LastPass gaat webadressen eindelijk versleutelen
LastPass voert de belangrijke wijziging door na kritiek die de wachtwoordbeheerder kreeg na een datalek in 2022. Toen kwamen de wachtwoordkluizen van gebruikers in handen van criminelen. Volgens LastPass hoefden gebruikers zich daar geen zorgen over te maken: de data in de kluizen was goed beveiligd en het kraken daarvan zou “miljoenen jaren” duren.
Niet veel later werd het bedrijf teruggefloten door experts. Beveiligingsonderzoeker Wladimir Palant concludeerde dat LastPass “halve waarheden en regelrechte leugens” had verteld. Onder meer omdat niet alle data in de kluis beveiligd was.
Versterkt zero-knowledge-principe
In tegenstelling tot wachtwoorden, werden de webadressen (URL’s) niet versleuteld opgeslagen. Voor aanvallers was het dus zichtbaar waar een wachtwoord toe behoorde. Op basis daarvan was het mogelijk om selectief wachtwoordkluizen met waardevolle wachtwoorden te kraken. LastPass werd hier meermaals op gewezen, zo concludeerde Palant.
LastPass zegt nu alsnog URL’s te versleutelen. In een blogpost licht de wachtwoordbeheerder toe dat de wijziging het ‘zero-knowledge’-principe van het bedrijf versterkt. Dit principe houdt in dat LastPass zelf geen toegang heeft tot de wachtwoorden en andere data van gebruikers.
Vertragende factor
Kortom: LastPass kan straks niet meer zien van welke diensten jij wachtwoorden opslaat. Dat geldt uiteraard net zo goed voor toekomstige aanvallers. Zo wordt je privacy versterkt, klinkt het in de aankondiging.
Over de reden waarom URL’s voorheen niet werden beschermd, worden de ‘prestatiebeperkingen’ van hardware uit 2008 genoemd. Dat is het jaar waarin LastPass werd opgericht. Het constant moeten ontgrendelen van URL’s was een “geheugen-intensieve taak”, met een negatieve impact op oudere pc’s met tragere CPU’s en minder RAM. Daarom werd besloten de URL’s zonder versleuteling op te slaan. Waarom het nog 16 jaar zou duren voordat de URL’s alsnog worden versleuteld, laat het bedrijf onbenoemd.
URL’s versleuteld vanaf juli
LastPass zegt voor het vergrendelen van URL’s twee fasen te doorlopen. De eerste fase start in juni en legt de focus op het vergrendelen van de primaire URL’s. Vanaf juli wordt de uitrol van de versleuteling in gang gezet. Consumenten en zakelijke gebruikers worden via e-mail op de hoogte gebracht als de wijziging wordt doorgevoerd.
In de tweede helft van het jaar worden de overige URL’s in de wachtwoordkluis versleuteld. Ook over die fase worden gebruikers via e-mail ingelicht.