LastPass laat gebruikers via authenticatie-app inloggen zonder wachtwoord

LastPass-gebruikers kunnen hun wachtwoordkluis voortaan openen met de bijbehorende mobiele app in plaats van hun wachtwoord. Het masterwachtwoord blijft wel bestaan, al wil LastPass die op termijn uitfaseren.

Gebruikers kunnen in de toekomst de mobiele app gebruiken om hun kluis te ontgrendelen als ze in hun browser van LastPass gebruikmaken. Het gaat om de LastPass Authenticator-app en niet de LastPass-app zelf. Authenticator is een losstaande app om totp-tweetrapsverificatiecodes te genereren. Normaal gesproken moeten gebruikers van LastPass bij het opnieuw starten van de browser of in ieder geval periodiek hun masterwachtwoord invoeren ter verificatie. Ook moeten ze dat wachtwoord invoeren als ze een wijziging willen aanbrengen aan een account.

De nieuwe feature maakt dat overbodig; gebruikers kunnen dan inloggen en akkoord geven via de Authenticator-app. Die kan worden beveiligd met een vingerafdruk of een gezichtsscan, naast een pincode. Voor desktopgebruikers is er momenteel geen optie om biometrische inlogmethodes zoals Windows Hello te gebruiken om hun kluis te ontgrendelen.

LastPass zegt dat het masterwachtwoord voorlopig wel blijft bestaan. Op termijn wil het bedrijf dat uitfaseren en vervangen door alternatieve inlogmethodes die zijn gebaseerd op de FIDO2-standaard voor wachtwoordloos inloggen. Dat kan naast een authenticatie-app bijvoorbeeld ook met fysieke beveiligingssleutels. De nieuwe authenticatiemethode geldt voor zowel betalende als gratis gebruikers. Vorig jaar beperkte LastPass zijn gratis abonnementen door de dienst alleen nog beschikbaar te maken op één soort apparaat. Dat is hierop niet van toepassing, omdat gebruikers niet de mobiele app, maar de gratis Authenticator nodig hebben.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 07-06-2022 10:27 24

07-06-2022 • 10:27

24

Lees meer

Vergeet je wachtwoord

17 jun 2022

Vergeet je wachtwoord

Techbedrijven kiezen andere inlogmethode

80
Wachtwoordmanagers in je browser

13 aug 2021

Wachtwoordmanagers in je browser

Hoe handig en veilig zijn ze?

144
Vijf wachtwoordmanagers onder de loep

21 jun 2021

Vijf wachtwoordmanagers onder de loep

Waarin verschillen ze?

379
Wachtwoordmanagers met waarschuwingen

16 feb 2021

Wachtwoordmanagers met waarschuwingen

Browsers waarschuwen voor uitgelekte data

142
Beveiligingssleutels onder de loep

27 jun 2020

Beveiligingssleutels onder de loep

Wat kun je met deze fysieke securitykeys?

228
De toekomst van het wachtwoord

21 okt 2019

De toekomst van het wachtwoord

Er moet iets veranderen aan authenticatie

259
Gebruikers van Raivo-2fa-app zijn tokens kwijt na recente iOS-update
Gebruikers van Raivo-2fa-app zijn tokens kwijt na recente iOS-update Nieuws van 31 mei 2024
LastPass-hack gebruikte Plex-kwetsbaarheid die drie jaar geleden al was gedicht
LastPass-hack gebruikte Plex-kwetsbaarheid die drie jaar geleden al was gedicht Nieuws van 4 maart 2023
LastPass-hack vond plaats door hooggeplaatste werknemer te hacken
LastPass-hack vond plaats door hooggeplaatste werknemer te hacken Nieuws van 28 februari 2023
LastPass-eigenaar GoTo meldt hack van versleutelde back-ups van andere diensten
LastPass-eigenaar GoTo meldt hack van versleutelde back-ups van andere diensten Nieuws van 25 januari 2023
LastPass: hackers hebben versleutelde wachtwoorden van klanten gestolen
LastPass: hackers hebben versleutelde wachtwoorden van klanten gestolen Nieuws van 23 december 2022
Microsoft breidt mfa-app Authenticator uit met number matching en meer context
Microsoft breidt mfa-app Authenticator uit met number matching en meer context Nieuws van 26 oktober 2022
Google voegt ondersteuning passkeys toe aan bètaversie Play Services en Chrome
Google voegt ondersteuning passkeys toe aan bètaversie Play Services en Chrome Nieuws van 12 oktober 2022
Meer producten en artikelen
Beveiliging en antivirus FIDO Wachtwoord

Reacties (24)

-Moderatie-faq
24
24
22
1
0
2
Wijzig sortering

Sorteer op:

Weergave:
Bor Coördinator Frontpage Admins / FP Powermod
7 juni 2022 10:51
Die kan worden beveiligd met een vingerafdruk of een gezichtsscan, naast een pincode.
Heb je als gebruiker altijd de fallback naar de pincode wanneer de biometrische herkenning niet werkt? Dan is de veiligheid beperkt tot de veiligheid van de pincode + het hebben van het device waarop de authenticator gekoppeld is. Een pincode is in veel gevallen echter onveiliger dan een sterk wachtwoord gezien mensen veelal makkelijk te onthouden getallen kiezen.

[Reactie gewijzigd door Bor op 23 juli 2024 16:58]

WoutervOorschot @Bor7 juni 2022 15:34
Maar je pincode werkt alleen op dat apparaat en kan je dus niet als hacker gebruiken, tenzij het apparaat gestolen wordt (en je het weet te bruteforcen).

Je ontneemt dus de volledige attack vector van remote iets kraken, wat op dit moment bijna alle attacks zijn (op hele sophisticated dingen na bij belangrijke mensen).

Toch een behoorlijke stap als het ook goed werkt voor gebruikers.
Bor Coördinator Frontpage Admins / FP Powermod
@WoutervOorschot7 juni 2022 18:20
Maar je pincode werkt alleen op dat apparaat en kan je dus niet als hacker gebruiken, tenzij het apparaat gestolen wordt (en je het weet te bruteforcen).
Dat is precies wat ik aangaf:
Dan is de veiligheid beperkt tot de veiligheid van de pincode + het hebben van het device waarop de authenticator gekoppeld is.
Echt lang bruteforcen is niet altijd nodig; phishen is veel sneller of je probeert codes als geboortedata, 1234 etc.
WoutervOorschot @Bor7 juni 2022 19:53
Dat is waar, maar ik bedoelde te zeggen dat die combinatie sterker is (in veel gevallen) dan een (sterk) wachtwoord.
Oon 7 juni 2022 10:30
Het masterwachtwoord blijft wel bestaan, al wil LastPass die op termijn uitfaseren.
Het hele idee van LastPass was dat je masterwachtwoord ook de bron voor de versleuteling is, en dus nooit iemand je wachtwoorden zou kunnen lezen zonder dit wachtwoord. Hoe gaan ze dit vervangen? Komt er een key voor in de plaats? Kunnen we daar een back-up van maken?

Verder lijkt het me prima als het een beetje werkt zoals Microsoft's Authenticator, waar je een melding krijgt en vanuit daar meteen klaar bent, maar wel jammer dat er dus weer een losse app voor moet komen
DikkieDick @Oon7 juni 2022 10:35
De losse app heb ik al. Ook via inloggen met hoofdwachtwoord heb ik 2FA aan en daarvoor gebruik ik dan de LastPass authenticatorapp. Deze laatste gebruik ik ook voor andere sites waar ik 2FA heb geactiveerd.
Nadeel is wel dat ik nu 3 authenticatorapps heb (Google, Microsoft en LastPass). Na check: in Google Authenticator geen accounts ingesteld dus dat scheelt. Microsoft uiteraard voor de Microsoftspulleboel, maar daar zitten ook at andere in en LastPass Authenticator wordt een beetje mijn default voor alle sites waar ik nu (of beter vanaf een tjidje geleden) 2FA instel.

Wat wel jammer is dat het niet altijd goed werkt als je zegt van 'vertrouw dit apparaat voor een x aantal dagen'. Als ik dat vinkje aanzet wordt het niet altijd gerespecteerd.
Patriot @DikkieDick7 juni 2022 10:39
Voor de duidelijkheid, je kunt ook 'gewone' 2FA gebruiken bij Microsoft-accounts. Dat is iets minder makkelijk dan de pop-up die de Microsoft Authenticator-app geeft, maar het is wel mogelijk. De vraag is of je liever een code invoert dan een extra appje op je telefoon hebt, maar dat is jouw keuze.
lilmonkey @Patriot7 juni 2022 10:48
Veel corporate omgevingen vereisen het gebruik van de MS authenticator, daar kun je voor zover ik weet niet omheen. Persoonlijk wel ja.
DikkieDick @Patriot7 juni 2022 10:53
ik heb geen problemen met de extra app. En die 2FA voor Microsoft is in 99% gevallen voor mijn werkaccount.
LanDi85 @DikkieDick8 juni 2022 12:28
Wat gebeurd er als je telefoon defect raakt, of gestolen wordt? Kan je dan nog je Lastpass of andere belangrijke accounts in?
DikkieDick @LanDi858 juni 2022 22:24
Ook op Ipad. Maar idd goed idee om op meerdere plekken in ieder geval de boel te hebben.
MiesvanderLippe @Oon7 juni 2022 10:44
Het artikel kan misschien nog wel wat uitleg gebruiken over hoe FIDO werkt. Dit is juist een heel sterke bron van versleuteling.
Kenhas @MiesvanderLippe7 juni 2022 16:38
Onder het artikel staat een link naar het artikel "Vijf wachtwoordmanagers onder de loep" met alle uitleg die je maar wil. Dat is nu net het nut van gerelateerde artikels
Zebby @Oon7 juni 2022 10:48
Je kan op verschillende wijzen een database versleutelen, dat hoeft niet per se met een wachtwoord te zijn. Waarschijnlijk wordt er nu een token gegenereerd op basis van je app authenticatie. Niet het meest spannende stuk.
CyBeR @Oon7 juni 2022 13:32
het wachtwoord zelf is geen bron van versleuteling maar met het wachtwoord wordt een sleutel versleuteld. Dat kan prima ook met iets anders, tegelijk met het wachtwoord.
buzzin 7 juni 2022 13:30
Yay, nog meer apps! :|
Als alles afhankelijk word van je telefoon, inclusief je password manager....heb je wel een probleem als je dat ding een keertje kwijt raakt.
Even m'n nieuwe telefoon betalen (ow wacht, kan niet want m'n telefoon was m'n bankpas)
Even nieuwe simkaart aanvragen (ow wacht, kan niet want m'n wachtwoord van provider kan ik niet verkrijgen)
Even opzoeken wat ik nu moet doen (ow wacht, ik was zo overtuigd van dat ik alles met een mobiel kan dat ik geen laptop/pc meer heb)
Natuurlijk is dit wat overdreven, maar het is meer om aan te geven wat het gevaar is van het afhankelijk worden van een klein apparaat waar wel eens iets mis mee gaat en dat veel mensen blijkbaar af en toe kwijt raken...
Stukfruit @buzzin7 juni 2022 13:49
Even m'n nieuwe telefoon betalen (ow wacht, kan niet want m'n telefoon was m'n bankpas)
Je telefoon is de drager van de informatie die als bankpas fungeert.

Voor zover ik begrijp hoef je in dit geval alleen niet meer de string te onthouden die je hoofdwachtwoord is, omdat je telefoon die nu automatisch genereert.

Dat zou kunnen betekenen dat er ook een mogelijkheid moet zijn (of komen) om een andere drager voor die informatie te gebruiken. Of dat nou een telefoon is of (lekker ouderwets) een vel papier.

Misschien zit ik er helemaal naast hoor, maar dat lijkt mij het meest logische :Y
onno67 @buzzin7 juni 2022 14:02
Helemaal mee eens. Weg met die mobiele apps voor van alles en nog wat.
Het enige doel dat men lijkt te hebben is de identiteit van de gebruiker verifiëren.
Zonder je mobiel kan je straks niets meer.
Je wordt er afhankelijk van gemaakt en vervolgens kan je niks meer zonder dat ding.
Batterij leeg, pech gehad.... Defect...jammer dan. Gestolen...helaas.
Straks gekoppeld aan je eid en digid en je kunt nergens meer (anoniem) gebruik van maken.
Het gaat er niet om dat je niks te verbergen hebt. Het gaat erom dat je straks niks meer hebt om te verbergen. Dat iedereen je data verzameld en een profiel van je maakt.
Zonder naar de persoon te kijken en alleen naar het online gedrag.
himlims_ 7 juni 2022 10:31
dit is toch al weken zo? misschien dat ik in een test fase zat van de software. maar mijn masterpass heb ik al tijdje niet meer hoeven ingeven vanwege authenticatie vai app
LurkZ @himlims_7 juni 2022 11:48
Misschien is deze app helemaal anders, maar ik heb die of een soortgelijke app al een jaar geleden gegbruikt.
comecme 7 juni 2022 12:35
Moet dat dan per se de LastPass authenticator app zijn of kan het ook een andere zijn (zoals Authy)?
PhysicsRules @comecme7 juni 2022 17:25
Je kunt in LastPass allerlei andere authenticators instellen, waarbij ook een aantal opties die buiten je telefoon om werken.

https://support.lastpass....or-authentication-options

Ik weet niet of deze ook voor deze nieuwe functionaliteit gaan werken, maar zou niet weten waarom niet. @buzzin in deze lijst zitten ook een aantal opties waar je geen telefoon voor nodig hebt. Ik heb er zelf geen ervaring mee, dus kan je niet vertellen of het in de praktijk ook prettig werkt.
TEMwave 7 juni 2022 11:27
Ondersteuning voor FIDO2 U2F/webauthn is wel eens tijd aan het worden. Hier wordt al sinds 2014 om gevraagd (zie wayback machine, ik kan deze post op het nieuwe forum niet terugvinden: https://web.archive.org/w...iewtopic.php?f=7&t=172675). De meeste andere password managers kunnen dit wél al.
mphilipp 7 juni 2022 11:34
Alleen jammer dat de pincode die je als fallback kunt gebruiken slecht 4 cijfers is. Ik had liever de keuze gehad en 'm dan 6 cijfers gemaakt. Gewoon omdat 6 veiliger is dan 4. Wie weet komt het nog.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq