Een wachtwoordmanager is ideaal: je moet maar één hoofdwachtwoord onthouden, en daarna kan je voor elke website die je bezoekt aan apart, sterk wachtwoord aanmaken dat die manager voor jou onthoudt. Ideaal, met slechts één zwak punt: het hoofdwachtwoord. Dat moet ook sterk zijn, en sommige gebruikers zondigen daartegen. Maar stel dat de database van depasswordmanager gekraakt zou worden, dan is het hek natuurlijk van de dam, want dan liggen al jouw wachtwoorden op de straat.
Het leek er deze week even op dat dit het geval was met LastPass. Verschillende gebruikers meldden namelijk dat zij een mail kregen van LasPass, met het bericht dat iemand getracht had om in te loggen op hun account, door middel van het master paswoord, vanop een ongebruikelijke locatie. Omdat die locatie ongebruikelijk was, had LastPass de inlogpoging geblokkeerd.
Meteen ontstond het gerucht dat de database met master paswoorden gekraakt of gelekt was. Maar LastPass stelt gerust: die inlogpogingen zijn gewoon een reeks aanvallen van bots, die aanvallen uitvoeren aan de hand van e-mailadressen en wachtwoorden die buitgemaakt zijn bij inbraken bij andere websites, en die vrij via het internet beschikbaar zijn, of verkocht worden. Een tactiek die Credential Stuffing genoemd wordt.
Geen hack dus, maar toch een lesje om te leren: gebruik nooit twee keer hetzelfde wachtwoord. LastPass heeft trouwens een controlefunctie die nagaat of je hetzelfde wachtwoord meerdere keren gebruikt hebt. Voer die controle uit!
Meer over Credential Stuffing bij Imperva (1). Macworld en Bleeping Computer geven meer achtergrond bij het verhaal (2)(3)
https://www.imperva.com/learn/application-security/credentia ...
https://www.macworld.com/article/562124/lastpass-attack-mast ...
https://www.bleepingcomputer.com/news/security/lastpass-user ...
|