Warnmeldungen sorgen seit kurzem für Verunsicherung bei Nutzern des Passwortmanagement-Dienstes Lastpass. Die Benachrichtigungen informieren über "nicht autorisierte Anmeldeversuche". Das sorgte schnell für die Vermutung, dass es ein Datenleck bei Lastpass gab. Der Dienst war in der Vergangenheit immer wieder von Sicherheitsproblemen betroffen, der letzte schwerere Vorfall datiert allerdings aus dem Jahr 2015.

Im Hinblick auf die aktuellen Warnungen beruhigt das Unternehmen nun allerdings. Man habe keine Hinweise auf ein Sicherheitsproblem gefunden, die Server wurden nicht kompromittiert und es fand auch kein Fremdzugriff auf Nutzerdaten statt.

Fehler im Alarmsystem

Stattdessen, so zitiert "The Verge" den stellvertretenden Produktchef von Lastpass, sollen viele der Warnmeldungen auf einen Fehler zurückgehen, den man nun behoben habe. Zuvor hatte man noch "relativ übliche Bot-Aktivitäten" als Ursache vermutet, ehe man einen Bug im Alarmsystem identifizieren konnte, der wiederum eine Folge von Maßnahmen zur Verbesserung der Sicherheit gewesen sei.

Man weist außerdem darauf hin, dass man mit einem "Zero Knowledge"-Sicherheitsmodell arbeitet. Dies bedeutet, dass man zu keiner Zeit das Master-Passwort der Nutzer, über das sie auf ihre hinterlegten Login-Daten zugreifen, kennt, speichert oder abfragen kann. Zur aktuellen Causa hat man außerdem einen Blogeintrag veröffentlicht.

Zwei-Faktor-Authentifizierung empfohlen

Nutzer von Login-Verwaltungsdiensten wie Lastpass können zudem eine wichtige Maßnahme setzen, um sich über das Master-Passwort hinaus zusätzlich abzusichern: die Aktivierung der Zwei-Faktor-Authentifizierung. Diese führt zur zusätzlichen Abfrage eines Codes, der entweder über eine entsprechende App generiert oder per SMS zugesandt wird, wenn man sich von einem bisher nicht genutzten Gerät aus einloggt. Damit mindert man das Risiko eines Einbruchs in das eigene Konto massiv. (gpi, 29.12.2021)