LastPass is begonnen met het afdwingen van een hoofdwachtwoord van minimaal 12 tekens. Het bedrijf voert ook aanvullende maatregelen uit om zijn beveiliging tegen opkomende bedreigingen te versterken. Voorheen konden gebruikers een zwakker wachtwoord kiezen, ondanks de aanbeveling voor een langer wachtwoord. Het nieuwe beleid zal hopelijk een einde maken aan de problemen op het gebied van de beveiliging waarmee de wachtwoordbeheerder in 2022 te maken kreeg. Tot overmaat van ramp beweerden cyberbeveiligingsexperts dat de tekortkomingen in de beveiliging tot een golf van cryptodiefstallen hadden geleid.
LastPass vereist nu een verplicht hoofdwachtwoord van 12 tekens
LastPass onthulde in een blogpost dat sinds april 2023 alle nieuwe gebruikers en bestaande gebruikers die stappen ondernamen om hun hoofdwachtwoord opnieuw in te stellen, de limiet van 12 tekens moesten volgen. Deze wijziging had echter geen gevolgen voor oudere klanten die een korter en zwakker hoofdwachtwoord bleven gebruiken. Voor niet-ingewijden: het hoofdwachtwoord is het wachtwoord dat het LastPass-account beveiligt. Alle opgeslagen inloggegevens worden waarschijnlijk zichtbaar als het account wordt gehackt. Toch beweerde het bedrijf dat zolang klanten ‘best practices’ volgden, ongeacht de wachtwoordsterkte, hun gegevens veilig zouden blijven.
Nu moeten alle hoofdwachtwoorden op LastPass 12 tekens of meer bevatten, wat de standaardinstelling blijft. Het hoofdwachtwoord moet hoofdletters, kleine letters, numerieke en speciale tekens bevatten, zoals tegenwoordig meestal vereist is voor wachtwoorden.
Er wordt nu een nieuwe hoofdwachtwoordvereiste uitgerold
LastPass zegt dat het nieuwe hoofdwachtwoordbeleid gefaseerd wordt uitgerold. Gratis-, Premium- en Family-accounts worden vanaf 8 januari als eerste via e-mail op de hoogte gebracht. Business- en Teams-klanten moeten hieraan eind januari 2024 voldoen. Gebruikers met een login van 12 tekens hoeven geen wijzigingen aan te brengen en zijn goed gaan. Alle anderen zullen een langer hoofdwachtwoord moeten aanmaken. Gebruikersaccounts die niet aan het nieuwe beleid voldoen, worden uitgelogd en gevraagd een nieuw wachtwoord in te stellen.
LastPass zal ook wachtwoorden op Dark Web controleren
Naast het bijgewerkte langere wachtwoord zal LastPass vanaf volgende maand nieuwe hoofdwachtwoorden gaan controleren of opnieuw instellen aan de hand van een database met bekende geschonden inloggegevens op het dark web. Als de gekozen inloggegevens al openbaar zijn gemaakt, geeft de wachtwoordbeheerder een pop-up met een beveiligingswaarschuwing waarin de gebruiker wordt gewaarschuwd een andere code te selecteren.
