Passwortmanager Lastpass patzt bei Zwei-Faktor-Authentifizierung
Die Entwickler das Passwortmanagers haben elementare Fehler begangen, die die Zwei-Faktor-Authentifizierung ad absurdum führten, warnt ein Sicherheitsforscher.
Eigentlich soll die Authentifizierung mit einem zweiten Faktor (2FA) mehr Sicherheit bieten. Selbst wenn Angreifer bereits das Passwort eines Opfers kennen, können sie sich ohne den zweiten Schlüssel in Form eines Codes nicht bei einem Online-Dienst anmelden. Doch diesen Code hätten Angreifer beim 2FA-Ansatz des Passwortmanager Lastpass vergleichsweise einfach erraten können, warnt der Sicherheitsforscher Martin Vigo.
Einer, statt zwei Schlüssel
Ihm zufolge haben die Lastpass-Entwickler den für die Einrichtung der 2FA nötigen QR-Code auf Basis von Passwort-Hashes (PBKDF2-SH256) erzeugt. Diese sollen sogar Bestandteil von URLs gewesen sein.
In seinen Versuchen konnte Vigo nach eigenen Angaben die Basis zur Generierung von 2FA-Codes via Cross-Site Request Forgery (CSRF) abfangen. Das soll auch via XSS-Übergriff möglich sein. Kennt ein Angreifer das Kennwort eines Opfers, könnte er sich gültige Codes erstellen und die 2FA ad absurdum führen.
Zweiten Faktor komplett deaktivieren
Zudem war es Vigo möglich, die 2FA von Lastpass über diverse Schwachstellen komplett zu deaktivieren. Dabei hätte ein Angreifer die Basis für die Generierung der Codes via CSRF zurücksetzen und die 2FA so ausschalten können.
Eigenen Angaben zufolge hat Lastpass diese Schwachstellen geschlossen. Ferner soll der QR-Code zur 2FA-Einrichtung nicht mehr auf einem Passwort-Hash fußen. Dabei handele es sich um serverseitige Maßnahmen.
Zuletzt sorgte Lastpass aufgrund diverser kritischer Sicherheitslücken für negative Schlagzeilen. (des)
