Google-onderzoeker vindt nieuw lek in LastPass nadat eerder lek werd gepatcht

Er is een patch uitgekomen voor een kwetsbaarheid in de populaire wachtwoordmanager LastPass, nadat dit was gemeld door Google-beveiligingsonderzoeker Tavis Ormandy. Kort na de aankondiging van de patch vond Ormandy opnieuw een lek.

Bij het nieuwe lek gaat het om een kwetsbaarheid in versie 4.1.35 van de wachtwoordmanagersoftware voor Firefox, die het mogelijk maakt om wachtwoorden te stelen vanaf een willekeurig domein. LogMeIn-dochter LastPass zegt aan een oplossing te werken. De lekken die Googles Project Zero-medewerker Ormandy vindt, worden doorgaans snel door LastPass gepatcht. Dinsdag meldde Ormandy al eerder een lek aan de dienst, waarvoor inmiddels een patch is uitgebracht.

Uit de analyse van Ormandy blijkt dat het eerder gemelde lek aanwezig was in versie 4.1.42 van de Chrome- en Firefox-extensies van LastPass. Daarmee was het voor een aanvaller mogelijk om wachtwoorden te stelen. Indien er gebruik wordt gemaakt van de binary component was het bovendien mogelijk om willekeurige code uit te voeren op het systeem van het slachtoffer.

Eerder deze maand meldde de onderzoeker nog een derde lek aan de dienst, dat aanwezig was in de Firefox-extensie. Een woordvoerder van LastPass laat aan The Register weten dat de patch voor deze kwetsbaarheid nog door Mozilla goedgekeurd moet worden. De deze maand gemelde lekken zijn niet de eerste kwetsbaarheden die Ormandy vindt in LastPass. Dit deed hij eerder in juli 2016. LastPass is een wachtwoordmanager die wachtwoorden op zijn eigen servers opslaat. Andere varianten, zoals KeePass, slaan deze in een lokale database op.

LastPass

IT-banen

Reacties (105)

Verwijderd 22 maart 2017 09:55

Ik krijg met deze breaches een beetje het idee dat de angsten voor online password safes waarheid zijn geworden...

The Realone @Verwijderd • 22 maart 2017 10:16

Dat komt iedere keer weer terug bij dit soort berichten en hoewel er een kern van waarheid in zit is het gebruik van een password manager relatief gezien vele malen veiliger dan wanneer je het niet doet.

Het kracht van LastPass is dat het gebruikersgemak biedt en daardoor veel mensen over de streep trekt om uiteindelijk af te stappen van de huidige onveilige manieren van password management. Er zullen hieronder ongetwijfeld weer tientallen alternatieve oplossingen genoemd worden zoals KeePass in Dropbox met keyfiles op USB sticks e.d. om het gemak van LastPass na te bootsen, maar LastPass is gewoon "plug and play" en voor iedereen te gebruiken. Zelfs mijn ouders gebruiken het en dat zegt wel wat. Voorheen stonden al hun wachtwoorden in een Word-documentje op hun laptop en waren veel wachtwoorden ook nog eens hetzelfde of eenvoudig te herleiden. Nu niet meer.

De core-business (en enige business) van LastPass is password management. Ze zullen er dus alles aan doen om dit veilig te houden en kordaat op te treden bij lekken zoals deze. Ik zal niet zeggen dat het de veiligste oplossing is die je kunt bedenken, maar het brengt gemak en veiligheid wel heel erg op 1 lijn.

djiedjee @The Realone • 22 maart 2017 12:18

Kijk, op zich heb je helemaal gelijk als je zegt:
"is het gebruik van een password manager relatief gezien vele malen veiliger dan wanneer je het niet doet."

Andere kant van het verhaal is: als mijn password-manager gehacked wordt heb ik een mega-probleem (digi-d, online banken etc).
Daarom gebruik ik nog steeds een offline-versie met losse key-files.

Risico is klein, impact is enorm!

Cerberus_tm

@djiedjee • 23 maart 2017 00:46

Maar je hoeft Lastpass toch niet voor je allergevoeligste wachtwoorden te gebruiken? Je kunt er alle sites van klein tot middelmatig belang in gooien, plus alles sites met 2FA, en dan heb je jezelf al zoooveel moeite bespaard. Een handjevol echt belangrijke sites die ook geen 2FA hebben kun je dan zelf onthouden of op een post-it schrijven.

repmeer @djiedjee • 22 maart 2017 15:32

Als je 2FA aanzet wordt het risico nog een heel stuk kleiner. Ik zou een positieve ontwikkeling vinden als passwordmanagers je verplichten om 2FA aan te zetten.

Tadsz @repmeer • 22 maart 2017 16:49

Totdat je ziet dat de 2FA secret keys ook in dezelfde database worden opgeslagen

Dykam @djiedjee • 22 maart 2017 12:30

Maar dan ben je ook niet het publiek waar The Realone het over had. Passwordmanagers zoals Lastpass verhogen het gebruik bij mensen die normaal een standaard recycle wachtwoord zouden gebruiken.

Hoppa! @Verwijderd • 22 maart 2017 11:20

Dat is omdat een single point of failure ook gewoon bepaalde risico's met zich meebrengt. Die zijn onmogelijk volledig uit te sluiten al kun je natuurlijk de risico's wel tot een absoluut minimum beperken.

Het blijft natuurlijk beter dan 123456789 voor al je online activiteiten.

Intrepidity @Hoppa! • 22 maart 2017 11:46

That being said is het veel minder waarschijnlijk dat LastPass een SPOF vormt dan wat mensen voorheen deden, namelijk wachtwoorden ergens op een briefje of in een word-document. Daarmee is dit absoluut niet waterdicht, maar veiliger dan veel van de alternatieven.

Knutselmaaster @Intrepidity • 22 maart 2017 12:13

Nou, als dat briefje in een veilige omgeving is opgeborgen dan lijkt me een sterk wachtwoord + briefje toch echt wel veiliger. De laatste keer dat er een Russische hacker bij mij thuis naar briefjes aan het zoeken was is toch best wel lang geleden, langer geleden dan de laatste security issue van een wachtwoord manager...

BrokenTable @Knutselmaaster • 22 maart 2017 12:40

Er wordt (ik neem aan bewust) een Word-document genoemd en niet de uitgeprinte versie van dat document. En dus hoeft die Russische ineens geen huisbezoeken meer af te leggen maar 'alleen' op afstand toegang tot je systeem te hebben.

Ik geloof namelijk niet dat mensen het in Word intypen, uitprinten en het Word document niet opslaan. Want als er 1 wachtwoord wijzigt moet je alleen weer opnieuw invoeren. Uiteraard kun je het Worddocument op een USB stick zetten en bij je printout bewaren. Maar het gaat hier deels om wat mensen doen, niet wat ze zouden moeten doen.

Blokker_1999

Netwerk en systeembeheer
Wachtwoord
Security

@Verwijderd • 22 maart 2017 10:02

Elke wachtwoordmanager met een integratie in de browser kan dit voorhebben, ongeacht of de wachtwoorden lokaal of op het net staan. Het enige bijkomende risico is als de dienst zelf gekraakt wordt.

Wim-Bart @Verwijderd • 22 maart 2017 17:35

Daarom is een online gewoon geen goed idee in mijn opinie. Wanneer je LastPass gebruikt moet je dus alle accounts doe daarin zijn opgeslagen veranderen.

Verwijderd @Wim-Bart • 23 maart 2017 11:40

Ik ben meer van een hybride oplossing: offline op een google drive met ander password.

P1nGu1n

22 maart 2017 09:56

Voordat iemand roept dat online password managers onveilig zijn, dit was een lek in de extensie. Ook offline password managers zouden met een lek als deze wachtwoorden kunnen lekken, omdat wachtwoorden lokaal (in de browser) gelekt werden!

crazyx @P1nGu1n • 22 maart 2017 10:38

Uw beveiliging is maar zo sterk als de zwakste schakel. Dus dat andere gedeeltes wel super veilig zijn maakt niets uit als de rest zo lek is als een mandje.

JackDaniel @crazyx • 22 maart 2017 11:24

Uiteraard. Het punt is echter dat het niet een vereiste is om een browser extensie te gebruiken, dit is een extra schakel die het allemaal wat makkelijker maakt. Het is natuurlijk logisch dat een extra schakel ook extra zwakke plekken met zich meebrengt.

Sebas1974 @P1nGu1n • 22 maart 2017 12:12

Dat is exact de reden dat ik geen extensie voor Keepass gebruik. Verder net zoals anderen ook database in cloud en keyfile lokaal op devices.

Wim-Bart @Sebas1974 • 22 maart 2017 17:37

Juist, de veilige methode!

Twixie 22 maart 2017 09:58

Geef mij dan toch maar KeePass met Dropbox.

Stoelpoot @Twixie • 22 maart 2017 10:11

Dan gebruik ik er liever Google Drive voor, daarvan is het RAM gebruik wat lager. Maar de Keepass / cloud combi is inderdaad erg fijn.

isene @Twixie • 22 maart 2017 10:19

Deze combinatie gebruik ik ook:
*Database op dropbox
*Keyfile lokaal over devices verpreid, dus niet ergens in de cloud
*En passphrase in mijn hoofd

Zit er nog wel aan te denken om een veracrypt disk op dropbox te zetten met daarin de database

jup i'm going full paranoid

Dr. Prozac @isene • 22 maart 2017 15:41

Ja zoiets heb ik ook, maar ik maak me wel zorgen om de passphrase die in mijn hoofd zit.
De kans is klein - klop klop - maar wat als me wat overkomt en ik er niet meer ben of me niet meer kan herinneren wat de passphrase is?

Moet ik de passphrase uitprinten en verstoppen of laten verstoppen door betrouwbare familieleden/vrienden? Het voelt zo tegenstrijdig: de belangrijkste passphrase in plaintext uitrpinten en bewaren... Ik ben er zelf nog niet uit hoe ik dit ga doen.

isene @Dr. Prozac • 22 maart 2017 16:37

Maak speciaal voor de passphrase een keepass aan met een andere passphrase

En zo kunnen we nog wel even door blijven gaan haha.
Je kun ook een passphrase hebben van:
"Vergeet Geen 500 Gram Boter Te Halen Bij De Supermarkt"
"Elke Week De Hokken Van Piet en Sjaan Controleren"
Als je dit in plaintext ergens neerhangt zal niemand denken van heeeee dit is een passphrase

maar meer van oooooh dat is een geheugensteuntje / vergeetmenietlijstje.
Pak z'n passphrase en voeg de naam van de applicatie toe aan het einde, Zo heb je per applicatie een uniek wachtwoord wat niet zomaar te raden is maar voor jou wel eenvoudig te onthouden is.

TL;DR
Dus als je bang bent dat je het vergeet pak je gewoon zo iets simpels dat je in het openbaar kunt roepen zonder dat men denkt dat het een wachtwoord is.
Deze tip geef ik soms klanten ook, omdat deze vaak te lastig over hun passphrase nadenken.

[Reactie gewijzigd door isene op 30 juli 2024 14:40]

Wim-Bart @Dr. Prozac • 22 maart 2017 17:41

Passphrase ligt in envelop bij familie en keyfile eveneens op USB stickie in kluisje ergens in huis waarvan familie code weten.

Waswat @Twixie • 22 maart 2017 15:50

Precies hetzelfde hier maar dan ook met een extension via chrome zodat ik na het inloggen op keepass niet het wachtwoord hoef te kopieren en zodat het genereren van een wachtwoord eenvoudiger is.

[Reactie gewijzigd door Waswat op 30 juli 2024 14:40]

Wim-Bart @Waswat • 22 maart 2017 17:43

Offer graag wat gemak op voor veiligheid. Dus geen browser extensies met KeePass hier.

KidPaddle 22 maart 2017 10:26

Zo zie je maar, overal password 12345678 is zo gek nog niet. geen pw manager nodig.

boyd91 @KidPaddle • 22 maart 2017 11:05

Hoeveel lekken er ook nog in LastPass zitten, de kans dat LastPass op een zeker moment onveiliger wordt dan jouw manier is zo goed als nihil.

Ook al zou je een heel lastig wachtwoord gebruiken, de zwakte zit hem in het feit dat je op meerdere plaatsen dezelfde gebruikt. Het is geen uitzondering maar regel dat een van de sites waar jij een account hebt een zwakke beveiliging heeft. Op het moment dat die site gehackt wordt ben je de sjaak.

Door overal hetzelfde wachtwoord te gebruiken geef je iedere dienst die je gebruikt jouw geheime sleutel. Je geeft toch ook niet iedereen de sleutel van je voordeur zonder te weten hoe betrouwbaar diegene is.

innerchild @boyd91 • 22 maart 2017 12:56

Door overal hetzelfde wachtwoord te gebruiken geef je iedere dienst die je gebruikt jouw geheime sleutel. Je geeft toch ook niet iedereen de sleutel van je voordeur zonder te weten hoe betrouwbaar diegene is.

Je kan het ook anders formuleren theoretisch gezien dan. Je geeft aan onbekenden je hele riedel aan wachtwoorden + logins aan een derde partij ( lastpass ) in de cloud onder het mom van 'makkelijk'.

Dat is gewoon eigenlijk hetzelfde. De veiligheid en toegang is en blijft gewoon een twistpunt.
Jij weet gewoon niet wat er aan de achterkant met jou data gebeurd. Zolang jij dat niet weet zijn er gewoon 2 waarheden.

Begrijp het ook gewoon niet dat mensen al hun shizzle zo aan een derde partij geven. Van een huis tuin en keuken gebruiker kan ik het nog wel snappen, maar iemand die ook bewust is van veiligheid en wachtwoorden gebruikt zo een dienst gewoon niet of heeft in iedergeval zware twijfels erover.

boyd91 @innerchild • 22 maart 2017 13:00

Aangezien LastPass uitsluitend met lokale encryptie werkt geef je ze in principe niets.

Je geeft ze inderdaad wel het vertrouwen dat de software die lokaal voor jou encrypt deugdelijk is.

Ook al zou je wel alles aan lastpass geven, dan geef je wel alles aan 1 partij die zich focust op veiligheid. Door overal hetzelfde wachtwoord te gebruiken geef je alles aan iedereen, aangezien 'alles' in dat geval slechts 1 wachtwoord is.

[Reactie gewijzigd door boyd91 op 30 juli 2024 14:40]

innerchild @boyd91 • 22 maart 2017 14:40

Maar je geeft in blind vertrouwen je belangrijke gegevens aan een 'onbekende' partij. Je weet gewoon niet aan wie je het geeft. Dat is een gegeven. Misschien is deze service wel opgezet door een nsa of ander gerelateerd bedrijf waar jij en duizenden anderen je gegevens achterlaat. Je weet het gewoon niet. Je weet ook niet wat er met jou data gebeurd en of er altijd een backup blijft bestaan ondanks dat je gegevens verwijderd. Je weet het niet. Je moet altijd voorzichtig zijn met dit soort servicediensten. Daarom snap ik niet, met allerlei voorbeelden in het verleden betreffende veiligheid online, dat dit gewoon geaccepteerd wordt.

SMillerNL @KidPaddle • 22 maart 2017 11:42

Ik denk dat je beter af ben met hunter2

swv

22 maart 2017 10:05

Zoals wederom blijkt zijn het de extensies die onveiliger zijn. Even refererende naar dit artikel nieuws: 'Aantal wachtwoordmanagers op Android was onvoldoende beveiligd' en specifieker de bron van dat onderzoek.

Ik gebruik 1Password en ik doe alles offline. Ik maak geen gebruik van (browser)extensies, update eens in de zoveel tijd mijn (Apple) apparaten middels lokale WiFi sync en de belangrijkste diensten (over mijn identiteit) zitten in mijn hoofd met een sterk wachtwoord. Dat betekent dus handmatig kopiëren als ik een wachtwoord nodig heb, maar de meeste websites waar ik weinig waarde aan hecht sla ik alsnog op in iCloud sleutelhanger met een door 1Password gegenereerd wachtwoord.

In mijn optiek is de enige manier dat er dus iets van mij kan uitlekken, dat kwaadaardige software mijn wachtwoorden steelt door met de app 1Password 'mee te kijken' of iets in die richting wanneer ik mijn wachtwoordendatabase heb geopend.

[Reactie gewijzigd door swv op 30 juli 2024 14:40]

GrooV @swv • 22 maart 2017 10:27

Of je logt automatisch uit op de extensies en zet automatisch invullen uit. Scheelt al een hele hoop.

Als jij je wachtwoord kopieert dan kunnen websites/extensies/andere applicaties dat ook uitlezen

swv

@GrooV • 22 maart 2017 11:09

Wat betreft dat eerste: Ik moet bekennen dat ik de browserextensie van 1Password nog niet geprobeerd heb. Dus wat jij voorstelt zou inderdaad nog aardig 'veilig' (bij gebrek aan een beter woord, maar in deze context wel verhelderend) moeten zijn. Ik wil alleen geen processen van 1Password op de achtergrond hebben draaien (zoals tevens 1Password mini), wat dus betekent zo weinig mogelijk integratie in mijn systeem en dus zoveel mogelijk het gevoel hebben dat 1Password alleen geopend is wanneer ik dat wil.

Ik vind mijn manier van werken prima zo, omdat ik zogezegd 9 vd 10 keer sites bezoek waar ik weinig waarde aan hecht en/of niet interessant zijn om te kapen. En veel van die wachtwoorden staan ook gewoon in mijn iCloud sleutelhanger. In feite is iCloud voor mij dan de browserextensie. Deze werkwijze ontkracht eigenlijk mijn eerdere post omdat ik zoveel mogelijk offline wil doen natuurlijk

, maar Apple vertrouw ik in deze toch iets meer dan Agilebits met betrekking tot een solide beveiliging en updates. iCloud is voor mij echter te beperkt (met name op mobiel), dus om overzichtelijk te managen heb ik 1Password. Verander ik dus bij een onbelangrijke site of dienst mijn wachtwoord gegenereerd met 1Password, en ik voer die in wanneer ik werk ik Safari, dan krijg ik van iCloud sleutelhanger na invoering van het nieuwe wachtwoord een pop-up met de vraag of het wachtwoord bijgewerkt mag worden.

Het risico dat er toch iets fout gaat bij Apple of 1Password is ingecalculeerd. Daarom zitten dus de belangrijkste wachtwoorden alleen in mijn hoofd. Wel heb ik van die betreffende diensten wat gegevens ingevuld zodat ik een overzicht heb van waar ik allemaal accounts heb en eventueel met het emailadres of gebruikersnaam dat ik daar dan bij gebruikt heb, maar dan ontbreekt dus het wachtwoord.

Wat betreft dat tweede: het bespioneren van het clipboard is een probleem van mijn werkwijze, en niet van de wachtwoordmanager. Dat risico (die ik niet hoog inschat) neem ik maar voor lief. Dat heb ik liever dan dat ik elke keer 'fh2etbg2b3j#&gbjbbbj!3233rnbf' moet gaan overtypen. En dan nog hebben 'ze' een wachtwoord van één site, en niet van die andere 100 sites.

[Reactie gewijzigd door swv op 30 juli 2024 14:40]

Opperpanter2 22 maart 2017 10:01

LastPass is van de online password managers toch wel degene met de meeste lekken lijkt het.
Loop zelf ook vaak tegen bugs aan een wazige UI constructies.

Yggdrasil

@Opperpanter2 • 22 maart 2017 10:09

Dat valt wel mee. LastPass is heel bekend, komt dus al gauw in het nieuws en is daarom een populair doelwit voor onderzoekers. Er worden inderdaad regelmatig lekken in gevonden, maar dat betekend niet dat deze in andere vaults niet aanwezig zijn.

Een fout in de browser-plugin zoals deze kan ook offline vaults treffen. Ik zie het maar als een pluspunt dat ze gevonden en opgelost worden. LastPass reageert in ieder geval snel.

NoBrakes @Yggdrasil • 22 maart 2017 10:24

Keepass (welliswaar V1) heeft onlangs ook een complete audit gehad en daar waren ook maar minimale problemen in gevonden. Ondanks dat Lastpass veel uitgebreidere functionaliteit heeft is het schandalig dat er zoveel problemen worden gevonden in (closed-source) commerciële software.

Iva Wonderbush @NoBrakes • 22 maart 2017 10:41

Schandalig is het zeker niet! Als programmeur weet je nooit overal rekening mee te houden, anders was de wereld een stuk veiliger op gebied van ICT.

NoBrakes @Iva Wonderbush • 22 maart 2017 10:44

Dat klopt, maar als je zo'n dienst aanbied díe wachtwoorden opslaat moet je je zaken verschrikkelijk goed op orde hebben

Iva Wonderbush @NoBrakes • 22 maart 2017 10:46

En dat hebben ze toch? Ik heb nooit een artikel gezien dat er wachtwoorden door kwaadwillende mensen gestolen zijn. De lek is gevonden en doorgegeven, daar moet je juist super blij mee zijn.

NoBrakes @Iva Wonderbush • 22 maart 2017 12:11

Als het nu maar bij een enkele keer bleef

Iva Wonderbush @NoBrakes • 22 maart 2017 12:17

Ja natuurlijk zou je dat willen. Maar dat is bij niks zo. Noem mij 1 bekend software dat maximaal 1 lek heeft gehad..

itsmarsu @Yggdrasil • 22 maart 2017 10:30

De bekendheid van LastPass kan je zien als een nadeel omdat het een doelwit wordt voor kwaadwillenden, maar het kan ook een voordeel zijn omdat het een onderwerp wordt waar beveiligingsonderzoekers zich mee bezig gaan houden.

Persoonlijk vind ik het een geruststellende gedachte dat knappe koppen zoals Ormandy zich over wachtwoordmanagers buigen. Elk lek dat gevonden wordt is een aanvalshoek minder voor anderen, en dus een kleine overwinning. Hier gebeuren alleen maar goeie dingen naar mijn mening

mschol @Opperpanter2 • 22 maart 2017 10:09

LastPass is van de online password managers toch wel degene met de meeste lekken lijkt het.
Loop zelf ook vaak tegen bugs aan een wazige UI constructies.

is dat niet hetzelfde als bij de storingen van de ING?
daar zitten de meeste gebruikers en dus heeft het een hoog storingspercentage.. (maar de kleinere banken hoor je niets over, ook als ze wel een storing hebben
hoge bomen vangen veel wind was het spreekwoord toch ook?

tegen welke bugs en wazige UI constructies loop jij aan?
persoonlijk vind ik het settings menu het minst overzichtelijke..

stftweaker @Opperpanter2 • 22 maart 2017 10:12

Ze zijn ook de meest bekende. Dus daarom zal het meer opvallen denk ik

Stoelpoot @Opperpanter2 • 22 maart 2017 10:13

Ma, het is ook een van de meest gebruikte. Hoor meer de naam LastPass dan bvb 1Password, en een andere naam kan ik niet eens bedenken van een online manager. Een beetje hetzelfde als dat Windows meer virussen heeft dan een Mac eigenlijk.

yeroon17 22 maart 2017 09:59

Toch ben ik erg blij met 1Password (de concurrent van LastPass).
Zelf gebruik ik de offline-versie in de hoop dat daar minder kans is op lekken.
Maar helemaal veilig is het natuurlijk nooit om je wachtwoorden op te slaan. Hoe goed ze ook versleuteld zijn.

mugenmarco @yeroon17 • 22 maart 2017 10:00

ik gebruik Keepass, erg handig.

dimitrivisser @mugenmarco • 22 maart 2017 10:07

Ik gebruik een Moleskine notitieboekje op A6 formaat. Dat doe ik al ruim 20 jaar. En als ik het zo hoor is dat een prima systeem ;-)

Verwijderd @dimitrivisser • 22 maart 2017 10:11

Tot dat je het kwijt bent ...

Liberteque @Verwijderd • 22 maart 2017 10:19

Na 20 jaar heeft ie het tegendeel wel bewezen vind je niet?

SED @Liberteque • 22 maart 2017 11:03

is misschien al heel vaak gekopieerd zonder dat hij het weet

Wasabi! @Liberteque • 22 maart 2017 11:29

Inderdaad, en in een Excel bestandje of zo op de NAS/Cloud. Mensen zijn tegenwoordig makkelijk denkend. Hoe vaak heb ik niet meegemaakt dat mensen hun laptop/pc/tablet herinstalleren en niet meer weten bij wie ze allemaal inlogcodes/ww hadden en nergens genoteerd hadden, zo handig dat automatisch opslaan.....

Wel als je op een klad schrijft, niet alles doorkrassen en er weer klein bijschrijven of zonder te vermelden waar het voor is, zie ik bij mijn vader, is het nu een hoofdletter of kleine letter, 0 of o, O?

[Reactie gewijzigd door Wasabi! op 30 juli 2024 14:40]

yeroon17 @dimitrivisser • 22 maart 2017 10:13

Maar ook dat kan kwijtraken/gestolen worden.

En (bij cloud-opslag) kun je altijd en overal bij je wachtwoorden. Het boekje ligt misschien ergens thuis en dan kun je er niet altijd bij.

(maar ik zie de voordelen van een notitieboekje wel hoor

)

it0 @dimitrivisser • 22 maart 2017 10:13

Hangt er vanaf wat je eisen zijn.

Is er een backup van?
Wordt ongeauthoriseerde toegang gezien?
Wordt ongeauthoriseerde toegang gelogd?

Stevie-P @dimitrivisser • 22 maart 2017 10:26

Dat ligt aan de encryptie die je gebruikt, ook ben ik wel benieuwd naar de performance daarvan...

Want laten we eerlijk zijn; iedere dag een boekje met al je plaintext wachtwoorden meenemen naar kantoor is een ontzettend slecht idee.

mschol @yeroon17 • 22 maart 2017 10:06

Toch ben ik erg blij met 1Password (de concurrent van LastPass).
Zelf gebruik ik de offline-versie in de hoop dat daar minder kans is op lekken.
Maar helemaal veilig is het natuurlijk nooit om je wachtwoorden op te slaan. Hoe goed ze ook versleuteld zijn.

Zoals eerder door P1nGu1n al aangehaald: Aangezien het hier om een lek in een browser extensie gaat is ook een offline password manager niet perse veilig(er) als ze ook zo'n module hebben

Stoelpoot @yeroon17 • 22 maart 2017 10:16

Inderdaad zal het nooit velig zijn. Toch ben ik overtuigd dat het veiliger is dan 'onthoudbare' wachtwoorden, zeker omdat een PW manager een veilig, uniek wachtwoord iets triviaals maakt ipv een mentale opgave.

Daarnaast houd ik me aan een simpele regel: Geen mail wachtwoord in mijn PW Manager. Met je mail kan je een account (bijna) altijd achterhalen, en als iemand in je mail kan kijken kunnen ze alle wachtwoorden resetten.

yeroon17 @Stoelpoot • 22 maart 2017 10:19

Dat heb ik ook: het wachtwoord van mijn mail en van mijn bank heb ik niet in de password manager staan.

Yggdrasil

@Stoelpoot • 22 maart 2017 10:25

Inderdaad is je e-mail een zwakke schakel vanwege de mogelijkheid om er andere wachtwoorden mee te resetten. Het is daarom zeker aan te bevelen om je e-mailaccount met 2-factor-authenticatie te beschermen, waarbij je tweede factor niet hetzelfde apparaat is waarop je je wachtwoorden opslaat.

Gebruik bijv. een Yubikey of goedkoop U2F token voor Gmail. Als je LastPass gebruikt is een Yubikey ideaal, omdat deze zowel voor je Google account als voor LastPass tegelijk gebruikt kan worden. Dan zijn beiden dus extra beschermt.

mvhorssen

22 maart 2017 10:24

Goed om te horen dat er snel op gereageerd wordt. Ik gebruik zelf ook deze dienst, inclusief integratie in de browser. Ik ben me er van bewust dat hier beveiligingsrisico's aan zitten. Echter, voordat ik een wachtwoord manager gebruikte, had ik een paar 'standaard' wachtwoorden. Mijn inschatting is dat het gebruik van LastPass inclusief browserintegratie altijd nog een stuk veiliger is dan een paar 'standaard' wachtwoorden.

Ik overweeg ook niet om over te stappen naar een offline dienst, zonder browser integratie. Ik vind het gemak van integratie in de browser simpelweg te groot.

Verwijderd 22 maart 2017 10:37

Dit is nou de reden dat ik alleen een lokale password manager gebruik.

SED @Verwijderd • 22 maart 2017 11:06

en geen extensies?
Daar heeft dit probleem namelijk mee te maken en niet met een lokale manager.

Verwijderd @SED • 23 maart 2017 10:50

Ik zou nooit extensies gebruiken voor mijn browser, ik plak ze gewoon met copy-paste er in.

Juist dit soort fouten toont mijn gelijk aan. Met een bug kan men al je wachtwoorden achterhalen en zelfs inbreken op je computer.

SED @Verwijderd • 23 maart 2017 11:09

En copy paste kan nooit bugs bevatten natuurlijk

Je slaat daarmee zaken tijdelijk op in het geheugen en voila..
Dus nee het toont absoluut je gelijk niet aan.

Hoppa! 22 maart 2017 11:28

En vandaar dat er bij mij geen passwordmanager in komt. Ik kies er voor om de kritieke passwords gewoon zelf te onthouden, ook al zijn ze erg ingewikkeld. Voor de eenvoudigere passwords (webwinkels, fora) heb ik wel unieke wachtwoorden, maar wel makkelijker te onthouden. En als ik er eens eentje vergeet dan is een PW reset zo geregeld.

De kans dat een passwordmanager gekraakt wordt is natuurlijk extreem klein, maar als het gebeurt kom je er pas achter als het veel te laat is en kunnen de gevolgen enorm zijn. Dat risico wil ik nergens lopen, al is de kans maar 0,0000000000000001% dat het ooit gebeurt.

Op dit item kan niet meer gereageerd worden.

Google-onderzoeker vindt nieuw lek in LastPass nadat eerder lek werd gepatcht

Lees meer

IT-banen

Reacties (105)

Sorteer op:

Weergave: