Go to Top

Auch ein Passwort-Safe kann unsicher sein

Phishing

Passwörter werden heutzutage überall benötigt: beim Online-Banking, für soziale Netze, bei Mail-Accounts und vielem mehr. Kein Wunder, wenn man es sich bei der Wahl seiner Zugangsdaten etwas einfach macht. Das amerikanische Unternehmen SplashData hat 2014 die gebräuchlichsten Passwörter gelistet – extrahiert aus 3,3 Millionen gehackter Daten von US Bürgern.

Die Rangfolge: 1. 123456 2. password 3. 12345 4. 12345678 5. Qwerty

Über verschiedene Möglichkeiten, sich sichere Passwörter zu erstellen, haben wir schon berichtet. Gerne werden auch sogenannte Passwort-Manager benutzt, bei denen man seine Zugangsdaten in der Cloud speichert und mit einem Masterpassword darauf Zugriff hat. Leider sind auch diese Passwort-Safes nicht immer vollständig sicher, wie jüngst bekannt wurde. Betroffen sind User, die ihre Passwörter beim Passwortmanager LastPass gespeichert haben.

Kriminelle versuchen, Lastpass-Nutzer auf eine mit speziellem Javascript-Code versehene Website zu locken. Hier öffnet sich ein Fenster, das dem Besucher mitteilt, dass er nicht mehr bei LastPass eingeloggt sei. Es folgt die Aufforderung, sein LastPass-Master-Passwort inklusive Mailadresse und (falls in Benutzung) die Daten für die Zwei-Faktor-Authentifizierung einzugeben – in einem gefaktem Login-Screen, der der echten LastPass-Anmeldeseite aufs Haar gleicht. Nach Eingabe der Daten hat der Angreifer dann Zugriff auf alle im LastPass-Safe gespeicherten Passwörter.

LastPass ist der Meinung, dass ein solcher Angriff zu den Phishing-Attacken gehört und kein Sicherheitsproblem von LastPass darstellt. Bekannt sind solche Phishing-Attacken aus Mails, dort allerdings meist durchsetzt mit Schreibfehlern und dadurch schnell erkennbar.

Man sollte bei allen solchen Aufforderungen, irgendwelche sensiblen Daten auf Anfrage online einzutragen, zögern, die Seite verlassen, und dann am besten die echte Login-Seite des Herstellers anwählen. Dort wird sich zeigen, dass alles in bester Ordnung ist.

Bildquelle: BuildArk / flickr  – Lizenz: CC2