LastPass: ‘Inhoud van kluis is veilig, ook als hoofdwachtwoord uitlekt’
De wachtwoorden die gebruikers hebben opgeslagen in een kluis bij LastPass zijn door de recente hack niet in gevaar. Zelfs als aanvallers het hoofdwachtwoord van gebruikers weten te achterhalen kunnen zij hiermee geen toegang krijgen tot content in de LastPass-kluis van gebruikers.
Dit stelt het bedrijf in een geüpdatet verklaring die eerder al op haar site werd gepubliceerd. Het bedrijf is doelwit geworden van hackers, die de servers van LastPass hebben weten binnen te dringen en allerlei informatie gestolen. Onder andere e-mailadressen, user salts per server en authentificatiehashes werden buitgemaakt. LastPass benadrukt dat de aanvallers alleen de hash van hoofdwachtwoorden in handen hebben gekregen.
100.000 hashingrondes
LastPass maakt gebruik van het PBKDF2-SHA256 hashingalgoritme. Via 5.000 iteraties van dit algoritme worden zowel de gebruikersnaam als het hoofdwachtwoord van gebruikers gehasht. Via dit proces wordt een sleutel gegeneerd, die opnieuw wordt gehasht. Hierdoor ontstaat de authentificatiehash, waarmee later het hoofdwachtwoord kan worden geconstrueerd. Deze hash wordt naar door de eindgebruiker naar de server van LastPass verzonden zodra wordt ingelogd op de online kluis. Op deze waarde wordt vervolgens door LastPass een salt toegepast en worden opnieuw 100.000 hashingrondes uitgevoerd. Het resultaat hiervan wordt vergeleken met de database van het bedrijf.
Door deze complexe werkwijze is het volgens LastPass zeer lastig de algoritmes van het bedrijf te kraken, ook als cybercriminelen hiervoor een grote hoeveelheid rekenkracht inzetten. Aanvallers zouden echter wel de salt en authentificatiehash kunnen gebruiken om te bepalen of een gegokt wachtwoord correct is. Dit proces zou echter zeer traag zijn indien gebruikers een sterk wachtwoord hebben gekozen. Alleen gebruikers die een zwak hoofdwachtwoord hebben gebruikt of een eenvoudig te raden wachtwoordhint hebben ingesteld zouden zich dan ook zorgen moeten maken dat hun hoofdwachtwoord achterhaald kan worden.
Ook met hoofdwachtwoord geen toegang tot de kluis
Indien een hacker inderdaad het hoofdwachtwoord van de LastPass-kluis weet te achterhalen heeft de aanvallers overigens geen toegang tot de inhoud van de kluis. Direct na de hack heeft LastPass een maatregel ingevoerd die gebruikers verplicht het e-mailadres te verifiëren zodra vanaf een nieuw IP-adres of een nieuw systeem wordt ingelogd. Alleen indien een aanvaller dus zowel het hoofdwachtwoord van de kluis als de inloggegevens van het e-mailaccount van een slachtoffer in handen heeft kan dus toegang worden verkregen tot diens kluis.
Meer over
Lees ook
Drie trends voor cyberaanvallen in 2024
Allianz: in België blijven Cyberincidenten (bijv. cybercriminaliteit, verstoringen van IT-netwerken en -diensten, malware/ransomware, datalekken, boetes en straffen) het nummer één risico sinds 2018. In Nederland klommen Cyberincidenten vier posities naar de tweede plaats.
DataExpert kondigt overname Avian Digital Forensics aan
DataExpert kondigt de overname aan van Avian Digital Forensics, een Deens bedrijf gespecialiseerd in digitale recherche- en eDiscovery-technologieën. Met de overname van Avian versterkt DataExpert zijn aanwezigheid in de Scandinavische landen.
Ongebruikelijke aanvalsketen TA577 veroorzaakt NTLM-datadiefstal
Proofpoint identificeerde vorige week een nieuwe aanvalsketen van TA577 die NT LAN Manager authenticatie-informatie steelt. Het cybersecurity bedrijf identificeerde minstens twee campagnes die dezelfde techniek gebruikten voor het stelen van NTLM hashes op 26 en 27 februari 2024.