Sicherheitslücke: Lastpass verriet zuletzt verwendetes Passwort an Webseiten

Eine Sicherheitlücke in den Browsererweiterungen des Passwortmanagers Lastpass ermöglichte es einer Webseite, die zuvor auf einer anderen Webseite verwendeten Zugangsdaten auszulesen. Entdeckt hatte die Lücke der Sicherheitsforscher Tavis Ormandy von Googles Project Zero. Lastpass hat die Sicherheitslücke in Version 4.33.0 geschlossen, die Browsererweiterungen aktualisieren sich üblicherweise automatisch. Zuerst hatte das Onlinemagazin ZDnet berichtet.

Voraussetzung für den Angriff sei, dass ein Nutzer seine Zugangsdaten mittels eines Klicks auf das Icon der Lastpass-Browsererweiterung auf einer Webseite verwendet hat, erklärt Lastpass in einem Blogeintrag. Anschließend müsse der Nutzer dazu gebracht werden, eine präparierte Webseite zu besuchen und schließlich dazu verleitet werden, mehrmals auf die Seite zu klicken, schreibt Lastpass. Es seien nur die Browsererweiterungen unter Chrome und Opera betroffen gewesen. Die wenigen Zeilen Javascript-Code, die für den Angriff notwendig sind, sowie weitere Details hat Ormandy in einem Bugreport veröffentlicht.

Im Februar entdeckte die Sicherheitsfirma Independent Security Evaluators (ISE), dass etliche Passwortmanager zwar die Datenbanken gut sichern, aber im gesperrten Zustand sensible Daten im Arbeitsspeicher hinterlassen, darunter Zugangsdaten oder das Masterpasswort. Untersucht wurden 1Password, Dashlane, Keepass und Lastpass unter Windows 10. Doch trotz der Probleme sollte nicht auf die Verwendung eines Passwortmanagers verzichtet werden oder, um es mit den Worten des Sicherheitsforschers Troy Hunt zu sagen: "Passwortmanager müssen nicht perfekt sein, sie müssen nur besser sein, als sie nicht zu benutzen."