• IT-Karriere:
  • Services:

Sicherheitslücke: Lastpass verriet zuletzt verwendetes Passwort an Webseiten

Über eine Sicherheitslücke im Passwortmanager Lastpass konnten Webseiten auf die zuletzt verwendeten Zugangsdaten zugreifen - von einer anderen Webseite.

Artikel veröffentlicht am ,
Lastpass auf einem iPad
Lastpass auf einem iPad (Bild: Doug Belshaw/CC-BY 2.0)

Eine Sicherheitlücke in den Browsererweiterungen des Passwortmanagers Lastpass ermöglichte es einer Webseite, die zuvor auf einer anderen Webseite verwendeten Zugangsdaten auszulesen. Entdeckt hatte die Lücke der Sicherheitsforscher Tavis Ormandy von Googles Project Zero. Lastpass hat die Sicherheitslücke in Version 4.33.0 geschlossen, die Browsererweiterungen aktualisieren sich üblicherweise automatisch. Zuerst hatte das Onlinemagazin ZDnet berichtet.

Stellenmarkt
  1. SCHOTT AG, Mainz
  2. Meierhofer AG, München

Voraussetzung für den Angriff sei, dass ein Nutzer seine Zugangsdaten mittels eines Klicks auf das Icon der Lastpass-Browsererweiterung auf einer Webseite verwendet hat, erklärt Lastpass in einem Blogeintrag. Anschließend müsse der Nutzer dazu gebracht werden, eine präparierte Webseite zu besuchen und schließlich dazu verleitet werden, mehrmals auf die Seite zu klicken, schreibt Lastpass. Es seien nur die Browsererweiterungen unter Chrome und Opera betroffen gewesen. Die wenigen Zeilen Javascript-Code, die für den Angriff notwendig sind, sowie weitere Details hat Ormandy in einem Bugreport veröffentlicht.

Im Februar entdeckte die Sicherheitsfirma Independent Security Evaluators (ISE), dass etliche Passwortmanager zwar die Datenbanken gut sichern, aber im gesperrten Zustand sensible Daten im Arbeitsspeicher hinterlassen, darunter Zugangsdaten oder das Masterpasswort. Untersucht wurden 1Password, Dashlane, Keepass und Lastpass unter Windows 10. Doch trotz der Probleme sollte nicht auf die Verwendung eines Passwortmanagers verzichtet werden oder, um es mit den Worten des Sicherheitsforschers Troy Hunt zu sagen: "Passwortmanager müssen nicht perfekt sein, sie müssen nur besser sein, als sie nicht zu benutzen."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

Truster 18. Sep 2019

Dies passiert, wenn man die option Save on Exit aktiviert hat und Windows herunter fährt...

atikalz 17. Sep 2019

Ich kenne nicht so viele LP Skandale, kläre mich auf. Bin seit zig Jahren zufriedener LP...

Truster 17. Sep 2019

Ih verwende Keepass2 am PC und Keepass2Android am Smartphone. Browser Implementierung...

Anonymer Nutzer 17. Sep 2019

Wer keine lokale Datenbank will, aber sich zutraut das Teil selbst im Heimnetz oder auf...


Folgen Sie uns
       


Kuschelroboter Lovot angesehen (CES 2020)

Lovot ist ein kleiner Roboter, der bei seinem Besitzer für gute Stimmung sorgen soll. Er lässt sich streicheln und reagiert mit freudigen Geräuschen.

Kuschelroboter Lovot angesehen (CES 2020) Video aufrufen
    •  /