De populaire wachtwoordmanager LastPass is in damage control modus. Het concern, dat qua securitybeleid goed staat aangeschreven, is slachtoffer van een hack, trouwens niet voor de eerste keer.

Zoiets is bij een wachtwoordmanager altijd extra gevoelig, het gaat immers om kluisjes waarin de sleutels tot tientallen, honderden andere sites en diensten liggen. Die kluisjes zijn niet leeggehaald, bezweert het concern, maar e-mailadressen, wachtwoordherinneringsvragen en authenticatiehashes zijn wel ontvreemd. Daarom dienen gebruikers hun hoofdwachtwoord, de toegang tot het kluisje, direct te wijzigen.

Tweefactor

Die noodzaak wordt groter naarmate dit hoofdwachtwoord kort en zwak is, vanwege het risico op kraken of bruteforcing. Daarnaast is het sterk aan te raden om tweefactor-authenticatie in te schakelen, zodat inloggen vanaf een vreemd device eerst moet worden bevestigd. Deze extra beveiliging heeft LastPass nu tijdelijk gedwongen ingeschakeld om gebruikers te beschermen.

De hack drukt ons weer eens met de neus op de feiten. Toch is de openheid die LastPass geeft zeer te prijzen. Naast de blogpost is er een mail rondgestuurd.

Wellicht schrikt het nieuws sommigen af, de transparantie is een teken dat het bedrijf zijn securitybeleid, inclusief disclosure, op orde heeft. Hoeveel bedrijven zouden zo'n hack onder de pet houden? Of erger nog, nooit ontdekken?

Lees ook:

"Je wachtwoord is sterk." Niet dus! Het beste wachtwoord? Een nepperd! 4 Vuistregels voor veilige wachtwoorden