Nieuws

LastPass verplicht langere masterwachtwoorden

LastPass
© LastPass
LastPass verplicht gebruikers een masterwachtwoord in te stellen van ten minste twaalf tekens. De beleidswijziging volgt op een datalek bij LastPass in 2022.

LastPass kondigde de wijziging dinsdag aan in een blogpost. Daarin wordt gemeld dat gebruikers van de wachtwoordmanager voortaan een hoofdwachtwoord van twaalf tekens moeten instellen. Voor nieuwe gebruikers gaat de wijziging per direct in, terwijl bestaande gebruikers voor eind januari via e-mail op de hoogte worden gesteld van het nieuwe wachtwoordbeleid. Voor accounts met een hoofdwachtwoord dat korter is dan twaalf tekens, geldt dat gebruikers een nieuw hoofdwachtwoord moeten instellen.

Gezien LastPass geen zicht heeft op de wachtwoorden van accounts, moeten gebruikers zelf aangeven of hun bestaande wachtwoord voldoet aan de vereisten. Als zij aangeven dat hun wachtwoord niet aan het beleid voldoet, moeten ze dit aanpassen.

Controle op datalekken

LastPass meldt verder dat het voortaan gaat controleren of hoofdwachtwoorden zijn uitgelekt. De wachtwoordmanager vergelijkt de ingestelde inlogcodes daarvoor met gegevens uit datalekken. Als een wachtwoord in zo’n datalek voorkomt, stelt het gebruikers daarvan op de hoogte.

“Als het wachtwoord is ontdekt bij een eerdere inbreuk, zal een pop-up met de melding “Beveiligingswaarschuwing” de klant waarschuwen dat het wachtwoord is uitgelekt. In dat geval wordt de klant gevraagd een ander hoofdwachtwoord te kiezen om verder te gaan”, schrijft LastPass in zijn blogpost.

Datalek bij LastPass

Zulke gegevens zouden zomaar van LastPass zelf afkomstig kunnen zijn. Eind 2022 kwam naar buiten dat de wachtwoordmanager was getroffen door een datalek. Hackers kregen via een ontwikkelaar toegang tot de inloggegevens van de datakluis van het bedrijf. Daarin had het de wachtwoordkluizen van gebruikers opgeslagen. Hoewel de wachtwoordkluizen waren versleuteld, bleek het door keuzes in LastPass’ beveiligingsbeleid soms kinderlijk eenvoudig om de kluizen te kraken.

Dat kwam de wachtwoordmanager op forse kritiek te staan. Volgens beveiligingsonderzoeker Wladimir Palant, bekend van advertentieblocker AdBlock Plus, vertelde het bedrijf halve waarheden, regelrechte leugens en liet het informatie weg. Zo claimde LastPass dat het hacken van een kluis wel miljoenen jaren kon duren, wat door hem en Jeffrey Gold, beveiligingsonderzoeker bij 1Password, werd bestreden. Daarvoor zou de cryptografie-techniek (100.000 PBKDF2-iteraties) simpelweg niet sterk genoeg zijn. Voor oudere accounts het aantal PBKDF2-iteraties nog een pak lager liggen.

Beveiliginglastpassmobielwachtwoordmanager

Gerelateerde artikelen

Volg ons

€350 korting op de Tenways CGO600

€350 korting op de Tenways CGO600

Bekijk de CGO600