8 tips voor extra beveiliging van je LastPass wachtwoordkluis

In een vorige post schreef ik al over het beveiligen van je wachtwoorden met LastPass. In deze post ga ik dieper in op de beveiligingsopties, om je account zo goed mogelijk te beschermen. Ik ga er vanuit dat je al een LastPass account hebt. Bovendien zijn sommige tips op het moment van schrijven alleen beschikbaar voor Premium members. Waar mogelijk zal ik dit vermelden.

1. Kies een veilig master password

Dit lijkt wellicht een open deur, maar als het wachtwoord van je LastPass account niet veilig is lopen al je andere accounts ook gevaar. Het grootste gevaar zit in een zogeheten dictionary attack op je LastPass account. Hierbij laat de hacker een tooltje proberen om je wachtwoord te raden (door veelgebruikte wachtwoorden te proberen). De beste manier om je hier tegen te beschermen is het gebruiken van een lang wachtwoord. Je wil het echter nog wel kunnen onthouden, wat de keuze alweer een stuk lastiger maakt.

Gelukkig is er een oplossing, die xkcd beter kan uitleggen dan ik:

Er zijn op Internet meerdere sites te vinden die op basis van dit principe wachtwoorden genereren. Ik gebruik zelf vaak passphra.se.

2. Blokkeer inloggen vanuit het buitenland

Log op LastPass.com in met je account, en ga naar het Settings menu. Op het eerste tabblad kun je al wat extra beveiligingsopties inschakelen. Zo kun je bijvoorbeeld kiezen vanuit welke landen ingelogd mag worden in je account (bijvoorbeeld alleen Nederland). Dit kan wel betekenen dat je vanaf je vakantiebestemming niet kan inloggen šŸ˜‰

3. Kies een Security Level

Op het tabblad Security nog wat meer gedetailleerde instellingen kiezen. LastPass heeft een aantal voorgedefinieerde security levels. Ik heb ervoor gekozen om d.m.v. de Custom setting zelf enkele opties in en uit te schakelen. Zo ontvang ik bijvoorbeeld mailnotificaties mocht mijn master password aangepast worden, of wanneer logingegevens van opgeslagen accounts worden gewijzgd.

Je kunt ook kiezen voor Grid Multifactor Authentication. Dit betekent dat je een vierkant grid krijgt met willekeurige letters en cijfers erop (bijna een Sudoku maar dan ook met letters). Bij elke login vraagt LastPass je om de bepaalde letters of cijfers in een bepaalde kolom/rij in te voeren.

Tot slot kun je kiezen bij welke acties je opnieuw je master password moet invullen ter bevestiging (bijvoorbeeld bij het bewerken van een opgeslagen account).

4. Laat alleen bepaalde mobiele devices inloggen

(deze functionaliteit is alleen beschikbaar voor Premium accounts)

Het is verstandig om je LastPass account alleen toegankelijk te maken vanaf een beperkt aantal mobile devices. Open daarvoor de tab Mobile Devices, en vink de optie Restrict mobile devices to the specific UUID’s listed as enabled below aan. Vanaf dat moment kun je met de mobiele apps in eerste instantie niet inloggen, totdat je in hetzelfde scherm het betreffende apparaat hebt aangemerkt als Enabled. Als je dit eenmaal hebt gedaan voor een apparaat hoef je het nooit meer te doen.

5. Gebruik een YubiKey voor two-factor authentication

Als extra beveiligingslaag kun je ervoor kiezen om, naast je wachtwoord, nog een tweede verificatie uit te voeren om te checken of jij wel echt bent wie je bent. Zelfs als iemand je wachtwoord heeft bemachtigd is diegene nog niet binnen. Zelf heb ik gekozen voor een YubiKey. Dit is een klein USB-stickje wat je aan je sleutelbos hangt. Zodra ik wil inloggen in LastPass wordt ik gevraagd om de YubiKey in een USB poort te steken, en het knopje kort aan te raken. De YubiKey genereert vervolgens een willekeurige code, die door LastPass gecontroleerd wordt.

Je kunt een YubiKey/LastPass pakket krijgen voor $30,-. Daar zit dan ook gelijk een jaar lang LastPass Premium bij. Voor meer hulp bij het instellen van je YubiKey kun je terecht in de LastPass YubiKey FAQ.

6. Gratis alternatief voor YubiKey: Google Authenticator

Als je geen Premium account hebt, of geen zin hebt om geld uit te geven aan een YubiKey, kun je ook kiezen voor de gratis Google Authenticator. Dit werkt alleen met een Google account, en betekent dat je bij elke login poging een SMS-je krijgt met een verificatiecode. Op deze pagina vind je een stap-voor-stap handleiding hoe je dit instelt.

7. Doe mee aan de LastPass Security Challenge

LastPass biedt zelf een Security Challenge aan. Dit is een handig tooltje om te zien hoe veilig je account is. Je krijgt ook nuttige tips hoe je de veiligheid kan verbeteren (sterkere wachtwoorden, wachtwoorden niet voor meerdere sites gebruiken, etc.). Mijn advies is om de challenge regelmatig uit te voeren, en de tips op te volgen.

8. Wijzig regelmatig je master password

Last but not least: wijzig met enige regelmaat (ik doe dit elk halfjaar, maar vaker zou beter zijn) je master password. Ondanks alle voorzorgsmaatregelen kan iemand het in handen hebben gekregen, en dat wil je natuurlijk zo kort mogelijk laten duren.