LastPass: ‘Inhoud van kluis is veilig, ook als hoofdwachtwoord uitlekt’
De wachtwoorden die gebruikers hebben opgeslagen in een kluis bij LastPass zijn door de recente hack niet in gevaar. Zelfs als aanvallers het hoofdwachtwoord van gebruikers weten te achterhalen kunnen zij hiermee geen toegang krijgen tot content in de LastPass-kluis van gebruikers.
Dit stelt het bedrijf in een geüpdatet verklaring die eerder al op haar site werd gepubliceerd. Het bedrijf is doelwit geworden van hackers, die de servers van LastPass hebben weten binnen te dringen en allerlei informatie gestolen. Onder andere e-mailadressen, user salts per server en authentificatiehashes werden buitgemaakt. LastPass benadrukt dat de aanvallers alleen de hash van hoofdwachtwoorden in handen hebben gekregen.
100.000 hashingrondes
LastPass maakt gebruik van het PBKDF2-SHA256 hashingalgoritme. Via 5.000 iteraties van dit algoritme worden zowel de gebruikersnaam als het hoofdwachtwoord van gebruikers gehasht. Via dit proces wordt een sleutel gegeneerd, die opnieuw wordt gehasht. Hierdoor ontstaat de authentificatiehash, waarmee later het hoofdwachtwoord kan worden geconstrueerd. Deze hash wordt naar door de eindgebruiker naar de server van LastPass verzonden zodra wordt ingelogd op de online kluis. Op deze waarde wordt vervolgens door LastPass een salt toegepast en worden opnieuw 100.000 hashingrondes uitgevoerd. Het resultaat hiervan wordt vergeleken met de database van het bedrijf.
Door deze complexe werkwijze is het volgens LastPass zeer lastig de algoritmes van het bedrijf te kraken, ook als cybercriminelen hiervoor een grote hoeveelheid rekenkracht inzetten. Aanvallers zouden echter wel de salt en authentificatiehash kunnen gebruiken om te bepalen of een gegokt wachtwoord correct is. Dit proces zou echter zeer traag zijn indien gebruikers een sterk wachtwoord hebben gekozen. Alleen gebruikers die een zwak hoofdwachtwoord hebben gebruikt of een eenvoudig te raden wachtwoordhint hebben ingesteld zouden zich dan ook zorgen moeten maken dat hun hoofdwachtwoord achterhaald kan worden.
Ook met hoofdwachtwoord geen toegang tot de kluis
Indien een hacker inderdaad het hoofdwachtwoord van de LastPass-kluis weet te achterhalen heeft de aanvallers overigens geen toegang tot de inhoud van de kluis. Direct na de hack heeft LastPass een maatregel ingevoerd die gebruikers verplicht het e-mailadres te verifiëren zodra vanaf een nieuw IP-adres of een nieuw systeem wordt ingelogd. Alleen indien een aanvaller dus zowel het hoofdwachtwoord van de kluis als de inloggegevens van het e-mailaccount van een slachtoffer in handen heeft kan dus toegang worden verkregen tot diens kluis.
Meer over
Lees ook
Proofpoint: rechtshandhaving verstoort LockBit
Het wereldwijde rechtshandhavingsinitiatief voor het verstoren van ransomware-operaties, onder leiding van het Verenigd Koninkrijk en de Verenigde Staten, is goed nieuws voor cyberverdedigers en organisaties die nog steeds last hebben van de gevolgen van LockBit-infecties.
"Lopende campagne beïnvloedt Azure cloudomgevingen" - Proofpoint
Onderzoekers van cybersecuritybedrijf Proofpoint zien een aanhoudende cloudaccount overnamecampagne. De campagne beïnvloedt tientallen Microsoft Azure-omgevingen en honderden gebruikersaccounts. Ook brengt de campagne accounts van senior executives in gevaar.
G DATA: Agent Tesla opnieuw gearriveerd
Recente security-incidenten hebben een nieuwe variant van Agent Tesla aan het licht gebracht. Hierbij wordt een ongebruikelijk compressieformaat gebruikt om informatie te stelen: ZPAQ. Maar wat is dit precies en welk voordeel biedt het aan cybercriminelen?