1. Wat is Lastpass

Hoeveel wachtwoorden heb je in gebruik? 1, 5, 10? Vind je het lastig om zelf wachtwoorden te maken en te onthouden? Ben je wel eens een wachtwoord kwijt? Vermoedelijk wel. Een oplossing voor dit soort problemen is het gebruiken van een wachtwoordbeheerder. Hierbij hoef je maar één keer een hoofdwachtwoord in te voeren en daarna regelt Lastpass bij de meeste websites de inlog.

Is dat onveilig? Dat hangt ervan af. Lastpass gebruiken met alleen een hoofdwachtwoord is onveilig maar niet onveiliger dan wanneer je maar een paar wachtwoorden gebruikt. Je maakt het een stuk veiliger als je een 2-factor authenticatie gebruikt. Authenticatie is de procedure waarbij een computer nagaat of een gebruiker daadwerkelijk is wie hij beweert te zijn. Authenticatie op basis van 2 factoren betekent dat de computer buiten je wachtwoord nog iets nodig heeft om te kunnen inloggen. Er zijn eigenlijk 3 factoren:

1. De computer vraagt om iets wat je weet zoals bijvoorbeeld een wachtwoord. Hierbij gaat de computer ervan uit dat dit geheim blijft.
   
2. De computer vraagt om iets wat je hebt zoals bijvoorbeeld je smartphone. Ook een sleutel van de voordeur waar je woont is iets wat je hebt. Daarmee kun je de voordeur openen (de deur vraagt om een sleutel). Zo kun je je smartphone ook als een soort sleutel gebruiken. Hier komen we nog uitgebreid op terug.
3. De computer vraagt om iets wat je bent. De meest gebruikte manier hiervan is het gebruiken van je vingerafdruk. Bij veel nieuwere smartphones kun je inloggen met je vingerafdruk. Het herkennen van je gezicht wordt ook al veel gebruikt.
   

Bij Lastpass gaan we minimaal 2 factoren gebruiken. Dus je vult bijvoorbeeld je wachtwoord in maar Lastpass zal ook via je telefoon vragen om een extra bevestiging. Op die manier maken we het extra veilig. Is het dan 100% veilig. Nee, maar er zijn maar weinig hackers in staat om een 2-factor authenticatie te omzeilen.

2. Hoe wordt een wachtwoord opgeslagen?

Als een websitebeheerder wachtwoorden netjes opslaat dan doet hij dat versleuteld. Dat gaat zo: 

1. Je gaat naar de inlogpagina.
2. Je voert je gebruikersnaam en wachtwoord in.
3. De gebruikersnaam wordt vergeleken met de gebruikersnaam in de database.
4. Het wachtwoord wordt eerst versleuteld en vervolgens vergeleken met de versleutelde versie in de database. Als deze twee strings gelijk zijn dan geeft de applicatie toestemming om in te loggen.

Hieronder zie je enkele wachtwoorden versleuteld opgeslagen. Onder password vind je de versleutelde strings. De usernames hebben we verborgen.

We zullen zo'n string eens gaan maken. Ga naar een MD5 hash generator. Van deze applicatie bestaan er vele tientallen op het internet. Voer nu het volgende wachtwoord in:

Klik hierna op Generate. Selecteer de string achter Your Hash en kopiëer deze met Ctrl-c.

We kunnen aan de hash nu niet meer zien wat het wachtwoord - de string -  is geweest. Dit wachtwoord is echter wel te kraken. Ga hiervoor naar https://www.md5online.org/md5-decrypt.html . Dit is een website om zo'n string te kunnen kraken. Voer de string in met Ctrl-v (plakken).

Je ziet dat zo'n wachtwoord in minder dan een seconde wordt gekraakt.

onthoud

Een makkelijk wachtwoord wordt snel gekraakt. Met Lastpass hebben we daar geen last meer van. Het maakt voor iedere website een uniek, sterk wachtwoord  zoals bijvoorbeeld A3Tq!EnS^9g& . Dit wachtwoord wordt zeer veilig opgeslagen in een digitale kluis die we ook nog eens gaan beveiligen met een dubbele authenticatie.

3. Lastpass installeren

Het installeren van Lastpass is niet erg ingewikkeld en kan in iedere browser worden toegepast. Wij zullen het gaan doen in Firefox.

Op het Hoeksch Lyceum wordt je account niet bewaard dus moet je dit iedere keer opnieuw doen. Het is echter maar 5 seconden werk en we hebben het op de startpagina van Edictum al helemaal voorbewerkt.

Ga naar www.edictum.nl (de startpagina van edictum) en linksboven in het menu vind je de downloadlink van Lastpass.

Als je hier op klikt met Firefox wordt Lastpass in deze browser geïnstalleerd. Voor een andere browser ga je naar de downloadpagina van Lastpass.

Installeren is eenvoudig. Geef Firefox toestemming om te mogen installeren.

Klik hierna op Oké, begrepen.

Hierna is Lastpass toegevoegd. Je herkent dit rechtsboven aan het icoontje met drie puntjes.

4. Een account aanmaken

Nadat Lastpass is geïnstalleerd dient er een account te worden aangemaakt. Dat kan met ieder emailadres. Wij doen het echter met een edictum account. Het kan zowel met de Add-On als op de website van Lastpass. Echter voordat we dat gaan doen gaan we een wachtwoord verzinnen. Bij Lastpass moet dat minimaal bestaan uit 12 tekens met minimaal één hoofdletter, kleine letter en nummer. Een handige manier om een wachtwoord te maken is een wachtwoordzin zoals bijvoorbeeld: IkHeb2Poezen of, met een extra teken, Mijn2eNaam=Haas. Ieder zelfstandig naamwoord begint daarbij met een hoofdletter.

Als je het wachtwoord hebt verzonnen ga je naar deze pagina en maak je een account aan. Bij het vakje van de herinnering maak je voor jezelf de  herinnering: dit staat in de versleutelde map. Onthou één ding: Het is niet mogelijk om je wachtwoord te resetten of te achterhalen. Daarom zullen we dat hoofdwachtwoord in de volgende map versleuteld gaan bewaren zodat jij de enige bent die erbij kan.

5. Het hoofdwachtwoord veilig opslaan

Omdat we altijd bang zijn dat we het hoofdwachtwoord zullen vergeten, leer je  nu een manier om dit veilig op te slaan. Ga hiervoor naar Google Drive en log in met je edictum account, voor zover je dat nog niet hebt gedaan.

Maak nu eerst een mapje geheim aan met behulp van Nieuw en daarna Map.

Geef de nieuwe map de naam geheim.

Ga in het mapje staan door er dubbel op te klikken en maak een nieuw Google Document.

In dit document plaats je je geheime wachtwoord van Lastpass. Het document geef je een zelf verzonnen naam. Dat kan linksboven als je klikt op Naamloos document. Het mag ook weer elke naam zijn die je kunt verzinnen.Bij ons heet het document zitopslot. Kijk ook naar welke techniek wij hebben gebruikt voor het maken van een wachtwoord.

We moeten nu naar de app LockMagic. Deze staat al geïnstalleerd (binnen het edictum domein). Je kunt LockMagic starten via Nieuw.

Ga nu binnen LockMagic naar de map geheim.

In LockMagic gaan we het bestand versleutelen. Klik hiervoor op Action. Dit knopje komt tevoorschijn als je er met je muis overheen gaat. Klik vervolgens op Encrypt.

Vervolgens kom je in het volgende scherm. Hierin geef je alleen jezelf alle rechten. Dat staat vanzelf al ingesteld. Klik hierna op Encrypt & Save.

Het originele bestand gaan we nu verwijderen. Keer hiervoor terug naar Google Drive en ververs de pagina met de functieknop F5 (zit ongeveer boven de toets 5). Verwijder daarna met de rechtermuisknop het originele bestand.

Uiteindelijk hou je alleen het versleutelde bestand over.

Enige uitleg

Omdat we altijd aan de beheerder van edictum kunnen vragen om ons wachtwoord te resetten en omdat LockMagic nu gekoppeld zit aan jouw Google Drive kunnen we je wachtwoord achterhalen. Is dat nu veilig genoeg? Nee! Om het echt veilig te maken moeten we nog twee dingen doen:

1. We brengen het wachtwoord van Google Drive onder bij Lastpass en maken dit minimaal 15 tekens: hoofdletters, kleine letters, cijfers en tekens. Zo'n wachtwoord is nagenoeg onkraakbaar.
2. Voor beide diensten, dus Lastpass en Google Drive (of eigenlijk Google Suite) gaan we je account ook met je telefoon beveiligen. Dat leren we in de volgende les.

6. Multifactor voor Google Suite en Lastpass

We gaan je Google edictum account veiliger maken door een multifactor in te stellen. Ga hiervoor naar https://myaccount.google.com en zorg dat je bent ingelogd. Als Lastpass staat ingeschakeld dan negeren we meldingen van Lastpass.

Klik nu op Beveiliging en daarna op Authenticatie in twee stappen onder Inloggen bij Google in en vervolgens op Aan de slag.

Geef vervolgens nogmaals je wachtwoord op.

Klik nu op Kies een andere optie en daarna op Google prompt. Kijk goed naar onderstaande afbeelding hoe dit moet. Deze stap zorgt ervoor dat je alleen maar op Ja hoeft te drukken als je wilt inloggen. Dat is een stuk handiger dan telkens een code moeten overtypen.

Nu wordt het wat ingewikkelder. Als je een Android telefoon hebt volg je in onderstaande afbeelding de instructies voor deze telefoon binnen het groene kader. Voor een Iphone dien je de Google-app uit de app store te installeren. Voor een Android telefoon hoef je alleen je edictum account toe te voegen. Wees gerust, dit kun je veilig doen.

Als je geen toestemming hebt om een app te installeren dan mag je bij deze stap ook alleen je telefoonnummer opgeven. Je moet dan telkens de verstuurde code via SMS overtypen.

Hieronder een screenshot hoe je op een Android telefoon een account aanmaakt. Het is daarna een kwestie van je wachtwoord invullen.

Zodra je bent ingelogd en het account is tegoevoegd wordt de telefoon weergegeven als je de Google pagina ververst (F5).

Klik nu op Nu proberen . Je ziet het volgende scherm.

Als het goed is ga je de prompt op je telefoon krijgen. Druk op je telefoon op Ja.

Je moet nu nog een verplichte backupoptie instellen. Je krijgt daarvoor het volgende scherm.

Je krijgt op telefoon een SMS met een code. Deze moet je overnemen.

Zo gauw je de SMS-code hebt verzonden krijg je het laatste scherm om de Authenticatie in twee stappen daadwerkelijk in te schakelen.

En de authenticatie in twee stappen staat ingeschakeld. Niemand kan nu meer inloggen op jouw account zonder je telefoon.

7. Je wachtwoord wijzigen met behulp van Lastpass

De laatste stap is nu je wachtwoord wijzigen met behulp van Lastpass. Zorg er dus voor dat Lastpass is geïnstalleerd in Firefox en ga opnieuw naar https://accounts.google.com. Ga opnieuw naar Beveiligen en klik op Wachtwoord.

Bij de volgende uitleg krijg je tussendoor ook de Google prompt als je de vorige les hebt gedaan. Dat leggen we in deze les niet meer uit.

Als eerste geef je jouw oude wachtwoord (nog zonder Lastpass te gebruiken). Nadat je dit hebt gedaan zal Lastpass al meteen vragen of de website van Google mag worden toegevoegd aan je kluis. Klik hiervoor op Toevoegen.

Hierna laat je Lastpass het nieuwe wachtwoord invullen door op het kleine slotje te klikken. Voordat je dat doet stel je de opties in zoals in onderstaande afbeelding.

Klik daarna op Generate and fill en je zult zien dat Lastpass het wachtwoord automatisch zal invullen. Lastpass zal ook meteen vragen of het wachtwoord aangepast moet worden. Geef hiervoor toestemming.

Klik hierna op Wachtwoord wijzigen.

Hierna keer je terug naar de hoofdpagina en is het wachtwoord gewijzigd en staat het in Lastpass.

8. Dubbele authenticatie in Lastpass

Ook in Lastpass is het mogelijk om een dubbele authenticatie in te stellen. Dit gaat ongeveer op de manier zoals het in de vorige les is uitgelegd. Ga eerst naar de lastpasskluis via het lastpass icoontje. Klik hiervoor op Open my Vault.

Rechtsboven vind je de accountinstellingen. Open deze.

Via de tab Multifactor-opties kun je naar de Lastpass authenticator. Klik hiervoor op het pennetje.

Je ziet nu het volgende scherm. Wijzig het in onderstaande opties en klik op Bijwerken.

Tussendoor moet je opnieuw je wachtwoord opgeven.

Klik vervolgens op Activeren.

Vervolgens pak je nu je mobiele telefoon erbij. Ga naar Google Play of de App store en installeer de Lastpass Authenticator.

Je kunt nu de instructies volgen.

Als laatste stel je nog een reservemethode in voor als de app niet werkt of als je telefoon kapot gaat. Je kunt dan een SMS-code ontvangen op hetzelfde telefoonnummer (of eventueel op een ander telefoonnummer).

Nadat je de code die je via SMS hebt ontvangen, hebt ingevuld, kun je de multifactor authenticatie activeren.

Hierna moet het werken.