Wachtwoordmanager LastPass dwingt gebruikers een nieuw masterwachtwoord aan te maken, omdat de dienst mogelijk te maken heeft gehad met een hack. Ook sluit het gebruikers die vanaf een afwijkend ip-adres inloggen buiten.
LastPass zegt niet zeker te weten of er sprake was van een hack, maar heeft een anomalie geconstateerd bij het bekijken van de netwerklogs van een van de databases. "Omdat we de anomalie niet kunnen verklaren, doen we paranoïde en gaan we uit van het slechtste scenario: dat de data in de database op een of andere manier benaderd is", meldt het bedrijf in een verklaring.
De hoeveelheid data die vanaf de machine getrokken werd, zou groot genoeg zijn om mailadressen, de server-salt en de hashes van wachtwoord-salts van de database te bevatten. Salts worden gebruikt om het kraken van versleutelde bestanden te bemoeilijken. Ze worden samen met het te versleutelen bestand, bijvoorbeeld een wachtwoord, via een eenweg-hashfunctie bewerkt. Het resultaat maakt dat een aanvaller minder succes zal hebben met bijvoorbeeld rainbowtables bij het kraken van wachtwoorden. Over die resultaten beschikt de mogelijke aanvaller dus.
Eenvoudige wachtwoorden die met brute force, zoals een dictionary-aanval, te kraken zijn, blijven wel kwetsbaar als de aanvaller over de hashes van wachtwoorden beschikt, ook al zijn die salted. Omdat veel gebruikers nog altijd normale woorden gebruiken als wachtwoord, gaat LastPass iedere gebruiker dwingen zijn hoofdwachtwoord te wijzigen. "Daarnaast willen we een indicatie dat jij ook daadwerkelijk jij bent", schrijven de mensen achter de dienst. "Dat doen we door ons ervan te verzekeren dat je komt vanaf een ip-adresreeks die je eerder hebt gebruikt of door je mailadres te verifiëren." Veel gebruikers reageren geïrriteerd op de verklaring. Ze worden buitengesloten omdat hun browser als mobiel apparaat buiten de ip-reeks valt of kunnen hun mail niet bereiken omdat dit onderdeel is van de LastPass-locker.