Wachtwoordmanagers zoals LastPass zijn maanden kwetsbaar geweest voor het lekken van wachtwoorden, blijkt uit van de Universiteit van Berkely. Kwaadwillenden konden via onder andere de Favorieten-balk wachtwoorden stelen die in de programma's werden gebruikt.
Het gaat om de wachtwoordmanagers LastPas, RoboForm, My1login, PasswordBox en NeedMyPassword. Het hele onderzoek is hier te lezen.
Jaar oud
Het lek werd door de universiteit in de zomer vorig jaar al ontdekt, maar de onderzoekers hielden het stil tot nu. Ze gingen daarvoor eerst naar de makers van de wachtwoordmanagers toe om hen de kans te geven de lekken te dichten. Eén van de bedrijven (NeedMyPassword) heeft daar nooit iets mee gedaan. De anderen, waaronder LastPass, hebben snel gereageerd en de kwetsbaarheden gerepareerd.
Misbruik?
Het is niet bekend of kwaadwillenden ook werkelijk misbruik hebben gemaakt van het lek, dat tot het onderzoek niet algemeen bekend was. Uiteraard geldt hier ook het normale advies: verander je wachtwoorden zo snel mogelijk als je één van deze diensten vóór de zomer van 2013 hebt gebruikt. Inderdaad, een hoop vervelend werk, maar let op voor je eigen digitale veiligheid.
Bookmark
De kwetsbaarheden werden vooral ontdekt in de bookmarklets van de diensten, die javascript in de browser uitvoeren. Ook op de website zelf is onder andere LastPass niet veilig.
Niet feilloos
Het lek geeft maar weer eens aan dat ook het gebruik van wachtwoordmanagers niet feilloos is. Juist door al je wachtwoorden op één plek op te slaan, worden ze een gewild doelwit voor hackers. Ook is één kwetsbaarheid genoeg om al je wachtwoorden kwijt te raken.
> Als je nog wat tips nodig hebt voor het bedenken van een sterk wachtwoord, volg dan deze handige how-to.