Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Software-update: LastPass 3.1.64 / 3.1.65

Door , 38 reacties, bron: LastPass

31-10-2014 • 13:10

38 Linkedin Google+

Bron: LastPass

LastPass logo (60 pix)Er is een nieuwe versie van LastPass uitgekomen. LastPass is een passwordmanager, die het eenvoudig maakt om op diverse websites in te loggen. Het programma is beschikbaar als plug-in voor de bekendere webbrowsers op Windows, Linux en OS X, en kan ook worden gebruikt om moeilijk te raden wachtwoorden te genereren. Mocht je op een 'vreemde' computer zitten, dan kun je altijd nog via de LastPass-website bij je wachtwoorden komen. Een premium-account, dat een dollar per maand kost, biedt extra functionaliteit en geeft ook toegang tot een versie die op een mobiel apparaat geïnstalleerd kan worden. Sinds versie 3.1.50 zijn de volgende veranderingen en verbeteringen aangebracht:

Version 3.1.64/3.1.65 - Chrome/Safari
  • Improved: More accurate filling for forms that use type=url for username.
  • Improved: Better shared folder error messages.
  • Improved: Better translations.
  • Fixed: Login on browser restart issue on Mac resolved.
Version 3.1.62/3.1.63 - Chrome/Safari
  • Improved: Better search capabilities through menu.
  • Improved: Passwords in Secure Notes Templates are now masked.
  • Improved: Better keyboard navigation in menu.
Version 3.1.60/3.1.61 - Chrome/Safari
  • Improved: New user workflow.
  • Fixed: Enterprise shared folder assignment to super admins.
  • Fixed: Hide linked personal account option to non-enterprise users.
Version 3.1.56/3.1.57 - September 9th 2014 Chrome/Safari
  • Improved: Better memory usage in vault when editing sites.
  • Fixed: Enterprise policy requiring minimum site password length.
Version 3.1.54/3.1.55 - Chrome/Safari
  • Fixed: Error when move site out of shared folder.
Version 3.1.54 - Firefox
  • Fixed: Use binary speedup for PBKDF2 calculations.
  • Fixed: Improve filling for login forms in iframes.
  • Fixed: Prevent duplicate credit card fill confirmations in child iframes.
  • Fixed: Searching from non-compact toolbar.
  • Fixed: Changing identity from toolbar.
Version 3.1.52/3.1.53 - Chrome/Safari
  • Fixed: Password Generator does not prematurely close.
  • Fixed: Add screenkeyboard option back to login dialog.
  • Fixed: Remember password warning now shows again.
  • Fixed: Prevent buttons from unnecessarily wrapping.

Versienummer 3.1.64 / 3.1.65
Releasestatus Final
Besturingssystemen Windows 7, Android, Linux, Windows XP, macOS, Windows Vista, iOS
Website LastPass
Download https://lastpass.com/misc_download.php
Licentietype Freeware/Betaald

Reacties (38)

Wijzig sortering
Ja het is een cloud dienst die het synchroniseren van je wachtwoordkluis over verschillende apparaten makkelijk(er) maakt.

Veel mensen vergeten dat de kluis niets anders is dan een encrypted bestand waarvan alleen jij de sleutel hebt. De kluis wordt via de cloud van lastpass gesynchroniseerd en lokaal weer decrypted bij gebruik. Natuurlijk kan de website van lastpass gehacked worden maar dan nog hebben ze er weinig aan.

Andere voorbeelden zijn Dashlane en 1Password. Bij juist gebruik allemaal net zo veilig/onveilig als een Keepass of homebrew oplossing.

Voor mensen die keepass gebruiken met dropbox als synchronisatiemiddel: conceptueel is dat eigenlijk precies wat Lastpass ook is.

Mensen die zich afvragen OF ze een password tool moeten gebruiken zijn verkeerd bezig. Kies er één die bij je past en je bent altijd beter af.
Ik gebruik keepass i.c.m. OneDrive. Het voordeel is dat ik de service en de storage van elkaar loskoppel; mocht keepass encryptie niet in goede handen blijken, dan weet ik dat OneDrive niet door Keepass ge-accesed kan worden tenzij IK dat wil.

Als mijn service en storage bij dezelfde provider zitten, zoals bij de lastpass cloud oplossing, is het mogelijk dat -mocht lastpass kwaad willen- ze er zo bij kunnen, en de encryptie ongedaan kunnen maken.
Op zich goed punt. Uiteindelijk kom het op vertrouwen neer. Niemand garandeert je dat in Keepass geen achterdeur zit. Hetzelfde geldt voor LastPass. Bij die laatste heb je natuurlijk heel wat uit te leggen als bedrijf indien zou blijken dat men er bij kan...

Ik ga er vanuit dat niemand dat belang heeft. Het gebruik van een zo'n tool is echter wel een vereiste en dat was ook mijn punt.
Niemand garandeert je dat in Keepass geen achterdeur zit.
Dat is niet helemaal waar; Dominik Reichl (de auteur van Keepass) doet juist erg zijn best dat wel te garanderen: zo is Keepass volledig open source, én OSI certified.

Overigens draagt Dominik zelf in zijn FAQ ook nog een aantal redenen aan waarom hij liever niet met een central internet database wil werken:

http://keepass.info/help/base/faq.html

Aan het einde van de pagina.
Dat is precies wat mensen niet begrijpen aan LastPass (en andere services).

Er is helemaal geen logica op de server of wachtwoorden die in geheugen worden gehouden. LastPass is exact hetzelfde als Keepass en doet alles lokaal. De encrypted database wordt in zijn geheel op de server gezet (net als jij in onedrive zou doen).

Als iemand toegang zou krijgen tot je computer met je Keepass database: zelfde probleem. Zonder je masterwachtwoord kun je er niets mee.
Als gebruiker van LastPass weet ik dat er natuurlijk risico's zijn aan het "online + password" in één zin.
Maar ik heb nu, voor elke site, forum, apparaat, login, kluis of wat dan ook een eigen, uniek, lang, menselijk onraadbaar password. Dát is denk ik altijd nog veiliger dan overal en nergens hetzelfde wachtwoord gebruiken.
LastPass is met DualFactorAuth. uit te voeren ( bijv yubikey ) en je kunt ook relatief eenvoudig apparaten beheren: specifiek toegang vanuit enkel je eigen land toestaan bijvoorbeeld, Tor uitsluiten etc. 100% veilig zal het nooit zijn, maar altijd nog veiliger dan een post-it onder je bureau met de naam van je huisdier erop. :-)

De hack (vermoedelijke hack) van LastPass in het verleden was natuurlijk schrikken, behalve dan dat de (preventieve) oplossing simpel was: Je hoofdwachtwoord wijzigen. Klaar. Ten tijde van de HeartBleedBug was het voor mij helemaal prettig: Alle sites waarvan bekend was dat deze getroffen waren, had ik binnen no-time voorzien van een nieuw, unienk, niet menselijk te raden, wachtwoord. Uberhaupt: de houdbaarheid *of beter leeftijd* van je wachtwoorden kan je aflezen, zodat je periodiek je wachtwoord kunt wijzigen, extreem oude logins gewoon niet vergeet en er is ook nog een beveiligings-challengde, waarbij 'gelijke wachtwoorden voor verschillende sites' of 'rainbowtable-simpele-wachtwoorden' worden voorzien van een waarschuwing.

Overigens: Ik ben blij dat er verschillende systemen bestaan ( KeePass, LastPass, en diverse anderen), omdat dit innocatie en concurrentie bevorderd.

[Reactie gewijzigd door JayPe op 31 oktober 2014 13:43]

Echt no-way dat ik al mijn wachtwoorden op een website van een derde partij ga zetten.
Zelf heb ik wel zitten denken om KeePass te gaan gebruiken. Alleen is er dan ook maar één wachtwoord nodig (namelijk dat van KeePass) om bij al je wachtwoorden te komen. Ik vraag me dus ook af in hoeverre deze tooltjes veilig zijn.
Er kan ook 2 factor authentication ingeschakeld worden met bijvoorbeeld Google authenticator of Yubikey.
Tsja, wat is je alternatief? Één wachtwoord overal gebruiken? Honderd wachtwoorden onthouden? Je wachtwoorden in een lokaal tekstbestandje? Op papier? Je eigen codering voor een bestandje verzinnen?
Het blijft allemaal een afweging tussen veiligheid van je account, veiligheid van je wachtwoordopslag en bruikbaarheid. LastPass en KeePass zijn wmb, net iets minder veilig dan op papier* maar zoveel bruikbaarder dat dat het risico (voor alles dat niet absoluut kritisch is) wel waard is.

* Mits je het papier enigszins veilig opslaat, dus niet aan je monitor maar in je portemonnee.

[Reactie gewijzigd door Bacchus op 31 oktober 2014 13:54]

Ik heb 1 128 bit wachtwoord die ik zelf makkelijk kan onthouden voor mijn keepass. Die gebruik ik echt nergens dan keepass. Verder laat ik alles Keepass genereren, zo zou ik dus echt niet in kunnen loggen op bijv mijn DigiD zonder Keepass..

Verder wordt er 2 x per dag een backup gemaakt naar 2 andere locaties van de keepass database.
Maar dan zit je dus wel steeds handmatig heen en weer te kopieren tussen KeePass en je browser. Het voordeel aan LastPass is dat dat dus niet meer hoeft.

In beide gevallen wordt de password database lokaal geëncrypt en ben jij de enige die het wachtwoord heeft waarmee de database kan worden gedecrypt. De geëncrypte database wordt in het geval van LastPass wel op de LastPass servers opgeslagen.
Dat kan, ikzelf doe dat wel maar er zijn ook plug-ins voor Keepass die via httpkeepass (andere plugin) babbelt met bijv chrome of Firefox.
Daar ben jezelf bij toch? Regelmatig dat ene wachtwoord veranderen kan. Maar ook je login-informatie over verschillende databases uitsmeren is een mogelijkheid.

Zelf heb ik Keepass zakelijk geintroduceerd een aantal jaren geleden bij mijn werkgever en inmiddels staan daar meer dan 2000 login's in. We kunnen niet meer zonder. Uiteraard word dat ene wachtwoord zeer regelmatig vervangen......
Het zal vast heel goed beveiligd zijn en het ziet er goed uit. Er is maar 1 reden waarom ik het niet gebruik, de woorden 'online' en 'passwords' bij elkaar. Als dit toch eens in het nieuws zou komen ivm een hack zijn de poppen aan het dansen.

Iemand een mening hierover ivm security? Hoe veilig is dit ten opzichte van offline keepass met dual factor yubikey?
De wachtwoorden worden versleuteld opgeslagen, en enkel lokaal gedecrypt doormiddel van de verschillende browser extensies. Dus in principe sla je je wachtwoorden niet online op, althans niet in een leesbaar formaat.

Echter ben ik het wel met je eens. Ik heb LastPass een tijd gebruikt, en was tevreden over de functionaliteit. Maar op den duur wordt je je toch bewust van het feit dat je je wachtwoorden uit handen geeft. Ik heb toen alle wachtwoorden verandert, en sinds dien gebruik ik 1Password.

Wat betreft de beveiliging, indien LastPass alles goed geïmplementeerd heeft is het net zo veilig als lokaal opslaan, mits je een goed wachtwoord hebt. Maar je kunt er simpelweg geen controle op uitoefenen, en dat is de reden waarom ik het zelf niet meer gebruik.
Er hangt inderdaad veel af van de kracht van de gebruikte encryptie.
1Password kan alle data die je veilig wilt houden over PC en devices syncen via o.a. Dropbox, of als je dat per se niet wilt ook over WiFi.
Ik was eigenlijk in de veronderstelling dat de gebrukte AES256 encryptie veilig was.

Voor mij ligt met name het grote voordeel dat ik zeer krachtige wachtwoorden kan laten genereren en geen enkel wachtwoord meer hoef te onthouden.
Dus ik zie het issue controle die jij dus mist als een voordeel. :-)
(Er is ook nog een read only mogelijkheid rechtstreeks via dropbox. Dus al zit je in Alaska en je hebt geen enkel devicve en je zou ergens willen inloggen (ok, dat is dan wel weer een security risk) dan kan je toch nog bij je wachtwoorden.
Er hangt inderdaad veel af van de kracht van de gebruikte encryptie.
1Password kan alle data die je veilig wilt houden over PC en devices syncen via o.a. Dropbox, of als je dat per se niet wilt ook over WiFi.
1Password kan inderdaad syncen via verschillende cloud providers, en als je dat aanzet zit je in principe in hetzelfde schuitje als bij LastPass, alhoewel Dropbox niet snel het doel zal zijn van een hack specifiek bedoeld voor 1Password.
Ik was eigenlijk in de veronderstelling dat de gebrukte AES256 encryptie veilig was.
AES is op papier veilig, in dien zin dat er geen bekende zwakheden zijn momenteel. Maar er zijn twee 'problemen', ten eerst is AES enkel een encryptie methode, je hebt nog allerlei andere methoden en technieken nodig om dit correct te gebruiken. Zo moet er een key worden afgeleid van je wachtwoord, en moet er een block modus gekozen worden.

Ten tweede, alhoewel AES en veel andere crypto primitieven op papier veilig zijn kan er altijd in de implementatie een fout zitten. Als jij het veiligste slot ter wereld in een kartonnen deur zet, lopen de inbreken alsnog zo naar binnen.

Beide zorgen ervoor dat je op basis van het algoritme alleen niet kunt stellen dat iets veilig is of niet. AES-256 klinkt heel veilig, maar het zegt simpelweg niets.
Voor mij ligt met name het grote voordeel dat ik zeer krachtige wachtwoorden kan laten genereren en geen enkel wachtwoord meer hoef te onthouden.
Dus ik zie het issue controle die jij dus mist als een voordeel. :-)
(Er is ook nog een read only mogelijkheid rechtstreeks via dropbox. Dus al zit je in Alaska en je hebt geen enkel devicve en je zou ergens willen inloggen (ok, dat is dan wel weer een security risk) dan kan je toch nog bij je wachtwoorden.
Het genereren van sterke wachtwoorden en deze beschikbaar maken met een enkel master password wordt door alle password managers gedaan, dat is het hele idee.

Uiteindelijk is het natuurlijk een kwestie van kosten en baten. Als jij veilige unieke wachtwoorden gebruikt, en die versleuteld opslaat ben je al een stuk beter beveiligd dan Joe Average. Het gros van de 'hackers' zijn opportunistisch, dus die gaan net als de zakkenrollers voor de aap die op alle websites 'password' als wachtwoord gebruikt, in die zin hoef je enkel te zorgen dat jouw wachtwoorden beter zijn dan die van de massa.

Aan de andere kant, als iemand een password manager gaat hacker kun je er donder op zeggen dat dat LastPass of een vergelijkbare online service is.
Ik gebruik geen online en offline password geheugen steuntjes. Hierdoor moet ik alle wachtwoorden onthouden.

Als een website mijn password niet accepteert probeer ik andere passwords (die ik voor andere diensten gebruik) die dus worden verzonden naar een mogelijk kwaadwillende site. Daarnaast is er het risico dat ik hetzelfde of vergelijkbare passwords gebruik voor verschillende sites. Tja, of dat opweegt tegen een tool of site die mogelijk gehackt kan worden. Tja, ik denk er nog even overna. Alles wachtwoorden uitprinten of misschien ergens laten tatoeren? 'Ieder nadeel heb zijn voordeel'

Misschien dit leuke apparaatje kopen:

http://www.sharperimage.c...uct/Password-Vault/201776
Dus je gebruikt hetzelfde wachtwoord meerdere keren? Lijkt me ook niet bepaald veilig. En dan erbij lijkt me niet dat je een wachtwoord van 100 moeilijke tekens kan onthouden, laat staan meerdere. In mijn inziens is dan een offline password manager zoals keepass veiliger (eventueel met keyfile of yubikey voor extra veiligheid)

[Reactie gewijzigd door bas-p1992 op 31 oktober 2014 15:32]

precies mijn punt!
Dat is inderdaad het vervelende, een wachtwoord kun je elders bewaren maar kun je niet terug nemen alleen veranderen. Een huissleutel kun je ergens bewaren en later weer mee terug nemen. Die kan dan ook wel weer nagemaakt worden maar dan heb je het nog wat beter in eigen hand.

Bij voorbaat gebruik ik dit soort diensten niet, met tools zoals keepass etc ben ik ook voorzichtig.
En ja het zal vast wel veilig zijn maar het gaat om die ene keer dat het niet veilig is.
LastPass ondersteunt meerdere soorten 2factor authentication. Daarnaast vind en/decryptie bij jezelf plaats voordat de boel hun kant opgaat. Groot voordeel is dat je het overal kan benaderen (prima apps!)
Ik gebruik LastPass voor bijna elke website en account die ik heb. Ik vind het geweldig.

Ik heb echter wel 1 mail adres die ik niet manage met LastPass en ook een volledig uniek wachtwoord heeft. Dat mail adres is toevallig de ene waarmee ik indirect of direct al mijn wachtwoorden kan recoveren. Dit is mijn back-door voor het geval dat alles op straat beland. Ik schat die kans echter heel erg klein in.
Ben heel tevreden van deze dienst. Velen vinden het hier niet veilig omdat het online is, maar gebruiken dan wel dropbox of iets dergelijks om hun paswoordenkluis van een andere programma online te bewaren (waardoor men dus exact hetzelfde doet als wat met lastpass in één dienst kan)
Die doen dat vaak versleuteld
Kijk anders even je informatie na voordat je maar wat roept: De LastPass kluis wordt ook encrypted op de LastPass-server gezet.
En LastPass ook bij jezelf lokaal, maar dan in hun software:
https://helpdesk.lastpass...ion/why-is-lastpass-safe/
Daarbij opmerkend dat ze dit zelf vrijwel direct hebben gemeld, direct maatregelen hebben genomen (bijv geen inlog vanaf vreemd ip) en dat het altijd nog afhangt van je eigen gekozen wachtwoord hoe "hackbaar" de rest was (if at all).

Dit in tegenstelling tot sommigen die het pas 3 jaar later melden:
http://nakedsecurity.soph...s-3-year-old-data-breach/
Is dit een beter/geprefereerd alternatief voor een programma als KeePass?
Ik ben nog verschillende zaken aan het uitproberen.
Keepass. Lokaal opslaan en dat werkt uitmuntend.
Ik heb mijn KeePass database op Google Drive staan om hem te synchroniseren tussen al mijn apparaten en deze is alleen te openen als je het wachtwoord weet en de beschikking heb over de keyfile.
Ik gebruik pwSafe op mijn iPhone, iPads en MacBook Pro. Synchronisatie via iCloud. pwSafe is compatibel met password safe bestanden. Dropbox sunchronisatie is een betaalde optie.
Ik ben opzoek naar een password manager. Echter gebruik ik Thunderbird, en tot zover heb ik niets kunnen vinden dat bevestigt of dat LastPass en 1Password met een email client zoals TB kunnen werken. Altans als ik niets over het hoofd heb gezien (ik las dat LastPass het 'in de planning' heeft staan om op dit front uit te breiden, maar dat was inmiddels 2012 iirc). KeePass schijnt Thunderbird wel te ondersteunen door de KeeFox addon. Heeft iemand met dit laatste ervaring?

[Reactie gewijzigd door PostHEX op 1 november 2014 10:02]

Wat heeft een password manager met een email client te maken? Op je email client log je 1x in, en daarna ben je er klaar mee. Lijkt me niet veel toegevoegde waarde hebben om dat te koppelen.

Een password manager moet met je browser integreren, zodat je als je een website bezoekt automatisch kan worden ingelogd.
Omdat je wachtwoorden in je client niet automatisch mee veranderen als je op je email provider's site de wachtwoorden voor je accounts wijzigt?
Nee, maar ik neem aan dat je dat niet dagelijks doet? Dat is normaal gesproken een sporadische gebeurtenis. Dan zoek je het password op in je password manager, en vul je het weer in in je email client.

Je voert misschien maximaal een paar keer per jaar je wachtwoord in, in je email client. Maar vele honderden keren per jaar je wachtwoorden op allerlei websites in je browser. En daar integreert je password manager dus wel mee. :)
Let wel, 45 email accounts. :D

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*