LastPass-databruddet i 2022 forklaret: Hvad der blev stjålet, hvad det betyder, og hvordan man migrerer væk
I august / november 2022 eksfiltrerede angribere LastPass cloud-sikkerhedskopier inklusive krypterede brugerbokse plus ukrypterede metadata. Her er, hvad der er dokumenteret, og hvad du skal gøre nu, hvis du stadig har en LastPass-konto.
Dokumenteret tidslinje
Ifølge LastPass' offentliggjorte hændelsesmeddelelser: i august 2022 kompromitterede angribere en LastPass-udviklers maskine og fik adgang til kildekode. I november 2022 brugte angribere loginoplysninger fra augusthændelsen til at få adgang til cloud-sikkerhedskopier i LastPass' tredjeparts-cloudlagring. Disse sikkerhedskopier indeholdt krypterede kundebokse plus ukrypterede metadata — boks-URL'er, kontoens e-mailadresser, faktureringsoplysninger. LastPass offentliggjorde datatyveriet den 22. december 2022 (blog.lastpass.com/posts/notice-of-recent-security-incident).
Hvad krypteringen faktisk beskytter
LastPass-bokse er krypteret med AES-256, hvor nøglen afledes af hovedadgangskoden via PBKDF2. Beskyttelsens styrke afhænger af (a) hovedadgangskodens entropi og (b) PBKDF2-iterationsantallet. LastPass' standarditerationsantal for PBKDF2 var 5.000 for gamle konti, før det blev hævet til 100.100 i 2018. Konti oprettet før 2018 kan stadig have lave iterationsantal, medmindre brugeren manuelt opgraderede — LastPass' hændelsesmeddelelser dokumenterer dette. En svag hovedadgangskode med lavt iterationsantal kan knækkes offline med brute force; en stærk hovedadgangskode med 100.100+ iterationer kan det ikke, med nutidens hardware.
Hvad du skal gøre, hvis du har eller havde en LastPass-konto
Trin 1: Eksportér din LastPass-boks fra webkonsollen (Indstillinger → Avancerede indstillinger → Eksportér). Trin 2: Importér til Bitwarden eller 1Password (begge har direkte LastPass-importører dokumenteret på bitwarden.com/help/import-from-lastpass og 1password.com/help). Trin 3: Skift adgangskoder på enhver konto med høje afsløringsomkostninger — finans, e-mail, primære sociale medier. Trin 4: Aktivér 2FA på enhver konto, der understøtter det. Trin 5: Slet LastPass-kontoen fra webkonsollen. Hvis din hovedadgangskode var stærk (12+ tilfældige tegn eller en adgangssætning med 6+ ord), er den krypterede boks beregningsmæssigt sikker; rotationen er en forsigtighedsforanstaltning. Hvis din hovedadgangskode var svag, så behandl de højværdikonti som kompromitterede.
Hvorfor bruddet påvirkede hele adgangskodemanager-kategorien, ikke kun LastPass
LastPass-bruddet fik sikkerhedsforskere til at se nærmere på de arkitektoniske valg på tværs af kategorien. To konkrete erkendelser: (1) Krypteringsiterationsantal er ikke alle ens — forskellen mellem 5.000 og 100.100 PBKDF2-iterationer er stor. Argon2id (den moderne KDF, som Bitwarden og andre bruger) er igen væsentligt stærkere. (2) Eksponering af metadata (URL'er til konti, e-mailadresser) er en reel privatlivsskade, selv når boksindholdet forbliver krypteret, fordi metadata hjælper en angriber med at prioritere mål. Moderne reviderede managere begrænser metadata i data-at-rest-laget.
Kilder
LastPass officielle hændelsesmeddelelser: blog.lastpass.com/posts/notice-of-recent-security-incident. Bitwarden LastPass-importør: bitwarden.com/help/import-from-lastpass. 1Password-hjælp: 1password.com/help. Argon2id: password-hashing.net/argon2-specs.pdf. Alle URL'er tilgået 2026-04-30.