LastPass is veruit de meest populaire wachtwoordmanager. Het biedt een gratis en een betaalde variant en ondersteunt praktisch alle platforms. Het heeft een goede reputatie, maar is nu (wederom) slachtoffer van een hack. Daarbij zijn e-mailadressen, geheime vragen en hashes van hoofdwachtwoorden ontvreemd. Dat is serieus, maar geen reden voor paniek, de hashing die LastPass hanteert is zeer grondig. Maar als je hoofdwachtwoord kort of zwak is, loop je risico.

De hack is het moment voor gebruikers om eens in de instellingen te duiken en LastPass grondig dicht te timmeren. Manieren daarvoor zijn er legio, het is makkelijk te verdwalen in het doolhof van opties en features. We zetten de belangrijkste op een rij.

1. Nieuw hoofdwachtwoord

De eerste is een inkopper: wijzig nu direct het hoofdwachtwoord. En maak het sterk, dat wil zeggen ingewikkeld en lang. Aangezien je het hoofdwachtwoord dient te onthouden is dat een probleem. De uitkomst is een wachtzin, waar je eventueel her en der wat letters vervangt voor cijfers, al is de entropietoename daarvan vaak marginaal, aangezien dat vervanging meestal simpel is te raden voor wachtwoordkraakprogramma's. Een wachtzin is zo lang, dat kraken simpelweg ondoenlijk is, terwijl het met een ezelbrug makkelijk is te onthouden.

2. Wijzig je geheime vraag

Veel diensten, en ook LastPass, hebben de optie om een geheime vraag in te voeren, als reminder voor het wachtwoord. Dit is handig, maar ook absoluut een zwakke schakel, want vaak zeer makkelijk te raden of te achterhalen. Aangezien deze geheime vragen, bij Lastpass 'Hoofdwachtwoord Herinnering' geheten zijn uitgelekt, is het tijd voor nieuwe.

Of beter nog, wellicht geen herinnering. Wil je er toch een, probeer dan een cryptische hint te verzinnen. Want pas op: bij LastPass slaat deze herinnering dus direct op het hoofdwachtwoord zelf. Bij veel andere diensten staat de geheime vraag los van het wachtwoord maar is een drempel die moet worden genomen voordat je het vergeten wachtwoord kunt resetten.

3. Schakel tweefactor in

Tweefactor authenticatie is even gedoe in het begin, maar cruciaal voor je gemoedsrust. Het voorkomt dat hackers, ook al hebben ze je wachtwoord, vanaf een onbekend device kunnen inloggen. LastPass ondersteunt daarvoor veel verschillende methoden, waaronder Google Authenticator en YubiKey.

4. Wijzig wachtwoorden in je kluis

Dit is minder urgent, en bovendien een tijdrovend werkje. Maar het valt onder 'best practices' omdat toch eens in de zoveel tijd te doen, dus nu is een uitgelezen moment. Hier komt het grote voordeel van een wachtwoordmanager om te hoek, die genereert voor elke site en dienst met een klik een nieuw, ijzersterk wachtwoord.

Onthouden hoef je het toch niet, dat doet LastPass. Een extra hulp hierbij is dat LastPass voor circa 75 populaire sites zelfs automagisch het wachtwoord kan wijzigen. Het is even slikken als je het voor je ogen ziet gebeuren, maar scheelt een hoop geklik en getik.

5. Definieer uitzonderingen

LastPass biedt zeer fijnmazige opties voor de gebruiker. Je gebruikt de dienst, dus vertrouwt het blijkbaar, maar dat vertrouwen is als het goed is beperkt. Je meest cruciale inlogcodes, bijvoorbeeld voor internetbankieren, die mag zelfs LastPass niet weten.

Om dit te stroomlijnen, kun je URL's invoeren waarvan LastPass nooit zal vragen om het wachtwoord op te slaan. Analoog aan deze uitzonderingen kun je ook een geoblock aanleggen, zodat vanuit vreemde landen niet kan worden ingelogd, vergelijkbaar met de geoblock van bankpassen. Let wel op als je gebruik maakt van proxies of Tor, dan is een geoblock onverstandig.

6. Anticipeer op offline hack

In veel gevallen is de offline 'hacker' een veel realitischer scenario dat de cyberaanvaller. Dus simpelweg iemand die bij je apparaat kan en zo meteen je LastPass kluis in kan duiken. Om dit te voorkomen heeft LastPass ook weer zeer fijnmazige opties.

Je kunt precies bepalen in welk geval je weer opnieuw moet inloggen met je hoofdwachtwoord: als je de browser sluit, of als je apparaat zoveel seconden of minuten idle is. Je kunt zo je hoofdwachtwoordprompt variëren van eigenlijk nooit tot bij praktisch elke handeling die jij of LastPass zelf uitvoert. Speel er mee en kies een middenweg tussen onhandige paranoia en handige gemakzucht.

Lees ook: 5 basisfails met wachtwoorden