu schützen. Doch diese Empfehlung wird von manchen Sicherheitsexperten als grob fahrlässig eingestuft, weshalb das Vertrauen in das Unternehmen eingebrochen sei.

Sicherheits-Forscher Wladimir Palant war an der Entwicklung von AdBlock beteiligt und wirft LastPass vor, nicht transparent zu sein, sowie Halbwahrheiten und Lügen zu verbreiten. Er beschuldigt das Unternehmen, dass sie den Sicherheitsvorfall im August als ein von der Attacke im November getrenntes Geschehen darstellen und den Fall herunterspielen:

Some source code and technical information were stolen.

- LastPass

Doch der Datendiebstahl im November sei nur möglich gewesen, weil die Sicherheitslücke, aufgrund derer der Vorfall im August sich ereignet hatte, noch immer nicht vollständig bearbeitet worden sei. Außerdem seien Daten durchgesickert, durch die es möglich sei zurückzuverfolgen, von wo Nutzer den LastPass-Service genutzt hätten. Dadurch könne es möglich sein, vollständige Bewegungsprofile zu erstellen.

Jeremy Gossen, ein weiterer Sicherheits-Forscher empfiehlt den Passwortmanager zu wechseln. Denn LastPass behauptet, dass durch ihre Zero-Knowledge-Architektur die Passwörter besonders sicher seien.

Dies bedeutet, dass nur der Nutzer weiß, was in seinem Tresor gespeichert ist und das Unternehmen keinen Zugang auf das Masterpasswort hat. Gossen kritisiert aber nicht Zero-Knowledge, sondern er gibt an, dass LastPass Behauptung Zero-Knowledge-Architektur anzuwenden irreführend sei:

LastPass’s claim of ‘zero knowledge’ is a bald-faced lie. They have about as much knowledge as a password manager can possibly get away with. (…) I think most people envision their vault as a sort of encrypted database where the entire file is protected, but no — with LastPass, your vault is a plaintext file and only a few select fields are encrypted.

Zudem sei laut Palant die Verschlüsselung nur hilfreich, solange Hacker das Masterpasswort nicht herausfinden. LastPass erklärt auf ihrer Website, dass es Millionen von Jahren dauern würde, das Masterpasswort zu hacken, solange das Passwort lang und stark genug sei und kein weiteres Mal auf einer anderen Website genutzt würde. Doch durch so eine Behauptung würde das Unternehmen bei einem Sicherheitsvorfall indirekt die Schuld dem Nutzer zuweisen:

This prepares the ground for blaming the customers. LastPass should be aware that passwords will be decrypted for at least some of their customers. And they have a convenient explanation already: these customers clearly didn’t follow their best practices.

Auch Jeffrey Goldberg, der Unternehmensleiter von 1Password, kritisiert die Aussage des Unternehmens und gibt an, dass es deutlich schneller möglich sei, ein LastPass-Passwort zu knacken. Ebenso ist Palant der Meinung, dass es einfacher sei die Passwörter herauszufinden.

Er behauptet, dass es mit einer einzelnen GPU etwa drei Jahre dauern würde, ein Passwort mit der Viral-XKCD-Methode herauszufinden. Bei einem 11-stelligen Passwort wäre dies mit entsprechender Hardware sogar innerhalb von 25 Minuten möglich.

Not in a million years: It can take far less to crack a LastPass password. Passwords created by humans come nowhere near meeting that requirement.

- Jeffrey Goldberg

Ein weiteres Problem sei, dass LastPass trotz wiederholter Aufforderungen die URLs der Nutzer nicht verschlüsselt. Palant betont, dass es für manche Hacker interessanter sein kann, die URLs zu kennen, die User nutzen, anstelle der Passwörter. Über die Kenntnisse von URLs ließe sich etwa Phishing-Betrug einfach umsetzen:

Threat actors would love to know what you have access to. Then they could produce well-targeted phishing emails just for the people who are worth their effort.