LastPass dwingt een deel van de gebruikers om hun hoofdwachtwoord van de tool (dat nodig is om andere wachtwoorden voor sites en diensten te genereren en wijzigen) te veranderen.

Mogelijke inbraak

Dit nadat het bedrijf ‘onverklaarbaar uitgaand verkeer’ ontdekte op zijn netwerk. “Omdat we deze anomalie niet kunnen verklaren, zijn we paranoïde en gaan uit van het slechtste scenario: dat iemand op een of andere manier bij de data die we opslaan in database kon", aldus het bedrijf.

LastPass is een populaire wachtwoordmanager. Met LastPass kunnen gebruikers zeer sterke wachtwoorden voor allerhande websites en diensten gebruiken, omdat ze het wachtwoord niet hoeven te onthouden. LastPass slaat deze wachtwoorden namelijk zwaar versleuteld op en synchroniseert ze tussen pc’s en mobiele apparaten.

Hoofdwachtwoord brute forcen

LastPass doet nog onderzoek naar het fenomeen, maar acht de kans klein dat er daadwerkelijk cruciale gegevens zijn bemachtigd. Het meest realistische scenario is dat er gebruikersnamen zijn ontvreemd. In combinatie met een hoofdwachtwoord geven die toegang tot alle andere wachtwoorden van een gebruiker. En aangezien sommige gebruikers een zwak hoofdwachtwoord hebben (dit is immers een wachtwoord dat je wel moet onthouden) valt dit mogelijk te raden via brute force of een woordenboekaanval.

Vandaar dat het bedrijf het zekere voor het onzekere neemt en gebruikers in een aantal gevallen dwingt om hun hoofdwachtwoord te wijzigen. Ook als gebruikers vanaf een onbekend IP-adres komen, worden ze verplicht een nieuw hoofdwachtwoord in te stellen.

Betere beveiliging

LastPass maakt van de gelegenheid gebruik om aanvullende beveiligingsmaatregelen op de servers en in de client uit te rollen. Het gaat om PBKDF2 met SHA-256 hash algoritme dat een 256-bit salt gebruikt. Daarnaast heeft het bedrijf zijn database helemaal opnieuw opgebouwd op nieuwe servers en de oude uitgezet.