LastPass gaat autofill-api's gebruiken bij Android O

LastPass heeft aangekondigd gebruik te gaan maken van de autofill-api's die deel uitmaken van de opvolger van de meest recente Android-versie. Dat moet verbeteringen met zich meebrengen als het gaat om het invullen van wachtwoorden en andere gegevens in apps.

Lastpass logo nieuw grootIn de huidige versie van de wachtwoordmanager is het al wel mogelijk om wachtwoorden in andere apps te laten invullen, maar volgens LastPass brengt deze manier enkele nadelen met zich mee. Zo werkt de functie momenteel via de toegankelijkheidsopties van Android. Deze aanpak neemt meer processorcapaciteit in beslag en vereist bovendien dat gebruikers de app aanvullende permissies geven.

De nieuwe versie van Android, met versienummer acht of de voorlopige aanduiding 'O', introduceert een aantal vernieuwingen, waaronder autofill-api's. Met deze dienst kunnen gebruikers zelf een autofill-app kiezen, die zij kunnen gebruiken om bepaalde informatie in formuliervelden in te vullen. De voornaamste gebruikers van deze functie zullen onder meer wachtwoordmanagers als LastPass zijn. Daarmee moeten dan ook de nadelen van de huidige aanpak verholpen worden. Bovendien moet het proces van invullen van gegevens sneller werken door de integratie.

LastPass kwam recentelijk in het nieuws door een aantal kwetsbaarheden in zijn browserextensies. Naar aanleiding daarvan adviseerde het bedrijf desktop-gebruikers om de autofill-opties voorlopig uit te schakelen. Inmiddels zijn de lekken gedicht.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 10-04-2017 11:3439

10-04-2017 • 11:34

39 Linkedin

Lees meer

LastPass voegt back-upfunctie aan app voor tweetrapsauthenticatie toe Nieuws van 19 mei 2017
LastPass dicht lek waarmee tweetrapsauthenticatie uit te schakelen was Nieuws van 21 april 2017
LastPass raadt na nieuw lek aan sites direct vanuit de Vault te openen Nieuws van 27 maart 2017
Google-onderzoeker vindt nieuw lek in LastPass nadat eerder lek werd gepatcht Nieuws van 22 maart 2017
Google richt zich met Android O op accuduur en notificatiebeheer Nieuws van 21 maart 2017
'Aantal wachtwoordmanagers op Android was onvoldoende beveiligd' Nieuws van 1 maart 2017
LastPass maakt synchronisatie op verschillende apparaten gratis Nieuws van 2 november 2016
Meer producten en artikelen
Software

Reacties (39)

-Moderatie-faq
-139036+130+23+31Ongemodereerd4
Wijzig sortering
Krisp
10 april 2017 12:44
AgileBits, de maker van 1Password, heeft eveneens aangekondigd dit te gaan ondersteunen. :)
geekeep
10 april 2017 12:49
Enpass is hier ook al mee bezig, zie:

https://discussion.enpass...utofill-api-in-android-o/

Autofill in Enpass werkt op dit moment uiteraard in de ingebouwde browser, maar ook in Chrome via de 'notifications' omweg vanaf Android 5.0 (https://www.enpass.io/docs/android/usebrowser.html).

[Reactie gewijzigd door geekeep op 10 april 2017 12:50]

AOC
10 april 2017 14:08
Wat ik ook wel een goede tip vind. Bij je wachtwoorden die je opslaat geen exacte e-mail opslaan. Eventueel een hint voor jezelf. Ik heb tien unieke mail adressen en uit mijn hoofd weet ik welk account welk e-mail adres bevat. Deze mailadressen komen verder nergens in de database voor. Het lijkt mij dat een mogelijke hacker dan onmogelijk je mail adres kan achterhalen tenzij hij je specifiek trackt of de desbetreffende website gewoon lek is
engessa
@AOC10 april 2017 19:17
Nog twee aanvullende tips hierop:

Bij gmailadressen kun je met + een uniek emailadres maken. Dus pietje+tweakers@gmail.com werkt gewoon, de mail komt binnen bij pietje@gmail.com. Zo kun je simpel voor 'allles' een uniek emailadres maken. pietje+bank@gmail.com, pietje+bol@gmail.com, peitje+pornhub@gmail.com en ga zo maar door.

Tweede tip is vergelijkbaar: regel een domein met email en een catchall. Op die manier kun je door tweakers@domein.nl, mail@domein.nl, alternate@domein.nl enzovoorts ook makkelijk unieke emailadressen maken om te gebruiken als login. in combinatie met overal een uniek wachtwoord en een wachtwoordmanager zoals Lastpass, 1Password en alle ondere opties die er zijn hou je het makkelijk en velig. Bijkomend voordeel is dat je makkelijk kunt zien wie je emailadres doorverkoopt voor spam of mogelijk een security-probleem heeft.

[Reactie gewijzigd door engessa op 10 april 2017 19:18]

Blizz
@engessa11 april 2017 00:59
Sommige e-mailcheckers beoordelen een + als een karakter dat niet in een e-mailadres thuishoort en dan kun je helemaal niet registreren. Leuk in principe dus, maar werkt niet altijd in de praktijk… Maar goed, incompetente wachtwoordeisen vind ik net wat erger.
stuiterveer
10 april 2017 11:49
Ik ben dan behoorlijk benieuwd hoe relevant dit artikel gaat worden voor LastPass binnen Android:
nieuws: Onderzoeker toont hoe autofill-browserfunctie voor phishing gebruikt ...
Creesch
@stuiterveer10 april 2017 12:05
Het is wel handig om in het achterhoofd te houden dat in het gelinkte artikel het gaat over browsers waarbij het mogelijk is om verborgen velden in te vullen.

Autofill binnen Android O is weliswaar vergelijkbaar wat betreft de functie die het vervult, maar aangezien het gaat om een andere context (Applicaties) en een andere implementatie (Geïntegreerd in een besturingssysteem) is het iets wat wellicht uitdraait op appels met peren vergelijken.

Voorbeeld: Het zou zomaar zo kunnen zijn dat er alleen zeer specifieke velden ingevuld mogen worden met de api.

Voorbeeld 2: De browser autofill kijkt naar velden die lijken op eerder ingevuld velden, lastpass zal ook kijken naar de context en alleen een applicatie vullen als hier ook informatie binnen de context van die applicatie beschikbaar is (zo werkt het nu overigens ook al).
stuiterveer
@Creesch10 april 2017 12:07
Autofill binnen Android O is weliswaar vergelijkbaar wat betreft de functie die het vervult, maar aangezien het gaat om een andere context (Applicaties) en een andere implementatie (Geïntegreerd in een besturingssysteem) is het iets wat wellicht uitdraait op appels met peren vergelijken.
Daar heb je absoluut een goed punt, al is het natuurlijk allemaal speculatie op dit moment. Vandaar ook mijn nieuwsgierigheid naar hoe dit zal uitpakken voor LastPass in die situatie, het enige dat we vooralsnog kunnen doen is afwachten en hopen op het beste.
Tralapo
10 april 2017 13:14
Goed nieuws! De huidige invuller van LastPass werkt in principe wel prima voor zowel websites als apps (al wil hij soms niet, of niet direct tevoorschijn komen), maar heeft daarvoor inderdaad vergaande permissies nodig.

Goed om te zien dat dit opgepakt is, zowel vanuit Android als vanuit de passwordmanagers.
xPulse
10 april 2017 13:49
Dit is echt een heel belangrijke verbetering in android O. Het is dadelijk niet meer nodig de Accessibility service voor Lastpass aan te zetten. Deze heeft een zware impact op de performance van het toestel.

Mooi artikel over Accessibility service https://www.xda-developers.com/working-as-intended-an-exploration-into-androids-accessibility-lag/

[Reactie gewijzigd door xPulse op 10 april 2017 13:51]

Brantje
10 april 2017 14:13
Binnenkort implementeren we dit ook in de Android app van Passman.
Als fallback gaan we een keyboard gebruiken, dus mocht er geen autofill api aanwezig zijn dan kunnen gebruikers hun toetsenbord switchen en als nog autofill hebben =).

[Reactie gewijzigd door Brantje op 10 april 2017 14:20]

tweatbook
10 april 2017 15:16
Mooi dat ze het gaan gebruiken. Maar of het een persbericht waard is? Ik ga er eigenlijk vanuit dat elke app die regelmatig updates ontvangt ook relevante nieuwe API's inzet waar mogelijk.
Koffiebarbaar
10 april 2017 17:42
Die invulservice van Lastpass mag sowieso wel iets intelligenter bij vlagen.
In mijn (mobiele) webbrowser krijg ik ook geregeld die password pop-up, ook op momenten dat ik er helemaal niet mee bezig ben en dan kan ik het alleen steeds wegklikken of uitzetten voor heel chrome, ipv alleen op de op dat moment vervelende pagina.

First world problem van heb ik jou daar, maar als je het hebt over het stroomlijnen van die specifieke dienst...

[Reactie gewijzigd door Koffiebarbaar op 10 april 2017 17:42]

Anoniem: 470811
@densoN10 april 2017 12:52
Zolang je computer verbonden is met het internet is er geen "lokale" computer. Dan ben je weliswaar geen public-cloud, maar wel een private-cloud.
mysticyx
@densoN10 april 2017 12:02
Weet jij een beter alternatief?
thomas1907
@mysticyx10 april 2017 12:08
KeePass, een eigen "kluis" bestand lokaal op je computer (of ge-encrypte USB), met wachtwoord en key als authenticatie. Dat is wat ik gebruik :)

[Reactie gewijzigd door thomas1907 op 10 april 2017 12:10]

ZaZ
@thomas190710 april 2017 12:17
En daar zie je vaak dat mensen tegen praktische beperkingen oplopen en dus maar het kluisbestandje op hun Dropbox zetten.
En hoppa, daar heb je jouw SPOF.
thomas1907
@ZaZ10 april 2017 12:23
Dan heb je toch nog een key en wachtwoord nodig om hem te openen? Neem aan dat ik niet mijn wachtwoorden kan zien als ik hem open met notepad
ZaZ
@thomas190710 april 2017 12:31
Ja ok, maar dat is bij LastPass ook zo. De wachtwoorden staan alleen geëncrypt in hun database.
De masterkey zit alleen in jouw hoofd.

Mijn punt was dus eigenlijk meer dat als je het werkbaar wil hebben, je bij KeePass ook al snel eindigt met de kluis in de cloud.
Dan is het argument van LastPass kan gehackt worden ten opzichte van KeePass meteen van de kaart.
Vanaf dat moment is de situatie bij beide eigenlijk hetzelfde. Tenzij je in KeePass helemaal geen beveiliging in de kluis zelf hebt, want dan is KeePass zelfs minder veilig.
wica
@ZaZ10 april 2017 12:47
Als ik jouw goed begrijp.

KeePass een file ergens op een random cloud dienst.
Of LastPass, waar bij je direct veel gebruikers hebt.

Lijkt mij persoon, als je een cloud dienst wilt/moeten gebruiken KeePass iets veiliger. Al is het omdat je zelfs je cloud dienst kan bepalen.

Bij LastPass, vertrouwen wij maar op de blauwe ogen, en hopen wij maar dat zij niet het master wachtwoord proberen te kraken. Al is het alleen om te kijken hoe sterk de master wachtwoorden zijn.
Twanne
@wica10 april 2017 13:42
KeePass is in enkele opzichten inderdaad veiliger.

Ik gebruik zelf LastPass en ja, dat heeft dan de Clouddienst als SPOF, maar die is toch redelijk sterk. Zeker waneer je ook de 2FA activeert op de kluis en alle andere mogelijke diensten.

Daarnaast heb je ook nog de gebruiksvriendelijkheid die je moet meerekenen vind ik persoonlijk.
Je kan superveilig gaan en alles offline opslaan, maar dit is voor mezelf (en veel anderen denk ik) niet praktisch.
wica
@Twanne10 april 2017 14:01
Ik begrijp best wel waarom mensen deze producten willen gebruiken. En als ze het willen moeten ze het ook gerust doen.

Maar in mijn idee, gaat gebruikers gemak, altijd ten koste van de veiligheid.

Ja, je kan veel moeilijkere wachtwoorden gebruiken, die je zelf niet meer hoeft te onthouden. Elke site en account zijn eigen wachtwoord.

Allemaal in 1 tool.

De wachtwoorden die ik niet in mijn kop heb, staan ook ergens, waar IK bij kan via internet op mijn eigen hardware. Hier voel ik mij prettig bij :)
thomas1907
@ZaZ10 april 2017 12:49
Dan is het nog zo, als LastPass gehacked word, ben jij ook meteen getroffen.
Met KeePass is dat niet zo.

Ookal heb jij je keepass database in de coud staan, moeten ze specifiek jouw account hacken, dan je "key" nog zien te vinden (die op je USB/lokale PC staat) en daarna je het wachtwoord wat in je hoofd zit kraken.
Coolstart
@thomas190710 april 2017 13:47
Dan is het nog zo, als LastPass gehacked word, ben jij ook meteen getroffen.

Sorry, hoe kan dit nu waar zijn? Enige bron? Wel erg zware bewering.

Last pass is zeer zwaar encrypted, zo sterk dat het in theorie zelfs niet uitmaakt of uw gegevens public staan of niet. Daarbij denk ik niet dat ze alle vaults op 1plaats bewaren en je hebt ook een persoonlijke master key die je kan beveiligen met een wachtwoord in uw hoofd. Dus ik zie niet in wat het verschil is.

Als je echt (bedrijfs)geheimen wil bewaren zou ik windows en android al afraden. Mijn Mac en Iphone zijn standaard hardwarematig encrypted (file vault) en via one password ben ik cross platform beveiligd, zelfs al verlies ik mijn macbook, patenten en broncode zijn 100% veilig zonder dat ik ingewikkelde software moet draaien.

Verder heb ik ook nog 2-step verification. Zelfs al zou mijn dropbox of gmail account gelekt zijn dan nog kan men er niet in. De rest van de wachtwoorden zijn minder van belang (e-commerce, printshops, ..)
Morgan4321
@ZaZ10 april 2017 22:55
Werkbaar? Zo vaak maak ik geen nieuwe wachtwoorden ergens aan, ik heb gewoon een copie van de KeyPass database op m'n telefoon staan met KeyPassDroid. Als ik iets nieuws toevoeg is dat vrijwel altijd op m'n PC waar ik de hoofdcopie heb staan, die dan naar de telefoon en usb stick gecopieerd wordt.

Autofill gebruik ik niet, die enkele keer dat ik op de telefoon een wachtwoord moet invullen doe ik dat wel via copy / paste.
Stoelpoot
@ZaZ10 april 2017 12:22
Inderdaad. Je kan je WW Manager leuk lokaal houden, maar een USB krijg je niet in je telefoon.

Zelf heb ik mijn Kluis op mijn GDrive staan, waarvan het wachtwoord 1 van de 3 complexe WW's is die NIET in mijn Kluis staan. Dat is namelijk ook mn account recovery mail. Daar staat ook direct MFA op ingesteld, waardoor ik geen SPOF meer heb.
dehardstyler
@Stoelpoot10 april 2017 14:18
maar een USB krijg je niet in je telefoon.
Ow nee? OTP kabel bijvoorbeeld. Je hebt tegenwoordig zelfs USB sticks met een Micro USB aansluiting.
Stoelpoot
@dehardstyler10 april 2017 14:33
Dan moet je telefoon maar USB Host ondersteunen. Net als de andere apparaten die je meeneemt, of waar je een keer op wil inloggen.
dehardstyler
@Stoelpoot10 april 2017 14:51
Het is volgens mij moeilijker om een telefoon te vinden die het niet ondersteunt, dan een die dat wel doet...
Ik kan er geen een bedenken die dat niet doet, weet jij er een?
dehardstyler
@ZaZ10 april 2017 14:16
En hoppa, daar heb je jouw SPOF.
Dan ben je natuurlijk ook niet slim bezig. Je password kluis gaat natuurlijk op Dropbox / STACK / MEGA en nog een keer een kopie op een RasPi Zero thuis. De Zero als "Master" en die regelt dan ook de upload naar de genoemde 3. Mocht de Zero down gaan, heb je toch nog een redelijk recente back-up, die je altijd nog kan downloaden!

Alleen om die reden is het al beter als Lastpass. Heb ik het nog helemaal niet over beveiliging. Puur en alleen bereikbaarheid! :)
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee