Gebruikers van LastPass beschermen tegen hergebruik van wachtwoord

Zoals u waarschijnlijk regelmatig hebt gezien in het nieuws de afgelopen weken, hebben veel grote providers van social media, zoals LinkedIn en MySpace, onlangs te maken gehad met gegevenslekken en beveiligingsincidenten. Bij dergelijke omvangrijke gegevenslekken is het helaas zo dat er meteen miljoenen gebruikersnamen en wachtwoorden vrij beschikbaar zijn voor iedereen die er misbruik van wil maken. De eenvoudigste manier voor aanvallers om die aanmeldingsgegevens te gebruiken, is door met dezelfde combinaties van gebruikersnaam en wachtwoord proberen in te loggen op andere websites.

Het feit dat veel mensen wachtwoorden hergebruiken, betekent dat aanvallers snel toegang zullen krijgen tot accounts op andere websites via een zogenaamde “password-reuse attack”, een aanvalsmethode op basis van hergebruikte wachtwoorden. Op de nieuwe website zelf is geen beveiligingsprobleem opgetreden, maar de gebruikers van die site lopen nu gevaar omdat ze dezelfde wachtwoorden voor verschillende websites hebben gebruikt. Wij bevinden ons in de gelukkige positie dat we een van de populairste programma’s voor wachtwoordbeheer leveren, maar dat is nog geen garantie dat onze service niet zal worden aangevallen. Het hergebruik van wachtwoorden is inmiddels echter zo ingeburgerd (ondanks de gevaren ervan) dat we er alles aan doen om onze gebruikers te beschermen, zelfs als dat betekent dat we ze tegen zichzelf in bescherming moeten nemen.

Ons team van beveiligingsexperts voert daarom constant controles op internet uit om gebruikersnamen en wachtwoorden te vinden die openbaar zijn geworden nadat andere websites zijn gehackt. Zodra we op de hoogte zijn van nieuwe lekken, vragen we onmiddellijk de lijsten met gelekte gebruikersnamen en wachtwoorden op en vergelijken deze met ons eigen gebruikersbestand om te kijken of er een match is voor LastPass-accounts. Als dat het geval is, wordt het account direct uitgeschakeld om de kluis van de gebruiker te beschermen. Dit is iets wat het team van LastPass al jaren doet om onze gebruikers proactief te beschermen.

Welke stappen hebben we genomen?

In het geval van het recente incident bij LinkedIn, zijn de gegevens een paar jaar geleden maar is de lijst met gebruikersnamen en wachtwoorden pas nu online gezet. Wij hebben hierop gereageerd door alle LastPass-gebruikersaccounts uit te schakelen die een match zijn met de gelekte aanmeldingsgegevens. Voor alle duidelijkheid: er is geen sprake van gegevensdiefstal of een beveiligingsprobleem bij LastPass. Het betreft hier een proactieve maatregel van ons om de gebruikers te beschermen die hun wachtwoord hebben hergebruikt op andere websites die wel zijn gehackt.

Beschikt LastPass over mijn moederwachtwoord?

Nee, LastPass heeft nooit toegang tot uw moederwachtwoord. Als wachtwoorden worden gelekt van andere websites, worden die gegevens door ons verwerkt via scripts om een aanmeldingspoging te simuleren. Het script voert de standaard-PBKDF2-hashing uit die LastPass altijd gebruikt wanneer u zich aanmeldt. Op die manier kunnen we controleren of het ingevoerde wachtwoord juist is. Vervolgens vergelijken we het resultaat van het script met de wachtwoord-hash die is opgeslagen in onze database. Als de hashes overeenkomen, weten we dat het wachtwoord is hergebruikt met uw LastPass-account en wordt het account uitgeschakeld.

Wat kunnen LastPass-gebruikers doen?

Als uw account is uitgeschakeld, merkt u dat omdat u zich moet aanmelden vanaf een vertrouwde locatie om daar uw account te verifiëren en weer in te schakelen. Uw account inschakelen:

  1. Log in via de webportal op https://lastpass.com/.
  2. Het proces voor het inschakelen van uw account wordt gestart.
  3. Log in via de extensie of de portal en u wordt omgeleid naar een pagina voor het resetten van uw moederwachtwoord.

Als u tijdens het aanmelden een bericht ziet dat uw account is gedeactiveerd, gaat u naar https://lastpass.com om het verificatieproces te starten. Als u inlogt vanaf een onbekend apparaat of een nieuwe locatie, wordt u omgeleid naar een eerder vertrouwd apparaat of naar een andere locatie (IP-adres) waarop u het account eerder hebt geopend.

Als dat is voltooid, kunt u uw account ontgrendelen en uw moederwachtwoord bijwerken met een nieuw, sterker wachtwoord.

We raden u aan om vervolgens met de veiligheidstest van LastPass uw kluis te scannen op andere websites waarvoor u wachtwoorden hebt hergebruikt. LastPass kan u helpen om deze wachtwoorden te vervangen door sterke, unieke wachtwoorden. Zelfs als u uw moederwachtwoord voor LastPass niet hebt hergebruikt, is het nu het aangewezen moment om de veiligheidstest uit te voeren en te controleren of u voor elke website die u gebruikt, een ander wachtwoord hebt ingesteld.