LastPass lek: Zijn je wachtwoorden nog wel veilig?

Opnieuw een groot lek bij LastPass. De wachtwoordmanager ligt onder vuur omdat het de ernst van het misdrijf te laat communiceerde. Het LastPass lek blijkt groter te zijn dan in eerste instantie gedacht. Zijn je wachtwoorden in gevaar en zo ja, hoe stap je dan over naar een andere password manager?

LastPass is een wachtwoordmanager die sterke wachtwoorden voor je kan aanmaken en onthouden. Ze worden bewaard in een kluis, waar alleen jij toegang tot hebt met het ene wachtwoord dat je nog maar hoeft te onthouden: het hoofdwachtwoord. Dat mag dus niet in verkeerde handen terechtkomen. Toch is er nu sprake van een LastPass-lek. Hoe zit dat precies en moet je je zorgen maken?

Eerste signalen vorig jaar al

Het begon allemaal met een ogenschijnlijk weinigzeggend bericht op de blog van LastPass, op 25 augustus 2022. Daarin werd melding gedaan van ‘ongewone activiteiten’ in de ontwikkelomgeving van de wachtwoordbeheerder, de zandbak waarin het programma wordt gebouwd. 

Het bericht kwam weliswaar van de hoogste baas van LastPass, maar er werd verder vooral benadrukt dat het absoluut niet zo was dat er wachtwoorden of privégegevens gelekt waren. Alles werkte nog gewoon zoals het zou moeten, veilig en wel.

Dat was drie weken later nog steeds het geval, toen LastPass iets meer informatie deelde. Het bleek dat een hacker zichzelf vier dagen lang toegang tot de ontwikkelsystemen had verschaft, door te doen alsof diegene een via-tweestapsverificatie-ingelogde medewerker betrof. 

Ook op dat moment drukte de LastPass-topman gebruikers op het hart dat de ontwikkelingsomgeving volledig los stond van de wachtwoordkluizen en dat er geen enkele reden tot paniek was. 

Lastpass interface

Gegevens toch buitgemaakt

Eind 2022 werd dat een ander verhaal. Rond de kerst kwam er opnieuw meer informatie naar buiten over het incident. De persoon die een paar maanden eerder de ontwikkelomgeving van LastPass was binnengedrongen, had voor die eerdere hack nu ook toegang verkregen tot een cloudopslagsysteem

Daar werden weer inloggegevens van een andere LastPass-medewerker buitgemaakt, en met die gegevens kon een deel van de opgeslagen data in die cloud worden gedownload en ontsleuteld. Daaronder vielen onder andere namen, gebruikersnamen, e-mailadressen, telefoonnummers en IP-adressen van LastPass-gebruikers. 

Gestolen hoofdwachtwoorden

Tot slot werd ook een database met hoofdwachtwoorden gestolen. Dat wachtwoord geeft toegang tot alle andere wachtwoorden die opgeslagen zijn in de kluis. LastPass beklemtoonde dat dit wachtwoord alleen door de gebruiker zelf kan worden ontsleuteld, en dat LastPass zelf dankzij zijn Zero Knowledge-beleid geen enkele extra informatie over hoofdwachtwoorden opslaat. Goed nieuws dus. Want dit houdt in dat de meeste accounts nog steeds veilig zijn. 

Als je een makkelijk te raden hoofdwachtwoord hebt, loop je echter wel een grotere kans dat cybercriminelen toegang krijgen tot je wachtwoordkluis. Dat zit zo. Hackers zetten speciale software in die wachtwoorden net zo lang blijft raden, tot ze een keertje succes hebben. Deze zogeheten ‘brute force’ methode is een tijdrovend klusje, maar bij zwakkere wachtwoorden is het het wachten wel waard. 

Heb je een sterk wachtwoord met minstens twaalf tekens dat je nergens anders voor gebruikt, dan zijn je gegevens hoogstwaarschijnlijk alsnog gewoon veilig. Simpelweg omdat die veel moeilijker te kraken zijn.

wachtwoordmanager

Is LastPass nog veilig?

Dit is een vraag die je uiteindelijk zelf moet beantwoorden. Ten eerste is het zo dat je met een sterk hoofdwachtwoord nog ongeveer net zo veilig bent als voorheen. LastPass slaat geen enkele extra informatie over hoofdwachtwoorden op, dus de hacker heeft een vrijwel onleesbare lijst met wachtwoorden buitgemaakt. 

Als je van jezelf weet dat je een sterk hoofdwachtwoord hebt, is er op papier niets aan de hand. Bovendien heeft de hacker inmiddels geen toegang meer tot de systemen.

Toch is het geen fijn idee dat een dergelijke hack bij een bedrijf als LastPass kan gebeuren. Het feit dat iemand zich kan voordoen als een ontwikkelaar, nota bene nadat die is ingelogd via tweestapsverificatie, is al kwalijk. Dat die persoon vervolgens ook op de door LastPass gebruikte cloudopslag kan inbreken, gebruikersgegevens kan stelen, en een lijst met (al dan niet versleutelde) hoofdwachtwoorden kan downloaden, is behoorlijk beangstigend

Logisch dus dat je je wachtwoorden wellicht liever ergens anders neerzet. 

LastPass-wachtwoorden exporteren

Mocht je dat van plan zijn, dan moet je in elk geval nog één keer inloggen bij LastPass. Je moet namelijk een bestand met je gegevens downloaden. Je LastPass-wachtwoorden exporteren werkt als volgt:

  1. Ga via de menubalk aan de linkerkant naar Geavanceerde opties
  2. Vervolgens naar Exporteren
  3. Je krijgt mail; druk op de rode knop om je identiteit te bevestigen
  4. Log opnieuw in en ga weer naar het Export-menu
  5. Vul nog een keer je hoofdwachtwoord in en druk op Verzenden

Je krijgt nu een – vrij beangstigend – bestand te zien met daarin al je onversleutelde wachtwoorden. Kopieer het bestand in een CSV-bestand op je computer en gebruik de import-tool van je nieuwe wachtwoordmanager om al je wachtwoorden daarheen te verplaatsen.

Vergeet niet daarna het originele bestand leeg te maken en weg te gooien. Omdat je wachtwoorden in plain-text opslaat, raden we je ook ten zeerste af dit op een openbare computer te doen.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *