December 2022 was een roerige maand voor wachtwoordmanagers. Halverwege December ontvingen gebruikers van Norton Lifelock en Lastpass berichten dat hun accounts mogelijk niet langer veilig waren. In beide gevallen had een derde partij toegang verkregen tot informatie in verschillende accounts. Hebben deze ‘hacks’ effect op het gebruik van een wachtwoordmanagers? Is het nog wel veilig om gebruik van een wachtwoordmanager te maken?
Wat is een wachtwoordmanager?
Om de gevolgen van de hack bij Lastpass en Norton Lifelock te begrijpen, is het belangrijk om eerst te weten wat een wachtwoordmanager precies is. Inmiddels is het bekend dat het gebruik van sterke en unieke wachtwoorden belangrijk is om gegevens en accounts te beschermen.
Een wachtwoordmanager is een programma of applicatie dat helpt met het creëren en versleutelen van verschillende wachtwoorden en bijbehorende accounts. Het is eigenlijk de digitale variant van een fysiek wachtwoordenboekje waar je al je wachtwoorden in kan opschrijven. Het verschil is natuurlijk dat een wachtwoordenboekje niet versleuteld is en een wachtwoordmanager wel. Je kan bij een wachtwoordmanager een digitale kluis aanmaken waar één zogenaamd master password of hoofdwachtwoord op zit. Dit is het enige wachtwoord dat je hoeft te onthouden om toegang te krijgen tot alle wachtwoorden in de kluis.
Vaak kan een password manager ook helpen in het bedenken van nieuwe wachtwoorden. Mensen zijn erg slecht in het maken van volledig willekeurige wachtwoorden. Meestal gebruiken mensen woorden, bepaalde cijfercombinaties of wachtwoordzinnen. Dit maakt het kraken van een wachtwoord makkelijker, omdat een computerprogramma rekening kan houden met menselijke patronen, zoals spelling, grammatica en taal. Een volledig willekeurig wachtwoord heeft dit niet en biedt hierdoor meer verschillende combinaties. Een passwordmanager kan hier dus mee helpen en tegelijkertijd deze wachtwoorden versleuteld opslaan, maar wel op een gemakkelijk toegankelijk plek. Zolang je het hoofdwachtwoord niet vergeet.
Versleuteld maar toch gehackt?
In theorie klinkt het gebruik van een passwordmanager veilig en gemakkelijk, maar hoe kan het dan dat Lifelock en Lastpass wel gehackt zijn? Lifelock is het slachtoffer geworden van een zogenaamde credential stuffing aanval. Dit soort aanvallen maakt gebruik van inloggegevens die bij eerdere hacks of datalekken buit zijn gemaakt. Op het internet zijn miljoenen databases te koop met dit soort gegevens. Vaak zitten hier ook combinaties van wachtwoorden en gebruikersnamen in.
Een credential stuffing aanval maakt gebruik van het feit dat veel mensen hun wachtwoorden opnieuw gebruiken. Wanneer een hacker een database koopt en geautomatiseerd laat invoeren bij een doelwit, in dit geval Lifelock, is de kans groot dat iemand zijn of haar wachtwoord dat eerder gelekt is ook voor Lifelock gebruikt. In begin December heeft iemand dit bij Lifelock gedaan en heeft waarschijnlijk in verschillende wachtwoordkluizen kunnen komen. Deze aanvalsvorm komt heel veel voor door het gemak waarmee een aanval kan worden uitgevoerd.
Het opnieuw gebruiken van wachtwoorden is een groot probleem dat hier nogmaals duidelijk wordt. In principe is een passwordmanager veilig, zolang je een uniek en sterk hoofdwachtwoord kiest, het liefst ook nog volledig willekeurig zodat deze nog lastiger is om te kraken. Daarnaast is het van belang om zogenaamde Multi-factor authenticatie in te schakelen. Als de slachtoffers van Lifelock dit hadden gedaan, dan had een credential stuffing attack geen toegang tot hun accounts kunnen verschaffen.
Medewerker Lastpass gehackt gehackt
De hack bij Lastpass is een ander verhaal. Criminelen hebben daar toegang kunnen krijgen tot de versleutelde wachtwoorden en niet versleutelde gegevens uit de digitale kluizen van gebruikers door middel van een gehackt account van een medewerker van Lastpass. Dit betekent dat hackers toegang hebben gehad tot onder andere niet versleutelde URL’s, gebruikersnamen, emailadressen, telefoonnummers en IP adressen die gebruikers in hun kluizen hadden opgeslagen. Waarom deze gegevens niet versleuteld waren is onduidelijk, omdat bij de meeste password managers alle gegevens in de kluis versleuteld zijn. Dat deze gegevens op straat liggen is een probleem, omdat de gebruikers nu een gemakkelijk doelwit zijn voor een phising aanval. Hackers kunnen met deze gegevens een heel gedetailleerde en persoonlijke phisingmail sturen waarin gevraagd wordt voor een wachtwoordherstel of iets dergelijks.
Naast de URL’s en andere gegevens zijn ook versleutelde wachtwoorden buitgemaakt. Met deze combinatie kunnen de hackers zien welke versleutelde wachtwoorden bij welke websites horen en bepalen welke het eerste gekraakt moeten worden. Als zij een URL van een bank zien, dan is het aantrekkelijker om het bijbehorende wachtwoord te kraken dan dat van een nieuwssite of iets soortgelijks. Dit is op zichzelf al zorgelijk, maar als deze wachtwoorden goed versleuteld zouden zijn is de kans klein dat de wachtwoorden ook daadwerkelijk gekraakt worden. Het probleem is alleen dat een deel van deze wachtwoorden versleuteld waren met minimale en verouderde versleuteling, waardoor het heel gemakkelijk is deze wachtwoorden te kraken. Dit ging specifiek om accounts die voor 2018 waren aangemaakt.
Zijn wachtwoordmanagers nog wel veilig?
Zoals eerder genoemd zorgt de willekeurigheid van automatisch gegenereerde wachtwoorden voor lastig te kraken wachtwoorden. Bovendien kan men langere en unieke wachtwoorden gebruiken, omdat ze toch niet uit het hoofd geleerd hoeven te worden. Ook het gebruik van multi-factor authenticatie is aan te raden, in combinatie met een sterk en uniek hoofdwachtwoord. Als deze stappen gevolgd worden, is men beschermd tegen het soort hack dat Lifelock heeft getroffen.
Daarnaast is het belangrijk om goed te kijken wat het bedrijf achter de password manager doet om veiligheid te waarborgen. Zoals bij Lastpass te zien is, kan het voorkomen dat men laks omgaat met versleuteling met dramatische gevolgen. Gelukkig bieden veel passwordmanagers verschillende auditverslagen van derde partijen openbaar aan. Hierin kan men zien hoe het gesteld is met de beveiliging. Al deze maatregelen nemen niet weg dat een passwordmanager ook risico’s met zich mee brengt. Uiteindelijk plaats je alle gegevens op één plek. Wanneer je kluis niet meer toegankelijk is door een storing of iemand verschaft zich toegang tot die kluis, dan heb je een groot probleem. Het gebruik van een passwordmanager blijft dan ook altijd een afweging.
Bronnenlijst:
Bazzell, M. (2022). The Privacy, Security and OSINT Show, Episode 284. Via: https://www.inteltechniques.com/podcast.html
Groenewold, J. (2021). Het belang en creëren van sterke wachtwoorden. Via: https://www.breinstein.nl/de-digitale-wereld/het-belang-en-creeren-van-sterke-wachtwoorden/
Monteiro, A. (2023). Hardening Measures for Multi-Factor Authentications. In Unredacted Magazine Issue 005 P 23-24. Via: https://inteltechniques.com/magazine.html
Stouffer, C. (2022). What is What is 2FA? A simplified guide to two-factor authentication. Via: https://us.norton.com/blog/privacy/what-is-2fa
Twilio (n.d.). What is Two-Factor Authentication? Via: https://authy.com/what-is-2fa/
