.



LastPass: ‘Inhoud van kluis is veilig, ook als hoofdwachtwoord uitlekt’

password-1433221-m

De wachtwoorden die gebruikers hebben opgeslagen in een kluis bij LastPass zijn door de recente hack niet in gevaar. Zelfs als aanvallers het hoofdwachtwoord van gebruikers weten te achterhalen kunnen zij hiermee geen toegang krijgen tot content in de LastPass-kluis van gebruikers.

Dit stelt het bedrijf in een geüpdatet verklaring die eerder al op haar site werd gepubliceerd. Het bedrijf is doelwit geworden van hackers, die de servers van LastPass hebben weten binnen te dringen en allerlei informatie gestolen. Onder andere e-mailadressen, user salts per server en authentificatiehashes werden buitgemaakt. LastPass benadrukt dat de aanvallers alleen de hash van hoofdwachtwoorden in handen hebben gekregen.

100.000 hashingrondes

LastPass maakt gebruik van het PBKDF2-SHA256 hashingalgoritme. Via 5.000 iteraties van dit algoritme worden zowel de gebruikersnaam als het hoofdwachtwoord van gebruikers gehasht. Via dit proces wordt een sleutel gegeneerd, die opnieuw wordt gehasht. Hierdoor ontstaat de authentificatiehash, waarmee later het hoofdwachtwoord kan worden geconstrueerd. Deze hash wordt naar door de eindgebruiker naar de server van LastPass verzonden zodra wordt ingelogd op de online kluis. Op deze waarde wordt vervolgens door LastPass een salt toegepast en worden opnieuw 100.000 hashingrondes uitgevoerd. Het resultaat hiervan wordt vergeleken met de database van het bedrijf.

Door deze complexe werkwijze is het volgens LastPass zeer lastig de algoritmes van het bedrijf te kraken, ook als cybercriminelen hiervoor een grote hoeveelheid rekenkracht inzetten. Aanvallers zouden echter wel de salt en authentificatiehash kunnen gebruiken om te bepalen of een gegokt wachtwoord correct is. Dit proces zou echter zeer traag zijn indien gebruikers een sterk wachtwoord hebben gekozen. Alleen gebruikers die een zwak hoofdwachtwoord hebben gebruikt of een eenvoudig te raden wachtwoordhint hebben ingesteld zouden zich dan ook zorgen moeten maken dat hun hoofdwachtwoord achterhaald kan worden.

Ook met hoofdwachtwoord geen toegang tot de kluis

Indien een hacker inderdaad het hoofdwachtwoord van de LastPass-kluis weet te achterhalen heeft de aanvallers overigens geen toegang tot de inhoud van de kluis. Direct na de hack heeft LastPass een maatregel ingevoerd die gebruikers verplicht het e-mailadres te verifiëren zodra vanaf een nieuw IP-adres of een nieuw systeem wordt ingelogd. Alleen indien een aanvaller dus zowel het hoofdwachtwoord van de kluis als de inloggegevens van het e-mailaccount van een slachtoffer in handen heeft kan dus toegang worden verkregen tot diens kluis.

Lees ook
Toename van malware, fraude en phishingaanvallen met feestdagen als thema

Toename van malware, fraude en phishingaanvallen met feestdagen als thema

Proofpoint ziet een toename van aanvallen met feestdagen als thema, gericht op het verspreiden van malware, fraude en phishingcampagnes om vertrouwelijke gegevens te bemachtigen.

Black Friday: een gewaarschuwd mens telt voor twee

Black Friday: een gewaarschuwd mens telt voor twee

De Black Friday shopgekte is weer van start. Dit is voor veel mensen de aftrap van het winkelseizoen voor de feestdagen. Consumentenorganisaties waarschuwen voor webshops, zoals Temu, in verband met mogelijke privacy schendingen.

Cybercriminelen gebruiken foto’s van huizen om ‘sextortion’ e-mails te personaliseren

Cybercriminelen gebruiken foto’s van huizen om ‘sextortion’ e-mails te personaliseren

Uit een recent onderzoek van Barracuda blijkt dat cyberaanvallers namen, adressen en foto’s van de huizen van slachtoffers gebruiken om ‘sextortion’-aanvallen persoonlijker te maken. Zo proberen deze aanvallers de druk op hun slachtoffers op te voeren. Onderzoekers zagen ook dat de afpersingseisen inmiddels variëren