Wachtwoorden zijn zelfs in onlinekluis niet altijd veilig


Een digitale kluis voor wachtwoorden geldt als dé oplossing voor al dat gedoe om op sites in te loggen. Maar een van de populairste systemen, LastPass, werd gehackt. Wat moet u doen om uw wachtwoorden toch te beveiligen?


Er zijn twee vuistregels voor wachtwoorden: maak ze lang en complex, en gebruik voor elke website een uniek wachtwoord. De doorsnee internetgebruiker moet dan al snel tientallen verschillende wachtwoorden verzinnen. Die stuk voor stuk onthouden, is praktisch onmogelijk. De oplossing die al jaren naar voren wordt geschoven, is een wachtwoordkluis. Die software stelt wachtwoorden op, houdt ze bij en vult in waar nodig. De beveiliging bestaat uit één erg lang master-wachtwoord, dat zelfs een zin kan zijn.

LastPass is een van de meest gebruikte, en misschien zelfs de populairste wachtwoordkluis, omdat het een gratis basisversie heeft. LastPass telt wereldwijd 33 miljoen gebruikers en *beheert zo meer dan 6,3 miljard wachtwoorden.

De voorbije maanden is aan het licht gekomen dat LastPass een zwaar veiligheidsprobleem heeft. In augustus maakte het bedrijf bekend dat een ‘derde partij’ erin was geslaagd toegang te krijgen tot de omgeving waar de software wordt ontwikkeld en zo een stuk van de broncode te pakken had gekregen. Maar, zo klonk het ook, de activiteiten van de hacker waren ‘beperkt gebleven’.


Versleutelde data gestolen

Dat leek geruststellend, tot LastPass in november en december meer info vrijgaf na een onderzoek naar de hacking. De indringers hadden ook toegang verworven tot de omgeving waar gebruikersgegevens worden opgeslagen. Dat lukte hen door met de voordien gestolen data een personeelslid van LastPass aan te vallen. De hackers kopieerden allerlei gegevens van de gebruikers. Ze gingen aan de haal met niet-versleutelde data, zoals de URL's van de websites waarvoor een wachtwoord is opgeslagen. Ook versleutelde data, met name de wachtwoorden en logingegevens, werden gestolen. Die versleutelde data openen, lukt alleen met het lange master-wachtwoord. Alleen de gebruiker zelf kent dat wachtwoord. ‘Bij wie de standaardinstellingen heeft gevolgd (zoals een uniek wachtwoord met minstens twaalf tekens, red.), zou het miljoenen jaren duren om dat wachtwoord te raden’, verzekert LastPass in een blogboodschap. Tegelijk werd aangeraden om het wachtwoord te veranderen.


Crypto geplunderd?

Omdat LastPass geen open kaart speelt over de hacking, blijft voor zijn miljoenen gebruikers veel onduidelijk. Zijn er gegevens gestolen van alle klanten? Kan ik weten of mijn data erbij zijn? Wanneer was de diefstal precies, en hoelang duurde het tot LastPass dat heeft bekendgemaakt? ‘Als de aanvallers drie of vier maanden hun gang zijn kunnen gaan met de gestolen data, dan is de situatie ernstiger dan wanneer het maar enkele weken was’, schrijft het Amerikaanse techblad Wired over de hacking.

Op technische vragen over zijn encryptiegewoontes gaat het bedrijf niet in. In de technologiepers is de conclusie eensgezind: LastPass heeft zijn beveiliging en zijn communicatie over de inbraak slecht aangepakt. Daardoor blijft het gisten rond de hacking. Deze week circuleren berichten die waarschuwen voor de plundering van cryptoportefeuilles aan de hand van data die bij LastPass zijn gestolen. ‘Concrete bewijzen daarvan heb ik zelf nog niet gezien, maar het is natuurlijk niet uitgesloten’, zegt ethisch hacker Inti De Ceukelaire. ‘Geld is het eerste waar criminelen naar op zoek gaan.’

‘In ieder geval maakt LastPass alweer geen goede beurt’, aldus De Ceukelaire. ‘Wat het bedrijf zegt over de “miljoenen jaren” die het zou duren om het master-wachtwoord te kraken: dat geldt alleen wanneer je precies te werk gaat zoals zij aangeven. Dit is ook niet hun eerste veiligheidsprobleem. Er zijn er zelfs al zo veel geweest dat LastPass de laatste paswoordmanager is die ik zou aanraden. Zij gaan duidelijk voor een groot volume aan gebruikers, wat mogelijk verklaart waarom ze zo omfloerst communiceren over de hacking. Door de problemen van de laatste jaren wordt LastPass in professionele contexten zelfs nog amper gebruikt.’


DS, 20-01-2023 (Nikolas Vanhecke)