Password mismanagement
Door Lex Borger 13 apr 2023
LastPass is gehackt vorig jaar. Moet je je zorgen maken over jouw wachtwoordkluis in LastPass? Ik ben een grote fan van password managers. Handige programma’s die wachtwoorden voor je genereren, onthouden en invullen. Onontbeerlijk voor je eigen wachtwoorden, maar ook voor die onvermijdelijke momenten dat je wachtwoorden moet delen met collega’s.
Na de LinkedIn hack van 2012 moest ik bijna al mijn wachtwoorden veranderen - daarvoor onthield ik mijn wachtwoorden en had ik veel hergebruik. Dat is niet goed en na zo’n hack voel je ineens waarom dat zo is. Je beseft dan dat niet alleen je LinkedIn wachtwoord op straat ligt, maar ook het(zelfde) wachtwoord voor zo’n twintig andere sites. Inmiddels is mijn collectie wachtwoorden gegroeid tot boven de tweehonderd en ik kan melden dat ze allemaal verschillen en random gekozen zijn.
Een password manager is tegenwoordig ook geschikt voor het beheer van je andere digitale geheimen. Naast wachtwoordbeheer helpt het je om OTP-waarden te genereren, gevoelige informatie en geheime sleutels te bewaren. Denk hierbij aan uiteenlopende soorten registratiegegevens, geheime vragen voor wachtwoordherstel en privésleutels van cryptowallets. Wanneer je een password manager in volle glorie gebruikt, zit je ziel en zaligheid erin, jouw kroonjuwelen.
In de basis is een password manager niet meer dan een digitale kluis met wat gebruikslogica er omheen. Er zitten wachtwoorden in, maar ook metadata bij die wachtwoorden zoals de gebruikersnaam en de URL van het domein waarvoor het wachtwoord gebruikt wordt. Deze metadata is op zich niet geheim, maar collectief vormen ze wel de inhoudsopgave van de kluis, iets waar cyberaanvallers op zich al veel aan hebben.
De metadata kan worden gebruikt om een profiel van jou op te stellen. Dat zou al genoeg kunnen zijn om een lijst van jouw aliassen op te stellen. In grotere collecties van gegevens kun je alle gebruikers vinden die een account hebben bij een gevoelige website, vraag dat maar aan de gebruikers van Ashley Madison (gehackt 2015).
Hoe privé is de digitale kluis? Denk aan de softwareontwikkeling, in het speciaal de encryptie (algoritmen, implementatie, sleutelbeheer). Het gebruik: hebben admins ook toegang? Kunnen ze dat forceren door hun hoge rechten? En dan bieden de leveranciers van password managers nog allerlei extra diensten (wachtwoorden op sterkte/ voorkomen in dumps controleren, je waarschuwen voor gehackte sites). Dit maakt jouw beleving in het geheel veiliger, maar doet niets voor de digitale kluis.
Wat wel effect heeft op de kluis is opslaglocatie - lokaal of in de cloud. De beschikbaarheid van de cloud geldt ook voor een aanvaller. Versleuteling is dan je enige beveiligingsschil, dus cruciaal dat die goed werkt, zelfs als je zelf een te eenvoudig wachtwoord hebt. De grootste dreigingen zijn verlies van toegang tot of diefstal van de inhoud van je kluis.
En die dreiging van diefstal is nu net waar door de LastPass hack van augustus vorig jaar bij veel gebruikers een verhoogde kans op is. En dat komt omdat LastPass zijn zaakjes niet goed voor elkaar had. De lengte van het kluiswachtwoord en de sterkte van de kluisversleuteling zijn mogelijk onder de maat omdat LastPass de versterkingen van beide aspecten over tijd niet goed heeft doorgevoerd. Vele gebruikers zitten nu met de gebakken peren. Hun geheimen liggen potentieel op straat, ontsleuteld, voordat zij de gelegenheid hebben gehad om alternatieve maatregelen te nemen.
Wat kun je doen? Met LastPass niets meer. Maar wellicht een goed moment om eens stil te staan bij alle geheimen in je kluis en je af te vragen of je die wel echt nodig hebt in je kluis, of dat je ze wellicht op een andere manier gaat veiligstellen.
Lex Borger
security consultant bij Tesorion en oud-hoofdredacteur van iB-Magazine.
Lex is bereikbaar via lex.borger@tesorion.nl
Deze column verscheen in IB2-2023.