Het nieuws dat de netwerkbeveiliging van LastPass is aangetast, is natuurlijk een serieus probleem. Dat het bedrijf dat werd geschonden er een was dat een service voor wachtwoordbeheer biedt, verhoogt de ernst met een tandje - of tien. Dus waarom trek ik, iemand die carrière heeft gemaakt door te schrijven over IT-beveiliging, mijn haren er niet uit? Naast het feit dat ik er geen heb om aan te trekken, is de LastPass-inbreuk voor sommigen van ons niet zo'n groot probleem als voor anderen.
We hebben geen bewijs gevonden dat er versleutelde gebruikerskluisgegevens zijn gebruikt, noch dat er toegang is verkregen tot LastPass-gebruikersaccounts, vertelt een woordvoerder van LastPass. Dus waar is al die ophef over, vraag je je misschien af: waar is het risico? Nou, het is tweeledig zoals ik het zie. Ten eerste, aangezien e-mailadressen en bijbehorende wachtwoordherinneringen zijn gecompromitteerd, verwacht ik gerichte phishing-pogingen in de vorm van valse master-password-reset-berichten. Ik zou graag denken dat ik daar niet voor zou vallen.
bladwijzers kopiëren van chrome
Wat betreft het tweede risico: zwakke hoofdwachtwoorden zullen momenteel worden onderworpen aan brute-force-kraakpogingen, dankzij de server-per-gebruiker salts en authenticatie-hashes die worden gebruikt. Wat dergelijke kraakpogingen betreft, maakt het feit dat LastPass die authenticatie-hashes met een willekeurig zout versterkt en voor een goede maatregel nog eens 100.000 rondes server-side PBKDF2-SHA256 toevoegt, het moeilijker om ze te breken. Als het hoofdwachtwoord echter slecht is, staat het nog steeds open voor aanvallen met brute kracht; het kost alleen wat meer tijd om het te kraken.
Dus LastPass dwingt de meeste gebruikers een hoofdwachtwoord te wijzigen en vraagt om e-mailverificatie van degenen die inloggen vanaf een nieuw apparaat of IP-adres. Ik zal echter mijn hoofdwachtwoord niet wijzigen, en ik ook niet (laten we eens kijken) nu al 442 dagen omdat het willekeurig is, het is complex, het is meer dan 25 tekens lang, het wordt nergens anders gebruikt en ik kan het uit het hoofd onthouden. Bovendien wordt het ondersteund door de volgende twee magische woorden: multifactor-authenticatie.
Boom! Wat mij betreft is al die moeite om in de periferie van het LastPass-netwerk te komen voor niets, want ik gebruik een sterk hoofdwachtwoord dat wordt ondersteund door multifactor-authenticatie. Zelfs als mijn hoofdwachtwoord op de een of andere manier is gecompromitteerd, zou de aanvaller toegang moeten krijgen tot mijn YubiKey (een fysiek token) om mijn wachtwoordkluis te ontsleutelen. Deze geavanceerde instellingen zijn gratis te gebruiken en zijn al enige tijd beschikbaar voor gebruikers - bovendien hoef je geen YubiKey aan te schaffen; je kunt desgewenst een gratis te downloaden app gebruiken, zoals Google Authenticator. Waarom zou je twee-factor-authenticatie (2FA) niet gebruiken op elke site of service waar het wordt aangeboden? Nee serieus?
Over geavanceerde instellingen gesproken, er is er nog een die ik gebruik die me nog een extra vertrouwen geeft dat mijn gegevens redelijk veilig zijn met LastPass, en dat is een geografische vergrendeling. U kunt landbeperkingen instellen waarmee u kunt bepalen vanuit welke landen uw wachtwoordkluis toegankelijk is. Ik houd dit vergrendeld voor het VK, tenzij ik naar het buitenland reis, in welk geval ik die specifieke locatie inschakel voordat ik vertrek. Oh, en ik sta ook geen logins van Tor-netwerken toe. Paranoïde, moi? Nee, gewoon verstandig om de toegang tot die sleutels tot het koninkrijk te beperken. Zoals jij ook zou moeten zijn.
Wat me het meest zorgen baart over het LastPass-compromis is, vreemd genoeg, niet het compromis zelf, maar de reactie erop; en vooral die van de media – zowel professioneel als sociaal. Er lijkt een onderliggend gevoel van vreugde te zijn bij het schoppen van LastPass, en er zijn veel vertelde je zo-type rapportage. Maar wat heb je ons precies verteld? Wat is hier precies gebeurd? Voor zover we kunnen zien, zijn er geen versleutelde wachtwoordgegevens gecompromitteerd en LastPass is behoorlijk transparant geweest in het bekendmaken van de gebeurtenis en het nemen van stappen om het vertrouwen van de gebruiker verder te waarborgen.
Wat zouden de nee-zeggers van de media ons laten doen? Terug naar pen en papier, of een meer technische oplossing voor het zelf coderen misschien? Ik heb beide gesuggereerd gezien, en geen van beide het risico voor de gemiddelde Joe verminderen, integendeel zelfs. Misschien overstappen naar een andere provider voor wachtwoordbeheer? Nogmaals, hoe helpt dat als je niet weet hoe ze zouden reageren wanneer - niet als - ze een inbreuk hebben? U weet in ieder geval dat LastPass op de bal is als het gaat om reactie op inbreuken.
Voor mij blijft een wachtwoordbeheerder voor de meeste mensen de veiligste optie, en als je mijn voorbeeld volgt en een sterk hoofdwachtwoord combineert met multifactor-authenticatie en enkele opties voor inlogblokkering, verklein je het risico van een compromis zo veel als menselijk mogelijk is.
En daarom, beste lezer, hoef ik mijn hoofdwachtwoord niet te wijzigen; of mijn wachtwoordbeheerder wat dat betreft.
