Möglicher Einbruch bei Passwortspeicherdienst LastPass

"Anomalien im Netzwerkverkehr" der Datenbanken des Passwortspeicherdienstes LastPass lassen den Dienstleister vermuten, dass unter Umständen Einbrecher an vertrauliche Informationen gelangt sind – darunter möglicherweise einige Masterpasswörter von Kunden. LastPass ist ein Online-Passwort-Manager, der via Browser-Plug-ins automatisch Login-Formulare von Webseiten ausfüllen kann.

Einen konkreten Hinweis auf einen Einbruch hat LastPass zwar nicht – aber wo Rauch zu sehen ist, muss es wohl gebrannt haben. Deshalb zwingt der Anbieter nun alle Kunden zum Wechsel des Masterpassworts. LastPass geht zwar davon aus, dass die mit Salt gehashten Passwörter einem Brute-Force-Angriff widerstehen dürften, bei besonders schwachen Passwörtern jedoch eine Wörterbuchattacke erfolgreich sein könnte. Daher will LastPass auf Nummer sicher gehen.

Darüber hinaus nimmt der Anbieter den Vorfall zum Anlass, die Passwörter noch resistenter gegen Knackangriffe zu machen. LastPass will den Standard "Password-Based Key Derivation Function" (PBKDF2) implementieren, der neben dem Salt durch zusätzliche Runden beim Hashen für mehr Widerstandskraft sorgen soll. Die zusätzlichen Runden erfordern mehr Rechenaufwand, was selbst einen schnellen Passwortknacker so stark ausbremst, dass dieser beispielsweise statt 100.000 Passwörter pro Sekunde nur noch 10 pro Sekunde schafft. Konkret will LastPass in Zukunft die Masterpasswörter mit SHA-256 und 100.000 Runden hashen. (dab)