Passworttresore entwendet: Dashlane-Nutzer bleiben dank starker Verschlüsselung geschützt

Zusammenfassung zeigen Zusammenfassung verbergen

Ein Angriff auf den Passwortmanager Dashlane hat gezeigt, wie Angreifer über die Geräte‑Registrierung verschlüsselte Nutzer‑Tresore abgreifen können – obwohl der Vorfall nur wenige Konten betraf. Warum die Auswirkungen begrenzt blieben und was das für Anwender jetzt bedeutet, ist wichtig für alle, die einen Passwortmanager nutzen.

Wie die Attacke funktionierte

Dashlane berichtet, dass Kriminelle einen groß angelegten Brute‑Force‑Angriff auf die Schnittstellen zum Hinzufügen neuer Geräte starteten. Die betroffene Funktion sendet bei der Anmeldung an einem neuen Gerät einen sechsstelligen Verifizierungscode an eine verknüpfte E‑Mail-Adresse oder eine 2‑FA‑App; dieser Code ist für drei Stunden gültig.

Statt Zugang zu den Postfächern oder 2‑FA‑Apps zu haben, feuerten die Angreifer massenhaft Anfragen an die Registrierungs‑API. Innerhalb des gültigen Zeitfensters versuchten automatisierte Programme, die sechsstelligen Codes zu erraten und sich so automatisch neue Geräte mit einer Kopie des jeweiligen, bereits verschlüsselten Tresors freizuschalten.

Warum es nur zu wenigen Erfolgen kam

Ein sechsstelliger Code bietet eine Million Kombinationen – theoretisch ist ein erfolgreicher Brute‑Force‑Versuch damit äußerst unwahrscheinlich. Doch die Angreifer setzten das Verfahren gegen sehr viele Accounts gleichzeitig ein. Dashlane erkannte die Aktivitäten laut eigenen Angaben früh und stoppte sie automatisiert; dennoch gelang es, «weniger als 20» Tresore zu erbeuten.

Wichtig für die Betroffenen: Die Angreifer nahmen keine Master‑Passwörter an sich, weil Dashlane diese nicht speichert. Die entwendeten Tresore sind verschlüsselt. Ohne das Master‑Passwort bleiben die Inhalte für Fremde unzugänglich, so das Unternehmen: Langfristige Entschlüsselungsversuche seien statistisch aussichtslos.

Was das für Nutzer bedeutet

Der Vorfall unterstreicht zwei Punkte: Erstens, selbst robuste Plattformen lassen sich durch komplexe, automatisierte Angriffe angreifen; zweitens reduziert die lokale Verschlüsselung das Risiko massiv, dass entwendete Daten sofort missbraucht werden können.

  • Kurzfassung des Vorfalls:

    • Angriffsart: Brute‑Force auf Geräte‑Registrierungs‑API
    • Betroffene: Dashlane‑Nutzer; weniger als 20 Tresore entwendet
    • Gestohlen: verschlüsselte Tresore, keine Master‑Passwörter

  • Konsequenzen:

    • Direkter Missbrauch der Tresorinhalte ist nur mit Master‑Passwort möglich
    • Risiko steigt, wenn das Master‑Passwort schwach oder mehrfach verwendet wird
    • Daten, die unverschlüsselt im Tresor lagen (sofern vorhanden), könnten gefährdet sein

  • Empfohlene Sofortmaßnahmen für Anwender:

    • Master‑Passwort prüfen und bei Unsicherheit ändern
    • 2‑FA aktivieren und Benachrichtigungen für neue Geräte aktivieren
    • Auf ungewöhnliche E‑Mails oder Login‑Benachrichtigungen achten

Einordnung

Technisch zeigt der Vorfall, warum mehrstufige Schutzmechanismen und das Prinzip «Zero‑Knowledge» (Anbieter kennen das Master‑Passwort nicht) wichtig sind. Die Verschlüsselung verleiht zusätzlichen Schutz, doch sie ersetzt nicht eine sorgfältige Passwort‑Hygiene.

Für alle Nutzer von Passwortmanagern ist der Fall eine Erinnerung: Sicherheit besteht aus mehreren Schichten. Ein entwendeter, verschlüsselter Tresor ist eine ernste, aber nicht zwangsläufig katastrophale Situation – solange das Master‑Passwort stark und einzigartig bleibt.

Geben Sie Ihr Feedback

Seien Sie der Erste, der dieser Beitrag bewertet
oder hinterlassen Sie eine detaillierte Bewertung



Deejay-Basics.de ist ein unabhängiges Medium. Unterstützen Sie uns, indem Sie uns zu Ihren Google News Favoriten hinzufügen:

Kommentar posten

Kommentar veröffentlichen