LastPass: ‘Inhoud van kluis is veilig, ook als hoofdwachtwoord uitlekt’
De wachtwoorden die gebruikers hebben opgeslagen in een kluis bij LastPass zijn door de recente hack niet in gevaar. Zelfs als aanvallers het hoofdwachtwoord van gebruikers weten te achterhalen kunnen zij hiermee geen toegang krijgen tot content in de LastPass-kluis van gebruikers.
Dit stelt het bedrijf in een geüpdatet verklaring die eerder al op haar site werd gepubliceerd. Het bedrijf is doelwit geworden van hackers, die de servers van LastPass hebben weten binnen te dringen en allerlei informatie gestolen. Onder andere e-mailadressen, user salts per server en authentificatiehashes werden buitgemaakt. LastPass benadrukt dat de aanvallers alleen de hash van hoofdwachtwoorden in handen hebben gekregen.
100.000 hashingrondes
LastPass maakt gebruik van het PBKDF2-SHA256 hashingalgoritme. Via 5.000 iteraties van dit algoritme worden zowel de gebruikersnaam als het hoofdwachtwoord van gebruikers gehasht. Via dit proces wordt een sleutel gegeneerd, die opnieuw wordt gehasht. Hierdoor ontstaat de authentificatiehash, waarmee later het hoofdwachtwoord kan worden geconstrueerd. Deze hash wordt naar door de eindgebruiker naar de server van LastPass verzonden zodra wordt ingelogd op de online kluis. Op deze waarde wordt vervolgens door LastPass een salt toegepast en worden opnieuw 100.000 hashingrondes uitgevoerd. Het resultaat hiervan wordt vergeleken met de database van het bedrijf.
Door deze complexe werkwijze is het volgens LastPass zeer lastig de algoritmes van het bedrijf te kraken, ook als cybercriminelen hiervoor een grote hoeveelheid rekenkracht inzetten. Aanvallers zouden echter wel de salt en authentificatiehash kunnen gebruiken om te bepalen of een gegokt wachtwoord correct is. Dit proces zou echter zeer traag zijn indien gebruikers een sterk wachtwoord hebben gekozen. Alleen gebruikers die een zwak hoofdwachtwoord hebben gebruikt of een eenvoudig te raden wachtwoordhint hebben ingesteld zouden zich dan ook zorgen moeten maken dat hun hoofdwachtwoord achterhaald kan worden.
Ook met hoofdwachtwoord geen toegang tot de kluis
Indien een hacker inderdaad het hoofdwachtwoord van de LastPass-kluis weet te achterhalen heeft de aanvallers overigens geen toegang tot de inhoud van de kluis. Direct na de hack heeft LastPass een maatregel ingevoerd die gebruikers verplicht het e-mailadres te verifiëren zodra vanaf een nieuw IP-adres of een nieuw systeem wordt ingelogd. Alleen indien een aanvaller dus zowel het hoofdwachtwoord van de kluis als de inloggegevens van het e-mailaccount van een slachtoffer in handen heeft kan dus toegang worden verkregen tot diens kluis.
Meer over
Lees ook
Barracuda's nieuwe Cybernomics 101-rapport onthult de financiële aspecten achter cyberaanvallen
Barracuda heeft zijn Cybernomics 101-rapport gepubliceerd, waarin de financiële aspecten en winstmotieven achter cyberaanvallen worden onderzocht. Uit het nieuwe rapport blijkt dat de gemiddelde jaarlijkse kosten om te reageren op securityinbreuken en -lekken meer dan 5 miljoen dollar bedragen.
WatchGuard: Remote Access Software steeds vaker misbruikt
Hackers hebben hun pijlen steeds vaker gericht op Remote Access Software. Daarnaast zijn er nieuwe technieken in omloop voor het stelen van wachtwoorden en informatie. Ook maken cybercriminelen de overstap van het gebruik van scripts naar het toepassen van andere ‘living-off-the-land’-technieken om een aanval op eindpoints te starten. Dat conclude1
De speciale exploitatiecyclus van TA422: week na week hetzelfde
Proofpoint onderzoekers zagen vanaf eind maart 2023 dat de Russische Advanced Persistent Threat (APT) TA422 gemakkelijk gepatchte kwetsbaarheden gebruikte om verschillende organisaties in Europe en Noord-Amerika aan te vallen. TA422 overlapt met de aliassen APT28, Forest Blizzard, Pawn Storm, Fancy Bear en Blue Delta. De Amerikaanse inlichtingsdie1