Bijna een jaar geleden werd bekend dat criminelen de wachtwoordkluizen van LastPass-gebruikers hadden gestolen, maar de wachtwoordmanager heeft gebruikers nog altijd onvoldoende over het datalek ingelicht en maatregelen genomen om de instellingen van bestaande gebruikers veiliger te maken, zo vinden onderzoekers.

LastPass biedt een wachtwoordmanager die in de cloud draait. Gebruikersnamen en wachtwoorden worden versleuteld in de kluis opgeslagen, andere zaken niet, zoals websites en metadata. Bij de kluisdiefstal vorig jaar kregen de aanvallers zo ook allerlei plaintext data in handen, aldus onderzoeker en Adblock Plus-ontwikkelaar Wladimir Palant.

Palant hekelt de manier waarop LastPass met het datalek is omgegaan. Zo duurde het maanden om gebruikers te waarschuwen, zijn er geen zinvolle oplossingen gegeven, is de ernst van de aanval gebagatelliseerd, zijn technische problemen die al jaren geleden bekend werden genegeerd en is zo het werk van de aanvallers een stuk eenvoudiger gemaakt. Zo stelden experts eerder deze maand dat de aanvallers erin zijn geslaagd om de gestolen wachtwoordkluizen van LastPass-gebruikers te kraken en zo voor miljoenen aan crypto te stelen.

Een belangrijke waarde om LastPass-kluizen te beschermen is de 'iteration count'. Hoe hoger deze waarde, des te lastiger het is om via een bruteforce-aanval toegang tot de kluisdata te krijgen. Tegenwoordig hanteert LastPass een iteration count van 600.000. Voor de datadiefstal was het 100.100, wat het kraken van het master password zes keer sneller maakt. Voor 2018 stond het op 5.000 iteraties en voor 2013 was het 500. De standaardwaarde voor 2012 was één.

Bij al bestaande accounts met de standaardinstellingen lijkt het erop dat de waardes niet door LastPass automatisch zijn aangepast, merkt Palant op. In een verklaring tegenover it-journalist Brian Krebs stelt LastPass dat het 'een klein percentage' van de gebruikers niet automatisch naar de nieuwe instellingen heeft kunnen upgraden vanwege 'coruppted items' in hun wachtwoordkluis.

"Ik kan echt niet verklaren waarom LastPass de beveiligingsinstellingen van bestaande accounts niet wil aanpassen. Toen ik ze erover aansprak heb ze keihard tegen me gelogen", aldus Palant. Wat betreft het niet versleutelen van alle data, denkt de onderzoeker dat LastPass zichtbaarheid in de data van gebruikers wil. Sinds kort verplicht LastPass een master password van minimaal twaalf karakters, maar critici stellen dat het niets meer is dan een pr-stunt, en niets doet voor vroege gebruikers waarvan de wachtwoordkluis vorig jaar is gestolen.

Palant krijgt in zijn kritiek bijval van Nicholas Weaver, onderzoeker aan het International Computer Science Institute van de University of California. "En nu leggen ze de schuld bij gebruikers dat die een langere passphrase hadden moeten gebruiken, in plaats van dat ze zwakke standaardinstellingen hebben die nooit voor bestaande gebruikers zijn aangepast", aldus Weaver. "LastPass staat voor mij net boven snake oil. Ik vond altijd dat je elke wachtwoordmanager kon gebruiken, maar dat is nu elke wachtwoordmanager behalve LastPass".