Topmenu

Wachtwoorden beheren met LastPass

LastPass is een wachtwoordmanager. Eerder legde ik uit waarom je op iedere website een ander wachtwoord wilt gebruiken en hoe een wachtwoordmanager je daarbij kan helpen. LastPass helpt mensen al sinds 2008 door inloggen veiliger én sneller te maken. Veiliger omdat het met LastPass gemakkelijk is om op iedere website een uniek wachtwoord te gebruiken. Sneller omdat LastPass inlog- en formuliergegevens voor je invult. Daarnaast vertelt LastPass je precies wat je moet doen als er iets mis gaat met de beveiliging op veelgebruikte websites.

LastPass logo

Nog even in het kort: online wachtwoorden zijn onveilig. Hackers raden ze, achterhalen ze via een lijst met gestolen wachtwoorden, kraken ze door domweg alle combinatie te proberen, luisteren je toetsenbord af of leiden een helpdeskmedewerker van een van je dienstverleners om de tuin.

LastPass herkent de website en kan direct inloggen of inloggegevens invullen waarna je zelf op inloggen drukt. Websites die hengelen naar je wachtwoord (phishing) vallen door de mand want LastPass logt niet in en drukt je gegevens niet voor.

LastPass werkt op al je apparaten: Microsoft Windows, Apple Mac OSX, Apple iOS (iPhone, iPad) en Linux. Voor systeembeheerders, ontwikkelaars en andere power-users is er zelfs een LastPass command-line interface (CLI). LastPass heeft add-ons voor de webbrowsers Internet Explorer, Firefox, Safari, Chrome en Opera en synchroniseert je gegevens zodat je deze altijd en overal bij de hand hebt. Download de “Universele installer” voor jouw besturingssysteem nadat je een account hebt aangemaakt. Deze voegt de add-ons in één keer aan al je webbrowsers toe. De add-ons hebben eigen instellingen waarmee je het automatisch afmelden van LastPass, sneltoetsen, meldingen en pop-ups kunt finetunen.

Probeer LastPass Premium voor 1 maand gratis. Vervolgens kun je $12 per jaar betalen óf de gratis versie van LastPass blijven gebruiken die voor de meerderheid van de gebruikers voldoet.

LastPass kan meerdere inloggegevens per website onthouden zodat je meerdere accounts per website kunt laten onthouden. Bijvoorbeeld als je meerdere Twitterprofielen beheert. Of als je een LastPass-account wilt delen met je partner. Je kunt LastPass ook gebruiken als bookmarkmanager voor je favoriete websites. Je kunt websites opzoeken op een deel van de naam en dan met een druk op de knop inloggen vanuit LastPass.

De introductievideo van LastPass concentreert zich op het snelle van LastPass, het automatisch invullen van je inloggegevens op je apparaten door je inloggegevens synchroon te houden.

Naast inloggegevens helpt LastPass je met formulieren (met adresgegevens of je IBAN-nummer) en andere notities zoals een fotokopie van je paspoort.

Is LastPass veilig?

LastPass versleutelt je gegevens op je eigen computer met je hoofdwachtwoord. Jij bent de enige die erbij kan. Hackers/overheden én medewerkers van LastPass zelf kunnen er dus niet bij. LastPass Premium-gebruikers kunnen er zelfs voor kiezen om de gegevens in de EU op te slaan. Vergeet je hoofdwachtwoord dus niet! Maak gebruik van de hint die je voor jezelf kunt achterlaten als je bang bent het te vergeten.

LastPass vat de bevindingen van security-expert Steve Gibson samen: “This thing is secure every way you can imagine. And it’s simple,” Steve says at one point. “I’ve completely switched my entire solution for managing passwords, after spending days researching it and testing it and playing with it, over to LastPass.” He goes on to declare that we’ve “really nailed it. I mean, I don’t see a single problem with this.”

LastPass kan je inloggegevens exporteren naar CSV (te openen in bijvoorbeeld Excel) of een eigen formaat. De gegevens in het eigen formaat van LastPass zijn versleuteld en te openen met de losse app LastPass Pocket (beschikbaar voor Windows, Mac OS X en Linux). Als je Firefox gebruikt dan kun je eenvoudig overstappen van LastPass naar Firefox.

Beginnen met LastPass: een hoofdwachtwoord

De video hieronder laat zien hoe je LastPass installeert, een account aanmaakt en je eerst website bewaart.

Als hoofdwachtwoord (master password) kun je het beste een paar willekeurige woorden achter elkaar plakken zoals onderstaande strip laat zien:

Mocht je je LastPass-wachtwoord toch vergeten zijn dan is er een stappenplan waarmee je je hoofdwachtwoord misschien kunt herstellen. Bijvoorbeeld naar de vorige variant die je gebruikte of vanaf een door jou vertrouwde computer.

LastPass vraagt je sporadisch het hoofdwachtwoord opnieuw in te voeren. Je kunt meer gelegenheden instellen via de Instellingen > Beveiliging.

Installeer LastPass op ieder apparaat en in iedere webbrowser die je gebruikt. Als je LastPass na de evaluatieperiode gratis wilt gebruiken installeer dan op je smartphone de bookmarklet(s) en bekijk de mobiele website van LastPass. Je hebt de evaluatieperiode om te zien of de smartphone-app je voldoende meerwaarde biedt.

Heb je al een lijst met wachtwoorden? LastPass kan ze importeren vanuit je webbrowser en van vrijwel ieder concurrerend product zoals Roboform.

Inloggen op computers die je niet vertrouwt

Zoals gezegd bestaan er applicaties op een computer die al je toetsaanslagen afvangen en doorsturen. De zogenaamde keyloggers. Eigenlijk weet je nooit of zo’n applicatie op een computer staat. En al helemaal niet op een openbare computer.

LastPass maakt het mogelijk om in te loggen door je hoofdwachtwoord “in te typen” door met je muis te klikken op een virtueel toetsenbord. Zo kun je zelfs op computers die je écht niet vertrouwt inloggen zonder je zorgen te maken over software die je toetsaanslagen bewaart.

LastPass - One Time Password or Virtual Keyboard

Daarnaast kun je One Time Passwords genereren. De One Time Passwords werken net zoals je hoofdwachtwoord. Alleen kun je met zo’n lang wachtwoord slechts eenmalig inloggen. Genereer bijvoorbeeld een lijst One Time Passwords om mee te nemen op vakantie om te gebruiken in een internetcafé.

Multifactor authentication

Achter je inloggegevens van LastPass staan straks ál je andere inloggegevens. Daarom is het voor LastPass extra belangrijk om een extra vorm van authentication toe te passen zodat naast je wachtwoord een apparaat dat je bij je hebt nodig is om in te loggen. LastPass biedt een paar mogelijkheden waarvan Google Authenticator zowel gratis als gebruikersvriendelijk is:

Bij het inloggen kun je aangeven dat je het apparaat waar je op werkt vertrouwt. Je kunt dan op dat apparaat (voorlopig) op LastPass inloggen met alleen je hoofdwachtwoord. Natuurlijk is dat minder veilig dan multifactor maar dan hoef je, zeker op kleine schermen, niet te prutsen om in te loggen. Via de instellingen van LastPass kun je in de opsomming van Vertrouwde computers het vertrouwen op afstand weer intrekken, bijvoorbeeld als je smartphone is gestolen. Als je je smartphone kwijtraakt dan kun je bij het inloggen in LastPass-tweefactorauthenticatie uitschakelen. LastPass stuurt je dan een mailtje met een link om het uitschakelen te bevestigen.

Als je ergens bent ingelogd op LastPass dan heb je een lokale, versleutelde, kopie van je inloggegevens. Zo kun je zonder internetverbinding (offline) je wachtwoorden raadplegen. Per type multifactor-authenticatie kun je instellen of je offline-toegang toestaat. Als je offline-toegang niet toestaat dan bewaart LastPass geen lokale, versleutelde, kopie van je inloggegevens en kun je alleen bij je gegevens als je een internetverbinding hebt.

Inloggen vanaf mobiel of het buitenland / TOR beperken

Om je account verder te beschermen kun je inloggen beperken tot specifieke apparaten die je hebt aangewezen. Via de instellingen van LastPass zie je op welke apparaten je bent ingelogd. Daarboven staat een optie om inloggen te beperken tot die mobiele apparaten.

Daarnaast kun je inloggen beperken tot bepaalde landen, bijvoorbeeld alleen vanuit Nederland. Toegang vanaf TOR-netwerken kun je ook uitschakelen. Als je niet weet wat TOR is dan kun je deze toegang gewoon uitzetten.

De instellingen kun je later altijd weer aanpassen. En als je er in het buitenland achter komt dat je vergeten bent het land toe te voegen dan kun je de instelling uitschakelen via je e-mailadres.

Identiteiten, formuliergegevens en notities

Je kunt zakelijk en privé-gebruik van elkaar scheiden door verschillende identiteiten aan te maken. Of één LastPass-account overzichtelijker delen met meerdere gebruikers.

Iedere identiteit heeft eigen formuliergegevens, beveiligde notities en wachtwoorden.

Formuliergegevens gebruik je om je naam, adres, telefoonnummer en dergelijke in te vullen. Een bestelformulier vul je in vervolg met een druk op de knop in. LastPass herkent de meeste velden wel maar mocht je regelmatig een gegeven tegenkomen welke LastPass niet herkent dan kun je de veldnaam toevoegen onder Aangepaste velden. Een voorbeeld van een aangepast veld is “KvK” / “Kamer van Koophandel”. Creditcardgegevens kun je invullen als onderdeel van een profiel of los toevoegen voor flexibel gebruik.

In beveiligde notities kun je gegevens kwijt zoals een fotokopie van je paspoort of rijbewijs of de inloggegevens van wifi-netwerken. Via de gratis app LastPass Wallet kun je je beveiligde notities op je smartphone beheren.

Wachtwoorden genereren en invullen met LastPass

Veilige wachtwoorden is natuurlijk de hoofdmoot van je LastPass gebruik. De video hieronder laat zien hoe je een wachtwoord voor een website genereert en later weer wijzigt.

Je kunt zelf instellen welke tekens LastPass mag gebruiken om het wachtwoord te genereren. Daarbij kun je speciale tekens zoals # en ! meenemen en een minimum aantal cijfers afdwingen. Je kunt LastPass vast zo instellen dat het wachtwoord voldoet aan de eisen die bijvoorbeeld banken aan een wachtwoord stellen.

LastPass veilig wachtwoord genereren

Door dubbelzinnige tekens uit te sluiten komen bijvoorbeeld de letter “o” en het cijfer “0” niet in de gegenereerde wachtwoorden voor. Uitspreekbare wachtwoorden maken alleen gebruik van kleine letters uit het alfabet.

Zoals de bovenstaande video van LastPass liet zien kun je de wachtwoorden eenvoudig genereren en bewaren vanaf de invoervelden. Als je terugkeert naar de website dan vult LastPass je inloggegevens automatisch in. Het automatisch invullen van inloggegevens kun je per website uitschakelen of juist nog een stapje verder automatiseren door je inloggegevens automatisch te laten versturen.

LastPass inloggen

Er zijn websites die je verplichten om naast een inlognaam en wachtwoord een geheugensteuntje te kiezen. Bijvoorbeeld de naam van je favoriete leraar of de meisjesnaam van je moeder. Met LastPass vergeet je je wachtwoord natuurlijk nooit meer. Je kunt op dergelijke vragen een cryptisch antwoord geven en dat antwoord voor de zekerheid als aantekening bewaren bij de inloggegevens van de website.

Als LastPass je inloggegevens niet bewaart

LastPass werkt helaas niet bij iedere website vlekkeloos. In bijna alle gevallen kun je inloggegevens alsnog bewaren door al je inloggegevens in te vullen en vervolgens te kiezen voor Extra > Bewaar alle ingevulde gegevens, zoals de onderstaande video laat zien. Als LastPass de inloggegevens bij terugkeer niet invult, probeer dan op het LastPass-pictogram in het veld zelf te klikken.

Mocht je opmerken dat LastPass je wachtwoord niet bewaart controleer dan of je wel bent ingelogd op LastPass. In de praktijk werkt LastPass alleen niet op websites die je laten inloggen via Adobe Flash of Microsoft Silverlight. Je kunt nagaan of dat het geval is door rechts te klikken (Ctrl+klik op Mac) naast het veld voor je inlognaam. Als er in de pop-up “Informatie over Adobe Flash Player” of “Voorkeuren voor Silverlight” verschijnt dan is het mis. Flash en Silverlight werken ook niet op iPad. Google heeft moeite dergelijke websites te indexeren dus het is een uitstervende techniek.

Neem anders een kijkje op het LastPass-forum voor workarounds voor workarounds op specifieke websites. Nog niet gelukt? Rapporteer het inlogprobleem via een ticket bij LastPass, ze helpen je graag.

Je kunt LastPass uitschakelen voor specifieke websites als je daar bijvoorbeeld echt handmatig wilt inloggen. LastPass heeft een lijst “Nooit-URL’s” die je via de instellingen kunt bewerken. Als LastPass je wachtwoord wil opslaan kun je ook kiezen om dat nooit voor deze website te doen. Misschien heb je per ongeluk eens een website op die lijst gezet?

Wachtwoorden groeperen en delen

Je kunt je wachtwoorden groeperen in folders (mapjes). Bijvoorbeeld om een indeling te maken voor werkgerelateerd en privé. Met LastPass Premium kun je zo’n mapje delen met andere LastPass-gebruikers – je familieleden. Je kunt inloggegevens van een website aanmerken als favoriet, dat is ook een mapje waar je iets sneller bij kunt met bladeren.

Je kunt ook de inloggegevens van een individuele website delen met een andere LastPass-gebruiker. Daarbij kun je aangeven of de ontvanger de gedeelde inloggegevens mag inzien of alleen mag gebruiken. LastPass waarschuwt dat gedeelde wachtwoorden door technisch onderlegde eindgebruikers altijd achterhaald kunnen worden.

Premium-gebruikers hebben extra mogelijkheden bij het delen. Wijzigingen in je inloggegevens automatisch doorsturen en, als mensen met wie je deelt de inloggegevens mogen aanpassen, daar de geschiedenis van inzien.

Domeinnamen groeperen

Sommige websites laten je inloggen op verschillende domeinnamen die eigenlijk hetzelfde zijn. Denk aan youtube.com, google.com en gmail.com. Of apple.com en icloud.com. Via de instellingen van LastPass kun je onder “Gelijksoortige domeinen” aangeven welke domeinnamen bij elkaar horen. LastPass vult die lijst zelf ook aan dus waarschijnlijk hoef je dit alleen ter kennisgeving aan te nemen.

LastPass vult je inloggegevens ook niet in als je op een phishing-website terecht bent gekomen. Bijvoorbeeld via een linkje die je via e-mail of social media hebt ontvangen. Controleer altijd goed de URL of typ ‘m zelf in.

LastPass somt wachtwoorden op basis van de domeinnaam op, dus alle wachtwoorden voor “facebook.com”. Bij sommige websites is dat niet handig omdat de subdomeinnaam ook van belang is, zoals bij “jouwdomein.wordpress.com”. Dergelijke websites kun je finetunen via “URL Regels” in de instellingen. LastPass vult deze lijst ook zelf aan.

Security challenge: hoe goed is jouw wachtwoordgebruik?

Als je inlogt op een website met een zwak wachtwoord of een wachtwoord dat je volgens LastPass ook op een andere website gebruikt krijg je een attentie om het wachtwoord te veranderen.

Security challenge beoordeelt al je wachtwoorden in één keer op sterkte en dubbel gebruik en motiveert je veiliger te werk te gaan. Naast de sterkte van je wachtwoorden telt mee of je multifactor gebruikt. En of je meer dan 50 websites hebt bewaard, LastPass stimuleert daarmee dat je al je wachtwoorden meeneemt. Je krijgt een cijfer en positionering ten opzichte van andere LastPass-gebruikers, aangevuld met concrete tips ter verbetering. Secturity challenge laat je per website zien hoe lang geleden je je wachtwoord hebt veranderd.

LastPass Security Challenge

Je krijgt een overzicht van websites waar je beter je wachtwoord kunt veranderen omdat je wachtwoord gestolen blijkt (zoals LinkedIn, Last.fm of Adobe) of een website die je gebruikt kwetsbaar voor een aanval (zoals Heartbleed) is geweest. LastPass werkt hiervoor samen met PwnedList.

In alle gevallen kun je je score verbeteren door je wachtwoord op te betrokken website te veranderen. Met LastPass is dat met een paar klikjes gebeurd. LastPass kent je huidige wachtwoord, berekent met een klik een uniek nieuw wachtwoord en stelt voor deze te bewaren. Als je meerdere accounts op de website hebt dan vraagt LastPass netjes op welk account de wijziging van toepassing is.

Of hef gewoon je account op van een website die je toch niet gebruikt en verwijder vervolgens de inloggegevens uit LastPass. Per ongeluk verwijderde gegevens kun je overigens nog herstellen. Of definitief verwijderen uit de Deleted Items.

LastPass Premium

De gratis versie van LastPass biedt enorm veel functionaliteit. Voor $12 per jaar krijg je vooral toegang tot mobiele apps.

Gebruikers van Windows en Android kunnen naast websites inloggen op applicaties. Android-gebruikers kunnen op de app inloggen met hun vingerafdruk in plaats van het hoofdwachtwoord. Vanaf iOS 8 loggen Apple-gebruikers in met Touch ID en een naadloze Safari-extensie.

Met IE Anywhere is LastPass direct vanaf een USB-stick of CD/DVD te starten (zonder installatie) en overal veilig te gebruiken met webbrowser Internet Explorer.

Met LastPass Premium kun je een folder (mapje) met wachtwoorden delen met maximaal vijf andere LastPass-gebruikers. Dat is bedoeld voor familieleden. Daarbij mogen de familieleden LastPass gratis gebruiken.

LastPass Premium-gebruikers hebben 1GB schijfruimte voor bijlagen aan veilige notities zoals een paspoort waar gratis gebruikers het met 50MB moeten doen.

Andere voordelen van LastPass Premium ten opzichte van Free zijn extra authenticatie-opties zoals YubiKey en Sesame, snellere ondersteuning via e-mail of telefoon en het ontbreken van advertenties.

Probeer LastPass Premium voor 1 maand gratis. Vervolgens kun je $12 per jaar betalen óf de gratis versie van LastPass blijven gebruiken die voor de meerderheid van de gebruikers voldoet. Betalen kan via PayPal of credit card.

Als je je evaluatieperiode al hebt verbruikt en je wilt snel een indicatie van de werking van de mobiele app, kijk dan eens op een iPad. Daar kun je de gratis LastPass Tab-app gebruiken om te zien hoe de ingebouwde webbrowser het opzoeken van wachtwoorden en het inloggen vereenvoudigt. Of geef iemand LastPass Premium cadeau!

LastPass zakelijk

Vanaf $24 per gebruiker per jaar kun je LastPass Zakelijk binnen een organisatie uitrollen, gedetailleerd beheren en wachtwoorden delen binnen een team.

LastPass Enterprise

LastPass Credit Monitoring

Amerikaanse LastPass-gebruikers kunnen hun creditcard in de gaten laten houden. LastPass geeft een seintje in de webbrowser en via e-mail als er iets gebeurt met je creditcard wat in potentie misbruik kan zijn. Voor een aanvullend maandbedrag geeft LastPass je dan achtergrondinformatie over wat er aan de hand is. Gratis gebruikers moeten dan zelf wat onderzoek verrichten.

Meer informatie over LastPass

LastPass heeft een handleiding, FAQ en er is een LastPass-forum voor gebruikersvragen en feature request.

In geval van storingen kun je het LastPass blog raadplegen en anders altijd een verzoek tot ondersteuning indienen. Je kunt zelf meehelpen met het vertalen van de LastPass-tools.

Wijzigingen aan de software kun je terugvinden in de release notes. Of volg LastPass via het blog, Twitter, Facebook, Google+, LinkedIn of YouTube.

, , , ,

4 reacties op Wachtwoorden beheren met LastPass

  1. Paula de Boer vrijdag, 9 mei 2014 at 12:47 #

    Hoi Patrick, ik gebruik LastPass, Free version. Wanneer ik mijn wachtwoorden laat genereren en ik later wil inloggen op een website op mijn tablet… dan lukt dat toch niet meer?

    Volgens mij moet je dan de Premium versie aanschaffen, zodat je op alle devices kunt gebruikmaken van LastPass. Of zit ik er naast?

    • Patrick Mackaaij vrijdag, 9 mei 2014 at 14:51 #

      Hoi Paula!

      LastPass Free heb ik jaren gebruikt. Inloggen op een tablet kan met een druk op de knop via de bookmarklet van LastPass. Zien werken op iPad/iPhone. Voor iPad is er zelfs een app voor Free: LastPass Tab. Verder kun je inloggegevens opzoeken via m.lastpass.com. Dat laatste gaat sneller met een (Premium) app.

      Dus: zou moeten lukken met de gratis versie. Maar waarom niet een gooi doen naar een jaar LastPass Premium? :)

      – Patrick

  2. ris vrijdag, 23 mei 2014 at 19:25 #

    Ha Patrick,
    Interessant artikel over Last Pass.
    Ik heb nog een vraag. Is het niet gevaarlijk dat LP, zonder wachtwoord, automatisch opstart als de browser geopend wordt (safari)?
    Of kan je instellen dat bij het sluiten van de browser. LP ook zich afmeld?

    • Patrick Mackaaij vrijdag, 6 juni 2014 at 15:10 #

      Excuses voor de late reactie, je vraag was als spam gemarkeerd en daar kreeg ik blijkbaar geen bericht van. Je kunt automatisch afmelden inderdaad instellen voor LastPass, bij het afsluiten van de webbrowser of sowieso na inactiviteit.

Geef een reactie

Current ye@r *