Update LastPass-inbreuk – 22 augustus – 22 december

Update 26 januari 3:

CyberHoot heeft een nieuw ontwerp opgesteld LastPass-artikel: Laatste druppel voor LastPass apart met criteria voor het kiezen van een vervangende wachtwoordbeheerder.

Update 23 van 2022 december 2:

Naked Security heeft dit artikel Ze geven hun mening over de LastPass-inbreuk en erkennen dat de versleutelde kluizen gestolen zijn. Ze hebben een aantal nuttige opmerkingen en inzichten. Dit zette CyberHoot aan het denken...

We hebben onze creditcardgegevens opgeslagen in LastPass voor het gebruiksgemak bij het invullen van formulieren. Gaan we onze creditcards annuleren en opnieuw uitgeven? Persoonlijk gesproken: ik ga dat niet doen. Mijn hoofdwachtwoord was zo lang en complex dat de kraakpoging die volgens dit... Wachtwoordsterktemeter van de website was: 7 biljoen jaar, oef! Dat is een opluchting.

23 december 2022: Update over de CyberHoot LastPass-inbreuk:

LastPass heeft nieuwe informatie vrijgegeven over hun laatste aankondiging van de inbreuk op 30 november, waarin hun monitoring een nieuwe inbreuk aan het licht bracht (gekoppeld aan de inbreuk in augustus). In deze update van 12 december 22 geven ze toe dat ze ervan overtuigd zijn dat 2022-bits AES-gecodeerde wachtwoordkluizen van klanten van een derde partij zijn gestolen. Dit is de eerste keer dat ze erkennen dat klantgegevens in gevaar waren. Hier is hun kijk op de situatie:

22 december, LastPass-blogupdate:  

Als u de bovenstaande standaardinstellingen gebruikt, zou het miljoenen jaren duren om uw hoofdwachtwoord te raden met behulp van algemeen beschikbare technologie voor het kraken van wachtwoorden. Uw gevoelige kluisgegevens, zoals gebruikersnamen en wachtwoorden, beveiligde notities, bijlagen en formuliervelden, blijven veilig versleuteld dankzij de Zero Knowledge-architectuur van LastPass. Er zijn momenteel geen aanbevolen acties die u hoeft te ondernemen.

Het is echter belangrijk om te weten dat als uw hoofdwachtwoord niet de bovenstaande standaardwaarden gebruikt, dit het aantal pogingen om het correct te raden aanzienlijk vermindert. In dit geval kunt u, als extra veiligheidsmaatregel, overwegen om het risico te minimaliseren door de wachtwoorden van websites die u hebt opgeslagen te wijzigen.

Dus, wat betekent dit voor alle LastPass-gebruikers, of voor bedrijven die LastPass al voor hun gebruikers hebben geïmplementeerd? Het is eigenlijk een hoop werk.

Impactbeoordeling van CyberHoot:

Onze medewerkers weten dat het volgende waar is: in veel van de LastPass-omgevingen die we de afgelopen tien jaar hebben begeleid, hebben we, ondanks onze trainingsvideo's en ons wachtwoordbeleid die minimaal wachtwoorden van 14 tekens vereisen (2 langer dan de standaardinstellingen van LastPass), veel hoofdwachtwoorden gezien die ZWAK. Gezien het gebrek aan goede wachtwoordhygiëne in het algemeen, is CyberHoot op basis van deze nieuwe informatie over het lek bij LastPass genoodzaakt de volgende aanbevelingen te doen aan iedereen die LastPass persoonlijk of zakelijk gebruikt:

1. Informeer uw gebruikers over deze inbreuk en vermeld het volgende: “Controleer vandaag nog de lengte van uw wachtwoord. Als u een hoofdwachtwoord gebruikte dat korter was dan 12 tekens, moet u uw hoofdwachtwoord vandaag nog wijzigen."
2. Als je een hoofdwachtwoord had van 12 tekens of meer, kun je nog steeds het onderstaande advies volgen, maar we denken niet dat dit 100% noodzakelijk is. Je kunt doorgaan naar stap 3.3 hieronder. Als je wachtwoord echter korter was, met name die 8 of 9 tekens of korter, ga dan verder met stap 3.
3. Als u uw hoofdwachtwoord wijzigt vanwege aanbeveling #1 hierboven, doe dan ook het volgende: ELK VAN DE VOLGENDE:
   1. 1. Maak van het nieuwe hoofdwachtwoord een wachtwoordzin van 14 tot 20 tekens! Bekijk dit CyberHoot-wachtwoorden en wachtwoordzinnenvideo voor nuttige tips.
      2. Wijzig de wachtwoorden van AL UW KRITISCHE ACCOUNTS die zijn opgeslagen in uw wachtwoordkluis[Opmerking: ja, we horen het collectieve gekreun over deze suggestie. Doe het toch.] De reden hiervoor is dat als je een kort wachtwoord had dat met brute force-aanvallen gekraakt kon worden, al je wachtwoorden gevaar lopen. Je hebt maar een korte tijd voordat de LastPass-hackers theoretisch je kluis kunnen aanvallen en je account met brute force-aanvallen kunnen kraken. Wijzig daarom, uit voorzorg, al je belangrijke accountwachtwoorden om ze te beschermen tegen hackers.CyberHoot-tip: Wijzig eerst uw e-mailwachtwoord als u het niet hebt gekoppeld aan multi-factor-authenticatie (ook wel MFA genoemd).
      3. Schakel multi-factor-toegang in voor uw LastPass-wachtwoordkluis.  Gebruik een Authenticator-app (dit hoeft niet LastPass Authenticator te zijn). Authenticator-apps zijn veiliger dan Text Messaging MFA.CyberHoot-notitie:Het inschakelen van MFA doet NIETS om de gestolen kluizen bij deze LastPass-inbraak te beschermen. De dieven zullen de wachtwoordkluizen proberen te hacken met behulp van brute kracht, uitsluitend op basis van de sterkte (lengte) van het door u ingestelde hoofdwachtwoord.]
4. Deze stap geldt voor IEDEREEN. Inschakelen Multi-factor authenticatie (MFA), met behulp van een Authenticator-app, of als je echt een hardcore security-expert bent, een Yubikey Hardware token, op al uw online accounts die MFA ondersteunen. Dit voorkomt dat zelfs een gehackte LastPass-kluis leidt tot het hacken van uw MFA-beveiligde accounts. MFA is uw vriend. Het lijkt soms misschien vervelend, maar de waarheid is dat de pijn van een hack veel erger is.  Doe dit vandaag.

CyberHoot LastPass-levensvatbaarheid:  Q: Denkt CyberHoot dat LastPass een haalbare oplossing is, gezien deze inbreuk en de vorige inbreuken waarmee ze te maken hebben gehad?

Antwoord: Die vraag kunnen we niet voor u beantwoorden. Voor Cyberhoot blijven we LastPass gebruiken, omdat we er op dit moment volledig achter staan. Onze hoofdwachtwoorden zijn VEEL LANGER dan 12 tekens, waardoor de hackers in kwestie waarschijnlijk niets zullen opsteken van onze kluisdiefstal. Bovendien, hoe pijnlijk deze episode ook was voor LastPass, het toont hun toewijding aan transparantie en veiligheid.  Het zou voor hen veel gemakkelijker zijn geweest om dit incident te verbergen door het onder het tapijt te vegen.  Dat deden ze niet. We willen een bedrijf dat transparant is. Fouten toegeeft wanneer ze zich voordoen. Geavanceerde monitoring heeft om beveiligingsincidenten op te sporen (zoals in dit geval). En er eerlijk en open over rapporteert. We sluiten af met een uitspraak waar de FBI al lang om citeert, omdat die van toepassing is op ALLE bedrijven en ALLE leveranciers van wachtwoordbeheersoftware.

"Er zijn twee soorten bedrijven in deze wereld: bedrijven die weten dat ze gehackt zijn, en bedrijven die dat niet weten.

We weten wanneer en hoe LastPass hier is gehackt. Weten we iets over andere leveranciers van wachtwoordmanagers die gehackt zijn?

Volledige transparantie:  CyberHoot heeft geen cent verdiend aan LastPass, in welke vorm dan ook, via referral-programma's of anderszins. We hebben waarschijnlijk duizenden dollars aan referral-inkomsten laten liggen omdat we afstand wilden houden van onze rapportages.

Bronnen:

Naked Security, artikel van 23 december over de LastPass-inbreuk

LastPass-blog waarin de inbreuk en hun reactie worden beschreven

Beveilig uw bedrijf vandaag nog met CyberHoot!!!

Meld u aan