Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 25 reacties
Bron: LastPass

LastPass logo (60 pix)Er is een nieuwe versie van LastPass uitgekomen. LastPass is een passwordmanager, die het eenvoudig maakt om op diverse websites in te loggen. Het programma is beschikbaar als plug-in voor de bekendere webbrowsers op Windows, Linux en OS X, en kan ook worden gebruikt om moeilijk te raden wachtwoorden te genereren. Mocht je op een 'vreemde' computer zitten, dan kun je altijd nog via de LastPass-website bij je wachtwoorden komen. Een premium-account, dat een dollar per maand kost, biedt extra functionaliteit en geeft ook toegang tot een versie die op een mobiel apparaat geïnstalleerd kan worden. Sinds versie 3.1.74 / 3.1.75 zijn de volgende veranderingen en verbeteringen aangebracht:

Version 3.1.77 - Firefox
  • New: Automatically Change your Passwords now supports sites with multifactor and captchas.
  • New: Use existing master password length when automatically changing password (if user has a strong current password).
  • Fixed: Download missing attachments individually from server if missing locally.
  • Improved: Vault UI/UX simplifications.
  • New: Attachment name now shown in secure notes.
Version 3.1.76/3.1.77 - Chrome/Safari
  • New: Automatically Change your Passwords now supports sites with multifactor and captchas.
  • New: Use existing master password length when automatically changing password (if user has a strong current password).
  • Fixed: Download missing attachments individually from server if missing locally.
  • Fixed: Remove attachment fixed.
  • Fixed: Prevent exception during capturing new site that prevented prompt to save.

LastPass screenshot (620 pix)

Versienummer:3.1.77
Releasestatus:Final
Besturingssystemen:Windows 7, Android, Linux, Windows XP, macOS, Windows Vista, iOS, Windows Phone, Blackberry OS, Windows 8
Website:LastPass
Download:https://lastpass.com/misc_download.php
Licentietype:Bundleware
Moderatie-faq Wijzig weergave

Reacties (25)

Grappig die discussie altijd over veiligheid en privacy. Wel zeer relevant natuurlijk. Ik ga er altijd vanuit dat alles wat je in de cloud zet, nooit veilig is. Een 100% beveiliging bestaat niet. Banken zeggen dit bijvoorbeeld zelf ook (al was het maar om zichzelf vrij te pleiten). Het is een kwestie van afwegen. Zelf (waarschijnlijk eenvoudig te raden) wachtwoorden onthouden en misschien zelfs hetzelfde wachtwoord voor meerdere websites/diensten gebruiken? Of moeilijke wachtwoorden gebruiken en ze opslaan in een tool? Bij welke optie heb je het laagste risico? Dat heet risico management. Ik denk dat het gebruik van een wachtwoordmanager in combinatie met goede wachtwoorden, een lager risico op misbruik heeft dan zelf wachtwoorden te verzinnen. Tenzij je al die verschillende wachtwoorden goed kan onthouden en regelmatig wijzigt. Ik gebruik zelf overigens geen Lastpass, maar pwSafe. Dit werkt perfect op iOS en MacOSX en is niet duur. Bovendien is er ondersteuning voor het KeePass formaat zodat je het ook cross platform kunt gebruiken.
Idd, risico management.
Mijn privédata zou ik dan eventueel - als mijn geheugenfuncties het tzt ernstig laten afweten - nog wel aan LastPass toevertrouwen, zo spannend zijn mijn privédata nl. niet.

Maar zou ik voor een commerciele organisatie werken en data beheren die interessant kan zijn voor bijv. het Amerikaanse bedrijfsleven, dan komt LastPass nicht im frage..
De wachtwoorden worden encrypted verstuurd naar Lastpass. Dit is na te gaan met een packet sniffer.
Zelfs Lastpass als bedrijf kan jou niet helpen als jij je hoofdwachtwoord kwijtraakt.
De enige plek die ze in plain text heeft is je eigen PC, en alleen als je je wachtwoord invoert.


PS: de moderatiesysteem is er niet voor om met iemand eens of oneens te zijn.
Dat is een aardig idee over het moderatiesysteem, maar dan is het net zo goed not-done dat Gandalf68 om zijn mening wordt weggemod.

Het is volgens http://en.wikipedia.org/wiki/LastPass in het veleden niet onwaarschijnlijk al eens fout gegaan.

En is de code van Lastpass user-interface inmiddels open-source?
Want open-source is per definitie veiliger? :?

De twee gevaarlijkste security exploits van de laatste tijd, zijn beide open source projecten. Ja open source zou in theorie veiliger kunnen zijn omdat er meer mensen naar kunnen kijken. Of dat in de praktijk ook echt per definitie zo is? Ik betwijfel het echt.

Due dilligence, zoals Audio-Catalyst aangeeft, heb je veel meer aan.

[Reactie gewijzigd door Cloud op 31 december 2014 13:45]

Relatief.
Bij Due Diligence geef je nog steeds de regie uit handen.
Want wie garandeert dat dat wat je vandaag meet, morgen nog geldig is?

Wachtwoorden kun je het beste lokaal in eigen beheer houden zoals ReTechNL hierboven al aangaf. Dan heb je zelf enige controle totdat keystroke logging malware op je PC wordt geinstalleerd door overheid of criminelen, of diezelfde overheid jou verplicht om je masterkey aan hen af te geven op straffe van 3 jaar gevangenis..
ja maar wie zegt dat dat alles is wat ze encrypted verturen?
due dilligance :-)

packetsniffer op een test machine voor ongeveer een maand laten lopen voor dat we dit in productie namen.
nogmaal lezen lijkt erg moeilijk.
zelfs al staat je passworden op een server in de US.
Voordat deze gegevens worden verstuurd, worden deze LOKAAL ge encrypt met een AES256 versleuteling.
Hierna word de data via ssl (ook AES256) verstuurd naar een US server.

de master sleutel word lokaal bewaard

dit is misschien ook aardig leesvoer :
Can the NSA Break AES?l
Toch maar beter niet alles geloven wat de NSA ons wil doen geloven..

Maar als je het jezelf gemakkelijk wilt maken, wachtwoorden moeilijk onthoudt, en/of als je niet zelf een lokaal systeempje daarvoor kunt aanmaken is zo'n tooltje best gemakkelijk, dat wel.
waarom gebruiken wij dit ?

genereren automatisch rendom strong passworden van 25+ characters...

masterkey ( lokaal) is een kleine 50 karakters groot en strong

dat in combinatie met AES256.... word het lijkt mij aardig ingewikkelt, en ook nog eens veel secureder omdat nooit 2 x hetzelfde password word gebruikt...

ook daarmee maar je het dycrypten een stuk moeilijker
Door LastPass heeft (bijna) elke dienst die ik gebruik een random wachtwoord van 72 tekens. Afgezien van die antieke websites die nog een maximale lengte voor wachtwoorden hebben. ZIe dat maar eens te onthouden.

Naast het LastPass wachtwoord kun je alleen bij de keystore via mijn Ubikey. Overigens is dat wel de zwakke schakel, omdat mijn Yubikey niet met mijn mobiel samenwerkt. Daar is dus het master wachtwoord nog steeds de zwakste schakel. Aangezien LastPass zover ik kan zien dit alleen mogelijk maakt vanaf mijn mobiel, maakt het risico iets kleiner.

[Reactie gewijzigd door eborn op 31 december 2014 11:09]

Ja maar wie zegt dat de masterkey niet ergens wordt meegestuurd voor hun administratie? het is over een AE265 verbinding dus ga jij alles ontceiferen over wat er allemaal verstuurd wordt?
Nee ik hou het wel lekker allemaal lokaal. met keepass incombinatie met keefox op een private cloud omgeving van mijn eigen nas over een ssl verbinding.
@Gandalf68
Terechte opmerking.
Onbegrijpelijk en naief dat die weggemod wordt..

Bedrijf is gevestigd:

LastPass Corporate HQ
8315 Lee Hwy Suite 501 Fairfax
VA 22031
USA

Dus best aannemelijk dat de wachtwoorden op een US server staan..

Wat beter inlezen Audio-Catalyst en SED.
Alsof dit type versleuteling tegenwoordig nog een probleem is voor de NSA.
Best naief jullie gedachtengang.

Nu zal het de NSA zeer waarschijnlijk een worst wezen wat de meeste mensen verbergen achter hun wachtwoorden.
Het gaat natuurlijk wel om het principe van privacy.

[Reactie gewijzigd door Gemeijer op 31 december 2014 10:45]

Je kan bij Lastpass opgeven of je gebruik wilt maken van servers in de USA of in Europa

https://lastpass.com/support.php?cmd=showfaq&id=5746
Maakt niet uit.
Dat is een nonsens-feature.
Lastpass is een Amerikaans bedrijf en volgens de Amerikaanse wetgeving heeft de NSA dus toegang tot alle gegevens op al hun servers, ook als die ergens anders op de wereld staan.
Blijkbaar is het dan niet voor alle bedrijven zo ? Microsoft verzet zich er alvast tegen:
nieuws: Ierland: VS moet e-mails in Microsofts datacenter bij ons opvragen
Microsoft moet natuurlijk wel naar de klanten toe de indruk wekken dat ze dit niet accepteren van de Amerikaanse overheid.
Die houding komt toch ook fantastisch betrouwbaar over!?

Dit is het spel van overheden en megacorps waarmee de containers zand worden uitgestrooid in de ogen van menigten goedgelovige medemensen.
Is het extra goed beveiligd??
Miscchien moet je je dan toch even wat beter inlezen :

Beveiliging

Onder Windows, helpt LastPass u op uw computer opgeslagen onveilige wachtwoorden te vinden, zodat u ze veilig kunt opslaan in LastPass. Hierdoor zijn ze niet meer toegankelijk voor kwaadaardige software. LastPass gebruikt uitsluitend SSL voor de overdracht van gegevens, hoewel de overgrote meerderheid van de gegevens die u wilt versturen al is gecodeerd met 256-bit AES en onbruikbaar voor zowel LastPass en elke andere partij die het netwerkverkeer zou afluisteren -- de hoeveelheid gegevens is minimaal en daarom heeft de extra encryptie geen nadelige gevolgen.

met andere woorden files worden lokaal geencrupt VOOR ze richting het internet gaan...
Ik ben het helemaal met je eens, en ik vertrouw Lastpass dan ook (ik ben een betalende gebruiker en vind het een geweldig programma!).

Echter, om even mee te gaan in de paranoia: je weet het natuurlijk niet of LastPass een backdoor heeft ingebouwd of niet. Als je echte zekerheid wilt, kan je voor het, imo veel onhandigere, KeePass gaan. Dat is open source en offline, wat jou als gebruiker dan weer meer controle over de veiligheid geeft.

Persoonlijk vertrouw ik LastPass gewoon, en gebruik het dus want ik vind het veel fijner werken. Het is een afweging die ieder voor zich moet maken.
> LastPass gebruikt uitsluitend SSL

Ik mag hopen dat het uitsluitend TLS is gezien SSL zo lek als een mandje is.
De opslag is versleuteld. Jouw wachtwoord is je eigen unieke sleutelbij deze encryptie en die verlaat je pc niet.
Je denkt toch niet echt dat de NSA je wachtwoorden nodig heeft om bij je accounts te kunnen komen?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True