5 augustus 2016 17:11

Wat als de wachtwoordbeheerder zelf gehackt wordt?

[Blog] De welkomstmail zit nog in mijn mailbox. Sinds 6 juni 2012 maak ik gebruik van een wachtwoordbeheerder. LastPass in mijn geval.

Zelf vond ik het rijkelijk laat dat ik begon met het fatsoenlijk organiseren van mijn wachtwoorden. Bijna wekelijks maak ik een online account aan bij een of andere hippe dienst of tool, vaak voor testdoeleinden. En tot juni 2012 koos ik bijna altijd uit een handvol zelfverzonnen, maar vooral gemakkelijk te onthouden wachtwoorden om al die accounts te beveiligen. Die aanpak was niet meer verantwoord, vond ik zelf.

De installatiedatum van 6 juni komt niet toevallig overeen met een andere gebeurtenis. Dezelfde dag kwamen de inloggegevens van miljoenen accounts van het professionele netwerk LinkedIn op straat te liggen. Of die van mij er ook bij was, wist ik niet zeker, maar ik herinner me wel dat ik het relatief sterke wachtwoord van mijn LinkedIn-account, ook elders had gebruikt. Ik zondigde zo tegen een van dé belangrijkste regels in digitale beveiliging: gebruik hetzelfde wachtwoord niet voor meerdere accounts.

Sindsdien laat ik het genereren van wachtwoorden volledig over aan LastPass. Zo lang en zo complex mogelijk. Ik hoef ze toch niet te onthouden. Zelfs op mijn tablet en smartphone is LastPass geïnstalleerd. Ik vind het zo’n nuttige tool, dat ik elk jaar met de glimlach 12 dollar betaal voor de Premium-editie.

Ik zondigde zo tegen een van dé belangrijkste regels in digitale beveiliging: gebruik hetzelfde wachtwoord niet voor meerdere accounts.

En voor mijn écht belangrijke accounts, activeer ik de tweefactorauthenticatie. Tijdens het inloggen genereer ik dan via een app op mijn smartphone, een bijkomende cijfercode die ik ingeef samen met het wachtwoord (dat automatisch door LastPass wordt ingevuld). Toegegeven, tweefactorauthenticatie vertraagt de boel weleens, maar better safe than sorry, denk ik dan.

Bovendien doe ik regelmatig de LastPass security challenge. Een verdomd handige manier om accounts met zwakke, verouderde, gelekte of dubbele wachtwoorden op te sporen en vaak zelfs met één druk op de knop aan te laten passen. Het was heel wat werk om die meer dan 400 accounts te overlopen, maar ik haal hier nu wel een eindscore van 85 procent. En daar mee behoor ik, aldus LastPass, bij de top vijf procent.

Tot begin deze week dacht ik dat ik daarmee mijn zaakjes wel op orde had als het op beveiliging aankomt.

Toen las ik dat LastPass zélf een beveiligingsprobleem heeft. De schrik sloeg me om het hart. Wat als de wachtwoorden van LastPass-gebruikers effectief op straat komen te liggen? Een worst-case-scenario waar ik eerlijk gezegd geen rekening mee had gehouden.

Een nuchter mens denkt dan: als het echt zo erg is, zullen ze bij LastPass wel de juiste maatregelen nemen, toch? De blogpost die een dag na het uitkomen van het beveiligingsprobleem gepubliceerd werd, gaf me niet echt het vertrouwen dat ik zocht. Samengevat stond er: dank aan de ontdekker van het lek voor het niet openbaar maken ervan, en aan de LastPass-gebruikers, hier is nog wat algemeen securityadvies. Daar moet je het dan mee doen.

Anderzijds: wat mag je voor 12 dollar per jaar verwachten? Een beveiliging op niveau van enterprises en banken wellicht niet. En zelfs dan zijn er geen garanties. Tja, ik vertel graag aan de buitenwereld dat ‘alles te hacken is’ … dus ook een wachtwoordbeheerder zoals LastPass.

Hoog tijd om een plan B beginnen uit te werken. Wie helpt?

Discussie: heb jij de Coronalert al geïnstalleerd op je smartphone?