Het incident te veel: is LastPass nog te vertrouwen?

lastpass

Een recent datalek zet de geloofwaardigheid van LastPass nog maar eens onder druk. Kan de wachtwoordmanager het vertrouwen nog herstellen?

LastPass liet vlak voor de kerstdagen nog een bom ontploffen. De wachtwoordmanager erkende op 22 december dat bij een hackersaanval op een third-party clouddienst aanvallers aan de haal waren gegaan met versleutelde wachtwoordmappen, waar gevoelige informatie zoals gebruikersnamen en wachtwoorden met bijhorende URL’s bewaard staan.

lees ook

LastPass geeft details over eerder datalek: wachtwoorden gebruikers gestolen

Daarmee sprak LastPass eerdere communicatie rond het datalek tegen. Aanvankelijk gaf CEO Karim Toubba wel toe dat er accountgegevens zoals mailadressen en IP-adressen gestolen waren, maar veegde hij onder tafel of daar ook wachtwoorden bijzaten. Bovendien was het incident een nawee van een eerder incident in augustus, waarbij stukken broncode van de software buit werden gemaakt.

Volgens LastPass hoeven gebruikers zich nog steeds geen zorgen te maken, omdat de wachtwoorden met encryptie beveiligd zijn. Toch zal het gebruikers van de wachtwoordmanager verontrusten dat LastPass zijn eigen beveiliging niet helemaal op orde lijkt te hebben. Wordt dit het incident te veel voor de wachtwoordmanager?

Omissies, halve waarheden en leugens

Als het van menig beveiligingsexperten afhangt, heeft LastPass een dikke klomp boter op het hoofd. De kritiek op hoe LastPass met dit beveiligingsincident omgaat is niet mals. The Verge geeft een bloemlezing van de scherpste uithalen aan het adres van wachtwoordmanager.

Beveiligingsonderzoeker Wladimir Palant neemt geen blad voor de mond. Op zijn persoonlijke blog ontleedt de onderzoeker woord voor woord het laatste statement van LastPass, dat hij omschrijft als een ‘PR-boodschap vol omissies, halve waarheden en leugens’. Volgens Palant is LastPass enkel bezorgd om het redden van zijn eigen reputatie en niet om de veiligheid van gebruikers.

Eerst en vooral is de timing van de update opmerkelijk. Palant meent dat LastPass al langer op de hoogte was dat wachtwoorden gestolen waren, maar wachtte met dit bekend te maken tot vlak voor de feestdagen, in de hoop dat het nieuws onder de radar zou blijven. Het bedrijf probeert dit incident ook los te trekken van het incident in augustus, terwijl alles erop wijst dat ze aan elkaar gelinkt zijn.

Bovendien geeft LastPass gebruikers een vals gevoel van veiligheid. Er wordt veel te licht gegaan over het feit dat IP-adressen in handen zijn van de hackers. Aan de hand van IP-adressen kunnen hackers nu je online activiteit in kaart brengen. Tel daarbij op dat URL’s niet worden geëncrypteerd door LastPass, en hackers hebben heel wat informatie over je internetgewoontes.

Een laatste ergernis van Palant is dat LastPass alles doet om de schuld van zich af te schuiven. Zo wordt het datalek aan een externe cloudprovider toegeschreven. Hackers kunnen ook alleen aan je wachtwoorden als ze je hoofdwachtwoord kunnen raden. Heb je hiervoor de aanbevelingen van LastPass braaf opgevolgd (minstens 12 tekens), dan kan er niet gebeuren. In andere woorden: als je account gehackt zou worden, is het je eigen schuld.

Onkraakbare encryptie (of toch niet)?

LastPass slaat zich op de borst dat het wachtwoorden beveiligt met 256-bit AES encryptie in een Zero Knowledge-architectuur, wat betekent dat LastPass zelf geen toegang heeft tot je wachtwoorden. Om je hoofdwachtwoord te beveiligen, hanteert LastPass een PBKDF2-standaard van 100.100 iteraties. Het zou daardoor ‘miljoenen jaren’ duren vooraleer hackers met brute kracht je hoofdwachtwoord kan achterhalen.

Dat klinkt allemaal mooi op papier, maar ook deze stelling trekken experts in twijfel. De kritiek komt uit onverwachte hoek, van concurrent 1Password. Securityarchitect Jeffrey Goldberg schrijft in een blog dat de claim van LastPass enkel opgaat als het wachtwoord met twaalf tekens volledig willekeurig gegeneerd is.

lees ook

Zo kies je het perfecte wachtwoord

Maar omdat gebruikers meestal zelf een wachtwoord kiezen dat ze eenvoudiger kunnen onthouden, ligt de kost en snelheid waarmee hackers dit kunnen kraken veel lager dan wat LastPass beweert. Je hoofdwachtwoord is dus mogelijk veel kraakbaarder dan je denkt, ook al volg je het advies dat de wachtwoordmanager vooropstelt.

Palant vult daarop aan dat LastPass dat advies zelf niet consequent hanteert. Zijn hoofdwachtwoord telt slechts 8 tekens, wat veel eenvoudiger te kraken is, en kreeg nooit het advies om dit aan te passen.

Een pijnlijke optelsom

We kunnen dus concluderen dat LastPass dit jaar geen al te beste beurt heeft gemaakt. Iedereen verdient een tweede kans, ware het niet dat de wachtwoordmanager die al meermaals heeft gekregen. Volgens een andere expert genaamd Jeremi Gosney maakte LastPass in de laatste tien jaar zeven grote incidenten mee.

LastPass doet er alles aan om de schuld van zich af te schuiven.

Een duik in ons archief wekt niet echt veel vertrouwen op. In 2019 ontdekte onderzoekers van Google een lek in de browserextensie van LastPass. Ook 2021 was geen topjaar voor LastPass. De wachtwoordmanager haalde de woede op de hals van gebruikers door de gratis versie in te perken, de Android-app kreeg negatief advies en exact een jaar geleden bezorgde LastPass het cliënteel een hartinzakking met valse meldingen over inlogpogingen.

Hoeveel incidenten moeten we LastPass nog blijven vergeven? Als wachtwoordmanager draagt LastPass een grote verantwoordelijkheid ten aanzien van zijn gebruikers. Dat vertrouwen heeft het bedrijf de laatste jaren meermaals geschonden. In de communicatie doet het nochtans alsof de schuld nooit bij hen ligt en adviezen van externe experten vallen keer op keer in dovemansoren.

Ons goede voornemen voor 2023 is dan ook om onze wachtwoorden aan een betrouwbaarder programma toe te vertrouwen. Dat van jou ook? Bekijk dan onze vier goede gratis alternatieven.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.