Sicherheitsforscher knackt Zwei-Faktor-Authentifizierung von LastPass

Der Passwortmanager generiert den für die Einrichtung von 2FA benötigten QR-Code aus dem Passwort des Nutzers. Dadurch kann ein Angreifer, der im Besitz des Passworts ist, die Anmeldung in zwei Schritten deaktivieren. LastPass schließt die Schwachstellen mit einem Sicherheitsupdate.

Martin Vigo, Sicherheitsforscher bei Salesforce.com, hat eine Schwachstelle in der Zwei-Faktor-Authentifizierung (2FA) von LastPass entdeckt. Der Passwortmanager nutzt demnach bei der Einrichtung der Sicherheitsfunktion einen Hash des Nutzerpassworts, um den für die Aktivierung von 2FA benötigten QR-Code zu generieren. LastPass hat die Schwachstelle nach eigenen Angaben inzwischen beseitigt.

LastPass (Bild: LogmeIn)„LastPass speichert das 2FA-Geheimnis in einer URL, die vom Passwort abgeleitet werden kann“, beschreibt Vigo den Fehler in seinem Blog. „Das widerspricht dem gesamten Zweck der Anmeldung in zwei Schritten, die eine zusätzliche Sicherheitsschicht sein soll, um Anmeldeversuche von Angreifern abzuwehren, die bereits im Besitz des Passworts sind. Stellen Sie sich vor, sie haben einen Safe in ihrem Haus in dem sie ihren wertvollsten Besitz aufbewahren. Glauben Sie es ist eine gute Idee, dasselbe Schloss für die Haustür und den Safe zu haben? Sollte der Türschlüssel auch den Safe öffnen?“

In Kombination mit einem Cross-Site-Request-Forgery-Angriff (CSRF) gelang es dem Forscher zudem, die Anmeldeeinschränkungen des 2FA-Verfahrens auszuhebeln. „Man sollte darauf hinweisen, dass ein Angreifer sein Opfer nicht zum Besuch seiner manipulierten Website verleiten muss. Jede XSS-Lücke in Websites, denen das Opfer vertraut, kann der Angreifer benutzen, um den QR-Code zu stehlen und an seinen Server zu schicken.“

Darüber hinaus fand Vigo eine noch einfachere Möglichkeit, um die Zwei-Faktor-Authentifizierung von LastPass zu deaktivieren. Das ist ihm zufolge über ein Sicherheitsloch möglich, das per GET-Anfrage das 2FA-Geheimnis regeneriert.

Mit dem jüngsten Update hat LastPass eine Prüfung für den Ursprung einer QR-Code Anfrage eingefügt. Außerdem wird der QR-Code nun nicht mehr aus einem Hash des Passworts, sondern aus einem salted Hash generiert, der auf der User-ID basiert. Ein CSRF-Token soll ebenfalls verhindern, dass sich die 2FA-Funktion abschalten lässt. Darüber hinaus sucht LastPass nach eigenen Angaben nun aktiv nach weiteren CSRF-Lücken.

In seinem Blog weist das Unternehmen jedoch darauf hin, dass sich die von Vigo entdeckten Anfälligkeiten nur unter bestimmten Umständen ausnutzen lassen. „Ein Angreifer müsste mehrere Schritte befolgen, um Google Authenticator zu umgehen. Zuerst müsste er einen Nutzer auf eine gefährliche Website locken. Zweitens müsste der Nutzer zum Zeitpunkt des Besuchs bei LastPass angemeldet sein. Diese Kombination von Faktoren verringert die Wahrscheinlichkeit, dass ein Nutzer betroffen sein könnte.“

HIGHLIGHT

Wettbewerbsvorteile durch effizienten Kundenservice

Telefonieren Sie noch oder skypen Sie schon, lautete einmal ein einprägsamer Werbespruch, der einfach zum Ausdruck brachte, dass eine ältere Technologie von etwas Besserem ersetzt wird. Das Gleiche gilt für die Kommunikation mit Kunden. Nutzen Sie schon Communication Enabled Business Processes (CEBP) oder warten Sie, bis der Wettbewerb Sie überholt

[mit Material von Chris Duckett, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Lastpass, Security, Sicherheit, Zwei-Faktor-Authentifizierung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Sicherheitsforscher knackt Zwei-Faktor-Authentifizierung von LastPass

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *