Online-Passwort-Manager LastPass hat Heartbleed-Lücke geschlossen

Gefahr für die von Nutzern hinterlegten Passwörtern hat Unternehmensangaben zufolge zu keiner Zeit bestanden. LastPass verschlüsselt sie vor dem Transport über OpenSSL.

LastPass hat die Heartbleed-Lücke in OpenSSL, die gestern bekannt wurde, geschlossen. Zu keinem Zeitpunkt habe eine Gefahr für die von Nutzern hinterlegten Passwörter bestanden, da diese vor dem Transport über OpenSSL verschlüsselt werden, kommentiert das Unternehmen. Auf den Schlüssel hat LastPass keinen Zugriff, sondern nur der Nutzer.

lastpass
Das Unternehmen hat bereits neu ausgestellte Zertifikate in Betrieb genommen. Außerdem arbeiten die LastPass-Server mit „Perfect Forward Secrecy„, womit sichergestellt ist, dass aus einem aufgedeckten geheimen Langzeitschlüssel nicht auf damit ausgehandelte Sitzungsschlüssel eines Kommunikationskanals geschlossen werden kann.

Etwa zwei Drittel aller Websites, die SSL zur verschlüsselten Kommunikation nutzen, verwenden dafür OpenSSL. Durch die Heartbleed-Lücke können Angreifer geheime Schlüssel für die mit OpenSSL genutzten X.509-Zertifikate stehlen und erhalten damit Zugriff auf vertrauliche Daten wie Usernamen, Passwörter, Instant Messages, E-Mails und geschäftskritische Dokumente.

Lastpass-Heartbleed-Checker: Das Online-Tool informiert darüber, ob eine Webseite mit OpenSSL arbeitet und wann neue Zertifikate installiert wurden. Für Webseiten, die OpenSSL nicht oder eine andere SSL-Lösung verwenden, erscheint eine Fehlermeldung.

Lastpass-Heartbleed-Checker: Das Online-Tool informiert darüber, ob eine Webseite mit OpenSSL arbeitet und wann neue Zertifikate installiert wurden. Für Webseiten, die OpenSSL nicht oder eine andere SSL-Lösung verwenden, erscheint eine Fehlermeldung.

Da allerdings die meisten Server, die OpenSSL zur Verschlüsselung nutzen, Passwörter nicht wie Lastpass verschlüsseln, empfiehlt das Unternehmen Anwendern, die Zugangsdaten für kritische Websites zu ändern. Das sollte aber erst passieren, nachdem die betreffende Site den Patch für die Heartbleed-Lücke nutzt und neue Zertifikate in Betrieb sind. Hierfür stellt Lastpass einen Heartbleed-Checker zur Verfügung, der überprüft, ob Websites mit OpenSSL arbeiten, und informiert über den Installationszeitpunkt des Zertifikats. Eine Liste von der Heartbleed-Lücke betroffene Server steht auf Github zur Verfügung.

[Mit Material von Kai Schmerer, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu Online-Passwort-Manager LastPass hat Heartbleed-Lücke geschlossen

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *