LastPass Authenticator

Hoofdwachtwoorden van LastPass toch niet gelekt – ontwikkelaar geeft uitleg

Het hoofdwachtwoord (master password) van sommige LastPass-gebruikers is gelekt. Gebruikers merken dat er met een juist wachtwoord is ingelogd op meerdere locaties.
Gonny van der Zwaag | iCulture.nl - · Laatst bijgewerkt:

Update 30 december 2021: LastPass zegt dat gebruikers onterecht een melding hebben gekregen over inlogpogingen met hun hoofdwachtwoord. Het zou komen door een fout in het waarschuwingssysteem. Volgens moederbedrijf LogMeIn zijn er geen aanwijzingen dat er wachtwoorden gestolen zijn of dat bots probeerden in te loggen, zoals een manager eerder beweerde. In een blogposting leggen de makers van LastPass het nader uit. Het zou gaan om een kleine groep gebruikers.

Update 29 december 2021: LogMeIn, het moederbedrijf van LastPass, heeft toegegeven dat er inderdaad sprake is van een hack, maar dat er niet is ingebroken op accounts. De verdachte activiteiten zouden worden veroorzaakt door bots, die e-mailadressen en wachtwoorden van eerdere datalekken hebben misbruikt. Die zouden achterhaald zijn via diensten van derden.

Een topmanager van LogMeIn zegt:

It’s important to note that we do not have any indication that accounts were successfully accessed or that the LastPass service was otherwise compromised by an unauthorized party. We regularly monitor for this type of activity and will continue to take steps designed to ensure that LastPass, its users, and their data remain protected and secure.

Hieronder volgt ons oorspronkelijke artikel van 28 december.

Mogelijk is LastPass het slachtoffer van een datalek, zo blijkt uit meldingen op Hacker News. Er zouden vanaf meerdere locaties meerdere inlogpogingen zijn gedaan met het juiste master password. Het is nog onduidelijk hoe het wachtwoord kan zijn gelekt, maar er lijkt wel sprake van een patroon. De meeste slachtoffers hebben hun account al een tijdlang niet gebruikt en hebben hun wachtwoord ook al langere tijd niet gewijzigd. Het zou kunnen betekenen dat de hack al veel eerder heeft plaatsgevonden.


Volgens andere gebruikers heeft het wijzigen van het hoofdwachtwoord niet geholpen. Eén gebruiker meldt er dat telkens wanneer het wachtwoord was aangepast, toch weer inlogpogingen werden gedaan vanaf verschillende locaties. Het kan zijn dat LastPass momenteel wordt aangevallen. Een officiële reactie van de softwaremaker is er nog niet.

Gebruikers krijgen e-mailberichten zoals deze:

Hello,
Someone just used your master password to try to log in to your account from a device or location we didn’t recognize. LastPass blocked this attempt, but you should take a closer look.

Het master password is het wachtwoord waarmee je toegang krijgt tot je volledige kluis. Als iemand dit weet zijn dus ook al je inloggegevens van andere diensten te achterhalen.

LastPass is een gratis wachtwoordmanager die op meerdere platformen beschikbaar is. Bij de Android-versie van de app doken al eerder beveiligingszorgen op en gebruikers zouden te veel worden gevolgd met trackers. Ook in dit geval is ‘gratis’ misschien niet de beste oplossing. Sinds afgelopen maart is LastPas sowieso al minder interessant geworden, omdat je de gratis versie nog maar op één apparaat mag gebruiken.

Dit kun je zelf doen
Ben je gebruiker van LastPass, dan kun je een aantal voorzorgsmaatregelen nemen. Het inschakelen van tweefactorauthenticatie is daarbij het meest belangrijk. Een aanvaller heeft dan altijd een unieke eenmalige code nodig, die alleen op jouw vertrouwde toestel binnenkomt. Overigens meldt een gebruiker op Hacker News dat de tweefactorbescherming er bij LastPass gemakkelijk af te halen is – opnieuw reden voor alarmbellen.

Hou ook in de gaten of er er verdachte inlogpogingen zijn. En ook al heeft het bij anderen niet geholpen: het instellen van een ander wachtwoord is na een hack altijd een goed idee. Kies dan wel een moeilijk te raden wachtwoord dat cijfers, letters en speciale tekens bevat.

LastPass web app

Mocht je de onzekerheid zat zijn, dan kun je ook overstappen naar Apple Sleutelhanger of 1Password. Er zijn genoeg wachtwoordenapps die jou graag als gebruiker binnenhalen. Na het exporteren van je data bij LastPass importeer je ze bij een van de andere diensten. Je kunt vervolgens het beste de wachtwoorden bij LastPass helemaal wissen.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

12 reacties

Plaats een reactie

Als je een eigen afbeelding bij je reactie wil, moet je je aanmelden bij Gravatar. Daar kun je jouw e-mailadres koppelen aan een afbeelding.

Suggestie hoe we dit artikel kunnen verbeteren?
Laat het ons weten!

Off-topic reacties worden verwijderd. Linken naar illegale bronnen is niet toegestaan. Respecteer onze algemene gedragsregels. Gebruik voor eventuele spelfouten of andere opmerkingen met betrekking tot het artikel s.v.p. onze artikelrapportage. Voor opmerkingen over ons moderatiebeleid kun je ons contactformulier gebruiken. Reacties met betrekking hierover worden als off-topic beschouwd.
Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactiegegevens worden verwerkt.