Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 89 reacties
Submitter: Tha_Butcha

Onderzoeker Sean Cassidy heeft bekendgemaakt dat wachtwoordmanager LastPass kwetsbaar is voor een phishingaanval. Daardoor kan een aanvaller het wachtwoord, e-mailadres en de tweetrapsauthenticatie-code in bezit krijgen. Het bedrijf heeft inmiddels maatregelen genomen.

De aanval, die inmiddels op GitHub staat, werkt door een gebruiker een inlogvenster te tonen, dat echter niet van LastPass zelf is. Dit scherm zou volgens Cassidy niet van echt te onderscheiden zijn, omdat het pixel voor pixel overeenkomt met de inlogpagina van LastPass. Om de aanval uit te voeren is het eerst nodig om een gebruiker naar een kwaadaardige site te lokken. Als de gebruiker de wachtwoordmanager geïnstalleerd heeft, krijgt deze vervolgens een notificatie te zien, die aangeeft dat hij zou zijn uitgelogd.

Een willekeurige website zou gebruikers uit kunnen loggen, omdat LastPass kwetsbaar is voor cross-site request forgery. Als de gebruiker vervolgens op de nepnotificatie klikt, wordt hij omgeleid naar een kwaadaardige inlogpagina. Deze is identiek aan de inlogpagina van LastPass. Om geen argwaan te wekken heeft Cassidy het domein chrome-extension.pw geregistreerd, omdat dit erg lijkt op de url die opent wanneer men bij LastPass inlogt. Daarna vult de gebruiker zijn inloggegevens in en controleert de kwaadaardige pagina via de LastPass-api of er tweetrapsauthenticatie nodig is. Is dit het geval, dan wordt er een melding getoond dat het wachtwoord niet klopt en dat de tweetrapsauthenticatie-code ingevuld moet worden. Nu de gebruiker dit alles heeft ingevuld, heeft de aanvaller toegang tot de volledige wachtwoordkluis.

LastPass heeft inmiddels op de aanval gereageerd door verschillende maatregelen te nemen. Zo is het voor kwaadaardige websites onder andere niet meer mogelijk om een gebruiker uit te loggen en krijgt men nu een waarschuwing te zien als het hoofdwachtwoord op een site wordt ingevuld, die niet van LastPass zelf is. Cassidy laat weten dat het bedrijf er eerst vanuit ging dat het probleem voortkwam uit de csrf-kwetsbaarheid en dat gebruikers beter 'getraind' moeten worden op het identificeren van vensters door bijvoorbeeld de url te controleren. Hij is het daar niet mee eens, omdat er nagenoeg geen verschil tussen een echte pagina en een neppagina te zien is.

De maatregel om een waarschuwing te tonen haalt volgens Cassidy niet veel uit, omdat een aanvaller kan bepalen wat er in het browservenster wordt getoond. Hij voegt daaraan toe dat ook besturingssystemen een rol kunnen spelen in het verbeteren van weergave van inlogvensters. LastPass zelf claimt dat ook Google zelf verbeteringen in Chrome zou kunnen aanbrengen, waardoor extensies notificaties zouden kunnen tonen buiten het DOM.

lastpass phishing
 De kwaadaardige inlogpagina met .pw-url

 lastpass loginDe echte inlogpagina

Moderatie-faq Wijzig weergave

Reacties (89)

Zie hier ook waarom het geen goed idee is om het protocol deel te verbergen in de URL ('http://') wanneer gebruik gemaakt wordt van HTTP. Dat had de eerste screenshot iets meer onderscheidend gemaakt. Niet dat een gemiddelde gebruiker daar daadwerkelijk op let, overigens. ;)

Onder Firefox kan je deze functie uitschakelen via about:config. Zet 'browser.urlbar.trimURLs' op 'false', en je ziet ook bij HTTP gewoon weer het protocol deel. Voor Chrome weet ik het niet, maar ik kan mij voorstellen dat er een soortgelijke functie in zit.

[edit]
Na een korte zoektocht lijkt het erop dat dit niet kan in Chrome. Met het nieuwsartikel in het achterhoofd is dit dus eigenlijk een veiligheidsrisico, omdat het visuele kenmerken tussen echt en nep onnodig dubbelzinnig maakt.

[Reactie gewijzigd door The Zep Man op 18 januari 2016 11:18]

Niet dat de gebruiker daar daadwerkelijk op let, overigens
Nogal wiedes... Als je 't niet kan zien, hoe kan je d'r dan op letten?
[...]

Nogal wiedes... Als je 't niet kan zien, hoe kan je d'r dan op letten?
In onderzoek uit het verleden naar de kenmerken tussen HTTP en HTTPS (voor de tijd dat URL's afgekapt werden) blijkt dat de gemiddelde gebruiker hier nauwelijks op let. Daar sloeg mijn opmerking meer op. Natuurlijk heb je gelijk: afgekapte URL's zorgen ervoor dat nog minder gebruikers het zullen zien. ;)

Mijn mening hierover is dat het een beperking is van het systeem dat er überhaupt een afhankelijkheid is van de gebruiker. Die weet niet hoe SSL/TLS werkt, wat een 'certificaatfout' is, etc. De gebruiker is de slechtste (en meest dure) partij om als controlerende partij op te laten treden.

Maar goed, als we toch de gebruiker een controlerende partij laten zijn, waarom moet het de gebruiker dan zo moeilijk worden gemaakt, bijvoorbeeld door het afkappen van URL's? Een ietwat hypocriete situatie, met dank aan de technische industrie.

[Reactie gewijzigd door The Zep Man op 18 januari 2016 12:35]

Zie hier waarom het geen goed idee is om wachtwoord managers te gebruiken met een online component.

Wachtwoorden horen thuis in je hoofd, op papier of behoren lokaal opgeslagen te worden. Hoe is het mogelijk dat mensen zo dom zijn dat ze behoefte hebben aan beveiliging, dus wachtwoorden maar dan via een app die een online component heeft menen veilig te zijn anno 2016?

Dat is alsof je je passwords op een briefje zet, die opbergt in een kast met oud, roestig hangslot en die midden op het plein zet voor het gemeentehuis met een groot bord: 'Dit is de wachtwoordkluis voor Ons Dorp!!!'

Omdat ICT is zoals het is, kan alle beveiliging die men belooft gepasseerd worden. En dat gebeurt ook, zo blijkt. Het is beter om geen gebruik te maken gecentraliseerde systemen want die trekken de aandacht. De kans dat iemand jouw passwords krijgt is vele malen groter daar, dan wanneer je ze offline opslaat, want om een individu te kraken is niet efficiënt.
Wachtwoorden horen thuis in je hoofd, op papier of behoren lokaal opgeslagen te worden. Hoe is het mogelijk dat mensen zo dom zijn dat ze behoefte hebben aan beveiliging, dus wachtwoorden maar dan via een app die een online component heeft menen veilig te zijn anno 2016?
Als jij je paswoorden kan onthouden of elke keer van papier overtypt zijn ze te eenvoudig of heb je een geweldig geheugen! En je bent bijzonder zeker dat je eigen systeem voldoende beveiligd is, knap hoor.

[Reactie gewijzigd door falconhunter op 18 januari 2016 12:06]

[...]


Als jij je paswoorden kan onthouden of elke keer van papier overtypt zijn ze te eenvoudig of heb je een geweldig geheugen! En je bent bijzonder zeker dat je eigen systeem voldoende beveiligd is, knap hoor.
Een makkelijk te onthouden passphrase van 40 karakters is praktisch even veilig als een complexe willekeurige string die even lang is. Heeft dezelfde mate aan entropie en is - omdat het niet één woord betreft, maar een sequentie met spaties op niet voorspelbare plekken - ook niet via een reguliere dictionary aanval te kraken.
Ik ken het systeem van passphrases met een variabele component per site. Nu, om dat systeem te laten werken denk ik dat de variabele component op een gelijkaardige manier gevormd wordt in functie van de site. Klopt?

Stel: een site waar jij een account had wordt gehackt en alle wachtwoorden liggen op straat (laten we even van de worst case uitgaan: de site hield alles in plain text bij). Dan zit je toch in de penarie?
1. Je moet je wachtwoord wijzigen en je systeem werkt niet meer voor deze site, je moet een uitzondering bedenken specifiek voor deze site
of
2. Je systeem is mogelijk/waarschijnlijk gecompromitteerd en dit forceert je om je systeem te wijzigen/aan te passen en je wachtwoorden voor alle andere sites ook te wijzigen waar je je systeem hebt toegepast.

Wat is je strategie om hiermee om te gaan?
Wat is je strategie om hiermee om te gaan?
Verschillende pass-phrases hanteren voor verschillende doeleinden en niet allemaal via één herleidbaar systeem opzetten. Passphrases zijn überhaupt een stuk makkelijker te onthouden dan willekeurige tekenreeksen, dus een stuk of 6 voor de meest gebruikte services dat lukt nog wel.

En de rest, die je niet day-to-day nodig hebt, die bewaar je ergens veilig op een fysieke locatie zoals in een kluis en niet digitaal (want dat zou weer via malware te exploiteren zijn).

[Reactie gewijzigd door R4gnax op 18 januari 2016 14:29]

[...]
Een makkelijk te onthouden passphrase van 40 karakters is praktisch even veilig als een complexe willekeurige string die even lang is. Heeft dezelfde mate aan entropie
Of je bent niet menselijk of het heeft niet dezelfde mate van entropie.

Een mens is heel slecht in entropie en zeker in het onthouden ervan.

Passphrase's zijn enkel beter als kortere wachtwoorden, want dan wordt het tekort aan entropie vervangen door de langere lengte. Maar heb je dezelfde lengte passwords dan is een passphrase slechter.

En een gemiddelde passphrase heeft geen spaties op niet voorspelbare plekken.

Plus dat passphrases een hel zijn om te onderhouden want teveel systemen hebben daarvoor verouderde eisen waardoor de makkelijk te onthouden passphrase niet ingevoerd kan worden.
Het probleem is niet dat mensen wachtwoorden niet kunnen onthouden. Het is een beetje oneerlijk om te stellen dat we een zo moeilijk mogelijk password moeten maken voor een inlog systeem en dan verwijten maken dat ons geheugen grenzen kent en dat 100 passwords voor elk mens te veel is.

Je kunt filosofisch stellen dat internet een vorm van collectief geheugen is en dat we om onze persoonlijke herinneringen en innerlijkheden die we daarop plaatsen waar nodig willen beveiligen. Maar als het collectief is, dan moet je persoonlijke zaken in je hoofd houden, of offline tenminste.

We zijn mensen en hebben beperkingen qua aantal passwords dat we kunnen opslaan in onze hersens. Maar internet en de apps en al die inlogsystemen zijn schier oneindig. Onze hersens kunnen niet op tegen massaproductie van RAM.

Het probleem is dus niet ons brein met haar beperkingen. Het probleem is dat we te veel wachtwoorden gebruiken, voor te veel systemen. En dat is inherent aan ICT. Elke webshop moet een ander PW hebben, je banken, je ISP, je fora, je pc, thuis, op het werk, en daarop hebben veel apps ook weer een eigen login want het gaat binnen je bedrijf daar ook weer om extra beveiligde delen van het netwerk.

We hebben dus nota bene een password manager nodig om nog überhaupt iets te kunnen. En dus is de conclusie dat we fundamenteel onze grenzen over gaan. En dan het idee hebben dat we falen omdat we zo veel niet kunnen onthouden. De menselijke maatstaf is weg, aangetast door technologie.
En dus is de conclusie dat we fundamenteel onze grenzen over gaan. En dan het idee hebben dat we falen omdat we zo veel niet kunnen onthouden.
Onzin. We kunnen het wel, maar we doen het niet. Als je ziet hoeveel lijstjes met willekeurige woorden en zinnen scholieren in hun schoolcarrière moeten onthouden, dat moet een volwassene dat ook makkelijk kunnen.

Overal hetzelfde makkelijke wachtwoord gebruiken is oorzaak van maar één menselijke eigenschap: Luiheid.
[...]
Overal hetzelfde makkelijke wachtwoord gebruiken is oorzaak van maar één menselijke eigenschap: Luiheid.
Als ik naar mezelf kijk dan is het eerder een inschatting van het risico...

Een site die een login vereist voor een download valt bij mij in de categorie easy-peasy password waarvoor ik gewoon 1 methode heb. Ik ga er namelijk voor de rest niets mee doen, ik ga er niets aan koppelen. Ik ga hem dus niet over 6 maanden nog onthouden als ik opnieuw een download nodig heb.

Ga ik echter een officieel account aanmaken dan gaat het een category hoger en ga ik er echt iets mee doen dan wordt het nog een categorie hoger en is het echt van belang dan hebben we nog een paar categorieën hoger.

Dat heeft niets met luiheid te maken, maar alles met praktisch werken.
Dat is toch niet overal hetzelfde wachtwoord? Je hebt gelijk dat jouw situatie geen overduidelijke vorm van luiheid is, maar jouw situatie is ook behoorlijk anders dan de situatie waar ik het over had :+
Praktisch gezien zijn er zeer weinig mensen die overal daadwerkelijk hetzelfde wachtwoord hebben, gewoon puur omdat ze van sommige websites wachtwoorden krijgen, omdat wachtwoord policy's tegenstrijdig zijn etc etc.

Oftewel als jouw punt enkel over de 100% hetzelfde wachtwoord gebruikende mensen ging, dan denk ik dat dat 0,00000001% van de NL'ers/cyberbevolking is.

En in mijn ervaring werken de meeste mensen met mijn manier (alleen dan met 1 easy-peasy wachtwoord ipv een easy-pease methode).
Alleen de meeste mensen gaan de fout in dat ze hun wachtwoord niet wijzigen als ze ergens meer gebruik van gaan maken.
Die maken een gmail account aan voor even snel een mailadres te hebben en er verder niets mee te doen (oftewel easy peasy pw) en later gaan ze er serieus mee mailen zonder het ww te veranderen.
Dan maken ze een Facebook aan om de status updates van anderen te zien en zelf niets te posten (wederom easy peasy pw als je niet je echte naam gebruikt) en na verloop van tijd gaan ze toch posten etc. etc.

Dat is tenminste zo ongeveer de dagelijkse praktijk die ik zie.

En nou ik het eigenlijk zo beschrijf zie ik ook een idee voor een browserplugin oid, houd lokaal bij hoeveel post-requests iemand doet en vraag bij 20+ post-requests met user data of er wel een veilig wachtwoord op dat account/domein zit. En vraag het na bijv 3 maanden opnieuw voor dat domein.
Hmmm, misschien dat ik daar nog iets mee ga doen.
Maar wist jij dat taal iets anders is dan een reeks willekeurige cijfers en letters? Niet elk wachtwoord is gewoon een woord. Daar moet van alles in, ook leestekens. Tenzij je voor jezelf een systeem bedenkt dat voor jezelf een zinnige, logische ordening aanbrengt in al je wachtwoorden en dat consistent kunt gebruiken. En dan ga je al richting een eigen wachtwoord-taal.

Als technologie bedoeld is om ons leven gemakkelijker te maken en in die zin beter, mocht je dat als definitie willen, dan schiet je je doel voorbij op het moment dat je door allerlei hoepels moet gaan springen om nog wijs te worden uit je eigen password systeem.
De Utopia van een passwordmanager is inderdaad een offline database die meermaal ge-encodeerd is plus meerdere authentication factors. Het liefst ook nog opgeslagen in een kluis die weer in een kluis zit :) Probleem is wel, wie gaat dit gebruiken?

93% van de Nederlanders gebruikt nagenoeg altijd hetzelfde of een klein groepje, zwakke, korte wachtwoorden en dat is heel erg onveilig.

En als je bedenkt dat maar 7% van alleen al de Nederlanders überhaupt een password manager gebruikt is dat al vele malen veiliger dan geen passwordmanager.
En dan zie je dat met de sub-keuze van 'alleen offline', 'two factor'' etc de beveiliging niet exponentieel meer toeneemt, wel beter wordt, maar nog maar met kleine stapjes.

Ik zou zeggen, laten we met ze alle in ieder geval beginnen met überhaupt een password manager te gebruiken (en dus hele lange moeilijke verschillende wachtwoorden per online dienst).
Dus minimaal een online oplossing als Dashlane, Lastpass, Roboform etc.

Of een offline, iets minder toegankelijk, maar veiliger 1Password of Keepass

Of ff mezelf pluggen mijn eigen (tevens opensource) oplossing Vaulteq die binnenkort uit komt. Een soort hybrid tussen online en offline oplossing, waarbij je zelf kiest of je de service 'exposed' naar buiten toe (en hoe, bijv via een beveiligd VPN ipv zoals lastpass direct over https).
Ik zoek zowat elke 3 maanden weer om een vervanger voor lastpass, het liefst een die ook op android werkt.

Elke keer kom ik met lege handen omdat er bijna geen alternatief is. Ook lastpass heb ik op android niet veel aan, ik wil graag zelf bepalen welke browser ik gebruik. Dan heb je nog True key die wel op android werkt, maar die popups verdwijnen zo snel op mijn toestel dat het gewoon onbruikbaar is(nexus 6).

Heb ook meerdere malen pogingen gedaan met Keepass, maar dit werkt nogal omslachtig.

Het is voor de meeste gebruiker nog niet bepaald aantrekkelijk om zulke managers te gebruiken. Het beste zou zijn dat het op meerdere platformen de zelfde functie bied en niet alleen in browsers werkt maar ook programma's.
Lastpass werkt op mijn Android best goed met Chrome en de meeste apps. Ik gebruik hun speciale browser niet.
Hoe werkt dat? Want toen ik de kans had had je alleen de lastpass browser.
Een ander toetsenbord is overigens geen keuze want dan moet ik de standard toetsenbord vervangen en het werkt omslachtig(keeppass heeft dit b.v.)
Een ander toetsenbord vind ik inderdaad geen goede optie, wisselen duurt te lang.

Lastpass werkt met een soort pop-up die omhoog komt wanneer je in een wachtwoord-vakje gaat staan op een website in Chrome, en bij het inloggen in een applicatie. Ik geloof dat websites invullen niet in andere browsers werkt (behalve de Lastpass-browser, uiteraard) - ik denk omdat Lastpass daarbij niet kan zien welke site de browser toont. Als je op dat moment ingelogd bent in Lastpass toont de pop-up de accounts die je hebt voor die website/app, en als je op een account drukt worden naam en wachtwoord automatisch ingevuld. Er is ook een notificatie die verschijnt waarmee je hetzelfde kunt doen. En je kunt ook een permanente "bubbel" instellen om op te drukken. Alles is instelbaar. Hier zie je het (alleen heb ik helaas geen vingerafdrukscanner op mijn telefoon):
http://www.youtube.com/watch?v=zF-4ARnEy94&t=59

Correctie: ik meen dat het onderstaande verhaal niet opgaat voor Android 5 en hoger, waar Android direct tekst kan invoeren zonder het klembord te gebruiken. Dus lees het onderstaande alleen als je Android 0 t/m 4.4.4 gebruikt.

In Chrome werkt het automatisch invullen door middel van javascript in de adresbalk (beetje omslachtig, maar het werkt meestal prima). Lastpass moet daarvoor die javascript-code op het klembord plaatsen, en de code bevat je wachtwoord. Maar het is wel versleuteld. Als ik het goed begrijp ontsleutelt Chrome dan het wachtwoord bij het uitvoeren van de javascript-code.

Bij het invullen in applicaties wordt je wachtwoord in "plain text" op het klembord gezet, anders kan de applicatie het wachtwoord immers niet ontvangen.

Het nadeel is dus dat een kwaadwillende applicatie die toegang tot je klembord heeft ook de wachtwoorden van Lastpass kan onderscheppen. Aan de andere kan geldt dat probleem denk ik voor elk wachtwoordbeheersprogramma, behalve als het een eigen toetsenbord of browser heeft (en browser geldt dan alleen voor websites, niet apps).

Ik gebruik zelf Xprivacy om ervoor te zorgen dat applicaties niet bij mijn klembord kunnen zonder dat ik dat toesta, dus ik maak me er zelf niet zo'n zorgen om wat betreft kwaadwillende applicaties. Het probleem is dan wel dat het alles of niets is: als ik toegang tot het klembord toesta voor de Albert Heijn-app, en als ik eerst inlog in de Ebay-app en meteen daarna de Albert Heijn-app open, staat mijn wachtwoord van Ebay nog op het klembord en kan Albert Heijn dat in theorie inzien. Maar daar is vast wel iets op te vinden, als ik b.v. Tasker telkens het klembord laat wissen op het moment dat de Albert Heijn-app geopend wordt.

Bij het inloggen in websites versleutelt Lastpass je wachtwoord tenminste voordat het op het klembord wordt gezet, maar ik las dat dat in eerdere versies in elk geval vrij zwak versleuteld was. Ik dacht dat het wel wat verbeterd was inmiddels, maar zeker weet ik het niet.

[Reactie gewijzigd door Cerberus_tm op 19 januari 2016 03:31]

Firefox voor Android ondersteunt add-ons, en daarmee ook de LastPass-add-on.
Even nieuwsgierig naar de werking van Vaulteq (info op site is summier). Ik vermoed dat je er hardware voor nodig hebt - een servertje - waar de wachtwoorden op opgeslagen worden en je dus eigenlijk zelf je kluis host, klopt dit? Dan halen de apps de wachtwoorden op van de server.

Interessant concept, je host je kluis zelf en dus niet bij een derde partij in de cloud.
Klopt, en het kastje dat je ziet is al een 'kant en klare' oplossing, een raspberry pi gebaseerde mini server die je in je eigen router plugged.

De server-software (API) die op het kastje draait wordt opensource gereleased, dus je zou het ook op je eigen homeserver kunnen hosten en via VPN je wachtwoorden ophalen.

Hiermee wordt een MITM attack lastig, of de hacker moet specifiek jou huis gaan aanvallen, maar een 'honey pot' zoals lastpass is natuurlijk veel interessanter aangezien je dan direct miljoenen account hacked ipv alleen tante Marie's vault ;)
Het project spreekt me aan en klinkt zeer interessant, ik heb me ingeschreven voor de newsletter en houd het in de gaten! :)

IMO is gebruiksgemak cruciaal voor een password manager. Ik wil niet alleen dat mijn wachtwoorden veilig staan opgeslagen, maar ook dat wachtwoorden automatisch worden ingevuld in je browser en in smartphone apps en dat de clients een goed design hebben. Als de clients dit aanbieden zou het wel eens een goede combi van KeePass en LastPass kunnen zijn. ;)
Die vergelijking is onzin. Iedereen die een stuk gereedschap kan vasthouden, kan een hangslot doorknippen. Als het zo simpel was om wachtwoorden van wachtwoordmanagers te kraken, al dan niet in cloud-diensten, zouden die daarvoor niet meer worden gebruikt intussen.

Wachtwoorden op papier zetten of lokaal opslaan is ook niet zonder risico, of heb je een aparte PC die niet aan een netwerk hangt? Kan er bij jou niet ingebroken worden? Wat als de zaak afbrandt?

Ik heb meer dan 600 inlogs, registratienummers etc in een wachtwoordmanager staan. En dan bedoel ik geen wachtwoorden in de trant van '12345678'. Wou je beweren dat ik die allemaal uit m'n hoofd moet leren?
Wou je beweren dat ik die allemaal uit m'n hoofd moet leren?
Wedden dat je dat kan? Het zal je tegenwoordig misschien iets meer moeite kosten, maar op de middelbare school heb je volgens mij alles bij elkaar wel wat meer lijstjes in je kop moeten stampen.

Dat wil natuurlijk niet zeggen dat ik vind dat je het moet doen, het zou mij ook veel te veel moeite zijn :+
Je kan - vooral met wat ezelsbruggetjes - heel veel uit je hoofd leren :+) maar waarom zou je in vredesnaam? Kost een boel tijd en als je er dan toch een paar vergeet? Want sommigen heb ik minder dan ééns per jaar nodig en dat onthoud lastig.

[Reactie gewijzigd door breakers op 18 januari 2016 21:25]

Oh, absoluut, dat is ook wat ik met mijn toevoeging bedoelde. Wilde alleen zeggen dat het wel kan. En zuiver theoretisch gezien is het veiliger.
Hoe doe je dat wanneer je niet thuis bent en wel ergens wilt inloggen?

Ik snap dat online opslag niet de veiligste methode is, maar alle wachtwoorden onthouden is ook geen optie. Op papier is ook erg lastig omdat je altijd je boekje bij je moet hebben en niet moet kwijt raken.
Hoe doe je dat wanneer je niet thuis bent en wel ergens wilt inloggen?
Ik heb mijn kdbx op mijn smartphone staan.
In absolute nood is er ook nog meestal der pass reset functionaliteit.
Ah ja ik zie dat keepass en 1password ook apps bieden.
Je moet dan wel zorgen dat je de database kan delen tussen de apparaten, maar dat is wel een stuk moeilijker voor hackers om te jatten.
Ah ja ik zie dat keepass en 1password ook apps bieden.
Je moet dan wel zorgen dat je de database kan delen tussen de apparaten, maar dat is wel een stuk moeilijker voor hackers om te jatten.
Veelal zijn die apps juist makkelijker om te jatten / hacken. Want die kosten veelal geld en dus daar zwerven vele losse .apk's van rond die ietwat uitgebreid zijn met wat calling home functionaliteit etc.
Het is een afweging tussen mogelijkheden en veiligheid. Ik kies voor de ene afweging; jij voor de andere. Ik gebruik Lastpass maar heb mijn belangrijkste wachtwoorden daar niet in zitten. Jouw afweging gaat meer richting veiligheid blijkbaar.

[Reactie gewijzigd door Cerberus_tm op 18 januari 2016 18:14]

30 jaar geleden had je nergens een account op zitten, had je geen services waar je gebruik van maakte, ging alles via de post.

Maar aangezien mijn draagbare platenspeler kapot is wou ik graag soms spotify ergens gebruiken, het is dan wel fijn om op mijn mobiel het wachtwoord te kunnen vinden.

Tuurlijk heb ik die wachtwoorden niet nodig, water en brood en een dak is goed genoeg om te leven, maar ik leef graag in een wereld waar we niet denken in beperkingen maar in mogelijkheden.
Het is waar wij de prioriteiten leggen wat er voor zorgt dat de wereld is zoals die nu is om die reden.

Ik hoop niet dat je denkt dat mijn geluk bepaald wordt door materie en services, ik zou nooit die monnik willen zijn, omdat voor mij vrienden en familie het belangrijkst zijn en niet het behalen van Nirwana ;)
Dus eigenlijk kun jij je niet voorstellen hoe mensen 30 jaar geleden leefden. :'(

Wel, het gevoel is wederzijds. Ik snap niet waar jij ergens moet inloggen waar je niet thuis bent?
Deels klopt dit wel, ik kan me ook niet voorstellen hoe ik tegenwoordig zou moeten overleven met enkel een vaste thuistelefoon terwijl ik nu altijd en overal bereikbaar ben behalve als ik dat niet wil (wat ook vaak genoeg is).

Wellicht dat jij 24x7 thuiszit maar andere mensen gaan nog wel eens ergens anders heen en dan is het zo dat het gemak de mensheid dient.
En voor dat gemak hoef je niets op te geven als je het maar goed inricht.
Bedankt voor de goede tip, full url, meteen gedaan!
Zie hier ook waarom het geen goed idee is om het protocol deel te verbergen in de URL ('http://') wanneer gebruik gemaakt wordt van HTTP
Precies! En dit is de druppel waardoor ik het meteen opgezocht heb. Was er altijd te lui voor om het uit te zoeken maar het stelt geen kont voor. Had eigenlijk een goeie reden nodig en dat was dit!

In Firefox:
open about:config
in de search typ: browser.urlbar.trim
dubble-klik de regel: browser.urlbar.trimURLs

Herstart Firefox.
ik wil wel een potje wedden dat een online cloudopslag van wachtwoorden met lastpass beter beveiligd is dan jou brains.

1. of je gebruikt overal hetzelfde wachtwoord
2. of soortgelijke wachtwoorden
Is het niet een beetje de vraag hoeveel unieke wachtwoorden je nodig hebt? Het advies is misschien overal een uniek wachtwoord te gebruiken, maar op sites als tweakers of andere sites die een login vragen, maar verder geen privegegevens laten zien,daar gebruik ik altijd mijn standaard wachtwoord voor. Dit wachtwoord gebruik ik nergens waar verdere privegegevens of betalingsmethoden aan hangen. Verder heb ik voor mijn emails voor elk account een uniek wachtwoord, zodat als ergens mijn gegevens op straat komen te liggen, ze niet in mijn mailbox kunnen om zo verdere gegevens te achterhalen.
Persoonlijk lijkt me dit een veiligere methode dan lastpass. Ik heb het een paar keer overwogen, maar ik wil ook mijn wachtwoorden weten. Als ik dit aan lastpass overlaat, ben je compleet afhankelijk van lastpass.
Ik zou er niet in lopen, aangezien het inlogvenster bij mij uit die extentie komt...
https://goo.gl/photos/wMQPshqUutAMd1P2A
Dat is ook wat in mij opkwam. In Firefox opent de dialoog wel exact in het midden van het scherm, maar die heeft niet dit design.

Beetje vergezocht allemaal, maar uiteraard wel kwalijk dat een site gebruikers kan uitloggen.
Maar als je hem niet aan je toolbar hebt vastgemaakt, krijg je volgens mij wel dit scherm te zien. Maar je kunt het al vrij snel zien aan het icoontje ook.

Al zou het beter zijn als Firefox en Chrome middels icoon (ala HTTPS) laten zien dat je op een extentie-pagina zit.
Cassidy laat weten dat het bedrijf er eerst vanuit ging dat het probleem voortkwam uit de csrf-kwetsbaarheid en dat gebruikers beter 'getraind' moeten worden op het identificeren van vensters door bijvoorbeeld de url te controleren. Hij is het daar niet mee eens, omdat er nagenoeg geen verschil tussen een echte en een neppe pagina te zien is.
Ik ben het daarmee wel eens. Je ziet toch meteen dat dat een vage URL is met een .pw-domein...
Nee, de meeste mensen niet. Jij nu wel omdat je dit artikel lees en er dus op gefocused bent. De meeste mensen kijken niet naar de exacte URL. Ze krijgen een scherm voor hun neus dat lijkt op het echte scherm (en in dit geval zelfs pixel-perfect). In de URL-balk staat iets wat acceptabel lijkt, want iets met "chrome-extension" dus welke alarmbel zou er af moeten gaan?

Ik denk dat het mij ook niet op zou vallen als ik eerlijk ben.
Tgoh, dan ben ik misschien beter opgevoed. Ik kijk zeker niet overal naar de URL, maar als ik bij belangrijke dingen inlog dan kijk ik àltijd naar de URL en het https-certificaat.
Ik ook, maar het extra deel ".pw" moet je maar net opvallen. Daarbij is er hier geen https certificaat en is dat normaliter ook niet zichtbaar bij plugins.
Variatie op een thema: Niets is veilig, en zelfs dat niet.
Inderdaad, in alles zit een risico. Zelfs als je alles zo goed mogelijk beveiligd, is er een risico.
Wat kun je als website nou precies doen om te zien of de persoon die wil inloggen ook daadwerkelijk direct bij jouw inlogged en niet via een mitm?
Wat kun je als website nou precies doen om te zien of de persoon die wil inloggen ook daadwerkelijk direct bij jouw inlogged en niet via een mitm?
HTTPS aanbieden met HSTS en zorgen dat je naar de browser toe aangeeft dat jouw site geen cross-site scripting accepteert. Voor de rest ben je overgeleverd aan hoe de browser van de persoon besluit jouw site te interpreteren.
gekke vraag misschien, maar ik gebruik dus lastpass, en doe alle internet zaken via edge. zodra ik lastpass nodig heb open ik de lastpass plugin via IE. Op deze manier zou ik toch geen last hebben van deze vorm van phishing?
Nee als je via de extensie rechts inlogt heb je het probleem niet.
Je moet echt op een website komen die het boven getoonde scherm toont.
Eigenlijk zou Chrome (en de overige browsers) dus kenbaar moeten maken of je op een extentie-pagina zit te kijken of niet. Vergelijkbaar met of je met HTTPS aan het verbinden bent bijvoorbeeld. Zo kun je dit soort dingen makkelijk voorkomen. Overigens vind ik het wel raar dat Chrome blijkbaar niet ingrijpt bij dit soort domeinnamen, al is blacklisten ook een kwestie van tijd. Ik vind dit meer een probleem van Chrome dan van Lastpass overigens.
Ik gebruik een offline manager, maar uiteindelijk moet je gewoon zelf slim zijn met je wachtwoorden.
Er zal een term voor bestaan; ik heb een 'standaard' sterk wachtwoord met een unieke variatie op iedere site die ik ter plekke kan toepassen. Zo heeft iedere site zijn eigen wachtwoord en kan ik het toch onthouden/opbouwen. En met een gmail account kan je ook nog eens je userid uniek maken waar mogelijk, dus dat is ook nog eens een laagje extra.

Dat iemand dat wachtwoord + de variatie ooit van mij weet te ontfutselen zou natuurlijk kunnen, maar dat komt op hetzelfde neer als de master key van Keepass jatten.
In de history binnen lastpass kun je de logins en de events van de laatste maanden nagaan. Als daarin alleen ip-adressen vermeld staan die je naar de door je zelf gebruikte computers kunt herleiden, neem ik aan dat je niets te vrezen hebt.
Of zijn de aanvallers slim genoeg om de verdachte vermeldingen uit de lastpass history te verwijderen na hun ongewenste bezoek?
Er is ook al mallware gevonden die je volledige keepass uitleest zodra deze geopend wordt dus zo veilig zijn lokale DB's ook weer niet.
Natuurlijk bestaat er malware die dat doet, maar die moet eerst geïnstalleerd worden. Ik vind deze methode mijns inziens stukken gevaarlijker.

Daarbij wordt lastpass nu overgenomen door een bedrijf die service niet al te serieus neemt, dus mij zie je sowieso geen LasPass gebruiken.

[Reactie gewijzigd door vali op 18 januari 2016 12:50]

Dit zal ongetwijfeld zo zijn want de techniek veranderd toch steeds.
Jij gaat mij alleen echt niet vertellen. Dat online net zo veilig is als lokaal.
Een wachtwoord database ligt grotendeels toch aan hoe de gebruiker er mee omgaat. Het zal daardoor toch nooit 100% veilig zijn.
Ik oa.
Ideaal als je een laptop, desktop en smartphone heb.
Altijd al je login's bij je. Nooit meer slappe wachtwoorden, nooit meer gedoe met, wachtwoord moet minimaal blablabla bevatten...

Bankzaken gaan ook online. als dat goed genoeg is, kan dit ook best.
Bankzaken gaan ook online. als dat goed genoeg is, kan dit ook best.
Bankzaken zijn, als het goed is, wel een stukje beter beveiligd dan enkel met een wachtwoord: two-factor auth, single-use tokens voor individuele betalingen, bedrag + rekening nr. begunstigde als onderdeel v/d berekening van zo'n single-use token, etc.

[Reactie gewijzigd door R4gnax op 18 januari 2016 12:55]

Banken zijn vrijwel even kwetsbaar hiervoor - genoeg phishingsites voor banken die precies dit doen: mitm, inlogscherm nabouwen, en auth-codes vragen. Precies de reden bv dat de rabo een lezer heeft die feedback geeft op de tokendinges wat er verzonden wordt en wat je precies autoriseert.

De verschillen zitten vooral in de gevolgen: bij de bank kun je maar een (reeks van...) betalingen autoriseren per keer, maar de lastpass is het startpunt voor al die andere sites die geen tweetrapsauth hebben.

Overigens kunnen ook de gevolgen bij de bank erg groot zijn: zo kan het misbruikt worden om een nieuwe bankrekening te openen en daar daar dan vervolgens flinke schulden op aangaan.

Het technische systeem van banken is daar op zich niet heel veel beter tegen bestand.
ik gebruik zelf een ofline encrypted programma zoals "pins"

dit is een mobiel programma die je overal mee naar toe kan nemen via usb.
het heeft ook een custom pw maker, waarbij je zelf ook iconen aan kan toevoegen. zoals: ╣
dit zijn dus tekens die je niet zomaar in een pw veld kan invoeren zonder het teken in een database te hebben.

hierdoor zijn woordenboek pw hackers ook uitgeschakeld.
volgens:
https://howsecureismypassword.net/
duurt het 1 jaar
om een ascii pw met 10 letters/cijfers {zonder hoofdleters/interpunctie}
te kraken met een gewone desktop pc.

verander 1 letter to een hoofdletter en voeg een punt toe dan is het 7000yaar
Ik vind sites als https://howsecureismypassword.net/ echt fantastisch, omdat een deel van de geinteresseerden gewoon blind hun wachtwoord intikt op een site waar iedereen achter kan zitten..
weet het, zijn achterlijke.

ik toets zelf meestal een vergelijkbaar wachtwoord in (qua tekens/aantal om te zien hoe veilit het is)

al mijn ww duuren minimaal 2 jaar om te kraken met een gewone desktop pc
Daarbij kom je helaas wel op het volgende punt: Gebruiksgemak. Als je randomized wachtwoorden gebruikt, zit je altijd met het probleem dat je op een ander apparaat niet kan inloggen. Helemaal in de huidige samenleving waar veel mensen een laptop, desktop, tablet, smartphone, console e.d. hebben, waar ze dan iedere keer weer veel moeite voor moeten doen om hierop in te loggen.

Een service als LastPass neemt hieruit een grote drempel weg, namelijk door het online op te slaan en de gebruiker waar dan ook in te laten loggen. Dit is dan ook de voornaamste reden dat ik deze service gebruik.

Daarnaast heb ik op iedere website waar het mogelijk is TFA aanstaan, wat tegenwoordig een groot aantal is, hierdoor is een online wachtwoorden database weer (iets) veiliger, gezien je nog een extra stap toevoegd aan het inlogprocess.
Als je randomized wachtwoorden gebruikt, zit je altijd met het probleem dat je op een ander apparaat niet kan inloggen.
Niet als het een hash is van bijv. een master-wachtwoord en een URL.

Nou moet je dat hashen dan ook zeker niet doen op een untrusted apparaat, maar goed.

[Reactie gewijzigd door bwerg op 18 januari 2016 12:04]

Online is er alleen een encrypte blob, die door je wachtwoord lokaal wordt gedecrypt. Het is een redelijk veilig alternatief dan overal hetzelfde wachtwoord voor te gebruiken.
Ik gebruik gewoon Lastpass, heerlijk..
Ondanks het woordgebruik van innerchild in 'nieuws: Onderzoeker toont gerichte phishingaanval op LastPass' heeft hij wel een punt.

Een wachtwoord heb je om een drempel op te werpen. Je weet ook dat in principe alles te kraken is. Vervolgens bewaar je verschillende passwords op een en dezelfde locatie dat te benaderen is via internet dat je opnieuw beveiligt met een wachtwoord.


Hartstikke handig natuurlijk,
maar de kans dat je thuis een slechte relatie hebt en het risico loopt dat je vrouw het in haar heeft om de rekening te plunderen lijkt me statistisch gezien kleiner. Ergens op een papiertje schrijven lijkt me net zo veilig.
Lastpass kan je beveiligen met two step verificatie. Zo weet je bijna zeker dat je account veilig is.
Waar gaat dit nieuwsbericht dan over? ;)
Ja klopt, daarom zeg ik ook 'bijna' zeker. Niks is 100% veilig.
Ergens op een papiertje schrijven lijkt me net zo veilig.
Que?
Als jij een knap wachtwoord gebruikt voor je lastpass, eventueel met two-step, is dat natuurlijk vele malen beter te beveiligen dan een post-it onder je toebo. Even los van deze phishing want niets is echt opgewassen tegen social engineering.
Al met al erg raar statement.
Lastpass is absoluut een SPOF maar wel een goed beveiligde SPOF. Ik ben geen security expert maar een lastpass benadering van wachtwoord beheer lijkt me onder de streep veiliger dan wachtwoorden recyclen en/of opschrijven.

[Reactie gewijzigd door Alpha Bootis op 19 januari 2016 12:17]

Succes met het vanbuiten leren van al uw verschillende wachtwoorden. Want als je bv: 1234 als wachtwoord van al de website's die je gebruikt neemt dan ben je ook een oen :).
Wie heeft het hier over het vanbuiten leren van al mijn verschillende wachtwoorden ?? Ik zeg alleen dat het gewoon dom is om je wachtwoorden online te bewaren. Er zijn legio andere manieren/. Gewoon op je computer met bv keepass. Tuurlijk kan ook mijn pc gehacked worden, maar het gaat om de drempel die je zelf oplegt.

Alles moet maar online bereikbaar zijn. En hoe je het ook bekijkt, je geeft je hele shizzle af aan onbekenden. Je weet niet wie erachter zit en je weet ook niet of de beveiliging die gebruikt word ook niet ongedaan kan worden gemaakt door de maker.

Het komt er gewoon in het kort op neer dat gemak de mens dient. Zelfs tweakers die toch moeten weten wat er speelt op het internet zouden beter moeten weten.

Als er weer een artikel voorbij komt dat er een energie central is gehacked omdat deze online stond.. nou dat staat tweakers in vuur en vlam...
Je bent erg kort door de bocht door mensen meteen een oen en dom te noemen.

Ik weet niet in hoeverre je in hebt gelezen in Lastpass maar ze zijn zeer veilig en het is niet zo dat je alles aan hun afgeeft. Ze hebben geen toegang tot je hoofd wachtwoord, noch tot alle andere wachtwoorden. Nu kan je meteen roepen dat ze dat allemaal wel kunnen zeggen, maar voordat je dat doet moet je je eerst even verdiepen in hoe Lastpass precies werkt (want ze hebben het echt niet en ze kunnen er echt niet bij*).

Zoals eerder gezegd op je vorige reactie is Keepass en dat soort lokale tools ook niet veilig en zijn er verschillende malware attacks die je via een browser binnen kan krijgen die je Keepass uitlezen als je er op inlogt terwijl de malware actief is.

Wat je als gebruiker doet is een afweging maken tussen de veiligheid (de kans om gehackt/gekraakt te worden) en gebruikersgemak. Niemand (ook jij niet) gooit alle gebruikersgemak overboord om maar zo veilig mogelijk te zijn (dan zou je ook geen keepass gebruiken, of zelfs online zijn).

Dus als je als gebruiker de afweging maakt en je schat in dat Lastpass eigenlijk gewoon heel veilig is als je je verstand gebruikt en dat het veel meer gebruiksgemak geeft dan welke andere vorm dan ook, dan is de keuze snel gemaakt.

Zoals ik het zie, zijn Lastpass gebruikers dus eigenlijk net iets slimmer dan jij, die denkt dat het onveiliger is, en zichzelf vervolgens te kort doet met lokale tools die bijna net zo kwetsbaar zijn.

Punt is, het verschil in kwetsbaarheid is te verwaarlozen, of je het nu wilt geloven of niet. Lees je eens in in hoe Lastpass werkt.

* in principe kan je overal bij en is geen enkele encryptievorm veilig, en hebben overheden en NSA, NASA en buitenaardse wezens ook toegang via backdoors. Vooral de Chinezen, die kunnen echt overal bij.
Nee niet kort door de bocht. Ik vind het gewoon echt ongeloofelijk knullig en dom als je je wachtwoorden online bewaard. Alles voor het gemak. Ik heb altijd geleerd om zo veilig mogelijk met je gegevens om te gaan. Dat kost nou eenmaal wat moeite. Drempels haal ik weg door bv niet alles online te pleuren. En zoals ik al had aangegeven, ja ook data op mijn computer kan gehackt worden, maar omdat ik het niet online heb staan en in eigen beheer is dat altijd nog veiliger dan al je wachtwoorden te bewaren bij de 'buurman'.

Iedereen praat altijd zo mooi over veiligheid en eigen verantwoordelijkheid hier op tweakers. Als er weer is gebruikers in een fishingmail trappen of dat er mensen zijn die hun gegevens via de telefoon afgeven. Maar oh wee als je een tweaker aanspreekt op een tool die hij zelf gebruikt en dan vertelt dat je net zo oennig bezig bent op een hoger niveau dan gelden de regels opeens niet meer.

Je zet gewoon je wachtwoorden niet online in een database bij onbekenden. Hoe mooi je je verkooppraatje ook houd. Het is gewoon niet goed te praten.
Whatever dude ... niet lezen, niet nadenken, kop in het zand. |:(

Je bagatelliseert enorm met uitspraken als "alles voor gemak".

Je haalt het voorbeeld aan van phishing (niet fishing) maar je bent er zelf net zo kwetsbaar voor met keepass of iets soortgelijks lokaal. Hoe is dat dan veiliger? Je geeft het ook toe dat je gehackt kan worden, dus wat is dan het verschil? Gaat het om de drempel, de kans op? Lastpass is, ondanks verschillende berichten over theoretische hacks/mogelijkheden en kwetsbaarheden, nog nooit gehackt. Lokale PC's, phishing, drive by malware, komt continue voor. Honderdduizenden keren per dag.

ALs je hebt geleerd "zo veilig mogelijk met je gegevens om te gaan", waarom zit je dan nog op het internet? Zo veilig mogelijk is nog altijd OFFLINE. Ik snap ook wel dat dat onredelijk is ...

Mijn punt is dat jij denkt beter bezig te zijn, maar dat is helemaal niet zo. Je bent dus net zo'n oen, net zo dom en net zo knullig als dat jij beweert dat anderen zijn. Maar zolang jij je kop in het zand hebt zitten zul je dat wel niet willen accepteren.

[Reactie gewijzigd door InflatableMouse op 18 januari 2016 12:45]

Ik denk niet dat ik je clue mis, ik denk dat jij mijn punt mist.

Je houding is ontzettend narcistisch en neerbuigend op diegenen die er niet jouw mening op nahouden. niet alleen in reacties naar mij toe, maar in het hele onderwerp hier. Dat is eigenlijk het enige wat ik je wilde laten zien want ik probeer jou niet te overtuigen dat je lastpass moet gebruiken, zal me een worst wezen. Maar show some fucking respect ... Je bent niet beter dan de rest!
Daarnaast is men hoofdwachtwood "rond de 30karakters", dus dat zit ook wel snor.
Lengte van je wachtwoord doet er natuurlijk niet toe, als je slachtoffer bent geworden van malware of phishing (waar het artikel over gaat).
Natuurlijk, maar daarbuiten kan het alleen maar helpen ^^
Waarom een -1 ???
Hij heeft namelijk wel een punt.
Dit soort vertrouwelijke informatie hoort niet op servers bij een bedrijf thuis.
Maar ja de ICT industrie is wat dat betreft nogal hypocriet:
Zet alles maar 'in the cloud' (op internet dus). En dan klagen over veiligheidslekken zoals deze.
Ik heb daar geen medelijden mee. Dat is eenmaal het risico van vertrouwde informatie op internet zetten.
Wat een onzin. Veiligheidsproblemen en bedrijven je data huisvesting laten doen gaan hand in hand vind jij?
Ik denk dat Google met zijn Drive de security beter in de klauwen heeft dan Jan Modaal met zijn outdated NAS waar software uit het jaar kruik op loopt, als ik heel eerlijk ben.
Even los van eventuele Patriot Act discussies.

Dat je blaam zou treffen omdat je een dienstverlening gebruikt is natuurlijk gewoon gelul.
Je ontkomt er niet aan mensen/bedrijven te vertrouwen want je kan niet alles zelf doen. Hier gaat het om wachtwoord beheer, maar je kan het net zo goed over een loodgieter hebben die er kwade intenties op na zou kunnen houden. Laatstgenoemde is gewoon in je huis. Erger dan een paar uitgelekte wachtwoorden voor wat random social media.

[Reactie gewijzigd door Alpha Bootis op 19 januari 2016 12:57]

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True