LastPass kondigde vorige week aan dat het gehackt was. Aanvallers kregen het voor elkaar om data van klanten te stelen, waaronder versleutelde wachtwoordkluizen, metadata van kluizen en namen en e-mailadressen van klanten.
Het lukte aanvallers in augustus 2022 om binnen te komen in de systemen van LastPass door access-keys te stelen van een LastPass-medewerker. Daarmee konden zij productiegegevens kopiëren. Bij die aanval zijn gegevens van klanten gelekt, waaronder namen, adressen, e-mailadressen, telefoonnummers, betaalinformatie en ip-adressen. Bovendien lukte het de aanvallers om versleutelde wachtwoordkluizen in handen te krijgen, evenals metadata over de kluizen. Dat maakte LastPass opvallend genoeg net voor kerst bekend.
Vooral die metadata is belangrijk. Als je een gebruikersnaam en wachtwoord opslaat in LastPass, dan hoort daar in veel gevallen een website in de vorm van een URL bij waarvoor die account bedoeld is. Die URL’s worden door LastPass onversleuteld opgeslagen. Daardoor kunnen de aanvallers per account inzien voor welke websites je allemaal een account hebt. Bovendien levert dit nog een extra risico op, bijvoorbeeld als je een passwordreset-link in je kluis hebt opgeslagen die mogelijk nog geldig is.
Wel zijn de kluizen zelf dus versleuteld opgeslagen. Heb je een sterk LastPass-wachtwoord ingesteld, dan zou je veilig moeten zijn. Is jouw master-wachtwoord voor je LastPass-account niet zo sterk, dan kun je maar beter actie ondernemen en preventief je opgeslagen wachtwoorden gaan wijzigen. Je hebt over het algemeen een sterk wachtwoord van ten minste 12 karakters lang als je hoofdletters en kleine letters, cijfers en speciale tekens gebruikt en als je wachtwoord niet al gelekt is op het web.
PBKDF2-iteraties
En dan is er nog een andere factor, de zogenaamde PBKDF2-iteraties. LastPass gebruikt een algoritme genaamd PBKDF2 waarbij het op basis van je wachtwoord een sleutel genereert en daarmee je kluis versleutelt. Om zo’n sleutel te maken, is het belangrijk om het algoritme meerdere keren uit te voeren. De Open Web Application Security Project raadt aan dat 310.000 keer te doen. LastPass gebruikt sinds 2018 100.100 iteraties, daarvoor slechts 5.000. Bovendien zijn er sommige accounts waarbij slechts 500 iteraties of zelfs maar 1 iteratie wordt gebruikt.
Een laag aantal iteraties betekent niet dat aanvallers direct je wachtwoordkluis kunnen ontsleutelen, maar weinig PBKDF2-iteraties in combinatie met een relatief zwak of kort wachtwoord, maakt het wel risicovol en daardoor kan het in plaats van miljoenen jaren nog maar honderden of in het ergste geval zelfs tientallen jaren duren om een wachtwoord te kraken.
Je kunt controleren hoeveel iteraties in jouw LastPass-account zijn ingesteld door in te loggen bij LastPass en dan links te kiezen voor Account Settings. Klik dan op Show Advanced Settings en zoek naar Password Iterations onder Security. Als die lager is dan 100.100, en als je master-wachtwoord niet zo sterk is, raden we aan alle wachtwoorden die je in je LastPass-account hebt opgeslagen, te wijzigen.
Ben je op zoek naar een andere passwordmanager? We hebben er een viertal voor je op een rij gezet.