Last christmas, gaf lastpass je wat te doen!
Vorige week kwam er een statement van lastpass naar buiten over de recente (augustus 2022) hack welke in november van dit jaar opnieuw tot inbreuk leidde. Hackers hebben toegang gekregen tot de geencrypte wachtwoordkluizen van gebruikers.
Volgens lastpass zelf hoef je je geen zorgen te maken. Het bedrijf houdt namelijk vol dat het master password veilig is omdat deze niet opgeslagen wordt bij lastpass. Maar security experts zijn kritisch omdat hiermee het gevoel gewekt wordt bij gebruikers dat ze veilig zijn.
Hoe het kon gebeuren en waarom er tot op heden niet duidelijk gecommuniceerd wordt over dit incident is een raadsel. De claim van lastpass dat wachtwoorden vanaf 12 characters veilig zijn, is wat ons betreft te kort door de bocht. Het master password is het enige wat je als gebruikers moet onthouden bij lastpass en de meeste mensen maken wachtwoorden die te simpel zijn zodat ze deze kunnen onthouden.
Moet ik nu mijn master password wachtwoord wijzigen?
Ja, en wel direct! Ook al is je kluis nog niet gekraakt, en mocht dit om onbekende redenen in de toekomst wel het geval zijn, dan heeft de aanvaller ook direct toegang tot je nieuwe en gewijzigde wachtwoorden. Het wijzigen van je master password is dus een must.
Ook is het belangrijk om te controleren of de “Password Iterations” voldoende zijn. Oude accounts staan soms nog op 5000. Het advies van lastpass is om dit op 100100 te zetten waarbij OWASP sinds het begin van dit jaar 310000 adviseert voor dit type encryptie.
Wat is nu precies gestolen?
Aanvallers hebben de geencrypte versie van de kluis gestolen en de bijbehorende “meta” data. Zonder master password heeft de aanvaller niks aan je kluis maar in dit geval bestaat de gestolen meta data ook uit website URL’s. De aanvaller kan dus precies zien welke websites jij bezoek en dit lijkt misschien geen probleem maar het kan gebruikt worden om een profiel van iemand te maken.
Ook kan dit een uitdaging vormen als je bijvoorbeeld (per ongeluk) reset link, tokens, cookies of andere zaken die een URL kan bevatten hebt opgeslagen die wellicht nog werken of links naar staging of interne systemen die vaak minder goed beveiligd zijn dan productie systemen.
Kan mijn wachtwoord gekraakt worden?
Alles kan maar of het waarschijnlijk is hangt af van de sterkte en complexiteit van je wachtwoord. Het plaatje hieronder laat zien hoe sterk of zwak je wachtwoord is en hoelang het ongeveer duurt met de techniek van nu om het wachtwoord te kraken èn daar zit nou net de crux. De aanvaller heeft alle tijd van de wereld om de wachtwoorden offline te kraken en de techniek staat niet stil. Daarbij weten we niet of we nu alle informatie van lastpass gekregen hebben of dat er nog meer verassingen zijn.
Prioriteiten stellen
Iemand die al een tijdje een password manager gebruikt heeft naar alle waarschijnlijkheid wel een uitdaging, want na verloop van tijd kunnen er honderden wachtwoorden in de kluis staan wat een bittere klus is om 500+ wachtwoorden, notities en creditcards te gaan aanpassen. Waar begin je?
Mijn advies is om te beginnen accounts die het belangrijkste (niet persee in deze volgorde) zoals identiteit accounts (Microsoft, Gmail, DigiD, Mobiel provider) Social media accounts (Linkedin, Twitter, Slack), SSO providers (Okta, Duo security), etc. maar ook financiële accounts. Deel het op in groepen en begin met high impact accounts en eindig met individuele accounts zoals webshops.
Vergeet ook niet te controleren of er wellicht notities zijn gemaakt bij wachtwoorden zoals bijvoorbeeld multi-factor bypass codes of recovery codes of als je gebruik maakt van de MFA functie in lastpass zelf dan is het aan te raden om die dan ook te wijzigen.
