LastPass: ‘Inhoud van kluis is veilig, ook als hoofdwachtwoord uitlekt’
De wachtwoorden die gebruikers hebben opgeslagen in een kluis bij LastPass zijn door de recente hack niet in gevaar. Zelfs als aanvallers het hoofdwachtwoord van gebruikers weten te achterhalen kunnen zij hiermee geen toegang krijgen tot content in de LastPass-kluis van gebruikers.
Dit stelt het bedrijf in een geüpdatet verklaring die eerder al op haar site werd gepubliceerd. Het bedrijf is doelwit geworden van hackers, die de servers van LastPass hebben weten binnen te dringen en allerlei informatie gestolen. Onder andere e-mailadressen, user salts per server en authentificatiehashes werden buitgemaakt. LastPass benadrukt dat de aanvallers alleen de hash van hoofdwachtwoorden in handen hebben gekregen.
100.000 hashingrondes
LastPass maakt gebruik van het PBKDF2-SHA256 hashingalgoritme. Via 5.000 iteraties van dit algoritme worden zowel de gebruikersnaam als het hoofdwachtwoord van gebruikers gehasht. Via dit proces wordt een sleutel gegeneerd, die opnieuw wordt gehasht. Hierdoor ontstaat de authentificatiehash, waarmee later het hoofdwachtwoord kan worden geconstrueerd. Deze hash wordt naar door de eindgebruiker naar de server van LastPass verzonden zodra wordt ingelogd op de online kluis. Op deze waarde wordt vervolgens door LastPass een salt toegepast en worden opnieuw 100.000 hashingrondes uitgevoerd. Het resultaat hiervan wordt vergeleken met de database van het bedrijf.
Door deze complexe werkwijze is het volgens LastPass zeer lastig de algoritmes van het bedrijf te kraken, ook als cybercriminelen hiervoor een grote hoeveelheid rekenkracht inzetten. Aanvallers zouden echter wel de salt en authentificatiehash kunnen gebruiken om te bepalen of een gegokt wachtwoord correct is. Dit proces zou echter zeer traag zijn indien gebruikers een sterk wachtwoord hebben gekozen. Alleen gebruikers die een zwak hoofdwachtwoord hebben gebruikt of een eenvoudig te raden wachtwoordhint hebben ingesteld zouden zich dan ook zorgen moeten maken dat hun hoofdwachtwoord achterhaald kan worden.
Ook met hoofdwachtwoord geen toegang tot de kluis
Indien een hacker inderdaad het hoofdwachtwoord van de LastPass-kluis weet te achterhalen heeft de aanvallers overigens geen toegang tot de inhoud van de kluis. Direct na de hack heeft LastPass een maatregel ingevoerd die gebruikers verplicht het e-mailadres te verifiëren zodra vanaf een nieuw IP-adres of een nieuw systeem wordt ingelogd. Alleen indien een aanvaller dus zowel het hoofdwachtwoord van de kluis als de inloggegevens van het e-mailaccount van een slachtoffer in handen heeft kan dus toegang worden verkregen tot diens kluis.
Meer over
Lees ook
Hackers stelen medische gegevens van tientallen miljoenen Amerikanen
Opnieuw hebben hackers een enorme hoeveelheid persoonlijke informatie weten te stelen. Cybercriminelen hebben ingebroken bij Anthem, de op één na grootste medische verzekeraar van de Verenigde Staten. Hier hebben zij klantgegevens van tientallen miljoenen Amerikanen weten buit te maken. Anthem meldt de cyberaanval zelf in een verklaring. Hackers z1
EFF: ’Zet techbedrijven onder druk zich tegen massacontrole te verzetten’
Technologiebedrijven zouden onder druk moeten worden gezet zich actief te verzetten tegen NSA-controle. Ook zou een internationale beweging moeten worden opgezet om het toepassen van encryptie door consumenten te stimuleren. Het gebruik van beveiligde communicatiemiddelen moet worden aangemoedigd. Dit staat in het plan dat de Amerikaanse burgerrec1
Kim Dotcom’s Mega lanceert chatdienst met end-to-end-encryptie
Mega, het bedrijf van MegaUpload-oprichter Kim Dotcom, lanceert de beveiligde chatdienst MegaChat. MegaChat is voorzien van end-to-end-encryptie, wat moet voorkomen dat gebruikers afgeluisterd kunnen worden. MegaChat is op dit moment als beta-versie beschikbaar. De dienst kan op dit moment alleen gebruikt worden via een webbrowser. Wie de dienst w1