Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 119 reacties

Google-beveiligingsonderzoeker Tavis Ormandy claimt een op afstand te gebruiken lek in de populaire wachtwoordmanager LastPass te hebben gevonden. Volgens hem gaat het om een 'complete remote compromise'.

Lastpass logo nieuwEr zijn nog geen verdere details over de kwetsbaarheid bekend, de onderzoeker heeft tot nu toe alleen via Twitter laten weten dat hij een rapport met zijn bevindingen naar LastPass heeft gestuurd. Het lijkt erop dat hij het lek in korte tijd heeft gevonden, omdat hij vijf uur na de aankondiging dat hij naar kwetsbaarheden in de software gaat zoeken de betreffende tweet uitstuurde.

Het lijkt erop dat het om een ernstig lek gaat, dat waarschijnlijk het op afstand uitlezen van wachtwoorden mogelijk maakt. De onderzoeker belooft ook naar het alternatief 1Password te kijken en de software op kwetsbaarheden te onderzoeken. Ormandy vindt regelmatig lekken in verschillende producten, waaronder die van AVG, Trend Micro en Comodo. Het is te verwachten dat LastPass binnenkort met een patch en bijbehorende uitleg komt.

tavis ormandy lastpass

Update, 12.30 uur: Zoals tweaker MarkH NL opmerkt, heeft een andere onderzoeker woensdag eveneens een kwetsbaarheid in LastPass gepubliceerd. Deze is inmiddels echter binnen een dag door het LastPass-team opgelost, zo schrijft hij in een blogpost. Het lijkt daarom niet om dezelfde kwetsbaarheid te gaan. Het lek had te maken met de AutoFill-functie van LastPass, die url's op een verkeerde manier verwerkte. Daardoor kon de onderzoeker de LastPass-extensie zover krijgen om wachtwoorden voor een url te tonen, terwijl hij zich in werkelijkheid op een ander domein bevond.

Update, 20.35 uur: LastPass heeft een fix uitgebracht voor het lek. De kwetsbaarheid zat in de Firefox-addon van versie 4.0 van de wachtwoordmanager. Gebruikers van versie 3.0 of andere browsers zijn niet getroffen.

Moderatie-faq Wijzig weergave

Reacties (119)

Lastpass heeft een update uitgebracht:

https://blog.lastpass.com...ss-security-updates.html/

Als je nog versie 3.0 gebruikt ben je niet vulnerable.

Als je de fix meteen wil downloaden, kan dat via https://lastpass.com/lastpassffx

Trouwens zijn alleen Firefox gebruikers affected.
Vanwege dit soort lekken draai ik mijn wachtwoordkluis volledig lokaal.
Volgens mij maakt dat in dit geval helemaal niks uit.
Het lek is niet dat men via de server van Lastpass bij je data kan komen.
Het lek is dat een willekeurige website jouw gegevens kan uitlezen wanneer Lastpass die voor jou automatisch invult. Omdat de browser extensie van Lastpass denkt dat jij op een andere website bent dan je werkelijk bent.

[Reactie gewijzigd door mddd op 27 juli 2016 12:15]

Misschien vrij paranoide maar om die reden gebruik ik geen plugins om automatisch passwords in te vullen. Ik doe zelf wel copy-paste vanuit Keepass.
Keepass ondersteund auto type zonder extensie :-) Nog makkelijker
Ook die gebruik ik dus niet. Automatisch passwords invullen creëert een extra attack surface voor kwaadwillenden. Opeens is het invullen van passwords dan geen bewuste actie meer maar een automatisch mechanisme wat gemanipuleerd kan worden.
Auto-type in KeePass is nog altijd een bewuste actie. Je zult echt op het 1e veld moeten staan, wisselen naar KeePass, de bewuste entry selecteren en CTRL+V gebruiken.
Nee, dat hoeft niet in KeePass. Je gaat op het eerste veld staan en toetst Ctrl + Alt + A en KeePass vult automatisch de gegevens in of geeft je een aantal te selecteren opties, waarna het automatisch ingevuld wordt. Je hoeft dus niet altijd naar KeePass zelf te switchen. Alleen in de gevallen dat automatisch invullen niet werkt.

[Reactie gewijzigd door Deadsmell op 27 juli 2016 12:49]

Nope, al vaker meegemaakt dat ik ineens een website ging bezoeken die dezelfde naam had als mijn wachtwoord 8)7

Sinds die tijd doe ik lekker manueel Ctrl-C en V _/-\o_
Niks paranoïde aan :) Gebruik ook geen extensies (van 1Password) juist om deze reden. Copy-paste is een kleine moeite en je hebt met dit soort problemen ook niet meer te maken :)
Je kan er natuurlijk ook voor kiezen om nooit automatisch ingelogd te worden in je extensie. Ik gebruik LastPass en log alleen in als ik 'm ergens voor nodig heb. Daarna log ik ook direct weer uit.
Goede aanpak. Ik gebruik zelf wel de 1Password extensie, maar niet met auto-fill. Dus hij vult pas iets in als ik daartoe opdracht geef.
Waarom heb je dat nodig? Je browser kan ook al je wachtwoorden opslaan. Je moet dan wel je browser profile op een versleutelde partitie neerzetten of een Firefox Portable versie op een versleutelde partitie neerzetten.
Je kunt inderdaad ook de ingebouwde opties van je browser gebruiken. Password managers hebben vaak meer opties zoals vulnerability alerts, password generation etc. En de belangrijkste, het delen (al dan niet met verschillende groepen en rechten) van de passwords.
Er zijn Firefox add-ons die wachtwoorden genereren zoals deze.

Wachtwoorden delen is hoe sowieso een slecht idee.

[Reactie gewijzigd door ArtGod op 27 juli 2016 13:52]

Wachtwoorden delen is hoe sowieso een slecht idee.
Fijn dat je er zo subtiel over bent.

Het is in deze thread al vaker gezegd. Password managers hebben nadelen. Maar overall, als je daardoor veel veiliger, en bovendien unieke passwords gebruikt dan kan het netto echt wel een pluspunt zijn. Zeker als je met teams bent en je op de een of andere manier die informatie met elkaar moet delen.

[Reactie gewijzigd door mddd op 27 juli 2016 14:14]

Hoezo is wachtwoorden delen een slecht idee? Ik ken de situatie van verschillende acceptatie-omgevingen voor verschillende klanten, waarbij deze natuurlijk allemaal een random wachtwoord hebben. Juist om met een team aan zo'n project te werken geeft meerwaarde aan het delen van dit soort wachtwoorden.
Als je klanten hebt waar je bijvoorbeeld ftp- en mail-accounts voor aanmaakt, instelt en wil kunnen testen als ze in paniek bellen, wil je die wachtwoorden overzichtelijk en snel toegankelijk hebben, uiteraard versleuteld opgeslagen. Zodat je ze kunt bekijken vanaf je laptop, desktop en smart phone – feitelijk ook 'delen' maar dan tussen meerdere apparaten. Waarom is dat een slecht idee? 600+ wachtwoorden wil je niet alleen in één browser password cache hebben, zonder overzetmogelijkheid.
Vandaar dat Keepass 'zet in clipboard en haal automatisch 5 seconden later weer weg' uitstekend is voor mij :). Extensies weer in je browser leek me vragen om een lek in de extensies.
+1

Persoonlijk heb ik mijn database met wachtwoorden lokaal in een Veracrypt bestand staan met een Key file die in een willekeurige directory met 10.000 afzonderlijke textbestanden staat.
10.000 afzonderlijke textbestanden?

Stel dan gewoon een viercijferige pincode in. Dat zijn ook 10.000 combinaties. :')

Als iemand je Veracrypt file te pakken krijgt, vinden ze die directory ook wel hoor.

Schijnveiligheid.
Dat dus, kwestie van zoeken op last changed..
Post waarin hij het lek beschrijft..

[quote]
By browsing this URL: http://avlidienbrunn.se/@twitter.com/@hehe.php the browser would treat the current domain as avlidienbrunn.se while the extension would treat it as twitter.com. Since the code only URL encodes the last occurence of @, the actual domain is treated as the username portion of the URL.
[/quote]

Voor het automatisch invullen van inloggegevens kijkt LastPass naar het domeinnaam van de website. Door een bug in de URL-parser kon je LastPass de gegevens van website A invullen op website B. Een aanvaller hoefde alleen maar een slachtoffer naar website B te lokken met een speciale URL.

Het lek is ondertussen gedicht en de man is beloond met $1000.

Vormen van 2F authenticatie beschermden niet tegen dit lek.


Zie comment van Roblll hieronder.

[Reactie gewijzigd door OrangeTux op 27 juli 2016 16:46]

Voor diegenen die 't nog gemist hadden even voor de duidelijkheid: Dit nieuwsbericht gaat over een *nieuw* probleem; niet het probleem dat OrangeTux nu aanhaalt! Zie ook de update van 12.30.

"Hij" uit bovenstaande quote is dus niet hem.

[Reactie gewijzigd door RobIII op 27 juli 2016 15:37]

Man man, 1000 dollar maar ontvangen als dankjewel :/
Hoeveel denk je dat lastpass verdient?
Lastpass Premium kost een gebruiker 1$ per maand.
als ook maar 1% van hun 7 miljoen gebruikers Premium gebruikt, verdient Lastpass bijgevolg $840.000 per jaar.
(ik weet niet het echte aantal van Premium gebruikers, maar ik denk eigenlijk dat dit wel boven de 1% zal liggen...)

in ieder geval hebben ze 18.000 Enterprise-contracten, wat neer komt op minstens $18 (of 20, of 24; afhankelijk van het aantal gebruikers) per gebruiker per jaar...

Lastpass is dus zeker niet platzak

[Reactie gewijzigd door efari op 27 juli 2016 13:06]

Water, gas en licht, kantoorruimte, salarissen, belasting, premies en overige kosten.
Allemaal dingen die uit de inkomsten betaald worden, pas NA aftrek van ALLE kosten, kan je zien wat je overhoudt.

Platzak zullen ze niet zijn, maar om nu alle gebruikers in één keer als "winst" te zien, dat is gewoon naïef
Nog veel minder dan ik dacht. Zoals freshmamer al zegt wat denk je van alle kosten 8.4 ton voor belasting is er zo door als je alle kosten gaat aftrekken.
Nouja, als hij er inderdaad 5 uur mee bezig is geweest zoals in het nieuwsbericht ataat, verdien ik dat niet in 5 uur :+
Vraagje, is Lastpass niet verplicht om haar gebruikers hierover in te lichten?

Ik gebruik zelf lastpass, maar ik had graag een mailtje gehad, waarin stond dat ik de komende dagen extra voorzichtig moet zijn en dat ze 24/7 in de gaten houden dat er geen wachtwoorden gestolen worden.
Alleen als misbruik daadwerkelijk plaatsgevonden heeft dan geldt er in de VS de zogenaamde meldplicht. Dit is bepaald op staats niveau in de VS en is meestal gebaseerd op de wet die hierover in Californië is opgesteld: California S.B. 1386. Er zijn nog een paar andere eisen waaraan voldaan moet worden voordat je verplicht bent om dit melden aan het publiek.

Het is altijd belangrijk om eerst de omvang en de impact van een breach vast te stellen voordat je je eigen gebruikers bang maakt met iets wat in de praktijk geen impact blijkt te hebben. Having said that, het zou fijn zijn als ze een soort van real-time status pagina hebben met alle bekende of mogelijke (in onderzoek) breaches en waar je op moet letten als gebruiker om te voorkomen dat je slachtoffer wordt.

Uiteraard geldt bij deze hack en die van eerder deze week iets wat altijd belangrijk is: let goed op als je vreemde websites bezoekt!
Lijkt mij leuk zo'n pagina als:

Wij zijn ingelicht dat we kwetsbaar zijn via dit en dat systeem. status : research ongooing.

heel handig voor hackers ;)

een status pagina die zegt
Wij zijn vandaag om 14u53 door travis verwittigd dat we kwetsbaar zijn voor een niet nader genoemd probleem zegt dan ook niets
Hoeft natuurlijk niet precies aan te geven hoe/wat maar kan wel zeggen 'avoid unknown websites or disable browser plugin due to known vulnerability until we've patched' en dan opvolgen met welk patch # veilig is. :)

Overigens geeft Travis op Twitter aan dat de kwetsbaarheden die hij gevonden heeft betrekking hebben op de binaire versie van Lastpass, die lang niet iedereen gebruikt. Wellicht interessant voor iedereen die Lastpass gebruikt :)
Lastpass is pas gisteren op de hoogte gesteld. En het bedrijf gaat nu waarschijnlijk zijn claim controleren.
Dus nu al de gebruikers 'bang' gaan maken met een nog niet geverifieerde claim is niet handig ;)
Mooi media verhaaltje natuurlijk, maar zo'n 'claim' is doorgaans binnen een paar minuten door het development team te controleren. Daar gaat geen dagen overheen.
Een groot bedrijf als Lastpass gaat zeker niet bij elk beveiligingsprobleem een mail sturen naar alle gebruikers als er geen misbruik heeft plaats gevonden. Zeker niet 'binnen een paar minuten' want als er überhaupt zo'n mail wordt verstuurd, wordt die natuurlijk iets beter voorbereid dan andere mails.
Ook als het drie uur 's nachts is? ;)
Het lek is door een onderzoeker gevonden, en niet publiekelijk bekend gemaakt wat het lek precies inhoudt...
Als dit lek reeds bekend zou zijn door kwaadwillenden, ga je er niets positief aan overhouden dat je "de komende dagen" extra voorzichtig bent (want het is mogelijk dat dit lek reeds maanden oud is). in dat geval had je al sinds den beginne extra voorzichtig moeten zijn.

voor zover ik weet is Lastpass verplicht haar gebruikers in te lichten in het geval er daadwerkelijk wachtwoorden zijn gestolen... (wat hier niet het geval is; althans niet voor zover Lastpass weet)
autofill staat bij mij gelukkig uit. Toch maar eens 2FA gaan beginnen aanzetten.
Sowieso niet slim om geen 2FA aan te zetten op een passwordmanagerr
Hangt er van af welke wachtwoorden er wel en niet in staan. Zelfs met mijn laspass kom je bijvoorbeeld nog altijd niet in mijn paypal account, en als je dat toch zou lukken (op een andere manier) heb je daar voor betaling nog altijd 2FA in de weg zitten.
semi-offtopic:
Hoe zet je in PayPal 2FA aan? Heb hier al vaker naar gezocht, maar kan het niet vinden.

ontopic:
2FA in LastPass is alleen bij login. Mocht je al ingelogd zijn, werkt dit trucje naar mijn ziens nog steeds vanwege de autofill. 2FA bij elke keer dat LastPass moet autofillen is niet mogelijk, zo ver ik weet. Ik heb zelf altijd "require password reprompt" aan staan voor dit soort accounts, lijkt mij dat dit trucje in dat geval niet werkt.
Reactie op je semi-offtopic: deprimerend om te moeten melden, maar officieel ondersteunt PayPal 2FA nog altijd niet in Nederland. Meest recente wat ik kon vinden is: nieuws: Tweetrapsauthenticatie in PayPal kan al geactiveerd worden , waarin gemeld wordt dat via een workaround het voor niet-USA accounts geactiveerd zou kunnen worden. Dat is van november vorig jaar.
Je kunt inderdaad via de oude paypal interface 2FA aanzetten. Werkt gewoon in NL. De teksten in het proces lijken wat verwarrend, het lijkt erop dat je een dienst aanschaft, maar 2FA is gewoon gratis.
Ik mis de oude interface en krijg die niet meer. Hoe switch je daar nog naartoe? :P
Gewoon de link uit het nieuwsbericht van multiplexer hierboven volgen, dat werkt perfect! :)
Zie o.a. in de eerder genoemde link:
nieuws: Tweetrapsauthenticatie in PayPal kan al geactiveerd worden

Na inloggen op paypal werkte de link onder 'Hier' uit dat artikel.

[Reactie gewijzigd door _Calvin op 27 juli 2016 15:14]

Helaas niet. Die "Hier" link redirect naar "https://www.paypal.com/businessprofile/settings/" ;(
Jaaa die doet het! :)
Het is helaas nog steeds die ranzige nieuwe interface van ze, maar 2FA is in ieder geval geactiveerd. Het gekke is dat het nu ook opeens verschijnt onder My Profile, dat deed het voorheen niet.

Hartelijk dank :)
2FA had in dit geval geen bescherming geboden.

[Reactie gewijzigd door OrangeTux op 27 juli 2016 16:47]

Wel waar, lees: https://labs.detectify.co...ve-me-all-your-passwords/

Also, this would not work if multi factor authentication was on, so you should probably enable that as well.
En kan je met die autofill niet enkel aan je eigen paswoorden?
Zou nog best meevallen dan ... toch?

Edit: Een malicious site zou zo andere paswoorden kunnen opvragen ... eerst niet bij nagedacht.

[Reactie gewijzigd door Nullius op 27 juli 2016 13:08]

Ik neem aan dat als je bv een Yubikey gebruikt je ook nog safe zit?
Ja dan zit je safe; "Also, this would not work if multi factor authentication was on, so you should probably enable that as well."
Het ging om multifactor bij het account waarop je wilde inloggen (twitter in het originele voorbeeld), niet om multifactor in LastPass.
Dank, heb het artikel een update gegeven.
Ik snap even niet hoe zoiets mogelijk kan zijn door enkel een URL aan te passen. Je moet toch eerst inloggen op LastPass om je wachtwoorden te decrypten. Het kan toch niet zo zijn dat ik, terwijl ik ben ingelogged op mijn eigen Lastpass account, de wachtwoorden van iemand anders kan opvragen. Het lijkt me erg onwaarschijnlijk dat dat zomaar kan.
Je sleutels uit handen geven, ik doe het nog steeds niet.
Vind het wel makkelijk als je veel sleutels hebt, maar dan zou ik dat op een stand-alone stukje HW willen hebben en niet online ergens staan. een sleutelbos dus
Waarmee het praktisch gebruik van een wachtwoord-kluis behoorlijk om zee wordt geholpen als je eerst je sleutelbos-kastje uit je broekzak moet halen om te kijken. Die oplossing is er trouwens allang, DataVault en diverse andere password managers bieden de mogelijkheid (of doen juist alleen maar...) de database lokaal opslaan. Kun je steeds als je ergens wilt inloggen eerst op je telefoon het wachtwoord opzoeken, en werken met leuke gegenereerde wachtwoorden als 9hjh-h087-HU-2i9-@!= wordt dan een heel stuk minder handig...
Dat klopt, maar kijk het ook aan vanuit de andere kant.
met 1Password heb je voor elke site een appart wachtwoord. maar om bij alle websites te kunnen komen heb je maar 1 wachtwoord nodig..

Dus men kan niet inloggen op je FaceBook page, maar kan wel in 1Password komen en dus bij all jouw websites waar je een account hebt komen.

Voor doelen wat geen probleem is zoals een RTLxl account om GTST terug te kijken is het leuk maar voor doelen die privacy gevoelig kunnen zijn NFW!!!
Password Managers zijn dan ook ontstaan uit het idee dat honderden verschillende sterke wachtwoorden onthouden niet te doen is. Gevolg is dat men dezelfde wachtwoorden gaat hergebruiken met alle risico's van dien. Als je jouw password manager voldoende beveiligd met een sterk wachtwoord en 2FA dan is de kans dat ze in je vault komen erg klein.

De kans dat men een willekeurige website hackt en een password achterhaald dat op verschillende websites werkt omdat die persoon geen password manager heeft en uit nood maar ging hergebruiken is dan vele malen groter lijkt me.

Dus ik ben van mening dat, wanneer je niet wilt dat jouw wachtwoorden iedere keer uit dat zwarte boekje in een kluis overgetypt moeten worden, en je 2FA op je vault gebruikt, je echt wel veiliger bezig bent.
True en daarom is het ook zo enorm irritant als sites/programma's het niet mogelijk maakt wachtwoorden te copy-pasten |:( |:( :(
Ben ik het gedeeltelijk mee eens.. Ik gebruik zelf keepass die offline op je PC staat.. Natuurlijk wel elkedag een back-up trekken of lig wanneer je een aanpassing doet.

Password safe die niet offline staat zou ik zelf nooit gebruiken. als je 2FA wilt gebruiken moet de website dat ondersteunen en dmv een timed cookie of via permanent locked cookie je ingelogd houden. een 2FA gebruiken op een Vault zou ik zelf ook niet graag gebruiken. gezien je dan afhankelijk ben voor tientallen wachtwoorden van een identity provider "IP". nee dan een offline vault met een goed sterk wachtwoord die een browserplugin heeft eventueel. waarbij je 1 wachtwoord moet onthouden..

Zo gebruik ik op de MAC offline KeyChain. en op windows KeePass voor het werk.
Zo denk ik er ook over. Ik vind het nog steeds gevaarlijker dat ze meteen alles bij mekaar hebben en dus ook weten waar ik die wachtwoorden gebruik. Dan het hergebruiken van een paar wachtwoorden voor sites die mij toch weinig interesseren. De belangrijke wachtwoorden zitten in mijn hoofd en die worden niet hergebruikt.

Als iemand mijn tweakers account in handen krijgt en daarmee toevallig ook op nu.nl kan bij wijze van is jammer maar meer ook niet.
wij gebruiken naar volle tevredenheid een google sheet met de juiste rechten erop.
wat mij betreft een perfecte oplossing
Praktisch zal het zeker prima werken, maar perfect? Je slaat al je wachtwoorden onversleuteld in de cloud op! Mag hopen dat je een geintje maakt. Nu schijn je het wel te kunnen versleutelen met software van derden maar dan wordt het al gauw weer onpraktisch.
Ik mag hopen dat je een grapje maakte, dit te meer, dat je dit in het openbaar zegt. Met op je profile de website van je bedrijf neem ik aan.

Dus wij weten nu, dat je bij mkb-expert.nl maar hoeft te richten op 2 personen, via linkedin te achter halen. Om een aantal poging te wagen.. Om achter alle wachtwoorden te komen.

Met het nieuws van vandaag er bij, een betrouwbare wifi AP opzetten, en wachten tot jullie er per ongeluk op inloggen.

En bedankt :)

/edit typo

[Reactie gewijzigd door wica op 27 juli 2016 13:31]

em hoe dacht je langs mijn google 2fa te komen ?
Als het echt moet en niet anders kan, zijn daar ook mogelijkheden voor. http://www.imdb.com/title/tt0408345/ Leuke film, Firewall

Maar ik neem aan dat je net als iedereen, je google 2fa gewoon op je telefoon hebt. Wat naar mijn personelijke mening, netzo veilig is, als een sms met wachtwoord sturen.
Oei, dit vind ik toch wel heftig. Ik gebruik LastPass al heel lang en ook zakelijk. Het delen van wachtwoorden met teamleden is hierdoor heel gemakkelijk geworden. Daarnaast weet je zeker dat wachtwoorden alleen bij gebruikers terechtkomen die er wat mee zouden moeten aagezien je dit kan afschermen in LastPass en precies kan aangeven wie welke wachtwoorden mag gebruiken.. Veel van onze beheerpanels staan in LastPass. Een remote compromise is zeer kwalijk en zou betekenen dat onze servers dus overgenomen zouden kunnen worden.
Als je servers overgenomen kunnen worden omdat je wachwoorden gelekt zijn, is er denk ik nog wel iets anders met je beveiligingsbeleid aan de hand.

- Gebruik je geen 2FA, zodat de gebruikersnaam/wachtwoordcombinatie alleen niet voldoende zijn?
- Is de toegang tot de beheersinterface van je servers niet beperkt tot bepaalde IP adressen?

Klinkt als tijd voor aanvullende maatregelen, want gebruikersnaam/wachtwoord vertrouwen is allang niet voldoende meer :)
Uiteraard zijn onze servers afgeschermd op ip niveau en gebruiken we ook 2fa. Desalniettemin wil je niet dat je server wachtwoorden op straat komen te liggen. Ik bedoelde meer illustratief dat de gevolgen van een dergelijk hack enorm kunnen zijn aangezien ik ook verwacht dat er meer developers zijn die LastPass gebruiken en op deze manier wachtwoorden uitwisselen met co-workers.
Ik zie lastpass meer als extratje om makkelijk wachtwoorden op te slaan dan als extra beveiliging.
Ik zie een wachtwoordmanager niet als extraatje. Dit is een essentieel onderdeel in het managen van je enorme berg wachtwoorden en daar mag niet lichtzinnig over worden gedacht.
Ik gebruik daarom ook geen online wachtwoordmanager maar KeePass. Het idee dat iemand anders mijn wachtwoorden veilig moet houden bevalt me voor geen meter.
Al je wachtwoorden in 1 programma opslaan wel?
Gebruik jij tientallen verschillende programma's om hetzelfde te doen dan? KeePass voldoet en is veilig, dus ja, ik gebruik alleen KeePass.
Password in een gedeelde omgeving leggen (zoals de cloud van lastpass) is meestal een extra risico, passwords door een plugin laten invullen ga ik al helemaal niet vertrouwen. Keepass bevalt wat dat betreft goed, zelfs als de password db file publiek terechtkomt is er nog niets aan de hand (als je de db voor jezelf wilt sharen raad ik natuurlijk wel een beveiligde locatie aan).
Tenzij ik iets mis is de data op de lastpass servers even geëncrypteerd als je KeePass bestandje.
Dus zou een inbreuk op de servers van lastpass een even groot gevolg hebben als dat iemand je KeePass bestand van je Dropbox/nas plukt.
Met een login op de lastpass server kan je toch bij jouw passwords? Dat de data encrypted opgeslagen wordt is logisch maar indien een account gekaapt wordt liggen je passwords alsnog op straat. Bij keepass bestaat dit risico ook maar is dit lokaal en niet in een externe cloud service. Overigens raad ik wel aan om bij keepass de "enter master key on secure desktop" aan te zetten zodat softwarematrige keyloggers geen kans krijgen.
Bij lastpass activeer je 2FA en ben je daar ook tegen beschermt.
Ik maakte eerder de vergelijking dat het niet uitmaakt als ze je paswoorden van de lastpass server halen (door een server hack) of je Keepass bestandje van een "secure" sharing dienst.
Daarom draai ik Clipperz op mijn eigen server.
Ik heb zo mijn twijfels bij de veiligheid van een tooltje op een server die in eigen beheer draait versus een bedrijf wat als core-business veiligheid heeft.

Desalniettemin ben ik totaal geen fan van wachtwoordmanagers die clouds en/of online accounts gebruiken voor opslag. Het is een enorme honey pot voor kwaadwillenden vergeleken met een specifiek servertje dat bij iemand thuis staat.
Klopt, het vergt iets meer moeite om het veilig op te zetten, maar het heeft een flink aantal voordelen. De software is open-source, je zit niet in een honey-pot met miljoenen anderen en de software heeft een onafhankelijke audit doorstaan.
LastPass has engaged 3rd party security firms for regular reviews of the service and does automatic nightly reviews as well.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True