Tweakers Podcast #253 - Microsoft-storingen, LastPass-zorgen en controllers - Beeld en geluid - .Geeks

Deze week praten Arnoud Wokke, Jurian Ubachs, Wout Funnekotter en Jasper Janssen over de geruchten rond Halo, de onduidelijkheid rond de hack bij LastPass, de community rond Guitar Hero, de storing bij Microsoft en de smartphonecontrollers die Wout aan het reviewen is.

0:00 Intro
0:19 Opening
1:46 Halo: huh, was er rook dan?
14:21 LastPass doet vaag over hack
23:31 Guitar Hero halen we van zolder
32:04 Microsoft en afhankelijkheid van big tech
35:57 Smartphonecontrollers worden steeds beter
54:18 Sneakpeek

Reacties (14)

BezurK 26 januari 2023 09:49

We moeten nu ook niet gaan doen of alle wachtwoorden van alle LastPass gebruikers op straat liggen. Er zijn klantgegevens gelekt (zeker foute boel!) en de encrypted vaults. Die vaults zijn alleen te decrypten met een master password die lastpass niet heeft. Ze slaan die passwords niet op. Ook niet een hash. Ze zijn heel duidelijk geweest, altijd al, in het feit dat master password kwijt = vault kwijt. Ook voeren ze al jaren een streng beleid op lengte en complexiteit van dat master password.

Uiteraard is het theoretisch mogelijk dat er een gigantisch cluster aan het werk gezet wordt op het bruteforcen van die vaults maar met de 256 bit encryptie die erop zit is dat (nu nog) gewoon niet realistisch mogelijk (mits alle klanten zich netjes aan de complexiteitsvereisten hebben gehouden).

Ik ben zelf LastPass gebruiker en ik begrijp de commotie niet helemaal. Ja ze zijn gehackt en dat is foute boel, maar dankzij hun sterke beleid is er ondanks die hack gewoon niet zoveel aan de hand. Althans, op wachtwoordgebied.

i-chat @BezurK • 26 januari 2023 11:09

wacht effen, hoe weten we dat wat jij zegt klopt...

we weten in ieder geval zeker (door tegenstrijdige (officiele) berichten, dat men geen volledige openheid van zaken geeft, we eten (door toenemende ernst relatief betrouwbare berichtgeving) dat er bijna zeker meer is gebeurd dan wij weten.

het is onduidelijk of LP een externe audit aan het laten doen is of heeft laten doen, dus in die zin weten we niet eens of die master-vaults wel voldoende waren beveiligd...

wat jij hier als feiten brengt om jezelf (of ons) gerust te stellen is niets meer of minder dan pure speculatie.

Dat is wat we nu 'zeker' weten, over al het andere is het gissen, en dat lijkt me voor een password manager absoluut tegengesteld aan de belangen die je daarbij hebt.

vooral je eerste zin is denk ik tekenend:

we moeten niet doen alsof alle wachtwoorden van iedereen....

zelfs als de wachtwoorden van slechts +/- 0,001% van alle LP gebruikers op straat zijn komen te liggen, gaat het in ieder geval om tientallen tot 100en slachtoffers waarvan LP nu al weken zegt NIKS aan de hand, lekker gaan slapen...

als ik je reactie zo lees dan denk ik ook dat je niet goed door hebt wat LP nu precies verkoopt... het gaat niet zomaar om een programmaatje waar je gemakkelijk wachtwoorden in op kunt slaan.. die zijn er eigenlijk overal wel... waar het bij LP om gaat is dat het veilig en in vertrouwen goed zit... dat je direct gewaarschuwd wordt als het ergens fout zit ook als je bijvoorbeeld in de haveibeenpwnd voorkomt.

wat LP zegt is wij bieden iets dat beter en veiliger en meer vertrouwd is dan een schriftje met wachtwoorden in je kluis onder de trap. en aan die veiligheid en dat vertrouwen is nu geknaagt. ongeacht in hoeverre het NU is fout gegaan kun je er simpelweg niet op vertrouwen dat ze WEL eerlijk zijn als er volgende keer óók wachtwoorden zijn buitgemaakt.

BezurK @i-chat • 26 januari 2023 11:27

Wat ik zeg is geen speculatie, dat is gebaseerd op het officiele persbericht van LastPass. Ze zijn toch vrij duidelijk in wat er is gebeurd?

Dat er meer aan de hand is dan wat LP zegt, dat is speculatie. Niet andersom.

Bark_At_The_Cat 26 januari 2023 16:30

Voor wie ook niet helemaal wist over welke controllers het gaat, volgens mij zijn het dit soort apparaten:

uitvoering: Razer Kishi Zwart
uitvoering: Razer Kishi V2 Zwart
uitvoering: Backbone One for Android, Standard Zwart

P_Tingen

Tweakers Podcast

26 januari 2023 08:11

Aan de andere kant: het feit dat LP gehacked is, geeft misschien ook wel aan hoe moeilijk het veilig beheren van gegevens is geworden. Systemen zijn zo complex dat zelfs een bedrijf dat afhankelijk is van zijn reputatie op veiligheidsgebied gehacked kan worden.

Dus hoe veilig kun je dan zelf lokaal je gegevens opslaan? Je grote voordeel als individu is dat je een minder aantrekkelijk doelwit bent, maar eigenlijk is dat een vorm van security through obscurity.

EmbarrassedBit @P_Tingen • 26 januari 2023 08:57

Gaat niets boven het manueel synchroniseren van een canoniek Keepass-bestand naar toestellen die het nodig hebben.

"Maar wat als ik een aanpassing doe op een toestel en die vergeet te synchroniseren naar andere toestellen?"

Zorg dat dat je routines ontwikkelt om dat soort situaties te vermijden. Het dirty secret van al die interventieloze oplossingen is dat ze steeds probleemscenario's als onvermijdelijk voorstellen, zodat tweakers zichzelf en elkaar kunnen wijsmaken dat ze al de complexiteit van de propriëtaire producten "moeten" nabootsen via self-hosting. Dat "moet" je niet doen. Je doet dat enkel omdat het prestige oplevert onder je mede-tweakers wanneer je kan argumenteren dat je eigen setup even frictieloos is als de producten van de grote jongens.

[Reactie gewijzigd door EmbarrassedBit op 30 juli 2024 19:38]

loewie1984 @P_Tingen • 26 januari 2023 08:59

Het allerbeste is gewoon de bewustwording dat je je data en inloggegevens in eigen handen kunt/moet hebben. Gecontroleerd. Jij weet waar je wat invult, jij weet waar je welke info achterlaat. Dit zit helaas niet in ieders 'systeem' door gebrek aan kennis, aandacht of interesse. Maar het zou een hoop kunnen voorkomen als we/men niet klakkeloos op dit soort diensten vertrouwde. Ik adviseer wat dat betreft nog steeds keepass of een on-prem/self hosted oplossing. Dat is ook niet zonder risico's maar je bent tenminste geen slachtoffer als de hele wereld dat wel is. En vertrouwen komt te voet en gaat te paard, dit is een beetje 3 strikes 'you're out' voor LastPass

EmbarrassedBit @loewie1984 • 26 januari 2023 09:42

Het allerbeste is gewoon de bewustwording dat je je data en inloggegevens in eigen handen kunt/moet hebben. Gecontroleerd. Jij weet waar je wat invult, jij weet waar je welke info achterlaat. Dit zit helaas niet in ieders 'systeem' door gebrek aan kennis, aandacht of interesse.

Het is niet enkel dat. Een factor die nooit benoemd wordt is het feit dat in online tech communities, zoals in veel online communities, mensen willen uitpakken met de gesofisticeerdheid van hun setup. Dus je krijgt dan vanzelf een dubbele imperatief: (1) verlaat de big tech, en (2) zorg er voor dat je alternatief feature parity heeft met het populaire big tech-product dat het vervangt. Het resultaat is dan:

Mensen proberen niet eens en blijven bij het populaire product.
Niche-ification van consumptie: nieuwe, kleine spelers komen met een kant-en-klaar alternatief en sturen heel actief en bewust de juiste signalen over hoe ze het probleem met het populaire product begrijpen en er wat aan willen doen. Maar uiteindelijk moeten die nieuwe, kleine spelers ook winst maken, op termijn steeds meer zelfs, zoals alle kapitalisten. En dan beginnen ze hier en daar te besparen op de kwaliteit en vertrouwen ze minstens indirect op hun legioen fanboy defenders die zelf jarenlang hun eigen geloofwaardigheid hebben geïnvesteerd in het product als zijnde het "goede" alternatief.

Controle terugnemen begint m.i. bij het besef dat feature parity en frictieloosheid slechts de kers op de taart zijn, en dat manuele interventie vaak te verkiezen is boven frictieloosheid die komt van het vertrouwen op "goede" en "coole" kleine tech-bedrijven.

i-chat @EmbarrassedBit • 26 januari 2023 11:20

Niks geen John Deere, gewoon weer met een houten eg en een knollepeerd 't land bewerken

Of om het anders te brengen frictieloosheid is de eerste stap naar een veiliger handelen. als iets niet frictieloos is vult jan weer overal welkom123. in als wachtwoord dat kan ie immers in nog geen 2sec typen ongeacht of dat op een qwerty, azerty of t9 toetsenbordje is.

Dat jij mogelijk een uitzondering bent op die manier van handelen of dat veiligheid zo'n obsessie voor je is dat je jezelf door allerlei kronkels wringt op 'veilig' te zijn maakt niet dat dat voor jan en els ook gaat gelden.

Nu denk je vast: laat jan en els dan lekker, ze leren hun lesje vanzelf, maar zo werkt onze maatschappij niet, want jan heeft een webwinkel met mooie producten waar ik onlangs iets heb gekocht en dan hebben criminelen dus ook ineens MIJN gegevens, bovendien raakt jan al zijn spaargeld kwijt door een hack en moet de verzekeringsmaatschappij gaan uitkeren (zodat ook volgend jaar mijn premie weer zal stijgen) bovendien sta jij in jan's verjaardagskalender dus heeft crimineel x nu ook jouw naam, je email EN je geb datum.. genoeg dus om ook jouw te gaan scammen in de toekomst.

EmbarrassedBit @i-chat • 26 januari 2023 11:42

Niks geen John Deere, gewoon weer met een houten eg en een knollepeerd 't land bewerken

Begrijp je waarom dat een stropop-argument is? Compartementaliseren, minimaliseren van attack surface, data-minimalisatie... staat enkel gelijk met "tegen technologie zijn" bij mensen die selectiviteit verwarren met tegen iets zijn. Ik hoop toch echt dat tech de laatste 30 jaar wat volwassener is geworden en we voorbij die fase zijn waarin mensen zich verplicht voelen aan elke evolutie (die vaak een doodlopend straatje zal blijken te zijn) mee te doen, gewoon om te bewijzen dat ze geen technofobe bejaarden zijn...

Wat de rest van je stropop-argument betreft: het is niet omdat de minst gesofisticeerde gebruikers altijd afhankelijk zullen zijn van relatief complexe systemen, dat een tweaker dat voor zichzelf als de norm moet hanteren "want zo werkt de maatschappij gewoon".

BezurK @loewie1984 • 26 januari 2023 11:31

Het probleem is een beetje dat de meeste geeks wel weten, en goed begrijpen, waarom het gebruiken van goede wachtwoordhygiene belangrijk is. En die geek heeft er ook wel wat moeite voor over om dat goed en veilig te doen.

De gemiddelde gebruiker echter ziet elke loginprompt als een vervelend obstakel en doe alles om dat door snel mogelijk omheen te komen. Ik heb na maanden aandringen mijn vrouw eindelijk aan een wachtwoordmanager geholpen en nog dagelijks hoor ik gezucht en gesteun als ze die manager moet gebruiken om ergens in te loggen terwijl ze liever gewoon welkom123 intypt.

Het gemak is wel wat LastPass zo succesvol maakt.

i-chat @P_Tingen • 26 januari 2023 10:56

vrij veilig zou ik zeggen,

ik denk dat het grote probleem van zo'n LP bedrijf is dat het zoveel verschillende use-cases heeft dat ze continu compromissen moeten sluiten

installeer jij thuis vaultwarden op een raspberry pi, die vervolgens alleen maar berijkbaar is via een VPN die MFA ondersteunt dan moet je dus : 1: weten wat iemand het gebruikt, 2 toegang zien te krijgen tot zijn vpn, 3 een exploit zien te vinden

en dan heb je dat allemaal gedaan voor de wachtwoorden van hooguit 3 mensen (in het gezinnetje van jan en paula verstraeten aan de kerkstraat 6 uit het dorp. Whohoooo dan heb je toegang tot paypall waar $17,63 op staat