Wachtwoordmanager LastPass heeft bekendgemaakt dat hackers persoonsgegevens zoals e-mailadressen, wachtwoord-reminders, server per user salts en authenticatiehashes hebben buitgemaakt.

De beheerders stellen dat de door LastPass gehanteerde encryptie op zijn serverpark voldoende sterk is om de wachtwoordgegevens van vrijwel alle gebruikers voldoende te beschermen tegen bijvoorbeeld brute force-aanvallen. Zo wordt op serverniveau pbkdf2-sha256-encryptie toegepast, bovenop de encryptie van de wachtwoordarchieven aan de gebruikerskant.

Desondanks waarschuwt LastPass dat met name gebruikers die een zwak hoofdwachtwoord gebruiken voor hun wachtwoordarchieven dit wachtwoord zo snel mogelijk dienen te veranderen. Uit voorzorg is er voor alle nieuwe loginpogingen vanaf onbekende ip-adressen of een nieuw apparaat een controle van het account via e-mail noodzakelijk, tenzij tweefactor-authenticatie is ingesteld. Ook het hoofdwachtwoord dient in dat geval vernieuwd te worden. LastPass heeft de extra beveiliging met tweefactor-authenticatie nu tijdelijk gedwongen ingeschakeld om gebruikers te beschermen.

Het is niet de eerste keer dat de gegevens van LastPass worden buitgemaakt. Het bedrijf zegt het incident te betreuren maar belooft zo transparant mogelijk te zijn over de inbraak. Wellicht schrikt het nieuws het gebruik van een wachtwoordmanager af, maar de transparantie is een teken dat het bedrijf zijn securitybeleid, inclusief disclosure op orde heeft. Ook stelt het bedrijf dat het samen met beveiligingsdeskundigen en de autoriteiten de hack verder zal onderzoeken.