We schreven op 11 februari dit jaar een blog over De 5 beste wachtwoordmanagers 2022, maar op 26 augustus lazen we op Tweakers dat er een datalek bij Lastpass is. Dus dan vraag je je natuurlijk af: Hoe zit het eigenlijk met de veiligheid van wachtwoordmanagers? Even polsen bij onze ethisch hacker Jelte.
Datalek bij Lastpass
Wat is er gebeurd? Er was een zogenaamd ‘security-incident, waarbij een onbevoegd persoon toegang kreeg tot de software-ontwikkelomgeving van Lastpass’. Oftewel, een hacker heeft de broncode van Lastpass gehackt.
Je zou het zo kunnen zien: de hacker heeft toegang tot informatie gekregen van de slotenmaker over hoe je een slot kan maken. Nu weet hij wel hoe je een slot maakt en hoe die werkt, maar niet welke sleutel erin hoort. Hij zou het slot kunnen namaken. Maar dan nog, de sleutel heb jij zelf. Dat is jouw wachtwoord. Zolang jij die niet geeft, kan een hacker niks met die gegevens.
* Update 26 januari 2023 *
Er zijn tegenstrijdige berichten over dit security-incident. Volgens Lastpass zelf zijn er wel kluizen gestolen, maar zij weet verder niet wat er precies gestolen is. Dus voor de zekerheid is het verstandig dat je al je wachtwoorden in je Lastpass-kluis aanpast en uit Lastpass weghaalt. Alternatief: zie onze blog over de 5 beste wachtwoordmanagers.
Wat moet Lastpass nu?
De hacker heeft toegang tot de broncode van Lastpass gekregen. Lastpass moet nu goed kijken of de hacker iets gewijzigd heeft in de broncode, en wat dat is. Als hij wat heeft gewijzigd of toegevoegd, zou hij ervoor kunnen zorgen dat hij allemaal gebruikersgegevens naar zich gemaild krijgt. Maar zolang hij geen wachtwoorden weet, kan hij niet bij jouw gegevens.
Dus: het is niet direct een gevaar voor de gebruikersgegevens en voor Lastpass. Er is op dit moment dus niks aan de hand.
Is Lastpass veilig?
Nu een spannende vraag: gaat het een volgende keer wel mis? Krijgt een hacker dan wél toegang tot gebruikersdata? Jelte is er niet bang voor: hij kan misschien wel opnieuw bij alle gebruikersgegevens. Of bij algemene gegevens, maar nooit in de kluis zelf. De kluis is dus daar waar jij je wachtwoorden hebt. De sleutel heb jij alleen als gebruiker. Dat is jouw gebruikersnaam + wachtwoord. Weet iemand jouw gebruikersnaam, dan weet hij dus de helft. Als je gebruikersnaam nu ook je mailadres is, dan zou de hacker je wel een lelijke mail kunnen sturen met zoiets: “Lastpass is gehackt, klik hier om een nieuw wachtwoord in te stellen.” En die link is dan natuurlijk wel een foute link.
Zijn wachtwoordmanagers veilig?
Tja, 100% veilig – wie zal dat durven zeggen? Zolang er zelfs in het Witte Huis wordt ingebroken… Maar Jelte durft het aan: wachtwoordmanagers zijn veilig, ze zijn zo gemaakt dat je er alleen in kunt komen als je het hoofdwachtwoord weet. Conclusie: je kunt je wachtwoorden best toevertrouwen aan een wachtwoordmanager. We schreven ook een blog over de 5 beste wachtwoordmanagers.
Wil je geen online-wachtwoordmanager gebruiken, kijk dan of er een in je browser zit. In Firefox en Chrome zit sowieso een wachtwoordmanager. Nadeel is wel dat als die pc ingelogd is, je altijd de wachtwoorden kunt lezen. Maar dat is altijd nog beter dan geen!
Algemene tips voor een veilig wachtwoord:
- Geef je wachtwoorden nooit aan een ander, zelfs niet aan je beste vriend.
- Houd privé-info zoals een wachtwoord en pincode ook echt privé.
- Lastpass is een clouddienst, dat is erg gemakkelijk. Maar daardoor is het ook erg interessant voor hackers, omdat alles op één plek te vinden is.
- Ga je voor superveilig, dan is KeePass de beste. Alles over KeePass en andere wachtwoordmanagers lees je hier.
Welke wachtwoordmanager gebruik jij? Laat het achter in de comments.
Reageren?