LastPass-dataintrånget 2022 förklarat: Vad som stals, vad det betyder och hur man migrerar bort
I augusti / november 2022 exfiltrerade angripare LastPass molnsäkerhetskopior inklusive krypterade användarvalv plus okrypterade metadata. Här är vad som är dokumenterat och vad du ska göra nu om du fortfarande har ett LastPass-konto.
Dokumenterad tidslinje
Enligt LastPass publicerade incidentmeddelanden: i augusti 2022 komprometterade angripare en LastPass-utvecklares dator och fick åtkomst till källkod. I november 2022 använde angripare inloggningsuppgifter från augustiincidenten för att få åtkomst till molnsäkerhetskopior i LastPass tredjepartsmolnlagring. Dessa säkerhetskopior innehöll krypterade kundvalv plus okrypterade metadata — valv-URL:er, kontots e-postadresser, faktureringsinformation. LastPass avslöjade datastölden den 22 december 2022 (blog.lastpass.com/posts/notice-of-recent-security-incident).
Vad krypteringen faktiskt skyddar
LastPass-valv är krypterade med AES-256, där nyckeln härleds från huvudlösenordet via PBKDF2. Skyddets styrka beror på (a) huvudlösenordets entropi och (b) PBKDF2-iterationsantalet. LastPass standarditerationsantal för PBKDF2 var 5 000 för gamla konton innan det höjdes till 100 100 år 2018. Konton skapade före 2018 kan fortfarande ha låga iterationsantal om inte användaren manuellt uppgraderade — LastPass incidentmeddelanden dokumenterar detta. Ett svagt huvudlösenord med lågt iterationsantal är möjligt att knäcka offline med brute force; ett starkt huvudlösenord med 100 100+ iterationer är det inte, med dagens hårdvara.
Vad du ska göra om du har eller hade ett LastPass-konto
Steg 1: Exportera ditt LastPass-valv från webbkonsolen (Inställningar → Avancerade alternativ → Exportera). Steg 2: Importera till Bitwarden eller 1Password (båda har direkta LastPass-importörer dokumenterade på bitwarden.com/help/import-from-lastpass och 1password.com/help). Steg 3: Byt lösenord på alla konton med hög avslöjandekostnad — ekonomi, e-post, primära sociala medier. Steg 4: Aktivera 2FA på alla konton som stöder det. Steg 5: Radera LastPass-kontot från webbkonsolen. Om ditt huvudlösenord var starkt (12+ slumpmässiga tecken eller en lösenfras med 6+ ord) är det krypterade valvet beräkningsmässigt säkert; rotationen är en försiktighetsåtgärd. Om ditt huvudlösenord var svagt, behandla de högvärdiga kontona som komprometterade.
Varför intrånget påverkade hela lösenordshanterar-kategorin, inte bara LastPass
LastPass-intrånget fick säkerhetsforskare att granska de arkitektoniska valen i hela kategorin närmare. Två konkreta lärdomar: (1) Krypteringsiterationsantal är inte alla lika — skillnaden mellan 5 000 och 100 100 PBKDF2-iterationer är stor. Argon2id (den moderna KDF:en som Bitwarden och andra använder) är återigen väsentligt starkare. (2) Exponering av metadata (URL:er till konton, e-postadresser) är en verklig integritetsskada även när valvinnehållet förblir krypterat, eftersom metadata hjälper en angripare att prioritera mål. Moderna granskade hanterare begränsar metadata i data-at-rest-lagret.
Källor
LastPass officiella incidentmeddelanden: blog.lastpass.com/posts/notice-of-recent-security-incident. Bitwarden LastPass-importör: bitwarden.com/help/import-from-lastpass. 1Password-hjälp: 1password.com/help. Argon2id: password-hashing.net/argon2-specs.pdf. Alla URL:er hämtade 2026-04-30.