Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 77 reacties
Submitter: ThomasBerends

Wachtwoordmanager Lastpass laat gebruikers wachtwoorden veranderen met een druk op de knop. Lastpass kondigt de functie een dag aan nadat de nieuwe wachtwoordmanager Dashlane ondersteuning voor het automatisch veranderen van wachtwoorden introduceerde.

Vanuit de extensies van LastPass voor Chrome, Safari en Firefox kan nu met één druk op de knop het wachtwoord voor een site worden gewijzigd, heeft de wachtwoordmanager bekendgemaakt. Daarbij wordt een nieuw tabblad geopend waarin Lastpass de wachtwoorden van de gebruiker wijzigt. Vervolgens slaat Lastpass het nieuwe wachtwoord op. De wachtwoordmanager ondersteunt 75 sites, waaronder Facebook, Twitter, Amazon en Dropbox.

De aankondiging van de functionaliteit volgt kort op de introductie van vergelijkbare functionaliteit door Dashlane, een nieuwe wachtwoordmanager. Er zijn wel verschillen: Dashlane kan bijvoorbeeld alle wachtwoorden van gebruikers voor sites die worden ondersteund in één keer wijzigen en die bovendien automatisch om de zoveel tijd wijzigen; LastPass kan dat niet.

Daarentegen heeft LastPass ondersteuning voor 75 websites, terwijl dat er bij Dashlane maar vijftig zijn, al heeft Dashlane beloofd dat er meer sites bijkomen. Verder voert LastPass de handelingen voor het wijzigen van het wachtwoord op de pc van een gebruiker uit, terwijl Dashlane dat aan de kant van de server doet.

LastPass

Moderatie-faq Wijzig weergave

Reacties (77)

Lastpass kan dat niet serverside uitvoeren, want dat is een security feature. Bij Lastpass blijft jouw wachtwoord altijd lokaal. Het feit dat Dashlane toegang heeft tot jouw wachtwoorden terwijl je niet bent ingelogd is een "interessant" feature. Ik zou er geen gebruik van maken, als iemand toegang krijgt tot Dashlane, dan hebben ze jouw wachtwoorden ook.

Als iemand toegang krijgt tot Lastpass dan hebben ze jouw encrypted vault, maar niet direct toegang tot jouw passwords en ze zullen voor elke vault opnieuw moeten achterhalen wat de sleutel is.
Ik vraag me altijd af wat de meerwaarde is van zulke software. Als iemand je lastpass wachtwoord heeft kan diegene hiermee dan toch ook overal inloggen? Kan je net zo goed bij elke dienst hetzelfde wachtwoord nemen heb je zulke "onthou-software" ook niet nodig...
Het verschil is dat je nu zelf verantwoordelijk bent voor dat ene wachtwoord en niet van mogelijk slecht beveiligde server met unencrypted wachtwoorden. Als een website gekraakt wordt, heeft de hacker in jouw geval je wachtwoord voor alle sites die je gebruikt.
Beetje kansberekening. De kans dat bijv. Lastpass een probleem heeft qua 'hack' is een stuk kleiner dan een één of andere database die aan het internet hangt van Piet's hobby website. Uiteraard ben je nooit zeker van je 'veiligheid' , maar het voordeel is dat je wel alles in één overzicht in beheer hebt. Iedereen heeft zijn eigen manier, zoals *random-woord+website* als wachtwoord om het te onthouden. Als je echter alles in lastpass hebt zitten heb je over het algemeen sterkere wachtwoorden, en heb je nergens hetzelfde wachtwoord. Prima dus voor de gebruiker die iets makkelijks wilt, en niet een bepaald ezelsbruggetje wilt onthouden voor al zijn accounts.
Los van dat zijn er zat websites die dan weer eisen dat je één hoofdletter hebt, en dan maximaal 8 karakters, één cijfer etc.etc. Dan gaat misschien je ezelsbruggetje niet meer op om een password te maken.

Nu heb ik misschien wel 30 accounts, en om alles netjes te beheren is een manager hiervoor wel ideaal. Los van dat heb ik een enige vorm van veiligheid dat geen wachtwoord het zelfde is, en dat bij een eventuele 'inbraak' op lastpass ik alles vrij simpel kan vervangen.

Het is een deel gebruikersgemak, misschien toch ook een extra vorm van veiligheid (sterkere wachtwoorden, beter beheer, nergens het zelfde wachtwoord etc) maar uiteindelijk is het wel een persoonlijke voorkeur over wat je wilt.
Als laatste toevoeging, met Lastpass beveilig je je hoofdwachtwoord met two factor authentication.
En je kan nog veel meer doen ter beveiliging.
Alleen bepaalde landen toestaan bijvoorbeeld of alleen een aantal computers.
Kan, maar hoeft niet.
En als dan bij één site de beveiliging gekraakt wordt, heeft de hacker je wachtwoord ook voor alle andere gebruikersaccount op andere sites.
dat klopt maar dan weten ze nog niet waar ze het allemaal kunnen gebruiken. Als je de hele lastpass database leeg trekt wordt het meteen veel gevaarlijker, ze hebben dan alles. login/pass en waar die gebruikt wordt.

Het beste is voor sites die je niet belangrijk vind een stuk of 2-3 verschillende wachtwoorden gebruiken en voor sites die je wel belangrijk vind altijd een uniek wachtwoord. Dan is het aantal wachtwoorden nog wel te onthouden.

En anders schrijf ik het nog liever fysiek op een papiertje dan dat ik het in zo'n wachtwoord manager zet. Het probleem met een computer is dat je nooit 100% kunt garanderen dat er niet informatie weg lekt.

[Reactie gewijzigd door Terrestrial op 10 december 2014 12:26]

Wachtwoorden worden bij lastpass clientside geencrypt en vervolgens naar de server gestuurd. Zelfs met een hack op de server zal er dus niet direct een buit binnen zijn. Men kan je lokale pc proberen te hacken als je bent ingelogd in lastpass natuurlijk, maar dan kun je net zo goed een keylogger installeren, dat is dan minder werk.
Het enige wat ik discutabel vind aan lastpass is dat het een Amerikaanse service is, wat ongetwijfeld data moet overleggen aan de nsa als daarom wel of niet gevraagd wordt. En ik denk dat die wel de capaciteit hebben om die versleuteling binnen afzienbare tijd te ontsleutelen. Informatie die daarbuiten moet blijven en aanverwante accounts zou ik sowieso niet in lastpass zetten.
Ik denk niet dat de NSA die capaciteit heeft. Het gaat hier om een 256 bit AES key. Voor je idee, zo wordt het kraken van een 128 bit AES key beschreven:

"If you assume: Every person on the planet owns 10 computers. There are 7 billion people on the planet. Each of these computers can test 1 billion key combinations per second. On average, you can crack the key after testing 50% of the possibilities.

Then the earth's population can crack one encryption key in 77,000,000,000,000,000,000,000,000 years!"
Jij gelooft zeker in de fabeltjeskrant Zyphrax...
De prototypes draaien al lang op volle toeren..

http://www.nu.nl/tech/366...ter-encryptie-kraken.html

[Reactie gewijzigd door mangahuisman op 10 december 2014 16:03]

De bron die je aanhaalt schrijft ook:

Experts think that one of the largest hurdles to breaking encryption with a quantum computer is building a computer with enough qubits, which is difficult given the very fragile state of quantum computers. By the end of September, the NSA expected to be able to have some building blocks, which it described in a document as “dynamical decoupling and complete quantum ­control on two semiconductor qubits.”

“That’s a great step, but it’s a pretty small step on the road to building a large-scale quantum computer,” Lloyd said.

A quantum computer capable of breaking cryptography would need hundreds or thousands more qubits than that.


Het lijkt erop dat jij meer in de fabeltjeskrant gelooft: dat de NSA precies vertelt hoe het met alle mensen is gesteldt ;)

En dan snijden we nog compleet niet de vraag aan waarom de NSA hun enorm dure quantum-computer in zou zetten om jouw account te kraken...

Beetje kritiek op de NSA is goed, houdt de controle er goed op. Maar je hoort bar weinig over de landen waar encryptie simpelweg verboden is.

[Reactie gewijzigd door Zyphrax op 11 december 2014 18:57]

LastPass and the NSA Controversy
With news that the United States National Security Agency has deliberately inserted weaknesses into security products and attempted to modify NIST standards, questions have been raised about how these actions affect LastPass and our customers. We want to directly address whether LastPass has been or could be weakened, and whether our users’ data remains secure.

In short, we have not weakened our product or introduced a backdoor, and haven’t been asked to do so. If we were forced by law to take these actions, we’d fight it. If we were unable to successfully fight it, we would consider shutting down the service. We will not break our commitment to our customers.

Although we are not currently in the position of having to consider closing the service, it is important to note that if LastPass had to be shut down, our users would be able to export their data or continue using LastPass in “offline” mode, although online login and syncing would no longer be possible.

We have consistently reiterated that LastPass cannot share what we cannot access. Sensitive user data is encrypted and decrypted locally with a key that is never shared with LastPass. As always, we encourage our users to create a strong master password to better protect themselves from brute-force attacks. Given our technology and lack of access to stored user data, it is more efficient for the NSA or others to try to circumnavigate LastPass and find other ways to obtain user information.

Ultimately, when you use an online service you’re trusting the people behind that service to have your best interests at heart and to fight on your behalf. We have built a tradition of being open and honest with our community, and continue to put the security and privacy of our customers first. We will continue to monitor the situation and change course as needed, with updates to our community when necessary.

Thank you to our community for your ongoing use and support of LastPass.

http://blog.lastpass.com/...-and-nsa-controversy.html

Ze hebben trouwens ook Europese servers. Geen idee of dat veel helpt.

[Reactie gewijzigd door jurgen1982820 op 10 december 2014 22:48]

Je zegt het zelf al, bij computers kun je nooit 100% zeker zijn dat er geen informatie weglekt.
Zo zou er een keylogger op je pc kunnen staan die je wachtwoorden doorstuurt, of zou er een beperking in de versleuteling van je verbinding kunnen zitten die ervoor zorgt dat alle informatie uitlekt.
100% zekerheid heb je niet, dat krijg je ook niet op het gebied van beveiliging.
Ik zou dan ook niet weten waardoor je een fatsoenlijk geencrypte passwordstore niet wil gebruiken.
om de redenen die ik hier boven aan geef. Alles bij elkaar hebben is gevaarlijker dan dat er ergens 1 van mijn accounts uit lekt.
Je kunt toch kiezen voor welke wachtwoorden je Lastpass gebruikt? Ik gebruik het voor 1000 websites, maar niet voor de allerbelangrijkste, zoals Ebay, Amazon, en alles waar je geld uit kunt trekken. Ik gebruik het wel voor Google, omdat die tweevoudige identificatie heeft en ze dus niets kunnen met mijn wachtwoord. Voor mijn part gebruik je Lastpass alleen voor 100 onbelangrijke fora: dat alleen al bespaart je zeeën van tijd.

Bij mij kun je trouwens alleen in mijn Lastpass inloggen vanaf mijn eigen IP-adres; vanaf een ander adres moet je eerst verifiëren via mijn E-mail.
Nee, dat klopt niet. Als je toch een wachtwoordmanager hebt gebruik je niet overal hetzelfde wachtwoord. Bovendien heb je niet overal dezelfde loginnaam.
Onderzoek toont aan dat mensen zonder een paswoord programma vaak dezelfde gebruikersnaam en paswoord gebruiken. Dan kan een aanvaller door het onderscheppen van een paar logins de meestgebruikte combinaties achterhalen. Deze aanval vereist het aftappen van het login verkeer (in onversleutelde vorm).
Een paswoordprogramma maakt het mogelijk om veel verschillende naam - paswoord combinaties te gebruiken. Dan is het observeren van login verkeer dus een stuk minder interessant. Het is dan aannemelijk dat aanvallers hun aandacht zullen verplaatsen naar de passwoord beheersprogramma's zelf.
Een password manager wil je dan eigenlijk ook niet met alleen een wachtwoord beveiligen. Liefste wil je er Two-factor authentication op hebben, zodat je ook nog een token o.i.d. moet invoeren.
Klopt...dat heeft LastPass dus ook voor z'n hoofdwachtwoord...
exact. werkt erg goed met bijvoorbeeld een Yubikey :)
Ik gebruik zelf Google Authenticator en heb mijn "vaste PC" aangegeven als "vertrouwd". Als ze die jatten weet ik meteen dat ik het wachtwoord van LastPass moet aanpassen, maar zelfs dan kunnen ze geen schokkende dingen doen. Want het voordeel van LastPass vind ik dat je bijvoorbeeld voor DigID en Mijn ING kan verplichten dat je altijd een Two Factor authentication gebruikt (ongeacht op welke PC je zit), daar maak ik dus dankbaar gebruik van. En mijn laptop heeft natuurlijk ook een wachtwoord erop staan.
Ik heb het ook met Google Authenticator, in een paar tellen opgezet en werkt perfect.
Ja...klopt.....ook met de Google Authenticator. Perfecte oplossing zeg ik...
Hangt er vanaf: als er een online component aan is, dan is two-factor wel interessant. Gaat het echter over een lokaal draaiend programma, dan hangt het heel sterk af van de implementatie: het enige wat het programma lokaal doet is een geëncrypteerd bestand decoderen om wachtwoorden en logins te kunnen lezen en schrijven en die encryptiesleutel is per definitie statisch. Je kan dus nooit een dynamische tweede factor daaraan toevoegen zonder dat je ergens bedrogen wordt.

Wat natuurlijk wel kan is dat een deel van de sleutel op een tweede factor staat (key-file bijvoorbeeld, zoals ook Keepass het implementeert), of dat je bijvoorbeeld via hardware-crypto (private key op smartcard/yubikey/...) de sleutel van die vault decrypteert (nadat je dus pincode/password/passphrase van je private key hebt ingegeven).
Dat is natuurlijk waar...
Maar wanneer een individuele site gecompromitteerd wordt dan hebben ze niet meteen overal toegang. Hetgeen met hetzelfde wachtwoord wel het geval zou zijn.
Lastpass heeft nog zoveel meer beveiligingen waar je doorheen moet.
OTP (google authenticator, yubikey), uit welk land kom je, computer whitelist etc,...
Wat als die individuele site last-pass is.
Een site die je wachtwoorden wel geencrypt (niet gehashed) op slaat. Als deze nu gehacked zou worden liggen ook alle wachtwoorden op straat.
Kijk maar even in de gerelateerde berichten aan deze post.

Ikzelf voel me veiliger met een offline password manager als met een online variant.
Wachtwoorden worden encrypted opgestuurd naar lastpass:
"Your key never leaves your device, and is never shared with LastPass. Your data stays accessible only to you."
Dus in theorie zou het niet meteen een probleem moeten zijn als de lastpass server gehacked wordt.
Dat zal wel straf zijn. Want een paswoord dat ik op mijn pc genereer en op sla, kan de lastpass app op mijn smartphone enkele minuten laten gewoon gebruiken om in te loggen.
Het lijkt me dus wel dat dit geencrypteerd doorgestuurd wordt.

[Reactie gewijzigd door Yoshi op 10 december 2014 12:44]

je masterpassword is de encryptie key die op je lokale apparaat unencrypt.
Dat is dus bij lastpass niet bekend en verlaat niet je lokale apparaat. Wel het op deze wijze encrypted bestand waarin je passwords staan.
Ah, klopt, dat klinkt logisch! Bedankt!
Hoe werkt dat dan als je via de site inlogt? En bv via de site je paswoorden laat controleren (test hoe sterk je paswoorden zijn en hoe dikwijls je hetzelfde password gebruikt?)

Maar nogmaals, niets is onfeilbaar. Dit artikel linkt naar het volgende gerelateerd bericht:
nieuws: Onderzoekers vinden beveiligingslekken in wachtwoordmanagers
Onderzoekers van de Berkeley-universiteit hebben kwetsbaarheden in meerdere wachtwoordmanagers gevonden, waaronder het populaire LastPass. In het geval van LastPass was de bookmarklet kwetsbaar; malafide websites konden alle wachtwoorden ontsleutelen.
Dat is nu wel een lek dat al opgelost is, maar dat wil niet zeggen dat er geen andere in zitten.
raar dat ik dan op een ander device kan inloggen en toch mijn lastpass paswoorrden zie
Hoezo is dat raar? Je encrypte passwordfile wordt bij Lastpass gedownload en wordt op je eigen device via je master password weer gedecrypt.
...nadat je je master-password (minimaal 1 keer) ingevoerd hebt 8)7

[Reactie gewijzigd door RobIII op 10 december 2014 11:47]

Dat komt omdat ze jouw wachtwoord gebruiken om de ecrypted data te decrypten.

Kijk eens naar dit onderwerp op wikipedia.

http://nl.wikipedia.org/wiki/Encryptie

Ik ga er vanuit dat ze gebruik maken van asymetrische encryptie.

Het komt er dus op neer dat het wel degelijk mogelijk is om encrypted data op meerdere devices te bekijken.
Ik heb Lastpass premium EN ik heb een yubi key. Als je mijn wachtwoorden van Lastpass wil hebben, moet je OF:
1. Inbreken in de kluis van de bank en mijn backup codes stelen (master wachtwoord + backup codes voor als ik de yubi key ben vergeten).
2. Lastpass kraken
3. Mij bedreigen en mijn yubi key meenemen.
4. Malware op mijn computer installeren.

De beveiliging die ik hierdoor heb is vergelijkbaar met wat banken gebruiken om in te loggen op je systeem.
Bij LastPass premium heb je i.c.m. Yubikey authentication toch geen backup codes? LastPass gaat er vanuit dat wanneer je je Yubikey verliest je zelf zorgt dat je nog toegang hebt tot je e-mail adres en stuurt dan een e-mail om tijdelijk de Yubikey authentication te disablen.

Vond dat zelf nogal omslachtig, omdat ik dan naast m'n LastPass wachtwoord ook m'n e-mail wachtwoord nog moet gaan onthouden dus ik heb er voor gekozen een tweede YubiKey aan mijn LastPass account te koppelen zodat ik bij verlies van een YubiKey nog een backup heb liggen.
Backup codes is voor mijn email account... Die heeft ook 2factor auth ;)
Voor zo'n paswoordkluis gebruik je dan ook geen eenvoudig paswoord van 8 lettertjes, terwijl een paswoord op veel sites nog steeds beperkt is tot 10 of 16 karakters (en nog te vaak zijn speciale karakters ook niet toegelaten).

Ik gebruik zelf keepass (die is wel volledig gratis) met een vrij lange passphrase. De kans dat die via brute force gekrakt wordt is zo goed als onbestaande. Keepass ondersteunt (nog) geen 2-factor authenticatie, maar met een goed gekozen passphrase is het risico nog redelijk beperkt.
Keepass bewaart z'n database lokaal, dus dat is eigenlijk ook een soort two-factor authentication (database hebben + wachtwoord weten). Als je 'm niet overal laar rondslingeren in de hoop dat niemand het wachtwoord kraakt toch. ;-)
Keepass ondersteunt (nog) geen 2-factor authenticatie,
Keepass kent toch key files? Dan heb je je wachtwoord nodig én een extra file die bijvoorbeeld los op een USB-stick staat. Die file staat los van de database.

Misschien niet zo veilig als andere oplossingen, omdat de key file te kopieëren is. Maar veiliger dan alleen een wachtwoord.
Punt is dat je in het laatste geval ook al die andere sites erop moet vertrouwen dat je wachtwoord niet ontfutseld wordt (frauduleuze site, hack, databasedump online, etc.). De kans dat een van de honderden sites waar je een account hebt een foutje maakt cq. gehackt wordt lijkt me een stuk groter dan de kans dat iemand je LastPass-wachtwoord raadt.
Er zit een groot verschil tussen zelf de veiligheid van je wachtwoord waarborgen en het overlaten aan een tal van verschillende websites. Bij een website heb je geen inzicht in hoe er omgegaan wordt met je wachtwoord en andere data, en een website is een veel groter doelwit voor criminelen.

Zie ook deze strip:

http://xkcd.com/792/

[Reactie gewijzigd door Overv op 10 december 2014 09:53]

Klopt, maar daarom moet je er ook een tweede factor aan toevoegen, bijvoorbeeld Google Authenticator of een fysieke sleutel.
Aan de andere kant is het vaak wel zo dat als je niet zulke software gebruikt dan ga je automatisch simpele wachtwoorden gebruiken, dat is ook niet veilig.
Het probleem met overal hetzelfde wachtwoord is dat als ze kunnen inloggen op één dienst, dat ze ook op alle andere diensten kunnen. Met een password manager is dat niet het geval. Je mag er vanuit gaan dat LastPass meer aandacht aan security besteed dan de gemiddelde website. Met 2-factor authenticatie wordt het echt knap lastig. Daarbij kun je regelmatig je wachtwoord van je password manager aanpassen zonder al teveel gedoe.

Je wilt niet weten hoe slecht wachtwoorden soms worden opgeslagen. Het zou mij niet verbazen dat er zelfs nog sites zijn waar ze in plain-text worden opgeslagen. Als zo'n site gehackt wordt dan ligt je wachtwoord op straat. Als je die ook gebruikt voor je GMail dan ben je redelijk de klos. De enige oplossing is dan voor alle sites je wachtwoord aanpassen. Daar ben je ongetwijfeld te laat mee en je vergeet er vast ook een paar.
Je kunt op je Lastpass account ook 2-factor authenticatie inschakelen.
Met een Google Authenticator (of nog beter, Authy) app op je Android of iPhone telefoon zorg je met OTP's (One-Time Password) voor veel betere beveiliging.
Dus wanneer iemand op de een of andere manier achter jouw Lastpass master password komt, kan hij/zij daar nog steeds niets mee.
ik heb dualfactor ingesteld dus al zou je mijn wachtwoord hebben dan heb je nog mijn tweede code nodig. ik vind het een superhandig programma en het is zeker een stuk veiliger dan overal hetzelfde wachtwoord op gebruiken.
Meeste mensen maken gebruik van OTP (Yubikey, Google authenticator) dus met alleen een wachtwoord komen ze niet ver.
Het is vele malen veiliger dan je password in de browser opslaan. Daarnaast is het veiliger omdat je voor iedere website zonder gezeik een ander password kan gebruiken, want je hoeft niks te onthouden.
Men denkt dat een geencrypte wachtwoordkluis met onraadbare wachtwoorden niet veiliger is dan alles onthouden en redelijk simpele wachtwoorden.... Daar ben ik het allesbehalve mee eens.
Gebruik Lastpass voor zo'n 100 websites, alleen niet voor telebankieren. Enige nadeel is dat je niet meer zonder kunt (even inloggen op een vreemde pc is dan lastig).
Op een vreemde PC kun je altijd gewoon op lastpass.com inloggen en je wachtwoord uit de vault kopiëren. Zou dat zelf echter alleen doen op PC's die ik nog wel enigszins vertrouw, bijv. de PC van mijn ouders waar ik af en toe achter zit. In een bibliotheek zou ik sowieso niet inloggen op belangrijke diensten.

Vind het zelf een erg goede dienst, en heb ook bewust voor LastPass gekozen t.o.v. Keepass die ook veel gebruikt wordt. Vind het prettig dat het een cloud oplossing is, en ik dus zelf niet verantwoordelijk ben voor het synchroniseren van data tussen verschillende apparaten.

Ze mogen van LastPass alleen de UI nog wel eens flink verbeteren, als je dan ziet hoe mooi 1Password in elkaar steekt... dan is LastPass soms wel een rommeltje.
Dan hoop ik dat je LastPass ook met two factor authenticatie gebruikt op die vreemde pc. Anders is een keylogger genoeg op die vreemde pc om daarna jouw LastPass kluis leeg te roven... ;)

Verder ben ik het met je eens dat de web interface niet echt mooi is. Maar het werkt en voldoet.
Ze hebben een goede app voor de telefoon. Die gebruik ik als ik onderweg ben. Het is alleen niet fijn om dit soort wachtwoorden over te moeten typen.
Inloggen op een vreemde PC is dan alzo ook niet slim/veilig ;)
Ik hoop dat hij ook nog een tijdje het oude wachtwoord bewaard: als hij denkt het wachtwoord te hebben gewijzigd, maar er is iets foutgegaan, is het nogal vervelend als je dan niet meer kan inloggen en je zelf uiteraard geen flauw idee hebt wat het oude wachtwoord was.
LastPass onthoudt ook een 'history' van voorgaande wachtwoorden.
LastPass houdt so-wie-so een 'History' bij van een password. Dus je kan in dat soort gevallen nog wel terug (er van uit gaande dat een automatische verandering dezelfde gevolgen heeft als een handmatige verandering)
Er zijn altijd voordelen en nadelen aan zo'n systeem.
Ik vraag mij echter wel af hoe veilig dit soort systemen zijn.

Hoe gaat het veranderen van het wachtwoord? door middel van de API of door middel van het invoer-scherm? Hoe worden de wachtwoorden verstuurd (via ons, via servers lastpass, oid). Ik gebruik zo'n tool wel voor mijn wachtwoorden van site's die ik regelmatig gebruik maar niet extreem veel informatie (persoonlijke) informatie bevatten.

Waarom is er ineens zo'n functie als het eerste bedrijf er mee gekomen is? Ach voor bankzaken zal ik zo'n systeem toch nooit gebruiken.
Je moet je verdiepen in hoe het werkt voordat je het gebruikt. Anders kan je geen afweging maken.

In het geval van LastPass worden voor een site de url, gebruikersnaam en wachtwoord opgeslagen in je LastPass account waar je via de LastPass servers overal bij kan (mits je je LastPass inloggegevens bij de hand hebt).

Wil je nu inloggen op een site, dan zoekt de plugin in je browser de invoervelden voor gebruikersnaam en wachtwoord op de pagina op, plakt de opgeslagen gegevens erin, en simuleert een klik op Inloggen. Wil je je wachtwoord veranderen, dan zoekt de plugin de juiste knoppen en invoervelden op de site en simuleert een gebruiker die z'n wachtwoord verandert. Omdat dat bij elke site weer anders werkt ondersteunen ze nog maar een beperkt aantal sites.

Kortom, alle interactie met websites gebeurt vanaf je eigen PC, alsof je zelf handmatig wachtwoorden zit te typen en op knoppen aan het klikken bent. Dat doet LastPass nu voor je.

Wil je niet dat je wachtwoorden op de LastPass servers komen te staan, dan is er nog het open-source alternatief KeePass dat werkt met hetzelfde principe. In combinatie met een plugin voor je browser en een cloud account zoals Dropbox of Google Drive krijg je vrijwel dezelfde functionaliteit maar heb je zelf controle over je accountgegevens.
Beetje jammer dat de update voor Firefox er nog niet lijkt te zijn..
dat is bij meer password managers een probleem, lastpass valt nog mee in vergelijking met kaspersky's password manager (die vaak niet werkte bij een update van firefox zelf).

Qua up to date zijn is mijn ervaring dat Roboform bovenaan staat. Daar heb ik zelf een abonnement op. Het wijzigen van passwords om de zoveel tijd vind ik niet zo heel boeiend, al mijn wachtwoorden zien er uit als bijvoorbeeld deze:

#$$DSRFASFSA!213fdsfdsffs##3444!!!!

Tja, goede vent als die dat kan raden. Ik loop er vooral nog tegenaan dat verschillende sites allerlei restricties op wachtwoorden hebben (bijv. maximaal 8 tekens of geen vreemde tekens).

En de ING bank werkt niet mee, door aanpassingen van het script kan ik sinds een paar maand niet meer met roboform inloggen, daar heb ik dus een eenvoudig password voor moeten nemen omdat de ING bank dat kennelijk veiliger vind dan het gebruik van een password manager (althans in iedergeval die van Roboform, meen dat lastpass een workaround had gemaakt).
Waarom slechts 75 websites? Dat is maar een heel klein deel van de wachtwoorden die ik gebruik, dus niet echt handig.
Je moet dus heel goed kijken welke sites belangrijk zijn en welke minder impact hebben.
Omdat ze per site deze functionaliteit moeten implementeren?
Die 75 gaat om ondersteuning voor automatisch wijzigen denk ik niet het totale aantal wachtwoorden
Waarom slechts 75 websites?
Heel simpel bijna elke website gebruikt een andere manier van het wijzigen van het wachtwoord. Per website moet een handeling geschreven worden die daadwerkelijk het wachtwoord kan wijzigen. Ik neem aan dat wanneer een website een API aanbied dit via de API gaat, maar websites zonder wordt al een stuk lastiger.
En wie beslist welke belangrijk zijn en welke niet?
Net even getest en Facebook, en werkt niet echt goed:
- Tabblad werd niet automatisch geopend, bleef op achtergrond (waardoor er niks gebeurde)
- Hij gaf aan "something went wrong", en dat mijn wachtwoord niet werd gewijzigd, terwijl dat wel zo was (gelukkig terug te vinden als aparte entry in de kluis)..
Facebook werkte bij mij ook niet lekker omdat Facebook zelf het tegen hield. Google en linkedin heb ik ook een aantal keer geprobeerd, die werkten wel zonder problemen.
Dát is nog eens een handige feature! Het zou helemaal handig zijn als je bij sites die dit ondersteunen kunt instellen dat LastPass deze automatisch om de zoveel tijd wachtwoorden veranderd. De tijdsperiode hiervoor moet uiteraard wel door de gebruiker zelf in te stellen zijn.
Lijkt veel op de wachtwoordmanager Dashlane wat gister op tweakers nieuws was.

Staat er ook keihard in! Ik ben nog niet helemaal wakker, goede morgen allemaal.

[Reactie gewijzigd door style147 op 10 december 2014 10:22]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True