Sicherheitsforscher knackt Zwei-Faktor-Authentifizierung von LastPass

Martin Vigo, Sicherheitsforscher bei Salesforce.com, hat eine Schwachstelle in der Zwei-Faktor-Authentifizierung (2FA) von LastPass entdeckt. Der Passwortmanager nutzt demnach bei der Einrichtung der Sicherheitsfunktion einen Hash des Nutzerpassworts, um den für die Aktivierung von 2FA benötigten QR-Code zu generieren. LastPass hat die Schwachstelle nach eigenen Angaben inzwischen beseitigt.

„LastPass speichert das 2FA-Geheimnis in einer URL, die vom Passwort abgeleitet werden kann“, beschreibt Vigo den Fehler in seinem Blog. „Das widerspricht dem gesamten Zweck der Anmeldung in zwei Schritten, die eine zusätzliche Sicherheitsschicht sein soll, um Anmeldeversuche von Angreifern abzuwehren, die bereits im Besitz des Passworts sind. Stellen Sie sich vor, sie haben einen Safe in ihrem Haus in dem sie ihren wertvollsten Besitz aufbewahren. Glauben Sie es ist eine gute Idee, dasselbe Schloss für die Haustür und den Safe zu haben? Sollte der Türschlüssel auch den Safe öffnen?“

In Kombination mit einem Cross-Site-Request-Forgery-Angriff (CSRF) gelang es dem Forscher zudem, die Anmeldeeinschränkungen des 2FA-Verfahrens auszuhebeln. „Man sollte darauf hinweisen, dass ein Angreifer sein Opfer nicht zum Besuch seiner manipulierten Website verleiten muss. Jede XSS-Lücke in Websites, denen das Opfer vertraut, kann der Angreifer benutzen, um den QR-Code zu stehlen und an seinen Server zu schicken.“

Darüber hinaus fand Vigo eine noch einfachere Möglichkeit, um die Zwei-Faktor-Authentifizierung von LastPass zu deaktivieren. Das ist ihm zufolge über ein Sicherheitsloch möglich, das per GET-Anfrage das 2FA-Geheimnis regeneriert.

Mit dem jüngsten Update hat LastPass eine Prüfung für den Ursprung einer QR-Code Anfrage eingefügt. Außerdem wird der QR-Code nun nicht mehr aus einem Hash des Passworts, sondern aus einem salted Hash generiert, der auf der User-ID basiert. Ein CSRF-Token soll ebenfalls verhindern, dass sich die 2FA-Funktion abschalten lässt. Darüber hinaus sucht LastPass nach eigenen Angaben nun aktiv nach weiteren CSRF-Lücken.

In seinem Blog weist das Unternehmen jedoch darauf hin, dass sich die von Vigo entdeckten Anfälligkeiten nur unter bestimmten Umständen ausnutzen lassen. „Ein Angreifer müsste mehrere Schritte befolgen, um Google Authenticator zu umgehen. Zuerst müsste er einen Nutzer auf eine gefährliche Website locken. Zweitens müsste der Nutzer zum Zeitpunkt des Besuchs bei LastPass angemeldet sein. Diese Kombination von Faktoren verringert die Wahrscheinlichkeit, dass ein Nutzer betroffen sein könnte.“

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

[mit Material von Chris Duckett, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

16 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

20 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

20 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

21 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

21 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

23 Stunden ago