Es ist schon ein paar Monate her, dass es einen Sicherheitsvorfall beim Passwortmanager LastPass gab. Gestern gab es ein Update zum Vorfall, das, ja, nennen wir es, wie es ist, einen Super-GAU für Last Pass darstellt: Angreifer sind an Backups von Nutzerdaten gelangt.
Es ist Angreifern also gelungen, an die Codes zur Alarmanlage zu gelangen, sie zu deaktivieren, die Mauern zum Schloss zu überwinden, die Tore aufzubrechen und den Safe – anfangs unbemerkt! – zu stehlen. Er steht nun in irgendeiner Werkstatt herum und die Angreifer können ohne Eile daran arbeiten, ihn zu knacken. Die einzige Barriere zwischen dem Inhalt des Safes und denen, die an seine Inhalte herankommen wollen, ist die Schlüsselkombination und die korrekte Implementierung der angewendeten Sicherheitsmechanismen. Solange das hält – zurück in die digitale Welt: solange das Masterpasswort gut genug ist und die Implementierung ordentlich durchgeführt wurde – hat man immerhin noch ein wenig Zeit, seine Zugangsdaten zu diversen Services, Websites, E-Mailkonten und sonstigen mit Login und Passwort ausgestatteten Systemen, zu ändern. Und das sollte man schleunigst tun, denn irgendwas an der Sache stinkt.
Wladimir Palant hat den LastPass-Breach zusammengefasst und um einen Abschnitt, der mit „What now?“ betitelt ist, ergänzt. Mir gefällt an seinem Artikel, dass er auch die Kommunikation des Breaches und die Vorbereitung aufs Blaming der Userinnen und User anspricht. Auch John Gruber merkt an, dass der Hack unter einem bestimmten Aspekt sogar ein Triumph für sichere Passwortmanager ist, da Passwörter selbst dann, wenn man an die Schlüsselbunde herankommt, nicht leicht zu extrahieren sind, empfiehlt aber ebenso, schleunigst alle Daten zu ändern und sie woanders hin zu migrieren. Gleich auch Mike Kuketz, der auch noch auf das Kapitel zum Thema Passwort-Manager in seiner „Empfehlungsecke“ verweist, in der er ganz grundsätzlich Kritik an cloudbasierten Passwortmanagern übt, was ich aus seiner, also der Perspektive eines kompromisslosen Sicherheitsforschers, zwar gut verstehen kann, dem aber gegenüberstellen möchte, dass es gerade die „flauschigen, cloud-basierten Passwortdienste“, wie er sie in seinem Tweet nennt, sind, die die mühsame Arbeit des Findens und Verwaltens von Passwörtern eliminiert und die meisten von uns überhaupt erst auf ein Level gehoben haben, in dem wir für jeden Dienst lange und einzigartige Passwörter generieren – und eben nicht das berühmte „Passwort123„.
John Gruber nutzt und empfiehlt den iCloud-Schlüsselbund, mich schränkt der zu sehr ein, weil er eben nur auf Apple-Devices vernünftig funktioniert. Mike Kuketz empfiehlt (unter anderem) den quelloffenen Passwortmanager KeePassXC in Zusammenspiel mit Syncthing. Wladimir Palant spricht keine direkte Empfehlung aus, der verlinkte Beitrag enthält aber ein wohlwollendes Statement zu KeePass (außerdem entwickelt er seinen eigenen Passwortmanager: Pain-free Passwords). Und ich nutze schon seit Jahren sehr zufrieden 1Password, auch wenn es auch dort schon mal einen kleineren Hickup gab.