LastPass-bruddet i 2022 forklart: hva som ble stjålet, hva det betyr, og hvordan migrere bort
I august / november 2022 eksfiltrerte angripere LastPass' skybackuper, inkludert krypterte brukerhvelv samt ukrypterte metadata. Her er hva som er dokumentert og hva du bør gjøre nå hvis du fortsatt har en LastPass-konto.
Dokumentert tidslinje
Ifølge LastPass' publiserte hendelsesvarsler: i august 2022 kompromitterte angripere maskinen til en LastPass-utvikler og fikk tilgang til kildekoden. I november 2022 brukte angripere legitimasjon fra augusthendelsen til å få tilgang til skybackuper i LastPass' tredjeparts skylagring. Disse backupene inneholdt krypterte kundehvelv samt ukrypterte metadata — hvelv-URL-er, e-postadresser til kontoer, faktureringsinformasjon. LastPass offentliggjorde datatyveriet 22. desember 2022 (blog.lastpass.com/posts/notice-of-recent-security-incident).
Hva krypteringen faktisk beskytter
LastPass-hvelv er kryptert med AES-256, der nøkkelen utledes fra hovedpassordet via PBKDF2. Styrken på beskyttelsen avhenger av (a) hovedpassordets entropi og (b) antall PBKDF2-iterasjoner. LastPass' standard antall PBKDF2-iterasjoner var 5 000 for gamle kontoer før det ble økt til 100 100 i 2018. Kontoer opprettet før 2018 kan fortsatt ha lavt antall iterasjoner med mindre brukeren manuelt oppgraderte — LastPass' hendelsesvarsler dokumenterer dette. Et svakt hovedpassord med lavt antall iterasjoner er mulig å brute-force offline; et sterkt hovedpassord med 100 100+ iterasjoner er det ikke, med dagens maskinvare.
Hva du bør gjøre hvis du har eller hadde en LastPass-konto
Trinn 1: Eksporter LastPass-hvelvet fra nettkonsollen (Settings → Advanced Options → Export). Trinn 2: Importer til Bitwarden eller 1Password (begge har direkte LastPass-importører dokumentert på bitwarden.com/help/import-from-lastpass og 1password.com/help). Trinn 3: Rotér passord på enhver konto med høy avsløringskostnad — finans, e-post, primær sosiale medier. Trinn 4: Aktiver 2FA på enhver konto som støtter det. Trinn 5: Slett LastPass-kontoen fra nettkonsollen. Var hovedpassordet sterkt (12+ tilfeldige tegn eller passfrase på 6+ ord), er det krypterte hvelvet beregningsmessig trygt; rotasjon er en forholdsregel. Var hovedpassordet svakt, behandle kontoene med høy verdi som kompromittert.
Hvorfor bruddet rammet passordbehandler-kategorien, ikke bare LastPass
LastPass-bruddet fikk sikkerhetsforskere til å se nærmere på de arkitektoniske valgene på tvers av kategorien. To konkrete lærdommer: (1) Antall krypteringsiterasjoner er ikke alle like — forskjellen mellom 5 000 og 100 100 PBKDF2-iterasjoner er stor. Argon2id (den moderne KDF-en brukt av Bitwarden og andre) er igjen vesentlig sterkere. (2) Eksponering av metadata (URL-er til kontoer, e-postadresser) er en reell personvernskade selv når hvelvinnholdet forblir kryptert, fordi metadataene hjelper en angriper med å prioritere mål. Moderne reviderte behandlere begrenser metadata i laget med data i ro.
Kilder
LastPass' offisielle hendelsesvarsler: blog.lastpass.com/posts/notice-of-recent-security-incident. Bitwarden LastPass-importør: bitwarden.com/help/import-from-lastpass. 1Password-hjelp: 1password.com/help. Argon2id: password-hashing.net/argon2-specs.pdf. Alle URL-er åpnet 2026-04-30.