In korte tijd zijn er twee beveiligingslekken ontdekt in de wachtwoordmanager LastPass. En da’s wel een probleem, want juist een dienst als LastPass draait om veiligheid. Je slaat er je wachtwoorden in op, zodat je voor iedereen site of dienst een uniek wachtwoord kunt gebruiken en deze niet allemaal hoeft te onthouden. Daarbij moet je er op kunnen vertrouwen dat de wachtwoordmanager echt veilig is en je wachtwoorden niet kunnen worden gestolen.
Vorige week werd een lek ontdekt in de software en dit weekend weer een nieuwe. Het gaat in beide gevallen om een beveiligingsprobleem met de browserextensie. Deze moet het gebruik van LastPass makkelijker maken, omdat de software wachtwoorden automatisch kan invullen in je browser. Hiervoor maakt de extensie lokaal verbinding met de app en haalt hij data uit de app op.
Advies van LastPass
LastPass raadt nu aan de browserextensie voorlopig niet meer te gebruiken tot de problemen zijn verholpen. Als je de extensie niet gebruikt, maar gewoon vanuit de LastPass Vault (je persoonlijke kluis met wachtwoorden) werkt, dan is er niets aan de hand. Het is aan te raden om de optie ‘Autofill’ uit te schakelen door ‘Automatically fill log-in information’ uit te zetten bij de instellingen.
Ook adviseert het bedrijf om tweestapsverificatie aan te zetten bij iedere dienst die dat ondersteunt. Hierdoor kunnen criminelen nog steeds geen toegang krijgen tot je account op het moment dat ze je wachtwoord weten te stelen.
De recente lekken werden trouwens ontdekt door Tavis Ormandy, een beveiligingsonderzoeker van Google. Hij heeft LastPass gewaarschuwd en de maker van de software reageert gelukkig snel op deze meldingen. Dat geeft dan wel weer een veilig gevoel.