Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Aantal wachtwoordmanagers op Android was onvoldoende beveiligd'

Door , 105 reacties

Een groep Duitse beveiligingsonderzoekers, genaamd TeamSIK, heeft een rapport gepresenteerd met daarin een beoordeling van de beveiliging van negen populaire wachtwoordmanagers op Android. Alle negen wachtwoordmanagers vertoonden gebreken, die inmiddels zijn verholpen.

De groep onderzoekers die werkzaam is bij het Fraunhofer Institute for Secure Information Technology in het Duitse Darmstadt, heeft gekeken naar de beveiliging van negen wachtwoordmanagers: My Passwords, Informaticore Password Manager, LastPass, Keeper, F-Secure KEY, Dashlane, Hide Pictures Keep Safe Vault, Avast Passwords en 1Password. In elke applicatie hebben de onderzoekers een of meer kwetsbaarheden ontdekt. Dat blijkt uit de rapportage van het onderzoeksteam.

De groep vond een aantal serieuze kwetsbaarheden. Zo bewaarden sommige wachtwoordmanagers de gekozen wachtwoorden in plaintext. Ook werden in sommige gevallen de encryptiesleutels in de programmeercode verwerkt. Hierdoor konden kwaadwillenden vrij eenvoudig het beveiligingsalgoritme omzeilen en toegang krijgen tot de gebruikersdata. In andere gevallen konden de onderzoekers via een andere app toegang krijgen tot alle opgeslagen wachtwoorden. Ook bleek dat de meeste wachtwoordmanagers het probleem van clipboard sniffing niet serieus namen. Hierbij worden de verificatiegegevens niet van het klembord verwijderd nadat ze hiernaar zijn gekopieerd.

De negen wachtwoordmanagers werden gekozen op basis van het aantal downloads in de Google Play Store. Het onderzoeksteam noemt de resultaten zeer zorgwekkend. Volgens de onderzoekers laat hun onderzoek zien dat wachtwoordmanagers, ondanks hun claims zeer veilig te zijn, steken laten vallen op het gebied van de beveiliging van opgeslagen wachtwoorden.

Vorig nieuwsartikel Volgend nieuwsartikel

Joris Jansen

Nieuwsredacteur

1 maart 2017 09:06

105 reacties

Linkedin Google+

Lees meer

1Password introduceert reismodus om wachtwoorden tijdelijk te verwijderen 24 mei 2017
LastPass dicht lek waarmee tweetrapsauthenticatie uit te schakelen was 21 april 2017
LastPass gaat autofill-api's gebruiken bij Android O 10 april 2017
Google-onderzoeker vindt nieuw lek in LastPass nadat eerder lek werd gepatcht 22 maart 2017
Datalekkenjaar 2016: kiezen uit wachtwoordmanagers 24 november 2016
Meer dan helft Nederlanders weet niet van bestaan wachtwoordmanagers 23 november 2015
Meer producten en artikelen (3)
Privacy Google Android Manager Wachtwoord

Reacties (105)

-Moderatie-faq
-11050103+171+23+30Ongemodereerd20
Wijzig sortering
+1 josipbroz
1 maart 2017 09:18
Als gebruiker van LastPass vind ik dit een slechte ontwikkeling. Android versie meteen verwijderd.
Nu vraag ik mij af of de browser plugin wel goed werkt want dat is mijn pass manager al jaren :( .

Alle wachtwoorden zijn tegenwoordig niet langer bij te houden(ook de ww policy is overal anders).Gezien de noodzaak voor variatie wegens vele lekken kan je tegenwoordig niet al te lang afhangen van een(een is geen) wachtwoord voor een lange tijd.

Een tool op verschillende devices is een must tegenwoordig.


EDIT:
Dank voor de feedback. LastPass is weer terug op de smartphone.
Blijft jammer dit.

[Reactie gewijzigd door josipbroz op 1 maart 2017 09:32]

+2 kefkef123
@josipbroz1 maart 2017 09:26
Als je het rapport zelf opent, kan je zien dat de 3 vulnerabilities die gevonden zijn, snel gefixt zijn door Lastpass.

Alle vulnerabilities in dit rapport van Lastpass zijn gerapporteerd op 24 augustus 2016 al op 6 september 2016 opgelost.
+1 Cloud
@kefkef1231 maart 2017 16:58
Ik schrok ook even maar inderdaad, de doorlooptijden van die meldingen is echt goed vind ik. De responsetijd van Lastpass bij beveiligingskwesties geeft nog steeds vertrouwen :)
+2 Mount
@josipbroz1 maart 2017 09:29
Verwijderen is nergens voor nodig: Zoals je kon lezen in de bron zijn deze issues al in september 2017, ~2 week na het melden opgelost.

- De eerste vurnability, het hardcoded masterpassword om je wachtwoord op te slaan, is slordig maar netjes opgelost. Ik sla wachtwoorden van mijn manager nooit op, dus ik was niet affected :)
- De tweede vurnability had te maken met de interne browser: volgens mij gebruikt niemand die, al helemaal niet om te zoeken op google.
- De derde issue geld alleen voor apparaten lager dan android 4.1 en is een OS bug: ik denk dat als je nog 4.1 gebruikt je andere veiligheidsissues hebt.

Er zijn er 9 getest en in 9 een of meerdere problemen gevonden. Houdt er rekening mee dat er altijd issues kunnen zijn met softwarepakketten. Een Excel lijst is ook niet echt bepaald veilig.
0 xoniq
@Mount1 maart 2017 10:30
Die zijn wel erg snel erbij. Nu al gefixed wat in september 2017 ontdekt wordt :+.
0 jerkitout
@xoniq1 maart 2017 11:11
Best langzaam eigenlijk, 6 maanden turn-around time :+
0 Gamrin
@jerkitout1 maart 2017 12:29
Correctie: -6 maanden turn-around time.
0 jerkitout
@Gamrin1 maart 2017 13:44
Nog steeds langzaam, ze hadden het veel beter -1 jaar kunnen fixen.
+1 guysp
@josipbroz1 maart 2017 09:25
De kwetsbaarheden bij Lastpass zijn reeds verholpen, er was gisteren een update voor.
+1 glatuin
@josipbroz1 maart 2017 09:29
Lastpass heeft alle drie kwetsbaarheden reeds gefixed, Geen reden tot zorg dus. Zolang de kwetsbaarheden pas in de media verschijnen nadat de boel gepatched is vind ik het ok :)
0 Frubelaar
@josipbroz1 maart 2017 11:07
Heel jammer.
Fix of geen fix, het bedrijf is totaal onbetrouwbaar.
Foutjes kan altijd maar dit soort fouten mag echt nooit voorkomen bij een beveiligingsbedrijf.
Het geeft aan dat ze het product niet serieus nemen en/of niet capabel zijn.
+1 markievk
@Frubelaar1 maart 2017 11:21
Dat is wel kort door de bocht om het zo te brengen, fouten gebeuren overal.
In dit geval zijn de problemen goed opgepakt en binnen 2 weken opgelost.
Er zijn wel eens situaties geweest waarbij het anders was,
+1 josipbroz
@markievk1 maart 2017 12:00
Ik blijf het jammer vinden dat een beveiligingsonderzoek van een 3e partij nodig is om zo'n ernstige bug(s) boven water te krijgen.

Fouten kunnen zeker gebeuren en zeker in de huidige onder druk staande app ontwikkel wereld zal het nog vaker voorkomen. Het is kwalijk dat een "buitenstaander" zulke fouten tegenkomt en dat zegt iets over de test proces van de makers.

Een excuus in dit geval is een beetje lastig omdat het hier gaat om je wachtwoord :X ( zeg maar, de core bussines) en niet een bijzaak of neven functionaliteit.
0 grun93
@Frubelaar2 maart 2017 06:53
Wat is dan het alternatief? Die andere 8 onderzochte bedrijven zijn dan net zo slecht, er was er immers niet een die foutloos door de test kwam. Ook een slechte manager is altijd nog beter dan een makkelijk te onthouden wachtwoord dat, noodgedwongen, voor iedere site hetzelfde is. Een normaal mens kan imho geen tientallen, laat staan honderden, wachtwoorden onthouden.

Ik vind het ook verkeerd om te veronderstellen dat fabrikanten van password managers veiligheid verkopen. Net als fabrikanten van bijvoorbeeld bankkluizen verkopen ze geen veiligheid, maar tijd. Tijd die nodig is om in te breken of om de code te kraken. Inbrekers gaan liever naar de buren als dat minder tijd kost.

Zelf gebruik ik LastPass, de wachtwoorden zijn zo lang mogelijk als de betreffende site toestaat en met voor iedere site een ander password. Ik voel me er aardig veilig bij.
+1 dennislebbing
1 maart 2017 09:11
Keepassdroid staat niet in de lijst. Gebruik ik dan een obscure pw manager?
+2 Ravefiend
@dennislebbing1 maart 2017 09:26
Het is jammer inderdaad dat deze niet is opgenomen in de test. Misschien toch even een overzicht geven van de populariteit van elk:

Keeper: 10,000,000 - 50,000,000
Hide Pictures Keep Safe Vault: 10,000,000 - 50,000,000
LastPass: 1,000,000 - 5,000,000
Dashlane: 1,000,000 - 5,000,000
1Password: 1,000,000 - 5,000,000
Avast Passwords: 500,000 - 1,000,000
My Passwords: 500,000 - 1,000,000
F-Secure KEY: 100,000 - 500,000
Informaticore Password Manager: 50,000 - 100,000

Niet in de test opgenomen:
KeePassDroid (by Brian Pellin): 1,000,000 - 5,000,000
Keepass2Android Password Safe (by Philipp Crocoll (Croco Apps)): 500,000 - 1,000,000
Keepass2Android Offline (by Philipp Crocoll (Croco Apps)): 100,000 - 500,000
Supergenpass: 10,000 - 50,000

[Reactie gewijzigd door Ravefiend op 1 maart 2017 09:34]

+1 Juliatan
@Ravefiend1 maart 2017 11:36
Ga artikelen niet opzoeken. Maar Keepass main application en container hebben in ieder geval redelijk recent via donaties een professionele audit gehad en er zijn geen gaten gevonden.
+1 BikkelZ
@Juliatan1 maart 2017 12:48
Heb je daar een link over? Ik gebruik namelijk ook KeePass op al mijn devices.
+1 bassie191
@BikkelZ1 maart 2017 21:01
Linkje naar de website van de Europese Commissie
+1 jpfx
@Ravefiend1 maart 2017 11:25
Dan hebben de onderzoekers dus toch niet in het geheel de meest populaire gebruikt.

KeepassDroid en Keepass2Android Password Safe heven toch dudelijk meer als Informaticore.
Keepassdroid zou zelfs bij de top 6 moeten staan.
0 sebastienbo
@jpfx1 maart 2017 12:55
Misschien heeft keepass belangen bij het onderzoek...ik let daarom altijd op met dit soort onderzoeken.
Het kan een vorm zijn van uw concurentie aan te vallen zonder zelf op te vallen.
+1 FreshMaker

@sebastienbo1 maart 2017 13:13
Ja, zo kan je elk onderzoek in twijfel trekken.
Er heeft altijd wel iemand voordeel aan.
+1 sebastienbo
@FreshMaker1 maart 2017 14:06
Dat is toch de bedoeling?

Een onderzoek kan nooit echt onafhankelijk zijn.
Er is al bewezen dat zijn in dubbel-blinde onderzoeken er nog parameters bestaan die een onderzoek niet 100% zekerheid geeft.

Je moet altijd je eigen mening maken bij onderzoeken en ze niet overnemen, want onderzoeken zijn statistieken en statistieken zijn nooit 100% betrouwbaar
+1 FreshMaker

@sebastienbo1 maart 2017 14:14
Misschien moet je de achtergrond van dit [team] eens bekijken.
https://team-sik.org/#about

Het is geen betaalde organisatie, het zijn ontwikkelaars, die dit in hun vrije tijd doen, als 'hobby'

Zouden ze een dubbele agenda hebben, zou in dit onderzoek een aanbeveling staan om XX over YY te gebruiken, wat niet gebeurt.
Er is nu alleen naar kwetsbaarheden gekeken, en die eerst aan de belanghebbende gerapporteerd.

Je kan ze als Whitehat bestempelen ...

( deze is ook interessant - https://team-sik.org/#projects )

[Reactie gewijzigd door FreshMaker op 1 maart 2017 14:18]

+1 chickpoint
@sebastienbo1 maart 2017 13:16
Keepass zal hierbij zelf geen belang hebben. Ten eerste is het een open-source programma en hebben ze (zover ik weet) geen commercieel belang. Ten tweede heeft keepass geen officiele apps op android, dit zijn apps van derde partijen.
0 IJsbreker
@chickpoint1 maart 2017 13:52
In het geval van Keepassdroid is deze ook open-source: https://github.com/bpellin/keepassdroid/

Deze heeft overigens automatisch verwijderen van wachtwoord van klembord en automatisch sluiten van database na een timeout.

Volgens dit onderzoek: https://arstechnica.com/s...open-to-sniffing-attacks/ is het niet zo veilig. Maar dat is 3 jaar geleden. En de auteur viel vooral over de autofill functie. Maar die functie heeft Keepassdroid niet.
+1 dbzokphp
@Ravefiend1 maart 2017 10:05
Ik mis ook Enpass. Dit is volgens mij ook een veelgebruikte en aardig populaire password manager voor zowel Android als iOS.
+1 geekeep
@Ravefiend1 maart 2017 11:49
Je vergeet Enpass https://play.google.com/store/apps/details?id=io.enpass.app (100.000-500.000 gebruikers). Die zou ook makkelijk in dat bovenste rijtje kunnen staan.

Aangezien ik die zelf gebruik, ben ik benieuwd hoe die gepresteerd zou hebben.
+1 beerse
@Ravefiend1 maart 2017 09:42
SafeInCloud mis ik ook in dit rijtje...
safe-in-cloud pro: 100.000+ downloads.
safe-in-cloud: 500.000+ downloads.

Maar misschien is het feit dat de ontwikkelaar een adres in Moscow gebruikt al een issue :-)

En daarnaast heb ik jarenlang passwordsafe gebruikt op de pc. Daarmee bepaal je zelf waar je file staat. Met passwdsafe is er een android app die de zelfde bestanden kan gebruiken. maar daarmee is het misschien buiten de scope van de test omdat het verschillende apps gebruikt op de zelfde file.
+1 FreshMaker

@beerse1 maart 2017 10:06
Die reden ben ik terecht gekomen op keepass & keepassdroid, de datafile die je onafhankelijk kan opslaan.
Ik heb een prive owncloud, waar de file opstaat, en de install-files zodat ik er altijd bij kan.
sync gebeurt op diezelfde opslag, en is dus overal synchroon.

Een autobackup naar Google-Drive elke 10 minuten en er kan weinig gebeuren.
+1 Sylph-DS
@FreshMaker1 maart 2017 12:57
Ik heb een vergelijkbare setup maar dan met Seafile i.p.v. Owncloud en Keepass2Android i.p.v. Keepassdroid. Overigens Keepassdroid nooit geprobeerd, hoe bevalt dat?
+1 FreshMaker

@Sylph-DS1 maart 2017 13:07
Het zal niet veel beter of slechter zijn dan keepass2android vermoed ik.

Sinds ik een paar jaar geleden voor elke login een eigen ww gebruik, moest ik iets hebben wat universeel inzetbaar was.
De 'grote' jongens waren zover nog niet, of kost de hoofdprijs.
Keepassdroid is compatible met de pcversie, dus daarbij gebleven.
+1 OruBLMsFrl
@FreshMaker1 maart 2017 18:43
keepass2android is ook compatibel met de pc versie. Keepass 2.2x en hoger door de jaren heen in gebruik gehad op de pc en keepass2android leest die bestanden altijd prima. Terugsyncen doe ik echter nooit, werk het bestand altijd bij op de pc. Zit het verschil hem daarin?
+1 bilbob
@FreshMaker1 maart 2017 11:08
keepassdroid heb ik jaren gebruikt maar tegenwoordig toch keepass2android.
Heeft net even betere functies dan keepassdroid.

Je kan ze overigens beiden op je toestel hebben zonder conflict.
+1 begintmeta
@beerse1 maart 2017 10:48
PasswdSafe (100,000 - 500,000) lijkt op zich een prima te overwegen optie, dat verschillende apps kunnen worden gebruikt lijkt me alleen voordelig, en het is ook iets wat enkele van de wel-geteste apps kunnen.

Het is eigenlijk wel bizar dat sommige appmakers bepaalde zaken niet serieus nemen die inmiddels al jaren (specifiek voor android) of decennia (algemene principes) bekend zijn.

[Reactie gewijzigd door begintmeta op 1 maart 2017 10:49]

0 ErikRo
@beerse1 maart 2017 16:01
Zou zelf ook graag een test zien van safe in cloud toch ook een grote jongen aan het worden
Moet er niet aan denken als deze bugs ook in SiC zouden zitten.
Stel je voor dat ik mijn smartfoon kwijtraak dan wil je wel dat er van buiten niet in te komen is heb dik 100 ww'rden opgeslagen.
0 Morgan4321
@Ravefiend1 maart 2017 12:54
Op Password Manager en My Passwords na zijn het allemaal programma's met een dikke no go voor mij: online opslag. Dat is vragen om problemen (zoals Lastpass al gemerkt heeft). Ik gebruik zelf ook Keepassdroid, die kleine bestanden sync ik wel handmatig met m'n computer. Maar ik ga echt geen wachtwoorden online zetten, ook niet versleuteld. Een hack of backdoor om je wachtwoord te onderschappen zit er zomaar in.
0 ThaJens
@Ravefiend1 maart 2017 13:37
Zelfde geld voor Enpass, die staat er ook niet.
0 TimVdE
@Ravefiend1 maart 2017 15:18
Ik had ook graag Password Store gezien, een front-end voor pass. Redelijk klein (10,000-50,000 users volgens de Play Store), maar de eerste password manager die aan al mijn voorwaarden voldoet[1].

[1] Voor de geïnteresseerden: open source, eenvoudige built-in manier om te syncen, mogelijkheid om syncing self-hosted te doen, goede integratie op alle platformen die ik gebruik (ook hier enkel open source clients)

Edit: kleine verduidelijking

[Reactie gewijzigd door TimVdE op 1 maart 2017 15:19]

+1 FreshMaker

@dennislebbing1 maart 2017 09:15
Keepassdroid staat niet in de lijst. Gebruik ik dan een obscure pw manager?
Alleen niet als enige ;)

Het was mijn eerste zoektocht .. staat Keepass ertussen, nee ... prima
Al geeft dat geen zekerheid natuurlijk, keepass gebruikt ook de cut&paste mogelijkheid, en zet naam/ww (tijdelijk) in het clipboard
+1 compufreak88
@FreshMaker1 maart 2017 09:21
Keepass2Android komt met een eigen toetsenbord, waarmee je het wachtwoord in kan laten typen. Dan komt hij nooit in de clipboard terecht.
+1 FreshMaker

@compufreak881 maart 2017 10:01
keepass2android is een andere app dan keepassdroid, maar veilig of niet, het is allemaal relatief natuurlijk.
Meeste vulnerabilities moet je al toegang hebben tot het toestel.

Maar dan is het clipboard wel de laatste waar ik me zorgen om maak ;)

Prima dat dit onderzocht wordt, geeft appmakers weer een wakeupcall om zich te verbeteren, ook de niet 'geteste' apps
+1 Darkstriker
@FreshMaker1 maart 2017 09:21
Dat kan, maar het heeft ook een veilige methode waarbij geen van beide in de clipboard belanden. Tevens verwijdert keepass de wachtwoorden wel uit het clipboard
+1 Fly-guy
@FreshMaker1 maart 2017 09:32
Helemaal geen zekerheid, de selectie is tot stand gekomen door te kijken naar het aantal gebruikers (downloads). Dat jouw keuze er niet tussen staat betekent niet dat het veilig is, maar dat het niet populair (genoeg) is (volgens de onderzoekers).
Ook keepass kan een ernstig lek bevatten, het is simpelweg niet onderzocht.

[Reactie gewijzigd door Fly-guy op 1 maart 2017 09:32]

+1 dipje2
@dennislebbing1 maart 2017 09:19
Of dat, of die hadden ze al een keer gechecked vanaf de source code, of zr hebben zich bewust op de commerciële / closed source programma's gestort.
I don't know.

Ben keepass gaan gebruiken na een artikeltje op Tweakers nota bene, zo besloten dat ik een password manager nodig had en op keepass uitgekomen.

Keepassdroid idd als mijn Android versie genomen. Als het de keepass Android versie is die er voor mij uitspringt als 'die moet ik hebben ' kan ik me niet voorstellen dat het een obscure manager is to be honest.
+1 Nakebod
@dennislebbing1 maart 2017 09:22
Dat hij er niet tussenstaat betekend niet dat hij veilig is. Ze hebben hem simpelweg niet getest. Terwijl de installbase van bijv lastpass ook tussen 1 en 5 miljoen ligt.
Gebruik zelf Keepass2Android, en die staat er ook niet tussen.

Het kan komen omdat het niet de officiële apps zijn van Keepass, maar unofficial ports.
0 Soldaatje
@dennislebbing1 maart 2017 09:18
Nee, die zal wel goed zijn.
0 Ubartu
@Soldaatje1 maart 2017 09:36
Waarop baseer je die conclusie?
Dat KeePass niet in de test is opgenomen zegt tenslotte niets over hoe ze gepresteerd hadden als ze dat wel waren.
0 Soldaatje
@Ubartu1 maart 2017 10:46
Onschuldig tot het tegendeel is bewezen.
+1 Imac27
1 maart 2017 09:10
Dit is schokkend nieuws. Toegang tot een passwoordmanager is iets wat niet zou moeten gebeuren. Het is jammer dat er geen resultaten voor IOS zijn, maar ik vrees dat de resultaten daar niet heel verschillend zullen zijn van dezelfde makers. Iemand die weet of de situatie op IOS soortgelijk is?
+1 Fugitive2008
@Imac271 maart 2017 09:22
Dit zou ik ook graag willen weten. Ik heb samen met een vriend van me Lastpass aangeschaft, nu heeft hij een iPhone en ik een Android (lenovo p2) en zou wel eens willen weten of zijn versie net zo kwetsbaar is geweest.
+1 SitoNL
@Fugitive20081 maart 2017 09:33
Voor Lastpass zijn te risico's echt minimaal. Voor uitbuiting van twee van de drie vulnerabilities moet je fysiek toegang hebben tot het device. Hiervan werken beide alleen op Android 5 of lager.

De andere vulnerability heeft te maken met gebruik van de Lastpass browser en hierop kan een MITM-attack worden uitgevoerd. Kan me niet voorstellen dat je die browser gebruikt, dus gewoon lekker Chrome blijven gebruiken :)

Al met al: Als je je Lastpass goed instelt (PIN/Vingerafdruk toegang), automatisch locken als je telefoon ook gelockt is) en je gewoon altijd je telefoon bij hebt, is er niks aan de hand.
+1 Fugitive2008
@SitoNL1 maart 2017 09:40
Kon je geen +1 geven helaas, maar bedankt voor je reply! Verheldert de boel wel en ikheb een vingerafdrukscanner die ik gebruik in combinatie met lastpass. De browser gebruik ik idd niet deze vind ik niet fijn werken, mijn firefox werkt feilloos en snel en gebruikt minder schermruimte voor mijn gevoel.
+1 Kermit123
@SitoNL1 maart 2017 09:48
Ik gebruik er een Yubikey NFC bij, dan heb je nog wat meer zekerheid bij verlies van telefoon. Vingerafdrukscanners vertrouw ik niet zo
+1 Morgan4321
@SitoNL1 maart 2017 12:56
Bij Lastpass staan je wachtwoorden online, en de toegang tot die database is al eens gekraakt. Dat is veel makkelijker hacken dan toegang zien te krijgen tot al die telefoons.
0 calvinturbo
@Morgan43211 maart 2017 14:03
Hoe kom je erbij dat dat makkelijker hacken is? Die wachtwoorden zijn voor Lastpass zelf ook niet inzichtelijk en worden meerdere malen geencrypt.
0 Morgan4321
@calvinturbo1 maart 2017 15:10
Dat kan zijn, maar jij zult je master wachtwoord toch moeten invoeren om er zelf bij te kunnen. Op dat moment kan het onderschept worden, en Lastpass zegt dat het nooit verstuurd wordt naar hun eigen servers maar dat kan veranderen. Ze zitten tenslotte in de USA, dus ze kunnen dezelfde behandeling krijgen als Lavabit: gedwongen een backdoor in te bouwen en verboden er over te praten.
+1 Aaargh!
@Imac271 maart 2017 10:47
Daarom gebruik ik op iOS iCloud Keychain. Naast dat het goed synced tussen al m'n iOS apparaten en m'n Mac is Apple extreem serieus over de beveiliging ervan.
+1 dutchgio
@Imac271 maart 2017 11:30
In iOS heb je geen filemanager en zijn de apps in principe vrij afgezonderd van elkaar; ik verwacht daar dan ook een veel minder groot risico. Het hele OS is sowieso veel meer dichtgetimmerd waardoor het minder reeel is dat de kwetsbaarheden ook daar in zitten, dan wel te misbruiken zijn.

Dat veranderd als je een jailbreak hebt uitgevoerd en wel die rechten aanzet. Maar dat is sowieso al een discussie, een password manager gebruiken én je toestel jailbreaken (lees: minder veilig maken, hoewel dat nog een punt van discussie zou kunnen zijn).
0 Morgan4321
@dutchgio1 maart 2017 12:58
Mijn Android is geroot, mede uit oogpunt van beveiliging: ik hab nu een firewall draaien die programma's die ik niet helemaal vertrouw de toegang tot internet ontzegt. Beperkt rechtenbeheer is sinds Android 6 wel standaard aanwezig maar internet kun je standaard niet dichtzetten.
0 dutchgio
@Morgan43211 maart 2017 13:03
Klopt, vandaar ook mijn kantteking tussenhaakjes. Dat geldt voor Android ook, ik heb zelf ook root/xposed. Met root verleen je uitgebreidere system rechten, dat kan twee kanten op qua beveiliging. Je kunt je toestel er door middel van een firewall veiliger door maken of juist de deur op een kier zetten.
+1 DedSec85
1 maart 2017 09:18
Kwalijke zaak dit. Zelf gebruik ik 1Password maar die komt er ook niet al te best uit zo te zien. Sommige issues gaan over de interne webbrowser die ik gelukkig nooit gebruik. :/

Heb een jaar of twee geleden een Windows en Mac licentie gekocht van 1Password dus ik zit gelukkig niet gebonden aan een abonnementsvorm welke zij sinds kort aanbieden. Sowieso ben ik een beetje huiverig om al je credentials aan een derde partij over te dragen. Ik zal de URL ook even doorsturen naar de makers van 1Password...hopelijk worden ze daarmee extra gepushed om deze issues aan te pakken.
+1 Zeg
@DedSec851 maart 2017 09:26
De kwetsbaarheden in 1Password zijn niet extreem kwalijk, maar wel ontzettend slordig. Het belangrijkste is dat de achterliggende encryptie niet gebroken is, terwijl dat bij bijvoorbeeld Lastpass wel zo is. Als het goed is, zijn de problemen ook al in september vorig jaar opgelost (dit geldt voor zowel Lastpass als 1Password).
+1 Ubartu
@Zeg1 maart 2017 09:44
Waar lees je dat de achterliggende encryptie is gebroken? Dit staat namelijk niet in het rapport.

Bij LastPass ging het om het volgende:
SIK-2016-022: Hardcoded Master Key in LastPass Password Manager
SIK-2016-023: Privacy, Data leakage in LastPass Browser Search
SIK-2016-024: Read Private Date (Stored Masterpassword) from LastPass Password Manager
+1 Zeg
@Ubartu1 maart 2017 09:56
Ik doelde met 'achterliggende' op het feit dat er een hardcoded master key wordt gebruikt voor het versleutelen van het master password, wat natuurlijk de encryptie van de daadwerkelijke data onzinnig maakt. AES zelf is AFAIK niet gebroken...
0 S913
@DedSec851 maart 2017 11:34
k zal de URL ook even doorsturen naar de makers van 1Password...hopelijk worden ze daarmee extra gepushed om deze issues aan te pakken.
Zie in bovenstaande artikel:
Alle negen wachtwoordmanagers vertoonden gebreken, die inmiddels zijn verholpen.
Ook op de site van het rapport staat dat:
!! Update 2017-03-01: All reported vulnerabilities are fixed by the vendors !!
Dus doorsturen hoeft niet meer :)
+1 KWOAD
1 maart 2017 09:14
Jammer dat KeePassDroid niet getest is. Volgens mij de populairste app wat werkt met KeePass en die met 1 miljoen downloads zeker geen kleintje is.
+1 Vuggie
@KWOAD1 maart 2017 09:23
Die heb ik heel lang gebruikt, maar ik ben recent overgestapt naar Keepass2Android Offline. Beide baseren hun app op het Keepass database format en zijn dus uitwisselbaar, maar ik vind de interface van de laatste wat prettiger werken.

Had ik ook graag getest gezien, maar ja...
0 Morgan4321
@Vuggie1 maart 2017 13:04
Weet iemand eigenlijk of die tegenwoordig al het nieuwe kdbx4 formaat ondersteunen? Ik ben nu wat huiverig om KeePass te upgraden.
0 FreshMaker

@Morgan43211 maart 2017 13:24
Ik zag net bij de installatie van keepas2android dat er sinds 1.01 wel ondersteuning is.
* FreshMaker heeft na een aantal keer bij anderen gezien te hebben, deze in testgebruik genomen.

Mooie interface, en prettig dat hij direct op de owncloud terecht kan, ipv de losse app-sync van owncloud.
+1 Dasprive
1 maart 2017 09:15
Zucht... het verbaast me niet, dat die apps super veilig waren ging ik al niet vanuit en is ook de reden dat ik zelf geen mobiele password manager gebruik.
Maar plain text opslaan van wachtwoorden? Hard coded passwords? Dat is toch wel weer erg, erg basic en dus zeer goed te voorkomen. Het zijn nota bene bedrijven met een security product, niet zomaar een app zoals duizenden anderen en zelfs de makers daarvan maken dit soort fouten.

Het is al veel beter, maar we zijn er nog lang niet op security gebied. En dat heeft wat mij betreft niet zozeer te maken met fouten van de programmeurs, maar met onwil hoger in de boom om het nodige te doen om die fouten op te sporen. Als één van bovengenoemde bedrijven echt er voor zou kiezen om hun app secure te maken laten ze zelf een pentest uitvoeren en komen dit soort dingen gewoon boven water. Opnieuw, hier is geen diepgravende reverse engineering en uitgebreide code review voor nodig, dit zijn basic kwetsbaarheden.
+1 Redsandro
@Dasprive1 maart 2017 16:47
Ik snap ook echt niet hoe het in hemelsnaam mogelijk is dat dergelijke tools plaintext wachtwoorden opslaan of decryption keys in het programma te hardcoden.

Wie kan mij uitleggen hoe het kan dat iemand met een passie voor veiligheid tijd en moeite investeert in een makkelijke methode om veilig elke site een ander wachtwoord te geven, en dan vervolgens zulke ernstige leekfouten te maken?

Plaintext en hardcoded keys. Echt. |:(
+1 ilm
1 maart 2017 09:23
Supergenpass is het beste concept. Open source, mobiel (Linux , Windows, android etc) en zolang je het op sites gebruikt die je vertrouwd redelijk veilig. Nooit de noodzaak gezien voor een echte paswoord manager
+1 Bart ®
@ilm1 maart 2017 09:34
En hoe weet je of je een site kunt vertrouwen?
+1 tinus73
1 maart 2017 09:36
enne hoe zit het met de écht meest gebruikte in de browser? Zoals Chrome?
+1 Maurits van Baerle
@tinus731 maart 2017 10:13
Dat is een goeie vraag. Ik denk inderdaad dat Chrome Password Manager, iCloud Keychain, Mozilla Password Manager en Edge Password Manager meer gebruikt zullen worden dan alle genoemde password managers bij elkaar aangezien ze standaard in veelgebruikte browsers meegeleverd worden.
+1 ReneWouters
1 maart 2017 09:58
Je loopt per definitie risico's als je zoiets gebruikt. Als een normaal account te kraken is, is een passwordmanager uiteraard ook te kraken. Als password managers zulke geniale beveiligingen zouden hebben, kan je die ook elders gebruiken en hadden we nooit meer problemen.

De beste password manager zit in je hoofd. En op zich hoeft het helemaal niet zo moeilijk te zijn om wachtwoorden te onthouden door het op een slimme manier te doen.
+1 xxxneoxxx
@ReneWouters1 maart 2017 12:21
Niet eens. Een logisch systeempje maakt het nml ook weer inherent onveilig.

Veel mensen hier werken in de ICT. En als je 100+ systemen moet beheren wil je voor de belangrijke accounts, vaak meerdere per systeem/applicatie server, toch geen "systeempje" hebben wat "logisch" is. Als jij de logica nml zelf snapt, kan een ander ook het logische truukje ook bedenken. Beter gebruik je dan random gegenereerde sterke wachtwoorden.
+1 InjecTioN
1 maart 2017 09:13
Het is erg goed dat deze kwetsbaarheden aan het licht worden gesteld. Mensen worden zich op die manier bewust hun wachtwoorden niet zomaar uit handen te geven.

Ik ben momenteel erg gesteld op de Keychain applicatie van Apple. Deze ziet er tamelijk solide uit en is goed geïntegreerd in het OS van Apple. Dat laatste is echter ook direct een nadeel. Het is niet compatibel met Linux, Android of Windows... Echt goede alternatieven zijn er ook niet voor zover ik weet.
1 2 3

Op dit item kan niet meer gereageerd worden.

Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*