De wachtwoordenapp LastPass is voor de tweede keer in korte tijd getroffen door een datalek. Hackers zouden toegang hebben gekregen tot 'bepaalde klantgegevens'. Na weken van stilte geeft LastPass eindelijk meer duidelijkheid.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Artikelcorrectie, spelfout of -aanvulling doorgeven?
Reacties: 22 reacties
Rudolf
Aha. De standaard cascadering van slecht nieuws door PR-afdeling
– “Niets aan de hand”
– “OK, inbraakje, maar meer niet”
– “OK, wat losse, maar niet klantgerichte gegevens buitgemaakt”
– “Waarschijnlijk ging het om bron-code van ons bedrijf”
– “OK, er zou meer aan de hand kunnen zijn”
– “Dus tijd voor onderzoek”
– “We hebben meer tijd nodig om het onderzoek af te ronden”
– “Degene die verantwoordelijk was voor de beveiliging is op non-actief gezet”
– “Dat was een ingehuurde kracht, geen interne medewerker”
– “Er is wel data buitgemaakt – maar geen reden tot zorg”
– “Mhhh….. ehhhh…..Tja…., nou ehh….. eigenlijk liggen dus gewoon alle klanten wachtwoorden op straat”
Chris
Dus het meeste veilige plekje voor wachtwoorden is het zakboekje. Alles wat online staat (zoals wachtwoorden en alles wat je in de cloud bewaard) kunnen potentieel doelwit zijn waarbij alles op straat komt te liggen.
PeliileP
Origineel geplaatst door Chris Dus het meeste veilige plekje voor wachtwoorden is het zakboekje. Alles wat online staat (zoals wachtwoorden en alles wat je in de cloud bewaard) kunnen potentieel doelwit zijn waarbij alles op straat komt te liggen.
Nee niet een zakboekje!!
Wel Keepass met een lokale database, een lange wachtzin en een tweede key.
Chris
@PeliileP: Dat kan. Maar ik ben er niet van overtuigd dat dat gegevens niet geüpload kunnen worden. Net als bij Euvy met de deurbel. Maar ben het met je eens dat het zakboekje net de veiligste optie hoeft te zijn …
Niels
Ik begrijp sowieso niet goed waarom mensen hun wachtwoorden in de cloud zetten. Het is wachten tot zoiets gebeurt. En het zal niet de laatste keer zijn.
Jordy
Gewoon maar Welkom123 als wachtwoord overal gebruiken als moeilijke wachtwoorden in een wachtwoord app ook niet meer veilig zijn 🤣
PeliileP
Origineel geplaatst door Niels Ik begrijp sowieso niet goed waarom mensen hun wachtwoorden in de cloud zetten. Het is wachten tot zoiets gebeurt. En het zal niet de laatste keer zijn.
Precies! Dus lokaal.
Sander
Zolang je two-factor-authentication hebt ingesteld, waar dat mogelijk is, ben je voor 95% nog steeds veilig, zelfs wanneer je wachtwoord voor die website/platform op straat ligt. Leuk dat ze je wachtwoord hebben, maar als ze nog steeds een SMS-code of een 30-seconden uniek gegenereerd wachtwoord moeten hebben, komen ze er waarschijnlijk toch niet doorheen.
Helaas is 2FA lang niet overal beschikbaar, maar gelukkig op de (voor mij) belangrijkste locaties wel.
Wout2morrow
@Sander: SMS staat ook al bekend als onveilig en daarom door steeds meer partijen afgeraden of afgeschaft voor tweefactor-authenticatie.
Dat een wachtwoord-app die (mogelijk) wachtwoorden in de cloud opslaat een geval van het middel is erger dan de kwaal is, was al even bekend.
Dat LastPass zelf zegt dat het allemaal wel meevalt is natuurlijk absoluut geen geloofwaardige geruststelling voor gebruikers die zo naïef waren er nog op te vertrouwen na de vorige hack – maar het is ook wel een beetje eigen schuld (…) dat ze nu ook hiervan slachtoffer worden …
(Red.) Update in artikel gezet n.a.v. uitleg van LastPass dat ook wachtwoordkluizen van gebruikers in verkeerde handen zijn gevallen.
Marc
Origineel geplaatst door Chris Dus het meeste veilige plekje voor wachtwoorden is het zakboekje. Alles wat online staat (zoals wachtwoorden en alles wat je in de cloud bewaard) kunnen potentieel doelwit zijn waarbij alles op straat komt te liggen.
Dat was al jaren bekend. Het gaat allemaal uiteindelijk om vertrouwen. Ik vertrouw dit soort diensten op afstand niet mijn wachtwoorden toe.
D96
Toen ik bij Mediahuis werkte, gebruikten ze voor alles Lastpass. Ik ben héél benieuwd hoe zij hiermee omgaan… Vond het toen sowieso al niet een heel slim systeem.
@8jeT
Ik heb dit soort betaalde diensten nooit vertrouwd, eerlijk gezegd. Ik vertrouw wel Apples eigen wachtwoordmanager Sleutelhanger. Misschien naïef van me, maar zo werkt het wel bij mij. Apple’s ecosysteem is zo groot, ze kunnen in vergelijking met die wachtwoordapps zich geen slechte software veroorloven.
Gabor
Ok, ze hebben dus hun klanten weken in onzekerheid laten zitten terwijl hackers los konden gaan op het master password die alles zou ontsleutelen. Lekker hoor.
Beter hadden ze iedereen opgeroepen direct hun belangrijkste passwords te wijzigen die in die vaults zaten.
Tvpoket
Het duurt jaren om die wachtwoord brut force
Jos de Klos
Dit is de zoveelste keer dat ze gehacked zijn, zonder transparante communicatie. Ik ben al lang en met volle tevredenheid overgestapt op Bitwarden.
jaskonl
…dus moet ik alle wachtwoorden binnen lastpass nu veranderen of alleen het hoofdwachtwoord?…
Goede vraag. Meest veilige is om gewoon alles aan te passen en weg te gaan bij lastpass 😟
Robenroute
Het zoveelste voorval bij Lastpass. Dit kon wel eens licht uit betekenen…
PeliileP
Origineel geplaatst door Sander Zolang je two-factor-authentication hebt ingesteld, waar dat mogelijk is, ben je voor 95% nog steeds veilig, zelfs wanneer je wachtwoord voor die website/platform op straat ligt. Leuk dat ze je wachtwoord hebben, maar als ze nog steeds een SMS-code of een 30-seconden uniek gegenereerd wachtwoord moeten hebben, komen ze er *waarschijnlijk* toch niet doorheen.
Helaas is 2FA lang niet overal beschikbaar, maar gelukkig op de (voor mij) belangrijkste locaties wel.
Maar dan niet de fout maken om in de handige cloud paswoord-tool ook de 2FA functie te gebruiken…. (Ja dit gebeurt echt(!))
Allemaal. Als ze de master kraken hebben ze toegang tot alle oude wachtwoorden. Bij lastpass kan je blijkbaar ook niet echt zeker zijn dat ze ook effe de nieuwe komen halen 🙂
PeliileP
Origineel geplaatst door @8jeT Ik heb dit soort betaalde diensten nooit vertrouwd, eerlijk gezegd. Ik vertrouw wel Apples eigen wachtwoordmanager Sleutelhanger. Misschien naïef van me, maar zo werkt het wel bij mij. Apple’s ecosysteem is zo groot, ze kunnen in vergelijking met die wachtwoordapps zich geen slechte software veroorloven.
Apple’s sleutelring is mits je zorgvuldig met je toegangscode op je iDevices en je wachtwoord op MacBooks omgaat (lange codes/wachtwoorden en deze afgeschermd invoert) veel veiliger aangezien de sleutels voor de versleuteling van je sleutelring in eigen beheer hebt. Nadeel is dat dit, voor zover ik weet niet op andere os/platformen werkt. Vandaar mijn advies om vooral keepsake met een lokale database en sleutelbestamd en lang wachtwoord over te stappen.
Aha. De standaard cascadering van slecht nieuws door PR-afdeling
– “Niets aan de hand”
– “OK, inbraakje, maar meer niet”
– “OK, wat losse, maar niet klantgerichte gegevens buitgemaakt”
– “Waarschijnlijk ging het om bron-code van ons bedrijf”
– “OK, er zou meer aan de hand kunnen zijn”
– “Dus tijd voor onderzoek”
– “We hebben meer tijd nodig om het onderzoek af te ronden”
– “Degene die verantwoordelijk was voor de beveiliging is op non-actief gezet”
– “Dat was een ingehuurde kracht, geen interne medewerker”
– “Er is wel data buitgemaakt – maar geen reden tot zorg”
– “Mhhh….. ehhhh…..Tja…., nou ehh….. eigenlijk liggen dus gewoon alle klanten wachtwoorden op straat”
Dus het meeste veilige plekje voor wachtwoorden is het zakboekje. Alles wat online staat (zoals wachtwoorden en alles wat je in de cloud bewaard) kunnen potentieel doelwit zijn waarbij alles op straat komt te liggen.
Nee niet een zakboekje!!
Wel Keepass met een lokale database, een lange wachtzin en een tweede key.
@PeliileP: Dat kan. Maar ik ben er niet van overtuigd dat dat gegevens niet geüpload kunnen worden. Net als bij Euvy met de deurbel. Maar ben het met je eens dat het zakboekje net de veiligste optie hoeft te zijn …
Ik begrijp sowieso niet goed waarom mensen hun wachtwoorden in de cloud zetten. Het is wachten tot zoiets gebeurt. En het zal niet de laatste keer zijn.
Gewoon maar Welkom123 als wachtwoord overal gebruiken als moeilijke wachtwoorden in een wachtwoord app ook niet meer veilig zijn 🤣
Precies! Dus lokaal.
Zolang je two-factor-authentication hebt ingesteld, waar dat mogelijk is, ben je voor 95% nog steeds veilig, zelfs wanneer je wachtwoord voor die website/platform op straat ligt. Leuk dat ze je wachtwoord hebben, maar als ze nog steeds een SMS-code of een 30-seconden uniek gegenereerd wachtwoord moeten hebben, komen ze er waarschijnlijk toch niet doorheen.
Helaas is 2FA lang niet overal beschikbaar, maar gelukkig op de (voor mij) belangrijkste locaties wel.
@Sander: SMS staat ook al bekend als onveilig en daarom door steeds meer partijen afgeraden of afgeschaft voor tweefactor-authenticatie.
Dat een wachtwoord-app die (mogelijk) wachtwoorden in de cloud opslaat een geval van het middel is erger dan de kwaal is, was al even bekend.
Dat LastPass zelf zegt dat het allemaal wel meevalt is natuurlijk absoluut geen geloofwaardige geruststelling voor gebruikers die zo naïef waren er nog op te vertrouwen na de vorige hack – maar het is ook wel een beetje eigen schuld (…) dat ze nu ook hiervan slachtoffer worden …
(Red.) Update in artikel gezet n.a.v. uitleg van LastPass dat ook wachtwoordkluizen van gebruikers in verkeerde handen zijn gevallen.
Dat was al jaren bekend. Het gaat allemaal uiteindelijk om vertrouwen. Ik vertrouw dit soort diensten op afstand niet mijn wachtwoorden toe.
Toen ik bij Mediahuis werkte, gebruikten ze voor alles Lastpass. Ik ben héél benieuwd hoe zij hiermee omgaan… Vond het toen sowieso al niet een heel slim systeem.
Ik heb dit soort betaalde diensten nooit vertrouwd, eerlijk gezegd. Ik vertrouw wel Apples eigen wachtwoordmanager Sleutelhanger. Misschien naïef van me, maar zo werkt het wel bij mij. Apple’s ecosysteem is zo groot, ze kunnen in vergelijking met die wachtwoordapps zich geen slechte software veroorloven.
Ok, ze hebben dus hun klanten weken in onzekerheid laten zitten terwijl hackers los konden gaan op het master password die alles zou ontsleutelen. Lekker hoor.
Beter hadden ze iedereen opgeroepen direct hun belangrijkste passwords te wijzigen die in die vaults zaten.
Het duurt jaren om die wachtwoord brut force
Dit is de zoveelste keer dat ze gehacked zijn, zonder transparante communicatie. Ik ben al lang en met volle tevredenheid overgestapt op Bitwarden.
…dus moet ik alle wachtwoorden binnen lastpass nu veranderen of alleen het hoofdwachtwoord?…
Goede vraag. Meest veilige is om gewoon alles aan te passen en weg te gaan bij lastpass 😟
Het zoveelste voorval bij Lastpass. Dit kon wel eens licht uit betekenen…
Maar dan niet de fout maken om in de handige cloud paswoord-tool ook de 2FA functie te gebruiken…. (Ja dit gebeurt echt(!))
Allemaal. Als ze de master kraken hebben ze toegang tot alle oude wachtwoorden. Bij lastpass kan je blijkbaar ook niet echt zeker zijn dat ze ook effe de nieuwe komen halen 🙂
Apple’s sleutelring is mits je zorgvuldig met je toegangscode op je iDevices en je wachtwoord op MacBooks omgaat (lange codes/wachtwoorden en deze afgeschermd invoert) veel veiliger aangezien de sleutels voor de versleuteling van je sleutelring in eigen beheer hebt. Nadeel is dat dit, voor zover ik weet niet op andere os/platformen werkt. Vandaar mijn advies om vooral keepsake met een lokale database en sleutelbestamd en lang wachtwoord over te stappen.