LastPass Hacked: verander uw hoofdwachtwoord, schakel multifactor-authenticatie in
LastPass heeft vandaag een beveiligingskennisgeving op haar blog vrijgegeven, die gebruikers laat weten dat de servers zijn gehackt en dat sommige gegevens zijn gestolen. Hier leest u wat LastPass heeft gezegd, hoe u uw hoofdwachtwoord kunt wijzigen en multifactor-authenticatie voor een goede maatregel kunt inschakelen.
LastPass gehackt
In een blogpost gaf LastPass enkele beperkte details over wat er gebeurde:
We willen onze community op de hoogte stellen dat ons team op vrijdag verdachte activiteiten op ons netwerk heeft ontdekt en geblokkeerd. In ons onderzoek hebben we geen aanwijzingen gevonden dat gecodeerde gegevens van gebruikerskluizen zijn gemaakt en dat gebruikersaccounts van LastPass niet zijn geopend. Het onderzoek heeft echter aangetoond dat de e-mailadressen van LastPass, wachtwoordherinneringen, server-per-gebruikerszouten en authenticatie-hashes in het gedrang kwamen.
We zijn ervan overtuigd dat onze versleutelingsmaatregelen voldoende zijn om de overgrote meerderheid van gebruikers te beschermen. LastPass versterkt de authenticatiehash met een willekeurig zout en 100.000 ronden van server-side PBKDF2-SHA256, naast de rondes uitgevoerd aan de clientzijde. Deze extra versterking maakt het moeilijk om de gestolen hashes met een aanzienlijke snelheid aan te vallen.
Het bedrijf zei ook: "We eisen dat alle gebruikers die inloggen vanaf een nieuw apparaat of IP-adres eerst hun account per e-mail verifiëren, tenzij multifactor-authenticatie is ingeschakeld. Als extra voorzorgsmaatregel zullen we gebruikers ook vragen hun hoofdwachtwoord bij te werken. "
Een ding dat nogal irritant is voor veel gebruikers, is dat ze dit nieuws op websites vinden. Zoals het bedrijf ook in zijn bericht zei, worden e-mails verzonden naar alle gebruikers over het beveiligingsincident. Op het moment van dit schrijven heb ik er nog geen ontvangen en door de blikken van de opmerkingen op het LastPass-blog zijn er ook niet veel andere gebruikers.
Wijzig uw LastPass hoofdwachtwoord
Om uw hoofdwachtwoord te wijzigen en klik op Accountinstellingen in het linkerdeelvenster.
Klik vervolgens in het venster Accountinstellingen op Hoofdwachtwoord wijzigen onder het gedeelte Aanmeldingsgegevens.
Dat brengt u naar de pagina Wachtwoord opnieuw instellen, waar u eenvoudig de instructies op het scherm kunt volgen om uw hoofdwachtwoord te wijzigen. Tijdens het proces versleutelt LastPass alles opnieuw en ontvangt u een verificatie-e-mail waarin u de master hebt gewijzigd.
Schakel MultiFactor-verificatie in voor LastPass
Terwijl je toch bezig bent, raden we aan om multifactor-authenticatie in te schakelen voor je LastPass-account. Het voegt een extra beveiligingslaag toe aan uw account en geeft u meer gemoedsrust dat uw wachtwoorden veilig zijn.
In de verklaring van vandaag zei LastPass: "We eisen dat alle gebruikers die inloggen vanaf een nieuw apparaat of IP-adres eerst hun account per e-mail verifiëren, tenzij u multifactor-authenticatie hebt ingeschakeld."
We hebben u enkele jaren geleden laten zien hoe u LastPass Two Factor Authentication kunt inschakelen. Het proces is uiterst eenvoudig en er is geen betere manier om uw LastPass-account te beveiligen. Eerlijk gezegd, in het online klimaat dat we vandaag hebben, is het inschakelen van authenticatie met twee factoren echt niet langer optioneel als u uw online accounts veilig wilt houden. We hebben hier uitgebreid over gesproken op en we zijn van plan hier de komende weken nog meer aandacht aan te besteden.
Als u authenticatie met twee factoren of meerdere factoren in Lastpass wilt inschakelen, gaat u naar Accountinstellingen> Multifactoropties en selecteert u de methode die u wilt gebruiken ... Google Authenticator is waarschijnlijk het gemakkelijkst.
Er zijn andere services die gebruikers met een Premium-account ($ 12 / jaar) kunnen gebruiken, zoals scanners voor vingerafdrukken en USB-sleutels.
Update 16/06/2015:
Vandaag ontving ik eindelijk een e-mail van LastPass over het beveiligingsprobleem. Het is kort en geeft niet veel meer details dan wat we al weten.
Geachte LastPass-gebruiker,
We wilden u erop attenderen dat ons team onlangs verdachte activiteiten op ons netwerk heeft ontdekt en onmiddellijk heeft geblokkeerd. Er werden geen gecodeerde gebruikerskluisgegevens gebruikt, maar andere gegevens, waaronder e-mailadressen en wachtwoordherinneringen, waren aangetast.
We zijn ervan overtuigd dat de coderingsalgoritmen die we gebruiken onze gebruikers voldoende beschermen. Om uw veiligheid verder te waarborgen, hebben wij een verificatie per e-mail nodig wanneer u inlogt vanaf een nieuw apparaat of een nieuw IP-adres en gebruikers vragen hun hoofdwachtwoorden bij te werken.
Onze excuses voor het ongemak, maar uiteindelijk denken we dat dit de LastPass-gebruikers beter zal beschermen. Bedankt voor uw begrip en voor het gebruik van LastPass.
Vriendelijke groeten,
Het LastPass-team
Over het algemeen lijkt dit niets te zijn om in paniek te raken, omdat de wachtwoorden die zijn opgeslagen in uw kluis goed worden beschermd en niet in gevaar mogen worden gebracht. U zult echter zeker uw hoofdwachtwoord willen wijzigen en multifactor-authenticatie zo snel mogelijk willen inschakelen.