Hoofdwachtwoorden van LastPass toch niet gelekt – ontwikkelaar geeft uitleg

Update 30 december 2021: LastPass zegt dat gebruikers onterecht een melding hebben gekregen over inlogpogingen met hun hoofdwachtwoord. Het zou komen door een fout in het waarschuwingssysteem. Volgens moederbedrijf LogMeIn zijn er geen aanwijzingen dat er wachtwoorden gestolen zijn of dat bots probeerden in te loggen, zoals een manager eerder beweerde. In een blogposting leggen de makers van LastPass het nader uit. Het zou gaan om een kleine groep gebruikers.

Update 29 december 2021: LogMeIn, het moederbedrijf van LastPass, heeft toegegeven dat er inderdaad sprake is van een hack, maar dat er niet is ingebroken op accounts. De verdachte activiteiten zouden worden veroorzaakt door bots, die e-mailadressen en wachtwoorden van eerdere datalekken hebben misbruikt. Die zouden achterhaald zijn via diensten van derden.

Een topmanager van LogMeIn zegt:

It’s important to note that we do not have any indication that accounts were successfully accessed or that the LastPass service was otherwise compromised by an unauthorized party. We regularly monitor for this type of activity and will continue to take steps designed to ensure that LastPass, its users, and their data remain protected and secure.

Hieronder volgt ons oorspronkelijke artikel van 28 december.

Mogelijk is LastPass het slachtoffer van een datalek, zo blijkt uit meldingen op Hacker News. Er zouden vanaf meerdere locaties meerdere inlogpogingen zijn gedaan met het juiste master password. Het is nog onduidelijk hoe het wachtwoord kan zijn gelekt, maar er lijkt wel sprake van een patroon. De meeste slachtoffers hebben hun account al een tijdlang niet gebruikt en hebben hun wachtwoord ook al langere tijd niet gewijzigd. Het zou kunnen betekenen dat de hack al veel eerder heeft plaatsgevonden.

Volgens andere gebruikers heeft het wijzigen van het hoofdwachtwoord niet geholpen. Eén gebruiker meldt er dat telkens wanneer het wachtwoord was aangepast, toch weer inlogpogingen werden gedaan vanaf verschillende locaties. Het kan zijn dat LastPass momenteel wordt aangevallen. Een officiële reactie van de softwaremaker is er nog niet.

Gebruikers krijgen e-mailberichten zoals deze:

Hello,
Someone just used your master password to try to log in to your account from a device or location we didn’t recognize. LastPass blocked this attempt, but you should take a closer look.

Het master password is het wachtwoord waarmee je toegang krijgt tot je volledige kluis. Als iemand dit weet zijn dus ook al je inloggegevens van andere diensten te achterhalen.

LastPass is een gratis wachtwoordmanager die op meerdere platformen beschikbaar is. Bij de Android-versie van de app doken al eerder beveiligingszorgen op en gebruikers zouden te veel worden gevolgd met trackers. Ook in dit geval is ‘gratis’ misschien niet de beste oplossing. Sinds afgelopen maart is LastPas sowieso al minder interessant geworden, omdat je de gratis versie nog maar op één apparaat mag gebruiken.

Bekijk ook

LastPass krijgt beperkingen voor gratis gebruikers

Vanaf volgende maand wordt LastPass een stuk minder aantrekkelijk voor gratis gebruikers. Je kunt dan nog maar je wachtwoorden op één type toestel gebruiken.

Dit kun je zelf doen
Ben je gebruiker van LastPass, dan kun je een aantal voorzorgsmaatregelen nemen. Het inschakelen van tweefactorauthenticatie is daarbij het meest belangrijk. Een aanvaller heeft dan altijd een unieke eenmalige code nodig, die alleen op jouw vertrouwde toestel binnenkomt. Overigens meldt een gebruiker op Hacker News dat de tweefactorbescherming er bij LastPass gemakkelijk af te halen is – opnieuw reden voor alarmbellen.

Hou ook in de gaten of er er verdachte inlogpogingen zijn. En ook al heeft het bij anderen niet geholpen: het instellen van een ander wachtwoord is na een hack altijd een goed idee. Kies dan wel een moeilijk te raden wachtwoord dat cijfers, letters en speciale tekens bevat.

Mocht je de onzekerheid zat zijn, dan kun je ook overstappen naar Apple Sleutelhanger of 1Password. Er zijn genoeg wachtwoordenapps die jou graag als gebruiker binnenhalen. Na het exporteren van je data bij LastPass importeer je ze bij een van de andere diensten. Je kunt vervolgens het beste de wachtwoorden bij LastPass helemaal wissen.

Bekijk ook

Een sterk master password kiezen voor 1Password, LastPass en meer

Hoe bedenk je een sterk wachtwoord en een goed master password voor wachtwoordenapps zoals 1Password en LastPass en als alfanumerieke toegangscode voor je iPhone? Een master password moet voor jou gemakkelijk te onthouden zijn, maar voor een computer moeilijk te raden. Dat maakt de keuze nogal moeilijk. Maar met deze tips kom je een heel eind!