LastPass maakt het inloggen in applicaties en op websites een stuk makkelijker. Met slechts één (sterk) hoofdwachtwoord zijn we overal snel binnen. Maar wat als deze wachtwoord management tool zélf wordt gehackt? PWA maakte de balans op en zegt 'ja' tegen LastPass.

Een wachtwoordmanager als LastPass heeft twee grote voordelen. Allereerst het gebruiksgemak. Wie werkt met verschillende applicaties en op diverse websites, moet op een dag misschien wel honderd keer inloggen. Bij voorkeur steeds met een ander wachtwoord, vanwege de veiligheid. Met LastPass heeft een gebruiker nog slechts één (hoofd)wachtwoord, dat hij op alle inlogmomenten gebruikt. De tool maakt 'op de achtergrond' voor alle websites en applicaties aparte wachtwoorden aan, waarmee een medewerker – of een hele afdeling! – overal snel binnenkomt.

Veiligheid
Het tweede voordeel weegt het zwaarst: veiligheid. De zwakste schakel in de beveiliging van een ICT-bedrijfsnetwerk is het wachtwoordgebruik door medewerkers, vooral als wachtwoorden worden hergebruikt. Gebruikt een kantoormedewerker voor een zakelijk account een wachtwoord dat hij (thuis) ook gebruikt om te shoppen op bol.com en wordt deze webshop gehackt, dan kunnen cyber criminelen inloggen op zijn MS 365 account. LastPass voorkomt dit, door dus verschillende wachtwoorden te gebruiken, die bovendien regelmatig worden ververst.

Maar, wat als?
Maar, vragen mensen dan, wat als LastPass zélf wordt gehackt? Dan ligt net zo goed je wachtwoord op straat. Sterker: dan zijn meteen ál je wachtwoorden gestolen. Er zijn meerdere hacks geweest, waarvan de meest recente in 2022. Er was een hoop commotie – vooral door slechte communicatie – maar de hack heeft niet tot serieuze problemen geleid. Hooguit mensen met een onverstandig kort (hoofd)wachtwoord waren kwetsbaar voor 'brute force' aanvallen.

Optimaal beveiligd
PWA gebruikt LastPass inmiddels tien jaar voor de websites van onze leveranciers, en wij zeggen: hiermee ben je relatief het veiligst. Deze tool, die volledig in wachtwoordbeveiliging is gespecialiseerd, is uiteindelijk het minst kwetsbaar voor hacks. LastPass heeft een 'zero knowledge' beleid: het bedrijf kent zelf de wachtwoorden niet. Het programma versleutelt de 'kluis' met wachtwoorden op de computer en de sleutel is meerlaags 'encrypted'. Bovendien kunnen we LastPass – dat ook nog 's werkt met twee-factor-authenticatie – zelf optimaal beveiligen door het ene (hoofd)wachtwoord dat we nog gebruiken enorm sterk te maken.

Nooit meer gele briefjes
Een medewerker Inkoop gebruikt tot wel vierhonderd websites, hoe zorg je anders dat hij steeds veilig inlogt? LastPass kan trouwens het 'access management' regelen voor een hele afdeling tegelijk: een nieuwe medewerker wordt eenvoudig toegevoegd en een vertrokken medewerker is de toegang meteen kwijt. Liever LastPass voor nog geen vijf euro per gebruiker per maand, dan wachtwoorden in een Excel-bestand of – nog gevaarlijker! – in een webbrowser als Google Chrome, vinden wij. Of de bekende gele briefjes op monitors, hoe vrolijk dat er ook uitziet.