Lastpass gehackt

Servers doen het weer wat beter nu, heb mijn masterpaswoord aan kunnen passen.

Twee tips nog, die hier op een techforum misschien overbodig zijn maar die ik toch even mee wil geven. Nadat je je masterpaswoord heb gewijzigd.

1: Met de google authenticator app kun je twee staps verificatie inschakelen.
2: Ga naar je account settings en zet vinkjes bij niet in kunnen loggen via Tor en alleen inloggen vanuit bepaalde landen.

Zo, nu ga ik een kopje kamillethee drinken, ff bijkomen van de schrik

[ Voor 8% gewijzigd door martijnm71 op 15-06-2015 23:05 ]

Ik moest het ook vernemen via Lifehacker. Vind het wel jammer dat ik dit via een nieuwssite moet vernemen in plaats van per mail - zeker als betalende klant.

LastPass Security Notice
[...] If you have a weak master password or if you have reused your master password on any other website, please update it immediately. Vervolgens replace the passwords on those other websites.

Wie reused nou zijn mpw? Die van mij is vrij sterk, maar ga hem toch maar wijzigen. Better safe than sorry.

JanvdVeer schreef op maandag 15 juni 2015 @ 23:26:
Ik moest het ook vernemen via Lifehacker. Vind het wel jammer dat ik dit via een nieuwssite moet vernemen in plaats van per mail - zeker als betalende klant.


[...]

Wie reused nou zijn mpw? Die van mij is vrij sterk, maar ga hem toch maar wijzigen. Better safe than sorry.

Je wilt denk ik niet weten hoeveel mensen dat nog doen...

Schijnt dat de mail wel degelijk is verstuurd maar dat het in fases naar alle klanten gaat. Hier ook nog niks gehad, wel meteen masterpassword gewijzigd. En thanks martijnm71 ook maar landenblock aangezet. ( had al multifactor)

Graag gedaan

Even kijken, waar kun je Google Authenticator instellen?
>> Accountinstellingen >> multifactor
Ik gebruik een papiertje met een matrix. Is dat even sterk?

[ Voor 14% gewijzigd door Eusebius op 15-06-2015 23:38 ]

Eusebius schreef op maandag 15 juni 2015 @ 23:37:
Even kijken, waar kun je Google Authenticator instellen?
>> Accountinstellingen >> multifactor
Ik gebruik een papiertje met een matrix. Is dat even sterk?

Een papiertje met een matrix, wat moet ik me daar bij voorstellen?

In de opties voor meervoudige aanmelding kun je ook een matrix laten aanmaken met een random code. Bij het inloggen vanaf een nieuwe lokatie krijg je dan 4 coördinaten waarbij je de corresponderende tekens moet invoeren. D4 is dan bijvoorbeeld 7, X9 Q.

En nee, ik ga geen plaatje van die van mij posten ;-)

Seriously, dat er nog mensen zijn zonder 2FA. Juist op een honeypot als LastPass
Anyway, niet dat dat je gaat redden als ze de data uit de vaults hebben en die kunnen decrypten. Heb daar een hele tijd terug eens een uitgebreid stuk over gelezen, over hoe die gesplitst en encrypted was. Iemand met info hierover?

UltraSub schreef op dinsdag 16 juni 2015 @ 09:12:
Juist op een honeypot als LastPass

Ik denk niet dat LastPass een honeypot is
AFAIK bedoelen ze met honeypot meestal een "nep" doel, dus iets waar je heel makkelijk in komt, om je te betrappen.

Lastpass is meer de jackpot.
Je zou verwachten dat lastpass zijn zaakjes goed op orde heeft.

Ik begrijp mensen ook niet.. Cloud diensten zijn erg interessant voor hackers omdat alle gegevens op 1 plek staan. Waarom zou je in godsnaam al je wachtwoorden bij een cloud dienst willen plaatsen... Wat moet er nog meer gebeuren voordat iedereen door heeft dat de opslag van persoonlijke gegevens in de cloud digitale zelfmoord is..

maniak schreef op dinsdag 16 juni 2015 @ 09:57:
Ik begrijp mensen ook niet.. Cloud diensten zijn erg interessant voor hackers omdat alle gegevens op 1 plek staan. Waarom zou je in godsnaam al je wachtwoorden bij een cloud dienst willen plaatsen... Wat moet er nog meer gebeuren voordat iedereen door heeft dat de opslag van persoonlijke gegevens in de cloud digitale zelfmoord is..

Omdat je het ook niet veilig is om al je 400 verschillende wachtwoorden ergens anders op te slaan... Of wil je die allemaal onthouden. Wij werken ook met LastPass (Webdevelop/hosting bedrijf), en ik vraag me af of er een alternatief voor is.. Vooral als je verschillende medewerkers ook moeten kunnen inloggen voor ftp gegevens etc.

Uiteraard is een goed masterpassword en 2FA verplicht ;-)

Rann schreef op dinsdag 16 juni 2015 @ 10:04:
[...]


Omdat je het ook niet veilig is om al je 400 verschillende wachtwoorden ergens anders op te slaan... Of wil je die allemaal onthouden. Wij werken ook met LastPass (Webdevelop/hosting bedrijf), en ik vraag me af of er een alternatief voor is.. Vooral als je verschillende medewerkers ook moeten kunnen inloggen voor ftp gegevens etc.

Uiteraard is een goed masterpassword en 2FA verplicht ;-)

Ik gebruik zelf Keepass, gewoon lokaal opgeslagen wachtwoorden. Door middel van BTSync (https://www.getsync.com ) wordt het database bestand up2date gehouden op al mijn devices.

jeroen3 schreef op dinsdag 16 juni 2015 @ 09:33:
Lastpass is meer de jackpot.
Je zou verwachten dat lastpass zijn zaakjes goed op orde heeft.

Perfecte security bestaat niet en de hacker hoeft maar 1 gaatje te vinden. En in zekere zin heeft de beveiliging op zich natuurlijk best goed gewerkt:

- behalve emailadressen zijn er enkel hashes en salts gestolen van de masterpasswords. Gezien de gebruikte hashing technieken is dat geen grote ramp, tenzij je een te makkelijk wachtwoord gebruikte (en vandaar ook de oproep het master password aan te passen)
- de daadwerkelijke data (opgeslagen wachtwoorden) is veilig gebleven.
- en last but not least: blijkbaar hebben ze de hack zelf ontdekt en netjes naar buiten gebracht.

Ik wil wel Multifactor inschakelen maar ik krijg een error bij Google authenticator bij openen. Zijn er nog andere te vertrouwen alternatieven?

Orion84 schreef op dinsdag 16 juni 2015 @ 10:08:
[...]

Perfecte security bestaat niet en de hacker hoeft maar 1 gaatje te vinden. En in zekere zin heeft de beveiliging op zich natuurlijk best goed gewerkt:

- behalve emailadressen zijn er enkel hashes en salts gestolen van de masterpasswords. Gezien de gebruikte hashing technieken is dat geen grote ramp, tenzij je een te makkelijk wachtwoord gebruikte (en vandaar ook de oproep het master password aan te passen)
- de daadwerkelijke data (opgeslagen wachtwoorden) is veilig gebleven.
- en last but not least: blijkbaar hebben ze de hack zelf ontdekt en netjes naar buiten gebracht.

Ze kunnen niet anders zeggen dat de daadwerkelijk data veilig is gebleven anders kan het bedrijf zichzelf opdoeken. Ik zou er niet op vertrouwen. Tevens vind ik dat de communicatie ronduit slecht is geweest. De hack was vrijdag al en maandag kon er niet meer af dan een blog op hun eigen site die niemand leest.

Heb afgelopen nacht ook bericht gekregen van de hack, maar niks anders dan hulde voor de manier van handelen van Lastpass. Alles wat verbonden is met het internet lijkt keer op keer kraakbaar, en dit is geen uitzondering. Echter voel ik me alleen maar veiliger nu ik weet dat dit soort zaken op een goede manier wordt afgehandeld.

Rann schreef op dinsdag 16 juni 2015 @ 10:16:
[...]
Leuk voor lokaal, maar zakelijk waarbij ook mensen thuis werken, niet erg praktisch.

Hoezo? BTSync is niet gebonden aan een lokaal netwerk. Als ik hier een wachtwoord toevoeg wordt ie netjes gesynced met mijn PC op mijn werk als ik die aanzet (en andersom).

Maar goed... Ik snap dat je deze wachtwoord bestanden niet wilt rond slingeren. Maar de oplossing zoeken in een cloud dienst is in mijn optiek not done.

[ Voor 47% gewijzigd door maniak op 16-06-2015 10:30 ]

Kapitein187 schreef op dinsdag 16 juni 2015 @ 10:08:
Ik wil wel Multifactor inschakelen maar ik krijg een error bij Google authenticator bij openen. Zijn er nog andere te vertrouwen alternatieven?

Ik gebruik de laatste optie, de matrix. Krijg je een afbeelding die je kunt printen.

Nu dit gebeurd is realiseer ik mij dat ik beter keepass kan gebruiken. Ik gebruik de passwordmanager maar op één device (pc thuis), dus de mobiliteit van lastpass heb ik niet nodig. Dan toch verstandiger om iets als keepass te gebruiken

Voor het delen van wachtwoorden over meerdere apparaten zul je toch altijd extra instanties moeten vertrouwen.
Ik zie niet in hoe het gebruik van keepas met btsync/dropbox/icloud/onedrive/owncloud dit veranderd t.o.v. lastpass.

Het risico zal nooit 0% zijn.

jeroen3 schreef op dinsdag 16 juni 2015 @ 10:50:
Voor het delen van wachtwoorden over meerdere apparaten zul je toch altijd extra instanties moeten vertrouwen.
Ik zie niet in hoe het gebruik van keepas met btsync/dropbox/icloud/onedrive/owncloud dit veranderd t.o.v. lastpass.

Het risico zal nooit 0% zijn.

Je hebt de encryptie dan helemaal zelf in de hand en er is geen centrale interessante database met userdata en masterpassword hashes om aan te vallen. Dus tenzij men specifiek jou moet hebben en jouw dropbox gaat proberen te hacken, is het waarschijnlijk wel iets veiliger om het met keepass te doen.

Een zeer tevreden LastPass klant hier, naast de extra beveiligingsmaatregelen die LastPass heeft genomen prijs ik ook de openheid van zaken.

Verder raad ik elke LastPass klant aan om dit heel goed stukje heel goed door te lezen en ook door te voeren:

However, if you have reused your master password on any other website, you should replace the passwords on those other websites.
Because encrypted user data was not taken, you do not need to change your passwords on sites stored in your LastPass vault. As always, we also recommend enabling multifactor authentication for added protection for your LastPass account.

Zie ook: https://blog.lastpass.com...ass-security-notice.html/

Verder voor wie net als ik een hekel heeft aan Google Authenticator. Authy is een heel goed gratis alternatief:

https://www.authy.com/

Google Play: Authy 2-Factor Authentication

Serieus ook die discussie weer overal op het net dat het ook dom is om al je wachtwoorden in een cloud te bewaren. Kan er eigenlijk alleen nog maar om lachen. Lekker inderdaad zelf regelen, de 5 wachtwoorden die je voor al je sites hebt. En trojans/malware, neu, die komen echt niet aan je password manager van firefox/chrome/safari/internet explorer. Echt niet. Of aan je lokaal opgeslagen encrypted database van bijvoorbeeld een Keepass.

Versus... Een bedrijf wat er zijn bestaan van heeft gemaakt om de hele dag bezig te zijn met security en lekken. En monitoring daarop. Serieus, verdiep je eens in wat ze precies doen aan security, en hoe transparant en snel ze daarop reageren. Goh, 2 dagen gewacht met communiceren. Om alles goed uit te zoeken. Versus Paypal, eBay, Dropbox die maanden lang hun mond dicht hielden.

No pun intended richting mensen hier hoor, meer richting de mensen die op internet weer vanalles roepen.

/edit

rounds = user_rounds || 5000 // the iteration count is user-defined. default is 5k
encryption_key = PBKDF2(HMAC-SHA256, password, salt, rounds) // this is what unlocks your vault
auth_key = sha256(encryption_key) // this is what is sent to the server for authentication
server_hash = PBKDF2(HMAC-SHA256, auth_key, salt, 100000) // this is what is stored in the auth db

So the full algorithm for the password stored in the database, which is what the attackers obtained, is:

PBKDF2(HMAC-SHA256, sha256(PBKDF2(HMAC-SHA256, password, salt, rounds)), salt, 100000)

Ain't nobody got time for that.

Zelf overigens iteration op 20.000 staan.

[ Voor 30% gewijzigd door UltraSub op 16-06-2015 11:42 ]

UltraSub schreef op dinsdag 16 juni 2015 @ 11:34:
Serieus ook die discussie weer overal op het net dat het ook dom is om al je wachtwoorden in een cloud te bewaren. Kan er eigenlijk alleen nog maar om lachen. Lekker inderdaad zelf regelen, de 5 wachtwoorden die je voor al je sites hebt.

Tja en toch hebben ze een goed punt. Dit is ook niet de eerste keer dat er iets bij Lastpass aan de hand is. Verder generaliseer je behoorlijk. Je kunt ook zonder gebruik van een cloud oplossing op elke site een ander wachtwoord gebruiken. Malware etc is ook bij Lastpass een risico en dit kun je tot op zekere hoogte ondervangen door goede backup procedures.

. Een bedrijf wat er zijn bestaan van heeft gemaakt om de hele dag bezig te zijn met security en lekken.

Je bedoelt hier waarschijnlijk vs een bedrijf waarvan de core business is om geld te verdienen met het opslaan van andermans credentials en hiermee direct een high value target is. Er spelen ook andere zaken bij cloud oplossingen zoals de Patriot Act en soortgelijke initiatieven; gebrek aan transparantie etc.

Misschien toch maar eens kijken naar KeePass.

Heeft KeyPass eigenlijk ook browserextensies en mogelijkheid tot synchronisatie (via een clouddienst of iets dergelijks)?

Wat ik tot nu toe opvallend positief vind is de wijze van communiceren van Lastpass in dit geval. Aan de andere kant; je weet nooit of het klopt dat er geen echte data (opgeslagen wachtwoorden) buit is gemaakt totdat ze wellicht op eens wel worden gebruikt ergens. Het punt bij een hack welke direct gevolgen heeft voor de core business van een bedrijf (in dit geval wachtwoord opslag) is dat het wel eens de nekslag kan zijn wanneer dit naar buiten komt.

Compizfox schreef op dinsdag 16 juni 2015 @ 12:18:
Misschien toch maar eens kijken naar KeePass.

Heeft KeyPass eigenlijk ook browserextensies en mogelijkheid tot synchronisatie (via een clouddienst of iets dergelijks)?

Voor firefox is er de keefox extensie, en synhronisatie is mogelijk via Dropbox, owncloud, btsync, ... Eigenlijk alle cloud diensten...

Bor schreef op dinsdag 16 juni 2015 @ 12:26:
Wat ik tot nu toe opvallend positief vind is de wijze van communiceren van Lastpass in dit geval. Aan de andere kant; je weet nooit of het klopt dat er geen echte data (opgeslagen wachtwoorden) buit is gemaakt totdat ze wellicht op eens wel worden gebruikt ergens. Het punt bij een hack welke direct gevolgen heeft voor de core business van een bedrijf (in dit geval wachtwoord opslag) is dat het wel eens de nekslag kan zijn wanneer dit naar buiten komt.

Hebben ze bij hun eerste hack niet direct het lek gedicht en aangegeven dat iedereen alle wachtwoorden in zijn vault moest wijzigen? Wat ik bedoel: toen gaven ze wel aan dat er vault data was verdwenen, zou je nu toch ook weer kunnen verwachten dat ze het aan zouden geven...
Maar ja, inderdaad, zeker weten doe je het nooit

Bor schreef op dinsdag 16 juni 2015 @ 12:14:
Dit is ook niet de eerste keer dat er iets bij Lastpass aan de hand is.

Maar LastPass meldt het ook effectief, misschien houden andere bedrijven dat in zo'n situatie stil.

jeroen3 schreef op dinsdag 16 juni 2015 @ 10:50:
Voor het delen van wachtwoorden over meerdere apparaten zul je toch altijd extra instanties moeten vertrouwen.
Ik zie niet in hoe het gebruik van keepas met btsync/dropbox/icloud/onedrive/owncloud dit veranderd t.o.v. lastpass.

Het risico zal nooit 0% zijn.

Ik gebruik ook KeePass maar zonder een cloud sync tool, maak gewoon een VPN connectie naar mijn omgeving en kan dan pas de KeePass file benaderen, volgens mij is dat redelijk safe vooral als ik kijk naar andere scenario's.

[ Voor 6% gewijzigd door Hari-Bo op 16-06-2015 13:55 ]

martijnm71 schreef op maandag 15 juni 2015 @ 23:02:
Servers doen het weer wat beter nu, heb mijn masterpaswoord aan kunnen passen.

Twee tips nog, die hier op een techforum misschien overbodig zijn maar die ik toch even mee wil geven. Nadat je je masterpaswoord heb gewijzigd.

1: Met de google authenticator app kun je twee staps verificatie inschakelen.
2: Ga naar je account settings en zet vinkjes bij niet in kunnen loggen via Tor en alleen inloggen vanuit bepaalde landen.

Zo, nu ga ik een kopje kamillethee drinken, ff bijkomen van de schrik

Ik gebruik Lastpass met mfa. Nu vond ik je tweede tip ook erg handig, maar die kan ik niet vinden in mijn account settings. Kun je dit iets verder toelichten?

Advanced settings even open klikken

Man man man....Ik zat the kijken bij advanced tools ipv advance settings.


(nou is de webUI ook niet super overzichtelijk, maar toch...)

* BiggyB gaat zich schamen

maniak schreef op dinsdag 16 juni 2015 @ 09:57:
Ik begrijp mensen ook niet.. Cloud diensten zijn erg interessant voor hackers omdat alle gegevens op 1 plek staan. Waarom zou je in godsnaam al je wachtwoorden bij een cloud dienst willen plaatsen... Wat moet er nog meer gebeuren voordat iedereen door heeft dat de opslag van persoonlijke gegevens in de cloud digitale zelfmoord is..

Dit dus maar op je pc bewaren is net zo onveilig. Mijn advies is om helemaal niet aan te beginnen. Wachtwoordmanagers zijn makkelijk maar een enorm risico want als je het kraken of bemachtigen hebben ze ook gelijk alles. Al je wachtwoorden en inlognamen en nog erger, waar ze gebruikt.

Het is beter om zelf 10 wachtwoorden te onthouden en voor onzinnige sites mag je ze ook best dubbel gebruiken, het zijn de belangrijke zaken waar je een uniek en sterk wachtwoord voor nodig hebt.

Terrestrial schreef op dinsdag 16 juni 2015 @ 18:11:
[...]


Dit dus maar op je pc bewaren is net zo onveilig. Mijn advies is om helemaal niet aan te beginnen. Wachtwoordmanagers zijn makkelijk maar een enorm risico want als je het kraken of bemachtigen hebben ze ook gelijk alles. Al je wachtwoorden en inlognamen en nog erger, waar ze gebruikt.

Het is beter om zelf 10 wachtwoorden te onthouden en voor onzinnige sites mag je ze ook best dubbel gebruiken, het zijn de belangrijke zaken waar je een uniek en sterk wachtwoord voor nodig hebt.

Dat valt reuze mee, sowieso is mijn 1 pc niet erg interessant voor hackers, kost in verhouding veel meer tijd (en geld) om mij te hacken en dan handmatig alle records in een programma als Keepass 1 voor 1 door te nemen en in een database oid te stoppen dan om een database van een clouddienst met duizenden (of meer) gebruikers in een keer te doen.
Als een hacker net zoveel moeite doet om mij te hacken als dat die moeite zou doen voor de Lastpass servers komt die er altijd wel in, of dat nou is omdat diegene een passwordkluis kraakt of social engineering of keyloggers gebruikt, maar in een realistische situatie zal je een stuk veiliger zijn met een lokale passwordkluis (niet dat online onveilig is)

Terrestrial schreef op dinsdag 16 juni 2015 @ 18:11:
[...]


Dit dus maar op je pc bewaren is net zo onveilig. Mijn advies is om helemaal niet aan te beginnen. Wachtwoordmanagers zijn makkelijk maar een enorm risico want als je het kraken of bemachtigen hebben ze ook gelijk alles. Al je wachtwoorden en inlognamen en nog erger, waar ze gebruikt.

Het is beter om zelf 10 wachtwoorden te onthouden en voor onzinnige sites mag je ze ook best dubbel gebruiken, het zijn de belangrijke zaken waar je een uniek en sterk wachtwoord voor nodig hebt.

Ten eerste lastpass is in combinatie met yubikey en masterkey "veilig" omdat de hackers mijn yubikey niet hebben of visa versa! Ten tweede is mijn second id google autenticator als yubikey niet werkt ten derde van alle heel belangrijke sites heb ik niet in last pass staan (banken etc) maar hebben een uniek keypass. In last pass staan alleen duizenden "kan me weinig schelen sites als ze gehackt worden" in!
Ik heb alleen 5 hoofdwachtwoorden voor 5 belangrijkste software en met dubbele autenticatie! pin of google of sms!

Maar keepass heeft geen yubikey anders had ik die gebruikt!

paranoia68 schreef op dinsdag 16 juni 2015 @ 18:47:
[...]
Maar keepass heeft geen yubikey anders had ik die gebruikt!

Hebben ze wel:

spone schreef op dinsdag 16 juni 2015 @ 19:29:
[...]

Hebben ze wel:
[afbeelding]

Dat is geen keepass dat is een afbeelding van lastpass!

Whoops, overheen gelezen
_{Wat doe je dan ook in een lastpass topic}

Maar volgens deze pagina http://keepass.info/help/kb/yubikey.html (met name het stukje helemaal onderaan) lijkt het me wel dat er enige vorm van koppeling is?

[ Voor 50% gewijzigd door spone op 16-06-2015 20:03 ]

paranoia68 schreef op dinsdag 16 juni 2015 @ 18:47:
[...]


Ten eerste lastpass is in combinatie met yubikey en masterkey "veilig" omdat de hackers mijn yubikey niet hebben of visa versa! Ten tweede is mijn second id google autenticator als yubikey niet werkt ten derde van alle heel belangrijke sites heb ik niet in last pass staan (banken etc) maar hebben een uniek keypass. In last pass staan alleen duizenden "kan me weinig schelen sites als ze gehackt worden" in!
Ik heb alleen 5 hoofdwachtwoorden voor 5 belangrijkste software en met dubbele autenticatie! pin of google of sms!

Maar keepass heeft geen yubikey anders had ik die gebruikt!

De yubikey zorgt er alleen voor dat de authenticatie veiliger wordt, dat wil niet zeggen dat de lastpass database met je wachtwoorden niet gehackt kan worden. Het hele idee om alles samen in 1 database te zetten blijf ik een slecht plan vinden.

Terrestrial schreef op dinsdag 16 juni 2015 @ 20:03:
[...]
Het hele idee om alles samen in 1 database te zetten blijf ik een slecht plan vinden.

Heb jij dan een makkelijke, veilige optie om de inloggegevens voor zo'n 300 sites die nu allemaal met een sterk wachtwoord beveiligd zinn en die ik niet wekelijks bezoek maar wel voor mijn werk nodig heb op te slaan?

Jester-NL schreef op dinsdag 16 juni 2015 @ 20:18:
[...]

Heb jij dan een makkelijke, veilige optie om de inloggegevens voor zo'n 300 sites die nu allemaal met een sterk wachtwoord beveiligd zinn en die ik niet wekelijks bezoek maar wel voor mijn werk nodig heb op te slaan?

en hoeveel van die 300 sites zijn daadwerkelijk belangrijk. psies maar een stuk of 5-6. kortom met 10 sterke wachtwoorden kun je prima uit de voeten. Ja dan gebruik je sommige wachtwoorden dubbel maar dan is de kans nog altijd kleiner dat als er eentje uitlekt ze er wat mee kunnen dan als je al je belangrijke wachtwoorden en de plaats waar jij ze gebruikt jatten.

Zo moeilijk is het toch niet te begrijpen?

Terrestrial schreef op dinsdag 16 juni 2015 @ 20:21:
[...]


en hoeveel van die 300 sites zijn daadwerkelijk belangrijk. psies maar een stuk of 5-6. kortom met 10 sterke wachtwoorden kun je prima uit de voeten. Ja dan gebruik je sommige wachtwoorden dubbel maar dan is de kans nog altijd kleiner dat als er eentje uitlekt ze er wat mee kunnen dan als je al je belangrijke wachtwoorden en de plaats waar jij ze gebruikt jatten.

Zo moeilijk is het toch niet te begrijpen?

Precies ik gebruik 290 sites (onbelangrijk) met lastpass in combi met yubikey en 10 sites een uniek wachtwoord!

Hoeveel van die sites zijn "werkelijk van belang"?
Tja... Ik werk voor een bedrijf dat nogal wat domeinnamen verkoopt. Eigenlijk geen enkele... want API-koppeling. En als het mis gaat dan is er natuurlijk maar een beperkt aantal dat vaker voorkomt, en de rest is exotisch.

Met andere woorden: ze zijn ALLEMAAL van belang. Het is natuurlijk volkomen onnozel om dit soort vragen te stellen over zakelijke inloggegevens...

Het zit hem ook niet in hoe "belangrijk" website zijn. Het zit in de gevolgschade.
Paypal, eBay, de bank en E-Mail hebben allemaal een hoge factor voor directe gevolgschade en zitten dus niet in lastpass.
Tweakers heeft niet een erg hoog risico tot gevolgschade. Als je een ban of imagoschade niet zo erg vind.