Beim Passwortmanager LastPass wurden von Sicherheitsforschern mehrere Sicherheitslücken entdeckt, die nun geschlossen wurden. Betroffen waren zum einen die Browser-Plugins von LastPass, mit deren Hilfe Anwender im Browser auf gespeicherte Passwörter zugreifen können. Aufgrund einer Lücke war es hier Angreifern potenziell möglich, gespeicherte Passwörter auszulesen. LastPass hat inzwischen Updates für die Plugins veröffentlicht - SiBa rät, diese so bald wie möglich zu installieren. Zum anderen entdeckten Sicherheitsforscher eine Schwachstelle in der Zwei-Faktor-Authentifizierung bei LastPass: Mit Hilfe dieser Sicherheitsvorkehrung können Anwender ihre Konten zusätzlich sichern, indem Sie bei jeder Anmeldung neben ihrem Passwort noch einen einmalig generierten Code eingeben müssen. Dahinter steht der Gedanke, dass ein Angreifer keinen Zugriff auf das Konto bekommen kann, selbst wenn er das Passwort knacken/kennen sollte. Doch genau hier sorgte bei LastPass eine Schwachstelle dafür, dass der zusätzliche Nutzen der Zwei-Faktor-Authentifizierung größtenteils sinnlos wurde - denn der Code errechnete sich unter anderem aus eben jenem Passwort. Aufgrund dieser Lücke war es Angreifern potenziell möglich, die Zwei-Faktor-Authentifizierung zu umgehen, wenn ihnen das Passwort bekannt ist. Diese Lücke wurde von LastPass inzwischen serverseitig behoben, Anwender müssen hier nicht aktiv werden.