Wachtwoordmanager LastPass blijkt te zijn gehackt in augustus. Een enorm vervelende situatie, want juist een wachtwoordmanager zou veilig moeten zijn. Het is immers een plek die je toegang geeft tot je wachtwoorden op allerlei verschillende platforms. Eerder deze week bleek dat er een hack op LastPass was in augustus en er werd gedacht dat het wel meeviel, maar nu blijken er daadwerkelijk gegevens van gebruikers te zijn gestolen.
Het is nog onbekend om welke gegevens het gaat: gaat het om bijvoorbeeld een e-mailadres of gebruikersnaam. Of moeten gebruikers zich ook zorgen maken om hun wachtwoorden? De ontwikkelaar die hoofdverantwoordelijk is voor de beveiliging van LastPass is het nog aan het onderzoeken, maar LastPass heeft wel bekendgemaakt dat er geen toegang is geweest tot de wachtwoorden die mensen binnen de app hebben opgeslagen. De hacker had ook niet ingebroken bij LastPass, maar bij een externe opslagdienst dat het bedrijf gebruikt.
Om de vraag te beantwoorden of je nu je wachtwoorden moet veranderen: in principe niet. Zolang LastPass aangeeft dat je wachtwoorden veilig zijn gebleven, kun je er vanuitgaan dat dat ook klopt. Vertrouw je het echter toch niet helemaal: het kan natuurlijk nooit kwaad om je wachtwoord te veranderen. Het is zelfs erg slim om dat regelmatig te doen, zodat mocht er toch gaandeweg iemand zijn die wachtwoord ontfutseld, hij of zij niet te lang de mogelijkheid heeft om daar misbruik van te maken.
Het is niet heel gek om de uitspraak van LastPass niet te geloven: het heeft eerder gezegd dat er geen klantgegevens of wachtwoorden buitgemaakt waren, terwijl nu blijkt dat er toch waarschijnlijk wel klantgegevens op straat zijn beland. CEO Karim Toubba schrijft: “We hebben vastgesteld dat een onbevoegde partij, met behulp van informatie verkregen tijdens het incident in augustus 2022, in staat was om toegang te krijgen tot bepaalde elementen van de informatie van onze klanten. De wachtwoorden van onze klanten blijven veilig versleuteld dankzij de Zero Knowledge-architectuur van LastPass.“
Terwijl het onderzoek loopt kun je LastPass gewoon blijven gebruiken. Alles blijft volledig functioneel. Hoewel LastPass aangeeft dat je opgeslagen wachtwoorden veilig zijn, vinden we het geen gek idee om toch voor de zekerheid in ieder geval je wachtwoord van LastPass te veranderen. Hoewel het vooral werkt op basis van biometrische gegevens is er altijd een ‘master-wachtwoord’ dat misschien voor de zekerheid toch maar beter kan worden verandert. Baat het niet, dan schaadt het niet.
