Wie al eens een workshop volgde bij mij, weet dat ik grote fan ben van wachtwoordkluizen om je wachtwoorden veilig in te bewaren. Veel mensen gebruiken immers helaas nog altijd eenvoudig te raden wachtwoorden en gebruiken vaak ook gewoon voor alles hetzelfde wachtwoord. Of misschien noteer je je wachtwoorden wel in boekjes of op papiertjes die je in je agenda of portefeuille bewaart?
Met een wachtwoordkluis kun je gemakkelijk voor al je accounts superveilige wachtwoorden van 20 of meer tekens aanmaken en die dan versleuteld en beveiligd in de cloud opbergen. Het enige wachtwoord dat je dan ooit nog moet ingeven is het wachtwoord van je wachtwoordkluis. Heb je toch eens een wachtwoord nodig? Dan log je in in je wachtwoordkluis en zoek je de info gewoon op.
Mijn favoriet was de app LastPass. Ik raadde die de voorbije jaren aan honderden mensen aan. Waarom? Omdat het een vrij gebruiksvriendelijke apps is, ook in het Nederlands beschikbaar is. En een gratis versie heeft.
Ik was grote fan. Met de nadruk op ‘was’.
Want in december 2022 kreeg ik van Lastpass een e-mail dat er ingebroken was op hun servers. Gehackt. In augustus 2022 al. Maar we moesten ons geen zorgen maken, want er waren geen wachtwoorden van gebruikers gelekt. Zo klonk het duidelijk in het statement in die e-mail.
Intussen zijn we anderhalve maand verder en blijkt er toch heel wat meer aan de hand. De hackers zouden toch wachtwoorden van gebruikers te pakken gekregen hebben, al is niet duidelijk hoeveel.
Voor zover we weten, zijn die gestolen wachtwoorden nog altijd versleuteld en enkel te consulteren met het masterwachtwoord van LastPass. En aan die masterwachtwoorden konden de hackers in principe niet aan. Maar als een hacker je masterwachtwoord achterhaalt, kan die dus wel degelijk aan al je wachtwoorden.
Van Lastpass kregen we geen nieuwe info meer over wat er nu echt gebeurd is en wat we als gebruikers best doen.
En dat stoort me nog het meest: de onduidelijke communicatie van LastPass. Ik trok de voorbije weken zelf op onderzoek en mijn advies is intussen duidelijk: sorry LastPass, maar het is mooi geweest. Tijd om andere oorden op te zoeken voor mijn wachtwoorden.
Wat moet je nu doen?
- De meest veilige oplossing voor LastPass-gebruikers is ook de meest drastische: al je wachtwoorden veranderen van alle sites die je bijhield in LastPass.
- Is dat onbegonnen werk? Verander dan zeker je hoofdwachtwoord van LastPass. En liefst ook de wachtwoorden van je Google Account of Apple ID en je e-mailadressen. Dat doe je trouwens sowieso best geregeld eens.
- Wil je liever overschakelen naar een andere wachtwoordkluis? Check dan zeker hoe je je wachtwoorden kunt exporteren en importeren. Hoe je dat doet? Check dit stappenplan van Androidworld.nl.
Alternatieven voor Lastpass
Zelf raad ik tegenwoordig de wachtwoordkluis Dashlane aan. Mooie, cleane lay-out, handig in gebruik. In de gratis versie kun je het – net als LastPass – wel maar op 1 toestel gebruiken. En de app bestaat ook in het Nederlands.
Ook Bitwarden biedt een gratis versie aan, in het Nederlands en zelfs voor meerdere toestellen.
Voor de rest heb je ook betalende alternatieven als 1Password, KeePass, Keeper, NordPass …
Al ben je helaas nooit 100% zeker dat het alternatief niet ook ooit gehackt wordt.
Zet tweestapsverificatie aan waar je kan
Los van het lek bij LastPass hoor je de laatste maanden wel vaker dat mensen hun Facebook of Instagram gehackt werd. In bijna alle gevallen ging het om accounts die enkel beveiligd waren met een wachtwoord.
Wachtwoorden geven helaas een vals gevoel van veiligheid. Zelfs het ingewikkeldste wachtwoord is waardeloos als iemand het notitieboekje of document vindt waarin je dat wachtwoord noteerde.
Daarom bieden steeds meer websites en apps aan om je account extra te beveiligen met ‘Tweestapsverificatie’ (Kortweg ‘2FA’). In dat geval krijg je nog een sms als je wil inloggen, om zo te bewijzen dat jij het wel degelijk bent. Je kunt er ook voor kiezen om een authenticator-app te gebruiken en je identiteit te bevestigen in een app in plaats van sms. Een beetje zoals bij Itsme dus. Authy is op dat vlak een aanrader.
Zelfs als een hacker je wachtwoord heeft, geraakt die nog altijd niet in je account, omdat hij de code in de sms of authenticator-app niet kan bevestigen.
Foto: Shutterstock