Bei der Online-Passwortverwaltung Lastpass wurde in die Server eingebrochen. Dies hat das Unternehmen auf seinem Blog bekannt gegeben. Es gibt Hinweise dass sich Dritte Zugang zu diversen E-Mail-Adressen, den Passworthinweisen sowie den Authentifizierungshashes vieler Nutzer verschaffen konnten. Ein ähnlicher Einbruch fand bereits 2011 statt.
Lastpass versichert, dass die Authentifizierungshashes jeweils mit einem zufälligem Salt versehen und serverseitig 100.000 Iterationen von PBKDF2-SHA256 bearbeitet wurden. Somit seien die Hashes nur mit einem sehr großen Aufwand zu knacken. Das Unternehmen wird dennoch die Nutzer anschreiben und sie auffordern dass sogenannte Masterpasswort zu ändern. Neu hinzugefügte Geräte müssen zudem per E-Mail bestätigt werden. Alternativ ist die Nutzung einer Zwei-Faktor-Authentifizierung möglich.
Quelle: Golem.de
Lastpass versichert, dass die Authentifizierungshashes jeweils mit einem zufälligem Salt versehen und serverseitig 100.000 Iterationen von PBKDF2-SHA256 bearbeitet wurden. Somit seien die Hashes nur mit einem sehr großen Aufwand zu knacken. Das Unternehmen wird dennoch die Nutzer anschreiben und sie auffordern dass sogenannte Masterpasswort zu ändern. Neu hinzugefügte Geräte müssen zudem per E-Mail bestätigt werden. Alternativ ist die Nutzung einer Zwei-Faktor-Authentifizierung möglich.
Quelle: Golem.de