Lastpass gehackt: dit is wat je moet doen

We waren zo dol op LastPass dat we het eigenlijk de beste wachtwoordbeheerder hadden genoemd. Dus toen het verhaal van de hack een tijdje geleden uitbrak, waren we allemaal in een shocktoestand. Maar betekent dat dat iedereen LastPass moet dumpen en iets anders moet gebruiken? Zijn uw wachtwoorden veilig in de cloud? Kunnen we het bedrijf opnieuw vertrouwen? Dat is wat we proberen te achterhalen.

Geen paniek

Onnodig te zeggen dat dit het eerste is dat moet worden gedaan. Paniek, of erger, valse informatie verspreiden via elk medium, is gewoon niet de juiste manier om op een crisis te reageren. Hoewel het natuurlijk is om je bang te voelen wanneer je dit nieuws leest, moet je je realiseren dat onnodige paniek gewoon geen nut heeft. In hun blogpost heeft LastPass duidelijk gemaakt, en ik citeer:

In ons onderzoek hebben we geen bewijs gevonden dat gecodeerde gebruikerskluisgegevens zijn gebruikt, noch dat toegang is verkregen tot LastPass-gebruikersaccounts.

Ja, dat blijft het zeggen

Uit het onderzoek is echter gebleken dat de e-mailadressen van LastPass-account, wachtwoordherinneringen, server-per-gebruiker-zouten en authenticatiehash zijn aangetast.

Maar wat betekent dit, vraag je? Eenvoudig gezegd betekent dit dat hoewel al uw wachtwoorden veilig zijn, andere informatie dat mogelijk niet is. Daarvoor heeft de blogpost alweer een paar handige tips gegeven.

Ja, de gegevens van wachtwoordbeheerders worden opgeslagen in de cloud, maar de informatie wordt versleuteld rechtstreeks op uw computer. En hoewel de cloud computing-architectuur een klein risico met zich meebrengt, kunt u toch gerust zijn, wetende dat alle gecodeerde gegevens daar nooit worden opgeslagen. Die al uw wachtwoorden bevatten.

Handige tip: bekijk onze ultieme gids voor wachtwoorden om alles te weten over het maken en beheren van wachtwoorden op internet.

Voorkomen is altijd beter dan genezen

Dit oude gezegde zou nooit relevanter kunnen zijn dan in deze tijden van snuffelen op internet en verlies van privacy. Hier zijn enkele stappen die u moet volgen als het gaat om uw LastPass-account, om ervoor te zorgen dat u niet slaapt bij dergelijke incidenten.

Wijzig het hoofdwachtwoord

Om het hoofdwachtwoord van LastPass te wijzigen, klikt u eenvoudig op Voorkeuren, waar u links het gedeelte Accountinstellingen vindt. Als u hierop klikt, krijgt u de optie om hier te klikken om accountinstellingen te starten, zoals hieronder wordt weergegeven.

Als u hierop klikt, wordt een nieuw tabblad geopend. Het enige wat u hoeft te doen, is op de knop Hoofdwachtwoord wijzigen klikken en een nieuwer (en sterker) alternatief kiezen.

Dat is alles, de belangrijkste stap die u moet doen nadat dit incident is gebeurd!

2-factor authenticatie en andere beveiligingsopties

Wij vinden het een goed idee om waar mogelijk 2-Factor Authentication te gebruiken, vooral op plaatsen waar gevoelige gegevens worden opgeslagen. LastPass is absoluut correct in het suggereren van het gebruik van deze service en wij vinden dat u dit meteen moet doen, na het wijzigen van uw hoofdwachtwoord. Overweeg zelfs om de authenticatie in twee stappen toe te voegen aan alle services die gevoelige gegevens bevatten.

In LastPass vindt u Multifactor-opties in Accountinstellingen (zie hierboven). Hier vindt u opties om uw LastPass-account verder te beveiligen. U zult ook de optie Netverificatie zien waarover we eerder hebben geschreven.

Landgebonden beperking

Een andere beveiligingslaag die LastPass haar gebruikers laat verkennen, is het landgebonden restrictiebeleid. Eenmaal ingeschakeld, geeft dit alleen apparaten uit het land van uw woonplaats toegang tot uw LastPass-gegevens. Als een apparaat uit een ander land toegang probeert te krijgen, wordt er een foutmelding weergegeven. We hebben dit in veel detail behandeld en je moet het zeker lezen, als je dat nog niet hebt gedaan.

Nog steeds bezorgd?

Niet doen. Er valt hier niets meer te doen. LastPass heeft hun beveiliging al bijgewerkt en vraagt ​​gebruikers al om via e-mail te worden geverifieerd of ze een nieuw apparaat of een nieuw IP-adres gebruiken. Om dit te verifiëren, hebben we precies dat geprobeerd en waren we blij te kunnen melden dat deze stap werkt zoals geadverteerd.

Bestaande gebruikers worden ook gevraagd hun hoofdwachtwoord te wijzigen, maar zelfs als u die prompt niet krijgt, raden we u aan dit toch te doen. Tot slot willen we Jeremi Gosney (een expert op het gebied van wachtwoordbeveiliging bij Stricture Group) citeren die met Ars Technica sprak over de hack -

Op een NVIDIA GTX Titan X, die momenteel de snelste GPU is voor het kraken van wachtwoorden, zou een aanvaller slechts minder dan 10.000 gissingen per seconde kunnen doen voor één wachtwoordhash. Dat is echt langzaam! Zelfs zwakke wachtwoorden zijn redelijk veilig met dat beveiligingsniveau (tenzij u een absurd zwak wachtwoord gebruikt.) En dit houdt zelfs geen rekening met het aantal client-iteraties, dat door de gebruiker kan worden geconfigureerd. De standaardwaarde is 5.000 iteraties, dus we kijken minimaal naar 105.000 iteraties. Ik heb de mijne eigenlijk ingesteld op 65.000 iteraties, dus dat is een totaal van 165.000 iteraties die mijn Diceware-wachtwoordzin beschermen. Dus nee, ik ben absoluut niet aan het zweten. Ik voel me niet eens gedwongen om mijn hoofdwachtwoord te wijzigen.

Heel wat leden van ons eigen team gebruiken de tool en we hebben precies dezelfde dingen gedaan die we hierboven hebben vermeld. En nu willen we de kennis onder zoveel mogelijk mensen verspreiden.

Alternatieven proberen?

Oké, als je het gevoel hebt dat je het vertrouwen in LastPass hierdoor hebt verloren, dan zijn er natuurlijk altijd alternatieven. Als je bereid bent een beetje geld te investeren (en een deel van dat verloren geloof), dan is er altijd 1Password. Het is dezelfde architectuur en beveiligingsmaatregelen die worden gespeeld, maar Agilebits, het bedrijf achter 1Password, heeft een beter trackrecord dan LastPass. Daarmee bedoelen we dat het nooit is gehackt. Is niet gemeld, om precies te zijn. Nog.

Breng uw wachtwoorden over in iOS: het is gemakkelijk om uw gegevens over te dragen van LastPass naar 1Password voor iOS, zodra u ons nuttig artikel erover hebt gelezen.

Als u niets wilt uitgeven, is er een gratis alternatief. Het heet KeepPass en het is ook open source. En we hebben ook een handleiding geschreven om uw LastPass-wachtwoorden over te dragen naar Keepass.

Hoewel het niet zo handig is als 1Password, kunnen er een paar plug-ins worden toegevoegd die overeenkomen met de functionaliteit van de betaalde peer. Het vergt wel wat geduld, dus wees voorbereid.

Onze 2 cent

Het is heel gemakkelijk om een ​​bedrijf de schuld te geven en te zeggen dat ze niet voorzichtig zijn met uw gegevens. Maar dat is net zo goed als banken de schuld geven als er een overval is. Mensen stoppen niet met hun geld daar te stoppen en u moet ook niet stoppen met het vertrouwen in wachtwoordbeheerders, alleen omdat er een is gehackt.

We zeggen niet eens dat de beveiliging van LastPass laks was, maar ze moeten absoluut hun sokken aantrekken. Het was niet de eerste keer dat een bedreiging in hun systeem werd gedetecteerd, maar beide keren werd niets belangrijks gestolen / verloren. Ze hebben snel en onmiddellijk gebruikers op de hoogte gebracht en hebben het beveiligingsprobleem dat hiertoe leidde al aangepakt. Met een beetje meer voorzorg kunt u zorgen voor een veel gelukkiger gemoedstoestand. Als u al die tijd kunt besteden aan het nadenken over uw banksaldo, zijn we er zeker van dat u een paar gedachten kunt sparen voor de wachtwoorden die ze ook veilig houden?