Wachtwoordbeheerder LastPass is gehackt

Wachtwoordbeheerder LastPass is gehackt. Dat maakte de dienst bekend in een blogpost. Hackers konden geen wachtwoorden, maar wel e-mailadressen, wachtwoordherinneringen, en zogenoemde authenticatie-hashes buitmaken, die worden gebruikt om gebruikers toegang te geven tot hun account.

LastPass ontdekte de aanval vrijdag. Het bedrijf zegt in een verklaring geen bewijs te hebben dat accounts zijn aangetast of dat hoofdwachtwoorden zijn gestolen, of wachtwoorden die met dat hoofdwachtwoord versleuteld zijn. LastPass is een online kluis voor wachtwoorden. Gebruikers hoeven niet al hun verschillende wachtwoorden te onthouden, maar hebben één hoofdwachtwoord waarmee ze bij al hun wachtwoorden kunnen.

Wat is het risico?

Volgens veiligheidsexperts, zo schrijft The New York Times, hebben hackers alleen een e-mailadres of gebruikersnaam en een wachtwoordherinnering nodig om in te breken. En dat hebben de hackers weten te stelen. Ze kunnen gebruikers nu bijvoorbeeld zogenoemde ‘pishing-mails’ sturen, zogenaamd van LastPass zelf, om hun wachtwoord te ontfutselen.

Lastpass zegt aanvullende veiligheidsmaatregelen te nemen. Gebruikers die inloggen vanaf een nieuw apparaat of IP-adres, moeten hun account verifiëren via een mail. Dat geldt voor gebruikers die nog geen ‘multi-factorverificatie’ hebben ingesteld, waarbij ze, naast hun wachtwoord, bijvoorbeeld ook om een code wordt gevraagd die via SMS verstuurd wordt. Ook vraagt LastPass gebruikers hun hoofdwachtwoord te veranderden. Alle gebruikers zijn gemaild over het incident. Volgens LastPass hoeven wachtwoorden zelf niet te worden aangepast, omdat die zijn versleuteld. Vier jaar geleden is het bedrijf ook al eens aangevallen door hackers.

Hoe veilig zijn wachtwoordbeheerders?

Wachtwoordbeheerders zoals LastPass kennen voor- en tegenstanders. Volgens de voorstanders maken ze internet veiliger, omdat ze gebruikers aansporen verschillende wachtwoorden te gebruiken - wat ze anders niet zouden doen. Maar volgens tegenstanders maakt het gebruikers juist kwetsbaar, omdat hackers meteen toegang hebben tot al hun wachtwoorden als het ze lukt zo’n wachtwoordbeheerder te hacken.

Webwereld zette zes tips voor veilig LastPass-gebruik op een rij.