Vlak voor de kerst maakt LastPass bekend dat bij de eerder gemelde digitale inbraak meer data is buitgemaakt dan was aangegeven. Gebruikers van deze wachtwoordmanager doen er goed aan het nodige aan te passen.
Over het nut van wachtwoordmanagers is weinig discussie nodig. Ze zijn handig en in de meeste gevallen is het een substantiële upgrade van de security. Als het masterwachtwoord moeilijk is en de log in waar mogelijk met MFA worden gecombineerd heeft de doorsnee gebruiker echt bijna alles gedaan dat van het verwacht kan worden.
Het verhaal wordt natuurlijk anders als de wachtwoordmanager zelf in technisch opzicht een zooitje is. Roepen dat dit altijd het geval is bij iets dat “in de cloud” staat is iets te makkelijk. In het verleden is de dienst van Kaspersky negatief opgevallen omdat het wachtwoorden volgens een te simpele methode genereerde. Bij LastPass (dat, o ironie, trots meldt ISO27001 gecertificeerd te zijn) zijn de wachtwoorden goed, maar een deel van de invulvelden lijkt niet te zijn versleuteld. In die velden kan genoeg informatie staan die voor cybercriminelen van grote waarde is. En zo is er nog wel meer aan de hand.
Gevaarlijke kerst
Wat deze affaire vooral kenmerkt is de communicatie van LastPass. Alles wijst erop dat men het slechte nieuws doseert. Het kraak is in augustus bekend gemaakt en pas nu voor de kerst komt de aap uit de mouw.
Dat is geen toeval. Al eerder is aangetoond dat bedrijven slecht nieuws vooral vlak voor een lang weekend, zoals de kerst, bekend maken. Op die manier hopen ze minder in de pers te komen. Helaas voor dit soort bedrijven gaat social media 24/7/365 door. En dat is maar goed ook. Dankzij die platformen hebben duizenden gebruikers van deze dienst de nodige stappen kunnen nemen. Op die manier hebben zij een gevaarlijke situatie die perfect tijdens de kerst kan worden misbruikt aangepakt. Bijvoorbeeld door het wijzigen van het masterwachtwoord, de onderliggende wachtwoorden of het overstappen naar een betere wachtwoordmanager.