Den 22 december publicerade LastPass ett blogginlägg där man berättar att okända hackare kommit åt information från tjänsten. Till skillnad från den senaste incidenten i somras lyckades hackare den här gången däremot faktiskt komma åt känsligt kunddata.
Till att börja med: LastPass bedyrar att de stulna uppgifterna är fortsatt starkt krypterade även i sin stulna form. Enda chansen för angriparen att faktiskt kunna se till exempel användarnamn och lösenord i klartext är att känna till användarens masterlösenord. Detta till följd av att LastPass använder en så kallad ”Zero Knowledge architecture” där man inte på något sätt sparar masterlösenord i tjänsten. Stulna uppgifter kan således inte läsas i klartext utan kunskap om masterlösenordet.
Det som dock fick mig att reagera var att viss information i valven faktiskt sparats okrypterat.
”The threat actor was also able to copy a backup of customer vault data from the encrypted storage container which is stored in a proprietary binary format that contains both unencrypted data, such as website URLs …”
Karim Toubba, CEO LastPass
LastPass, precis som andra liknande, har en policy att vara fullt transparenta med sin arkitektur, och i LastPass tekniska whitepaper står det inte mer än följande i frågan:
”The LastPass password manager employs local-only encryption, also known as ”host-proof hosting”. This type of solution is designed to allow only a LastPass user to decrypt and access their data. We call this ”Local-Only Encryption”, which means that all sensitive vault data is encrypted and decrypted exclusively on the user’s local machine…”
LastPass Technical Whitepaper
Spelar det någon roll i praktiken? Troligen inte i de flesta fall. Men i vissa fall kanske det gör det beroende på vilken information som bäddats in i den okrypterade URL:en. Poängen är att det inte är upp till LastPass att avgöra utan att tydligt beskriva vad som krypteras och vad som inte krypteras.
Så vad är då risken efter stölden?
Låt mig säga så här: Om du valt ett helt slumpmässigt och starkt lösenord är du utifrån den information LastPass lämnat så gått som helt utom fara. Detta eftersom det skulle ta extremt lång tid att forcera ett sådant lösenord. Om du däremot har skyddat ditt valv i LastPass med ett sämre lösenord är risken desto större att angriparen faktiskt lyckas komma åt din information genom att knäcka masterlösenordet.
Läs mer: Jämförelser mellan bra och dåliga lösenord
Och det tråkiga här är att du inte kan göra någonting åt situationen avseende de uppgifter som de facto är stulna. Det är nämligen så att enligt LastPass ”Zero Knowledge architecture” ligger uppgifterna krypterade i dess databas, och krypteringsnyckeln är just ditt masterlösenord – alltså det som du hade i det ögonblick uppgifterna stals. Det spelar ingen roll om du ändrar lösenordet nu i efterhand.
Så vad behöver jag göra?
Om du vet med säkerhet att ditt masterlösenord till Lastpass är starkt och unikt (det vill säga; du använder det ingen annanstans) behöver du här och nu inte göra någonting. På längre sikt är det klokt att gå igenom lösenord i LastPass och byta lösenord där de används och går att använda från Internet.
Om du däremot har haft ett masterlösenord som inte är tillräckligt starkt, eller (gud förbjude) används även i någon annan webbaserad tjänst måste du agera:
- Byt ut ditt masterlösenord till ett starkt sådant, som du inte använder någon annanstans.
- Gå igenom lösenord i LastPass och byt skyndsamt ut dem där de används – byt till exempel ditt Google- och Microsoft-lösenord som de fanns i LastPass.
- Om du haft arbets- eller skolrelaterade kontouppgifter i LastPass så måste du byta lösenord där samt meddela IT- eller Säkerhetsavdelningen om att de kan ha blivit stulna.
- Håll utkik efter sådant som kan te sig märkligt. Får du till exempel notifiering från någon tjänst om att ditt konto använts från en ny enhet är det anledning att spärra kontot.
- Har du haft bankkort eller bankkontouppgifter i LastPass? Ta omgående kontakt med din bank och be dem spärra bankkort. Samma sak om du sparat PIN till ditt Bank-ID där – spärra då omgående ditt Bank-ID och beställ ett nytt genom din bank.
Fortsättningsvis
I största allmänhet (och i synnerhet om dina uppgifter är bland de som stulits) så ska du vara vaksam mot försök till phishing. Lämna aldrig ifrån dig lösenord eller andra känsliga uppgifter. LastPass eller någon annan kommer i ärligt syfte någonsin att fråga efter ditt masterlösenord via till exempel mail. De enda ställen där lösenordet ska användas är för att låsa upp LastPass-app på dator eller mobil enhet.
Och jag är ledsen att säga det, men jag rekommenderar inte längre användande av LastPass. Det är illa nog att information från valv stjäls, men minst lika illa med otydlig och rentav missvisande information om kryptering av data. Jag tror att jag vågar slå ett slag för 1Password eller BitWarden. I båda fallen är man tydlig med vad som krypteras (ja – URL:er är med) och båda har relativt jämförbara planer med LastPass. Dock har 1Password i dagsläget ingen gratisplan, det har däremot BitWarden.
