LastPass schließt Heartbleed-Lücke

Der Online-Passwort-Manager LastPass hat die gestern bekannt gewordene Heartbleed-Lücke in OpenSSL geschlossen. Zu keinem Zeitpunkt habe eine Gefahr für die von Nutzern hinterlegten Passwörter bestanden, da diese vor dem Transport über OpenSSL verschlüsselt werden, kommentiert es. Auf den Schlüssel hat LastPass keinen Zugriff, sondern nur der Nutzer.

Das Unternehmen hat bereits neu ausgestellte Zertifikate in Betrieb genommen. Außerdem arbeiten die LastPass-Server mit „Perfect Forward Secrecy„, womit sichergestellt ist, dass aus einem aufgedeckten geheimen Langzeitschlüssel nicht auf damit ausgehandelte Sitzungsschlüssel eines Kommunikationskanals geschlossen werden kann.

Etwa zwei Drittel aller Websites, die SSL zur verschlüsselten Kommunikation nutzen, verwenden dafür OpenSSL. Durch die Heartbleed-Lücke können Angreifer geheime Schlüssel für die mit OpenSSL genutzten X.509-Zertifikate stehlen und erhalten damit Zugriff auf vertrauliche Daten wie Usernamen, Passwörter, Instant Messages, E-Mails und geschäftskritische Dokumente.

Da allerdings die meisten Server, die OpenSSL zur Verschlüsselung nutzen, Passwörter nicht wie Lastpass verschlüsseln, empfiehlt das Unternehmen Anwendern, die Zugangsdaten für kritische Websites zu ändern. Das sollte aber erst passieren, nachdem die betreffende Site den Patch für die Heartbleed-Lücke nutzt und neue Zertifikate in Betrieb sind. Hierfür stellt Lastpass einen Heartbleed-Checker zur Verfügung, der überprüft, ob Websites mit OpenSSL arbeiten, und informiert über den Installationszeitpunkt des Zertifikats. Eine Liste von der Heartbleed-Lücke betroffene Server steht auf Github zur Verfügung.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de