Data werknemers Intel, Apple, Google buitgemaakt bij hack op Khronos Group

Het forum van de Khronos Group, waarbij duizenden werknemers van Google, Intel en Apple zijn aangesloten, is gehackt. Voor zover bekend zijn de gebruikersgegevens in handen van de hackers, maar zijn ze momenteel niet te koop of openbaar inzichtelijk.

Vice-dochtersite Motherboard wist een sql-bestand met bijna 3000 accounts in handen te krijgen. De buit zou bestaan uit gebruikersnamen, e-mailadressen, onversleutelde wachtwoorden, ip-adressen en in sommige gevallen ook fysieke adressen. 18 van de 20 gebruikersnamen en e-mailadressen die Motherboard als test invoerde in het registratieformulier, waren volgens het forum in gebruik. Daarnaast heeft de redactie van drie verschillende getroffen personen verificatie gekregen dat de gegevens kloppen.

Naast Google, Intel en Apple zou het ook gaan om werknemers van EA, Panasonic, VMWare, IBM, Toshiba, Samsung, Sony Ericsson en nog meer. Motherboard sluit niet uit dat de bijna 3000 accounts die ze in handen hebben niet de volledige buit vertegenwoordigen. De accounts hebben namelijk volgnummers die tot net onder de 7000 gaan. De Khronos Group zelf heeft een kopie van het sql-bestand in handen gekregen van Motherboard, maar heeft nog geen verder commentaar geleverd.

Khronos Group nieuw De Khronos Group is een Amerikaanse nonprofit-groep die onder andere verantwoordelijk is voor de ontwikkeling van open api's als OpenGL en Vulkan. Talloze grote techbedrijven zijn aangesloten bij de groep.

IT-banen

Reacties (70)

Asgaro 5 augustus 2016 21:49

Al die data breaches lijken nu wel schering en inslag te worden...

Ik gebruikte tot circa 2 maanden geleden nog de slechte aanpak van een vijftal paswoorden voor al mijn accounts. Toen bleek echter dat er vreemde log-ins waren op mijn Reddit account. (Te checken via https://www.reddit.com/account-activity )
Ik was sowieso al op de hoogte van het feit dat mijn gegevens in 5 breaches te vinden waren - te checken via https://haveibeenpwned.com/ - maar dit gaf de doorslag.

Toen heb ik besloten om een ganse ommekeer te maken op gebied van security. Nu gebruik ik:
- password manager met auto-generated paswoorden (*) Gekozen voor https://www.safe-in-cloud.com/en/ Is voordeliger tov de alternatieven: maar 1 betaling nodig en dus geen abonnementsvorm.
- two-factor authentication, via https://play.google.com/s...etails?id=com.authy.authy .

Een complete lijst van waar je 2FA kunt inschakelen is te vinden op https://twofactorauth.org/ .

(*) Behalve voor bv. Google, Microsoft, Dropbox, SafeInCloud & LastPass master passwords, omdat je daar altijd en overal moet op kunnen inloggen, ook wanneer je geen toegang tot je password manager hebt. Denk dus goed na wat je expliciet dient te onthouden en wat dus zeker niet auto-generated mag zijn.

[Reactie gewijzigd door Asgaro op 27 juli 2024 04:31]

Arfman @Asgaro • 5 augustus 2016 22:03

Dus als iemand Safe In Cloud hackt ben je alsnog de sjaak?

Een (wachtwoord)keten is zo sterk als je zwakste wachtwoord.

Asgaro @Arfman • 5 augustus 2016 22:12

De database met wachtwoorden wordt niet centraal opgeslaan op servers van SafeInCloud (zoals bij bv. LastPass wel het geval is), waardoor dat sowieso al geen bewust geviseerd target voor hackers kan zijn. (edit: en zelfs als men de database zou bemachtigen is deze versleuteld met (hedendaags) degelijke encryptie.)

Je data wordt opgeslagen op een cloud service naar keuze, zoals bv. Dropbox. Je kan ook kiezen voor opslag op een volledig zelf beheerde server door te werken via NAS zoals bv. ownCloud:

Your database is automatically synchronized with your own cloud account (Google Drive, Dropbox, OneDrive, Yandex Disk, NAS, ownCloud, WebDAV). Thus you can easily restore your entire database from a cloud to a new phone or computer (in case of a loss or an upgrade). Your phone, tablet and computer are also automatically synchronized between each other via a cloud.

Uiteraard moet je nu je master password veilig houden, maar het blijft nog altijd een beter scenario dan geen password manager te gebruiken en wachtwoorden te hergebruiken.
(Want ik kan moeilijk geloven dat iemand voor élke website een uniek paswoord gebruikt en dit zonder password manager...)

[Reactie gewijzigd door Asgaro op 27 juli 2024 04:31]

Verwijderd @Asgaro • 5 augustus 2016 22:22

De database met wachtwoorden wordt niet centraal opgeslaan op servers van SafeInCloud (zoals bij bv. LastPass wel het geval is), waardoor dat sowieso al geen bewust geviseerd target voor hackers kan zijn.
Je data wordt opgeslagen op een cloud service naar keuze, zoals bv. Dropbox.

Dan kan je beter Keepass gebruiken doordat het open source is(en ja dat is per definitie een eis voor dit soort zaken). De meerwaarde van een betaalde service is juist de online opslag zodat je niet je database kwijt kan raken.

Blizz @Verwijderd • 6 augustus 2016 00:06

Dan kan je beter Keepass gebruiken doordat het open source is(en ja dat is per definitie een eis voor dit soort zaken).

Alles heeft z'n voor- en nadelen, maar "per definitie een eis" is simpele propaganda en geen feit.

djwice

@Blizz • 6 augustus 2016 22:10

Vanuit de beveiligingswereld is het heel normaal dat code openbaar valideerbaar moet zijn.

Denk aan algoritmes met backdoor.
Denk aan spionage software etc.
Denk aan implementatie bugs.

Je wilt voor je beveiliging gewoon open source. Hoe bepaal je anders of alle wiskundigen, architecten, ontwikkelaars en validatie processen tijdens het maken van de software 100% goed werk leverde dat in belang is van jou?

Ik kom vaak genoeg bedrijven tegen die beveiliging leveren, maar de techneuten die je daar spreekt weten vaak niet hoe server/dns/certificaat ingericht moet worden om een goed beveiligde verbinding te krijgen.

Tot aan publieke stacktraces, software versies in headers en zwakke ciphers en ongepatchte openssl aan toe. En tot servers waar je via trucjes bij request van andere klanten kunt. Of dat grote jongens aannemen dat in de web wereld we weten in welke volgorde de asynchrone requests afgevuurd zullen worden..

Beter kun je zelf valideren of laten valideren hoe de beveiliging wordt gedaan. Open source is daar onderdeel van. Vertrouwen op mooie ogen niet.

[Reactie gewijzigd door djwice op 27 juli 2024 04:31]

Crazy D @djwice • 7 augustus 2016 10:21

Maar door in de code te kijken, weet je nog steeds of niet de techneuten weten hoe ze een SSL certificaat moeten gebruiken of dat ze een openssl versie gebruiken die uit de prehistorie komt...

djwice

@Crazy D • 7 augustus 2016 12:59

De configuratie files van de webserver geven aan hoe ciphers zijn geconfigureerd.

Hun ansible of puppet scripts geven aan hoe ze updaten en hoe up-to-date hun openssl is.

Dus ja, open source geeft meer inzicht. Sterker nog, deze validaties kun je ook automatiseren. Zelf in de pre-deoloyment (akka build) fase. Dus voordat er kwetsbaarheden optreden. Maar ook gedurende de run-time, want de context veranderd.

[Reactie gewijzigd door djwice op 27 juli 2024 04:31]

Verwijderd @Crazy D • 7 augustus 2016 14:21

Het gaat er om dat de optie bestaat om de code te valideren. Bij closed-source mag je dat vergeten.

Ik heb niet gezegd dat open-source gelijk veilig is.

NKR @djwice • 8 augustus 2016 08:39

En jij checkt natuurlijk ook of de binaries die je download ook niet een toevoeging met een backdoor hebben. Oh, je build zelf? Dan check je natuurlijk of alle(!) broncode bestanden alleen maar bevatten wat ze beloven!

djwice

@NKR • 8 augustus 2016 11:26

Om eerlijk te zijn, voor onze servers? Ja, met grotendeels geautomatiseerde validaties, div-detectie en uiteindelijk ook met aanvallen op de server, voor alle bij ons bekende aanvallen.

Lijkt me niet meer dan normaal dat je dit doet als je privacy gevoelige data verwerkt met die servers, toch? En dit automatiseren is logisch: scheelt veel herhalend handwerk, en dat voorkomt dat we dingen afraffellen of over het hoofd zien. Alle test draaien we dus elke keer exact gelijk. En is dus reproduceerbaar.

[Reactie gewijzigd door djwice op 27 juli 2024 04:31]

NKR @djwice • 8 augustus 2016 12:08

Tja, servers... Passwordmanagers draaien meestal niet op servers... En ik geloof er niets van dat je je ouders, grootouders of andere mensen waar je de IT voor doet, omdat ze daar zelf geen interesse en/of kennis voor hebben zelf keepass laten bouwen.

En daarbij, geautomatiseerd zeg je. Tegen welke informatiebron check je? En hoe weet je zeker dat die beheerder geen code heeft toegevoegd? Je gaat natuurlijk de hele changelog (op codeniveau) doornemen en begrijpen. Jij zult dit wellicht kunnen, maar ik ken meerdere IT-ops, die het heel moeilijk vinden c code te lezen. Als er wat gegoochelt wordt met pointers en design patterns ben je ze, op die ene uitzondering na, allemaal kwijt.

Daarintegen ken ik ook maar bizar weinig developers die weten hoe een http request eigenlijk werkt, ondanks dat ze al jaren aan grote webprojecten werken.

Asgaro @Verwijderd • 5 augustus 2016 22:36

Ik heb het indertijd ook overwogen maar had het geschrapt omdat er geen Chrome extension voor was.
Dit was voor mij belangrijk:
- op desktop desktop client, en auto-complete in browser via Chrome extension.
- op mobile een degelijke Android client.

Ik zie nu echter dat er wel een extension is dus ga het is bekijken: https://chrome.google.com...dcaljagbmchhnaaogpc?hl=en

[Reactie gewijzigd door Asgaro op 27 juli 2024 04:31]

Verwijderd @Asgaro • 5 augustus 2016 23:13

Keepass2android is goed te gebruiken op Android.

Pizzalucht @Asgaro • 5 augustus 2016 23:13

Ik gebruik zelf deze: https://chrome.google.com...gknfdndiefoaoiligalphfdae
Voor Android gebruik ik: https://play.google.com/s...com.android.keepass&hl=nl

Vind ze beiden prima werken. Het wachtwoordbestand sync ik met BTSync.

Edit:
Net dankzij een andere reactie Keepass2Android ontdekt, ziet er erg goed uit.

[Reactie gewijzigd door Pizzalucht op 27 juli 2024 04:31]

vickypollard @Asgaro • 6 augustus 2016 11:22

Je kunt toch gewoon CTRL + ALT + A gebruiken? Ik heb in ieder geval geen extension nodig...

Volkie @Verwijderd • 6 augustus 2016 09:38

Waarom perse open-source?

Verwijderd @Volkie • 6 augustus 2016 10:46

Omdat de code dan nagekeken kan worden. Dat kan bij closed source niet. Het kan evengoed commercieel gedaan worden, door de gecompileerde bestanden alleen tegen betaling te leveren.

MrAmos @Verwijderd • 6 augustus 2016 15:37

We kunnen hier een hele lange discussie gaan voeren, maar open-source is niet per definitie veilig. Iets wat zich het afgelopen jaar ook al meermaals bewezen heeft.

Mavamaarten @MrAmos • 7 augustus 2016 10:35

Correct, maar toch is het een goed signaal naar openheid toe. Als er backdoors ingebouwd zijn, is een programmeur natuurlijk heel wat minder geneigd om alles openbaar te maken

Proxx @Verwijderd • 6 augustus 2016 21:56

ik gebruik zelf ook keepass ven groot voorstander van opensource, maar bij closed source kan ook de bron gecontroleerd zijn door derden... peer review

Verwijderd @Proxx • 9 augustus 2016 22:33

Klopt. Als die peers volledig te vertrouwen zijn, of de hash geven van het gecontroleerde, lijkt het me meestal wel open genoeg. Het zal dan vast niet onder de strikte definitie van open source vallen, maar goed. Dan nog is de mogelijkheid het zelf te kunnen compileren een goed alternatief. Ben er verder ook geen expert in.

Leknaas @Asgaro • 5 augustus 2016 23:15

Met een catch all adres en dan tweakers@... als email en tweakers in het wachtwoord verwerkt kom ik al een heel eind... Maar toch maak ik ook gebruik van een password manager, puur en alleen omdat ik het dan niet steeds hoef te typen. Maar ik ken alle unieke accounts en wachtwoorden wel uit mijn hoofd omdat er mijn logica achter zit.

pven @Leknaas • 6 augustus 2016 13:09

Dat deed ik ook, totdat een collega mij liet zien dat logica te kraken is.

geekeep @Asgaro • 6 augustus 2016 00:18

Kijk dan ook maar eens naar Enpass. Heerlijk in gebruik, moderne interface, geen cloud opslag óf naar keuze bij een van de bekende partijen of via OwnCloud. Daarnaast slechts eenmalig een tientje in aanschaf (per mobiel platform, desktop is gratis), een koopje in mijn ogen. Tenslotte ondersteuning voor alledrie desktop OSen, alle mobiele OSen en zo'n beetje alle browsers, inclusief sinds kort Vivaldi (binnenkort ook Edge).

[Ervaringen] Enpass wachtwoordmanager

Asgaro @geekeep • 6 augustus 2016 10:17

Deze had ik ook overwogen.

Alleen uiteindelijk geschrapt omwille van de Chrome extension, die blijkbaar wat mindere reviews heeft. Daarnaast blijkt er ook iets te zijn met de auto-fill functionaliteit die niet werkt zoals bij alternatieve managers: https://discussion.enpass...ll-doesnt-work-in-chrome/

Verwijderd @Asgaro • 5 augustus 2016 22:23

Ik denk dat ik dit weekend ook werk zal maken van een password manager.

Ik gebruik wel 9-10 verschillende wachtwoorden maar ik denk dat 1 master password en overal per site verschillende wachtwoorden beter is dan de huidige passwoorden.

WaterFire @Asgaro • 6 augustus 2016 08:45

Want ik kan moeilijk geloven dat iemand voor élke website een uniek paswoord gebruikt en dit zonder password manager...

Dat valt mee, een goed sterk basiswachtwoord en een voor jou unieke variatie per site is goed te doen. Maar door de eisen aan passwords ontkom je niet aan een manager want je moet er nog wel eens eentje verplicht wijzigen na x dagen. Maar het gros doe ik uit mijn hoofd met een wachtwoord dat nergens anders bestaat.

LopendeVogel @Asgaro • 6 augustus 2016 09:08

Hoewel er natuurlijk voordelen zitten aan zo'n password manager (makkelijk beheer over moeilijke wachtwoorden) ga ik er nog niet mee aan de slag. Ook om reden, als het wachtwoord bij mij, in mijn hoofd, al niet veilig kan zijn.. Laat staan dat ik mijn wachtwoorden door een ander laat beheren. Ja soms is het onhandig om lange, moeilijke wachtwoorden te onthouden (zo haal ik ze weleens door elkaar), maar toch liever dat dan het uit handen geven...
Alsof het wachten is tot er een melding komt: NSA is oprichter van password manager x...

Vrijwel alles wat je gebruikt van een ander komt plots in het nieuws dat het toch gehackt is om verschillende redenen.. Mijn hoofd echter, die kunnen ze voorlopig vrijwel niet hacken.

[Reactie gewijzigd door LopendeVogel op 27 juli 2024 04:31]

xs4me @Asgaro • 6 augustus 2016 11:47

Die password managers maken het misschien wat makkelijker en vast ook wel iets veiliger voor veel mensen die geen wachtwoorden kunnen onthouden (en mits je inderdaad nadenkt over waar die passwords gestored worden en hoe sterk je master password is). Het is echter ook weer een extra schakel erbovenop die bovendien ook al je passwords nog groepeert, wat anders niet 't geval is.

Volgens mij is de beste security nog gewoon om je hersens te gebruiken.
Het wordt een beetje zoals toen we een rekenmachine konden gebruiken, dat ineens niemand meer fatsoenlijk kon hoofdrekenen. Laag op laag met onzin, terwijl het origineel nog steeds het beste is, want het intypen op zo'n rekenmachine duurt vaak een stuk langer dan 't met je hoofd uitrekenen. Alleen daar zijn we te lui voor blijkbaar. Gebruik die hersenen eens ;-) Zo moeilijk is 't echt niet hoor. Gewoon een algoritme verzinnen die voor jouw hersenen werkt. Daar kan geen uniek password of manager tegenop.

Bovendien maak ik onderscheid in belangrijke sites en sites die 0,0 privacy gevoelige informatie bevatten. Zelfs webwinkels waar geen CC in staat, want ik betaal toch met iDeal, hoef je niet heel moeilijk over te doen. Wat gaan ze doen dan? M'n account hacken om m'n order historie te zien?

Zo bekeken zijn er maar weinig sites die werkelijk belangrijk zijn en daar gewoon goede wachtwoorden voor gebruiken. En voor elke site verschillend ja. Dat is echt niet zo moeilijk hoor ;-)

[Reactie gewijzigd door xs4me op 27 juli 2024 04:31]

R4gnax @Asgaro • 6 augustus 2016 16:42

(Want ik kan moeilijk geloven dat iemand voor élke website een uniek paswoord gebruikt en dit zonder password manager...)

Ze zijn er toch wel.
En het is wss. nog steeds veiliger om je echt belangrijke wachtwoorden ergens fysiek in een kluis te bewaren dan in een password manager.

[Reactie gewijzigd door R4gnax op 27 juli 2024 04:31]

smiba @Asgaro • 6 augustus 2016 17:20

Ik zie niet waarom dit veiliger is? Je hebt zonet ipv. een, twee service providers je wachtwoorden gegeven.

Bij het gebruik van Dropbox kan zowel SafeInCloud als Dropbox bij je bestanden, ipv. bijvoorbeeld Alleen LastPass.

densoN @Asgaro • 6 augustus 2016 22:25

Er is altijd minimaal één medewerker die toegang heeft tot A) Alle data en

de cypher die gebruikt wordt om deze te versleutelen. Geloof me dat zelfs cyphers lang niet altijd veilig zijn opgeborgen (diginotar). Dus opmerkingen als 'wachtwoorden zijn encrypted' zijn leuk, maar zeggen niet alles.

Je wachtwoorden in een 'Online' kluis opslaan is gewoon een groot risico. Zodra hackers een zeroday voor apache of IIS in handen krijgen, denk je dat ze dan voor jouw NAS in het thuisnetwerk gaan of voor de database achter een online wachtwoord manager.

Adr01 @Arfman • 5 augustus 2016 22:38

KeePass is daarom voor mij ook de keuze geweest, geen fratse, gewoon een bestand met sleutel/master wachtwoord, welke je zelf kan beheren. (En gratis)

Ook kent KeePass verschillende apps voor verschillende platformen.
Voor Android vind ik Keepass2Android echt zalig werken.

InsanelyHack @Arfman • 5 augustus 2016 23:12

Volgens mij worden die passwords van jou opgeslagen na encryptie met jouw public key. De echte content is alleen te genreren wanneer je de private key hebt. Dat is dan zeg naar een generatie dmv jouw "master password" voor safe in de cloud. Als zij dus gehacked worden vinden ze hooguit encrypted content zonder de private key waar ze dus niks aan hebben.

Verwijderd @Asgaro • 6 augustus 2016 00:37

Kun je aangeven waarom je zowel Safe-in-Cloud als LastPass gebruikt? Is dat niet redundant?

Asgaro @Verwijderd • 6 augustus 2016 10:04

Feitelijk gebruik ik LastPass niet. Maar ik had al een account vanuit een ver verleden en via de master password hint kon ik mijn master password terug herinneren.
Kortom, het staat er louter om aan te duiden dat het ook 2FA biedt, maar gebruik de service momenteel niet actief.

Twixie @Asgaro • 6 augustus 2016 09:19

Ik gebruik bijna exact jouw methode, behalve dat ik KeePass prefereer boven die cloud based password managers. Mijn KeePass database zit echter wel op Dropbox waardoor ik die ook overal heb waar ik wil (iPad, Android telefoon, laptops). Ik gebruik echter ook een key-file die dan weer niet op Dropbox staat maar op elk apparaat lokaal.

Met die cloud based services weet je toch nooit goed hoe ze hun security op punt hebben. Natuurlijk 1 hack en ze kunnen wel de boeken sluiten, maar als zo een hack er voor zorgt dat ik 100+ paswoorden moet gaan wijzigen, zou ik daar behoorlijk depressief van worden. Met KeePass+Dropbox moet een aanvaller al zowel Dropbox hacken, alsook je KeePass database.

Het voordeel van KeePass is bovendien dat je er ook andere gevoelige credentials kunt in stoppen zoals bvb kaart-pincodes, wifi keys, etc... (EDIT: zie nu wel dat met SafeInCloud dat ook kan).

[Reactie gewijzigd door Twixie op 27 juli 2024 04:31]

Yoshi @Twixie • 6 augustus 2016 10:11

dropbox = cloud

nu dat allemaal terzijde, de meeste cloud-based services encrypteren ook alles

, dat gecombineerd met 2fa en een degelijk passwoord en je zit safe. lokaal is niet per definitie beter als in de cloud (hacked app stores, injecties, malware, and so on)

[Reactie gewijzigd door Yoshi op 27 juli 2024 04:31]

Verwijderd @Asgaro • 6 augustus 2016 14:16

Is het wel veilig om zo te lijsten wat je allemaal doet of laat?

Asgaro @Verwijderd • 6 augustus 2016 14:38

Waarschijnlijk niet... Bedankt voor de opmerking: ik heb de lijst van services weggehaald.
Desondanks: zelfs al zou iemand momenteel trachten m'n wachtwoorden voor de eerder opgesomde services te achterhalen, zouden ze nog steeds botsen tegen de 2FA.

Voor de rest is mijn OS geupdated etc. en ben ik bewust van phishing attacks.

monojack @Asgaro • 5 augustus 2016 22:15

Ik gebruik al jaren 1Password en het is me dit jaar opgevallen dat dat een goede investering is geweest. Ik wist zelfs niet dat ik het al zolang gebruikte. Toen Linkedin werd gehackt en nog zo'n paar bekende sites die al jaren bestaan schrok ik dat al die accounts al een sterk en uniek paswoord hadden.

Jaer @Asgaro • 6 augustus 2016 07:29

Prima uitleg. Ik heb eenzelfde soort constructie maar dan met enpass.
Gratis Windows app, iOS eenmalig aanschaffen en je database op je online storage naar keuze. Of lokaal maar dat is een stuk minder handig

Orthodroom @Asgaro • 6 augustus 2016 08:18

Voor de wachtwoorden die je moet onthouden is dit een interessante video:
http://youtu.be/3NjQ9b3pgIg

ToFast 5 augustus 2016 21:29

Onversleutelde wachtwoorden..omfg en geen enkele developer van deze techbedrijven die de beveiliging even onder de loep nam van het forum dat ze waarschijnlijk dagelijks gebruiken ? Faal aan allen

Rafe @ToFast • 5 augustus 2016 21:48

Ze draaien vBulletin 4.2.2 volgens de footer op https://forums.khronos.org/. Als ik https://www.troyhunt.com/data-breaches-vbulletin-and-weak/ mag geloven wordt er kennelijk nog MD5 met salt gebruikt ipv een fatsoenlijke hash voor deze doeleinden (zoals bcrypt) in die versie

Ook merkt het artikel (net als Tweakers jaren geleden) dat een goede GPU een rainbow table overbodig maakt.

De hackers hebben mogelijk dus wel de hele database met hashes buitgemaakt en het deel waarvan ze de hashes konden cracken gepubliceerd.

[Reactie gewijzigd door Rafe op 27 juli 2024 04:31]

Toettoetdaan @ToFast • 5 augustus 2016 21:48

Tenzij je overal een uniek wachtwoord hebt, bijna onmogelijk om bij te houden, maar wel de beste beveiliging tegen een hack

Arfman @Toettoetdaan • 5 augustus 2016 22:04

Is niet te onthouden. Dan moet je een wachtwoord manager gebruiken zoals Keepass maar dan zit je weer dat je altijd dat bestandje bij je moet hebben ergens. Wachtwoordmanagers in de cloud geloof ik niet in, dat is ook inherent onveilig. Dus tja ...

Ellos @Arfman • 5 augustus 2016 22:31

Dat is niet inherent onveilig, dat is enkel zo onveilig als het wachtwoord wat je voor jouw manager gebruikt. Waarschijnlijk heb jij je keepass bestandje ook ergens op dropbox staan, als je even niet kijkt (of als ik je account weet te hacken) kopieer ik dat zo naar mijn eigen GPU cracking cluster die vervolgens volledig zonder restricties op jouw bestand kan gaan brute-forcen.

Daarentegen is de flow bij lastpass als volgt (dit kun je zelf checken op lastpass.com via developer tools in chrome).

Je gaat naar login, deze pagina werkt alleen met javascript aan!
Je vult je username en wachtwoord in, dit wordt door javascript afgevangen en dus niet verstuurd maar omgezet naar een request waarin een hash van je username + wachtwoord staat en je plaintext username.
Deze gegevens worden intern bij lastpass opgezocht aan de hand van je plaintext username en vervolgens wordt de hash vergeleken.
Als dit overeenkomt wordt pas je 'vault' (synoniem aan je keepass bestand) ter download aangeboden, deze is nu nog versleuteld. Maar in principe zou als de aanvaller dit in handen krijgt hier het brute-forcen kunnen beginnen.
Met de gedownloade vault nu lokaal in handen gaat de javascript of de chrome extensie of de lastpass app nu lokaal je plaintext wachtwoord gebruiken om je vault te ontsleutelen. Dit proces is vrijwel gelijk aan wat iets als keepass doet.

Lees jij ergens dat je plaintext wachtwoord naar lastpass gestuurd wordt?

Dit is bij elke zelfrespecterende cloud based password manager niet anders en soms zelfs nog beter geregeld.

Als je dit proces zo leest ben je dan nog steeds blij dat je dat bestandje via een cloud dienst (the irony) overal naartoe meesleept? In plaats van het gemak (en de betere beveiliging) van een goede cloud password manager te kiezen?

EDIT:
Als je opzoek bent naar iets wat je volledig lokaal houdt is het natuurlijk evident dat een tool als Keepass of 1Password beter geschikt is en ook meer veiligheid geeft.

Security is vrijwel altijd een afweging van gemak en veiligheid. Cloud tools geven je wel ongekend veel meer gemak maar daarentegen staat dat het waarborgen van de veiligheid niet alleen meer in eigen beheer is maar je dit gedeeltelijk ook bij de cloud partij legt.

[Reactie gewijzigd door Ellos op 27 juli 2024 04:31]

The Zep Man

Netwerk en systeembeheer

@Ellos • 5 augustus 2016 23:43

Je vult je username en wachtwoord in, dit wordt door javascript afgevangen en dus niet verstuurd maar omgezet naar een request waarin een hash van je username + wachtwoord staat en je plaintext username.

En ik hack Lastpass, die jou andere JavaScript code stuurt. Jouw plaintext credentials en password container zijn vervolgens in mijn handen. Checkmate.

[Reactie gewijzigd door The Zep Man op 27 juli 2024 04:31]

SacreBleu @The Zep Man • 6 augustus 2016 00:13

Tegenwoordig heeft Lastpass ook 2FA. In dat geval heb je ook mijn telefoon nodig om de inlog te authorisen. Je hebt nu nog maar een deel van de sleutel die je nodig hebt en als ik een 2FA verzoek krijg waar ik niet om hebt gevraagd verander ik het wachtwoord weer.

ApexAlpha @Ellos • 6 augustus 2016 05:19

Ja maar een sterk masterwachtwoord is bijna niet te bruteforcen of aan te vallen met dictionary?

Zeg 20+ karakters

Barsonax @Ellos • 6 augustus 2016 08:31

Als de encryptie goed is dan ga je die echt niet kraken met een gpu clustertje.

Mischien als je een supercomputer erop kan zetten ja maar als ze zo gemotiveerd zijn dan kan je ook wel meer gaan uitgeven aan beveiliging.

bartvb

@Arfman • 5 augustus 2016 22:30

Wat dat betreft prettig dat de meeste telefoons ook gewoon op je smartphone draaien

Tijdje terug overgestapt op 1Password, bevalt erg goed. Maakt het heel erg veel makkelijker om overal sterke wachtwoorden te gebruiken.
Synchroniseren met b.v. je telefoon kan je helemaal lokaal houden als je dat wil.

SuperDre @Arfman • 6 augustus 2016 17:21

Tja en met de breaches in de passwordmanagers de laatste tijd, is dat dus ook niet zo'n goede oplossing.

Twixie @Toettoetdaan • 6 augustus 2016 09:25

Juist daarmee dat de tip van Asgaro hierboven zo goed is. Voor paswoorden die je maar zelden moet ingeven, laat je een paswoordmanager gewoon random paswoorden genereren. Voor paswoorden die je wel vaak manueel moet ingeven kies je gewoon een paswoordschema dat je toelaat veel verschillende paswoorden te onthouden. Een simpele truuk is te werken met een vast deel, en met een deel dat variabel is per site. Het variabel deel zou je bvb kunnen afleiden uit de naam van de site waardoor je ook enkel maar je algoritme moet onthouden ipv de variabele karakters van elke site.

Miks @ToFast • 5 augustus 2016 21:34

Je kan als gebruiker niet zomaar in de backend kijken.

kritischelezer @Miks • 6 augustus 2016 00:33

Wel als je je eigen wachtwoord opvraagd, als dit weer gegeven wordt, dan weet je dat het niet OK is, alleen als je je wachtwoord moet wijzigen (en dus niet kan opvragen), is er meer kans dat de table versteutelde wachtwoorden bevat.

Daarnaast kun je als gebruiker ook vragen stellen over hoe er omgegaan wordt met de database en de daarbij opgeslagen data.

ToFast @Miks • 5 augustus 2016 21:40

Dat begrijp ik, maar er zullen vast meer wegen zijn om een idee te krijgen hoe het met de beveiliging is gesteld. Blijkbaar nooit bij iemand opgekomen om anders gewoon even te vragen of en hoe hun wachtwoorden versleuteld zijn. Dit zijn dé techgiganten, die mogen naar mijn mening ook wel even achter hun oren krabben.

Miks @ToFast • 5 augustus 2016 21:54

Ik ben het niet helemaal met je oneens. Dat mogen ze best doen inderdaad. Al denk ik dat er best op gelet wordt, maar er slipt wel eens wat ongecontroleerde legacy naar het heden. IT is ook gewoon mensenwerk

Verwijderd @Miks • 6 augustus 2016 00:27

Maar dit is wel hele andere koek.

zaltgaan @ToFast • 5 augustus 2016 21:41

Versleuteld zou nog zeer slecht zijn, het opslaan van andermans wachtwoorden dient gedaan te worden door een hash te maken en die op te slaan. Liefst met bcrypt en salt.

De ontwikkelaars van de techbedrijven hebben, voor zover ik weet, niet de mogelijkheid om de code in te kijken zolang deze niet open source is en anders zouden ze het te weten moeten komen indien het e-mail systeem van Khronos een e-mail stuurt met daarin hun wachtwoord of een dergelijke manier.

pauldaytona 5 augustus 2016 22:47

Als het idd vb 4.4.2 is, is van 2013, en een google search zoals https://www.google.nl/#q=vBulletin+4.2.2+v geeft direct remote code injection en andere hackmethodes. Dus dan ben je niet de eerste die VB hackt. Is het dan toch knap?

Verwijderd @pauldaytona • 5 augustus 2016 23:28

Vooral knap lullig. Maar het had iedereen kunnen overkomen. Al verwacht je enigszins wel meer van deze partijen, ik schrik meer van ministers die met de veiligheid bewust slecht omgaan.

wimkamerman 6 augustus 2016 09:27

Ik heb een vraag na de discussie over password managers. Ik gebruik Apple Keychain, de standaard password manager die bij macs en ios geleverd wordt. Maar is dit wel een goede keuze en is het wel veilig?

Voordeel voor mij is het volgende:
- sync tussen alle apple devices zonder moeite of setup
- automatisch wachtwoorden genereren in safari

Mogelijke nadelen:
- geen 'ontgrendelwachtwoord' of 'master password' functionaliteit (althans, niet gevonden). Op het moment dat ik inlog dan ontgrendelt de sleutelhanger ook. (volgens mij encrypted met inlogwachtwoord, ofwel apple id wachtwoord...)
- geen ondersteuning in andere browsers dan safari

Ik hoor graag hoe jullie hier over denken.

Rixter223 5 augustus 2016 22:06

Toch een knap stukje werk van die gast, het gaat niet om één of ander lullig forumpje.

amatoer 6 augustus 2016 00:09

VMware niet VMWare

johnkeates 6 augustus 2016 02:46

Waarom waren de wachtwoorden plaintext?

mutley69 6 augustus 2016 22:55

Zo'n lijsten zijn bijzonder waardevol voor phishers e.v.a. soorten criminelen. Zelfs IS heeft daar interesse in, om waardevolle doelwitten te selecteren vb.
Het is helaas een erg jammerlijk en mogelijks duur voorval - helaas.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (70)

Sorteer op:

Weergave: