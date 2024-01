Wachtwoordmanager LastPass verplicht dat alle gebruikers voortaan een master password van minimaal twaalf karakters gebruiken. Gebruikers die nog niet aan de vereiste voldoen moeten hun wachtwoord aanpassen. LastPass adviseert sinds 2018 het gebruik van minimaal twaalf karakters voor het master password, maar dit was niet verplicht. Gebruikers konden daardoor ook een veel korter wachtwoord kiezen.

De nieuwe verplichting vereist dat gebruikers eerst inloggen op hun LastPass-account. Vervolgens moeten ze aangeven of ze een wachtwoord van minimaal twaalf karakters gebruiken. Is dit niet het geval, dan moet er een nieuw master password worden ingesteld. Volgens LastPass moet dit de wachtwoordkluizen van gebruikers beter beschermen. Verder gaat LastPass volgende maand controleren of nieuwe of aangepaste master password in bekende datalekken voorkomen. In het geval dit zo is krijgen gebruikers een melding om een nieuw wachtwoord te kiezen.

Eind 2022 wisten aanvallers op systemen van LastPass in te breken en gingen er vervolgens met de kluisdata van klanten vandoor. LastPass biedt een wachtwoordmanager die in de cloud draait. De aanval was mogelijk doordat een DevOps-engineer van LastPass op zijn thuiscomputer een oude versie van Plex draaide waarin een drie jaar oude kwetsbaarheid zat. Volgens onderzoekers wisten de aanvallers toegang tot de inhoud van de gestolen kluisdata te krijgen en konden zo miljoenen dollars aan cryptovaluta stelen.

Daarnaast kwam LastPass ook onder vuur te liggen. Zo hekelde beveiligingsonderzoeker en Adblock Plus-ontwikkelaar Wladimir Palant de manier waarop LastPass met het datalek is omgegaan. Zo duurde het maanden om gebruikers te waarschuwen, zijn er geen zinvolle oplossingen gegeven, is de ernst van de aanval gebagatelliseerd, zijn technische problemen die al jaren geleden bekend werden genegeerd en is zo het werk van de aanvallers een stuk eenvoudiger gemaakt, aldus de onderzoeker.