LastPass gaat autofill-api's gebruiken bij Android O

LastPass heeft aangekondigd gebruik te gaan maken van de autofill-api's die deel uitmaken van de opvolger van de meest recente Android-versie. Dat moet verbeteringen met zich meebrengen als het gaat om het invullen van wachtwoorden en andere gegevens in apps.

Lastpass logo nieuw grootIn de huidige versie van de wachtwoordmanager is het al wel mogelijk om wachtwoorden in andere apps te laten invullen, maar volgens LastPass brengt deze manier enkele nadelen met zich mee. Zo werkt de functie momenteel via de toegankelijkheidsopties van Android. Deze aanpak neemt meer processorcapaciteit in beslag en vereist bovendien dat gebruikers de app aanvullende permissies geven.

De nieuwe versie van Android, met versienummer acht of de voorlopige aanduiding 'O', introduceert een aantal vernieuwingen, waaronder autofill-api's. Met deze dienst kunnen gebruikers zelf een autofill-app kiezen, die zij kunnen gebruiken om bepaalde informatie in formuliervelden in te vullen. De voornaamste gebruikers van deze functie zullen onder meer wachtwoordmanagers als LastPass zijn. Daarmee moeten dan ook de nadelen van de huidige aanpak verholpen worden. Bovendien moet het proces van invullen van gegevens sneller werken door de integratie.

LastPass kwam recentelijk in het nieuws door een aantal kwetsbaarheden in zijn browserextensies. Naar aanleiding daarvan adviseerde het bedrijf desktop-gebruikers om de autofill-opties voorlopig uit te schakelen. Inmiddels zijn de lekken gedicht.

Door Sander van Voorst

Nieuwsredacteur

10-04-2017 • 11:34

39

Reacties (39)

39
36
30
3
1
4
Wijzig sortering
AgileBits, de maker van 1Password, heeft eveneens aangekondigd dit te gaan ondersteunen. :)
Enpass is hier ook al mee bezig, zie:

https://discussion.enpass...utofill-api-in-android-o/

Autofill in Enpass werkt op dit moment uiteraard in de ingebouwde browser, maar ook in Chrome via de 'notifications' omweg vanaf Android 5.0 (https://www.enpass.io/docs/android/usebrowser.html).

[Reactie gewijzigd door geekeep op 23 juli 2024 00:51]

Wat ik ook wel een goede tip vind. Bij je wachtwoorden die je opslaat geen exacte e-mail opslaan. Eventueel een hint voor jezelf. Ik heb tien unieke mail adressen en uit mijn hoofd weet ik welk account welk e-mail adres bevat. Deze mailadressen komen verder nergens in de database voor. Het lijkt mij dat een mogelijke hacker dan onmogelijk je mail adres kan achterhalen tenzij hij je specifiek trackt of de desbetreffende website gewoon lek is
Nog twee aanvullende tips hierop:

Bij gmailadressen kun je met + een uniek emailadres maken. Dus pietje+tweakers@gmail.com werkt gewoon, de mail komt binnen bij pietje@gmail.com. Zo kun je simpel voor 'allles' een uniek emailadres maken. pietje+bank@gmail.com, pietje+bol@gmail.com, peitje+pornhub@gmail.com en ga zo maar door.

Tweede tip is vergelijkbaar: regel een domein met email en een catchall. Op die manier kun je door tweakers@domein.nl, mail@domein.nl, alternate@domein.nl enzovoorts ook makkelijk unieke emailadressen maken om te gebruiken als login. in combinatie met overal een uniek wachtwoord en een wachtwoordmanager zoals Lastpass, 1Password en alle ondere opties die er zijn hou je het makkelijk en velig. Bijkomend voordeel is dat je makkelijk kunt zien wie je emailadres doorverkoopt voor spam of mogelijk een security-probleem heeft.

[Reactie gewijzigd door engessa op 23 juli 2024 00:51]

Sommige e-mailcheckers beoordelen een + als een karakter dat niet in een e-mailadres thuishoort en dan kun je helemaal niet registreren. Leuk in principe dus, maar werkt niet altijd in de praktijk… Maar goed, incompetente wachtwoordeisen vind ik net wat erger.
Ik ben dan behoorlijk benieuwd hoe relevant dit artikel gaat worden voor LastPass binnen Android:
nieuws: Onderzoeker toont hoe autofill-browserfunctie voor phishing gebruikt ...
Het is wel handig om in het achterhoofd te houden dat in het gelinkte artikel het gaat over browsers waarbij het mogelijk is om verborgen velden in te vullen.

Autofill binnen Android O is weliswaar vergelijkbaar wat betreft de functie die het vervult, maar aangezien het gaat om een andere context (Applicaties) en een andere implementatie (Geïntegreerd in een besturingssysteem) is het iets wat wellicht uitdraait op appels met peren vergelijken.

Voorbeeld: Het zou zomaar zo kunnen zijn dat er alleen zeer specifieke velden ingevuld mogen worden met de api.

Voorbeeld 2: De browser autofill kijkt naar velden die lijken op eerder ingevuld velden, lastpass zal ook kijken naar de context en alleen een applicatie vullen als hier ook informatie binnen de context van die applicatie beschikbaar is (zo werkt het nu overigens ook al).
Autofill binnen Android O is weliswaar vergelijkbaar wat betreft de functie die het vervult, maar aangezien het gaat om een andere context (Applicaties) en een andere implementatie (Geïntegreerd in een besturingssysteem) is het iets wat wellicht uitdraait op appels met peren vergelijken.
Daar heb je absoluut een goed punt, al is het natuurlijk allemaal speculatie op dit moment. Vandaar ook mijn nieuwsgierigheid naar hoe dit zal uitpakken voor LastPass in die situatie, het enige dat we vooralsnog kunnen doen is afwachten en hopen op het beste.
Goed nieuws! De huidige invuller van LastPass werkt in principe wel prima voor zowel websites als apps (al wil hij soms niet, of niet direct tevoorschijn komen), maar heeft daarvoor inderdaad vergaande permissies nodig.

Goed om te zien dat dit opgepakt is, zowel vanuit Android als vanuit de passwordmanagers.
Dit is echt een heel belangrijke verbetering in android O. Het is dadelijk niet meer nodig de Accessibility service voor Lastpass aan te zetten. Deze heeft een zware impact op de performance van het toestel.

Mooi artikel over Accessibility service https://www.xda-developers.com/working-as-intended-an-exploration-into-androids-accessibility-lag/

[Reactie gewijzigd door xPulse op 23 juli 2024 00:51]

Binnenkort implementeren we dit ook in de Android app van Passman.
Als fallback gaan we een keyboard gebruiken, dus mocht er geen autofill api aanwezig zijn dan kunnen gebruikers hun toetsenbord switchen en als nog autofill hebben =).

[Reactie gewijzigd door Brantje op 23 juli 2024 00:51]

Anoniem: 904655 10 april 2017 15:16
Mooi dat ze het gaan gebruiken. Maar of het een persbericht waard is? Ik ga er eigenlijk vanuit dat elke app die regelmatig updates ontvangt ook relevante nieuwe API's inzet waar mogelijk.
Anoniem: 834471 10 april 2017 17:42
Die invulservice van Lastpass mag sowieso wel iets intelligenter bij vlagen.
In mijn (mobiele) webbrowser krijg ik ook geregeld die password pop-up, ook op momenten dat ik er helemaal niet mee bezig ben en dan kan ik het alleen steeds wegklikken of uitzetten voor heel chrome, ipv alleen op de op dat moment vervelende pagina.

First world problem van heb ik jou daar, maar als je het hebt over het stroomlijnen van die specifieke dienst...

[Reactie gewijzigd door Anoniem: 834471 op 23 juli 2024 00:51]

Anoniem: 470811 @densoN10 april 2017 12:52
Zolang je computer verbonden is met het internet is er geen "lokale" computer. Dan ben je weliswaar geen public-cloud, maar wel een private-cloud.
Weet jij een beter alternatief?
KeePass, een eigen "kluis" bestand lokaal op je computer (of ge-encrypte USB), met wachtwoord en key als authenticatie. Dat is wat ik gebruik :)

[Reactie gewijzigd door thomas1907 op 23 juli 2024 00:51]

En daar zie je vaak dat mensen tegen praktische beperkingen oplopen en dus maar het kluisbestandje op hun Dropbox zetten.
En hoppa, daar heb je jouw SPOF.
Dan heb je toch nog een key en wachtwoord nodig om hem te openen? Neem aan dat ik niet mijn wachtwoorden kan zien als ik hem open met notepad
Ja ok, maar dat is bij LastPass ook zo. De wachtwoorden staan alleen geëncrypt in hun database.
De masterkey zit alleen in jouw hoofd.

Mijn punt was dus eigenlijk meer dat als je het werkbaar wil hebben, je bij KeePass ook al snel eindigt met de kluis in de cloud.
Dan is het argument van LastPass kan gehackt worden ten opzichte van KeePass meteen van de kaart.
Vanaf dat moment is de situatie bij beide eigenlijk hetzelfde. Tenzij je in KeePass helemaal geen beveiliging in de kluis zelf hebt, want dan is KeePass zelfs minder veilig.
Als ik jouw goed begrijp.

KeePass een file ergens op een random cloud dienst.
Of LastPass, waar bij je direct veel gebruikers hebt.

Lijkt mij persoon, als je een cloud dienst wilt/moeten gebruiken KeePass iets veiliger. Al is het omdat je zelfs je cloud dienst kan bepalen.

Bij LastPass, vertrouwen wij maar op de blauwe ogen, en hopen wij maar dat zij niet het master wachtwoord proberen te kraken. Al is het alleen om te kijken hoe sterk de master wachtwoorden zijn.
KeePass is in enkele opzichten inderdaad veiliger.

Ik gebruik zelf LastPass en ja, dat heeft dan de Clouddienst als SPOF, maar die is toch redelijk sterk. Zeker waneer je ook de 2FA activeert op de kluis en alle andere mogelijke diensten.

Daarnaast heb je ook nog de gebruiksvriendelijkheid die je moet meerekenen vind ik persoonlijk.
Je kan superveilig gaan en alles offline opslaan, maar dit is voor mezelf (en veel anderen denk ik) niet praktisch.
Ik begrijp best wel waarom mensen deze producten willen gebruiken. En als ze het willen moeten ze het ook gerust doen.

Maar in mijn idee, gaat gebruikers gemak, altijd ten koste van de veiligheid.

Ja, je kan veel moeilijkere wachtwoorden gebruiken, die je zelf niet meer hoeft te onthouden. Elke site en account zijn eigen wachtwoord.

Allemaal in 1 tool.

De wachtwoorden die ik niet in mijn kop heb, staan ook ergens, waar IK bij kan via internet op mijn eigen hardware. Hier voel ik mij prettig bij :)
Dan is het nog zo, als LastPass gehacked word, ben jij ook meteen getroffen.
Met KeePass is dat niet zo.

Ookal heb jij je keepass database in de coud staan, moeten ze specifiek jouw account hacken, dan je "key" nog zien te vinden (die op je USB/lokale PC staat) en daarna je het wachtwoord wat in je hoofd zit kraken.
Dan is het nog zo, als LastPass gehacked word, ben jij ook meteen getroffen.

Sorry, hoe kan dit nu waar zijn? Enige bron? Wel erg zware bewering.

Last pass is zeer zwaar encrypted, zo sterk dat het in theorie zelfs niet uitmaakt of uw gegevens public staan of niet. Daarbij denk ik niet dat ze alle vaults op 1plaats bewaren en je hebt ook een persoonlijke master key die je kan beveiligen met een wachtwoord in uw hoofd. Dus ik zie niet in wat het verschil is.

Als je echt (bedrijfs)geheimen wil bewaren zou ik windows en android al afraden. Mijn Mac en Iphone zijn standaard hardwarematig encrypted (file vault) en via one password ben ik cross platform beveiligd, zelfs al verlies ik mijn macbook, patenten en broncode zijn 100% veilig zonder dat ik ingewikkelde software moet draaien.

Verder heb ik ook nog 2-step verification. Zelfs al zou mijn dropbox of gmail account gelekt zijn dan nog kan men er niet in. De rest van de wachtwoorden zijn minder van belang (e-commerce, printshops, ..)
Anoniem: 890159 @ZaZ10 april 2017 22:55
Werkbaar? Zo vaak maak ik geen nieuwe wachtwoorden ergens aan, ik heb gewoon een copie van de KeyPass database op m'n telefoon staan met KeyPassDroid. Als ik iets nieuws toevoeg is dat vrijwel altijd op m'n PC waar ik de hoofdcopie heb staan, die dan naar de telefoon en usb stick gecopieerd wordt.

Autofill gebruik ik niet, die enkele keer dat ik op de telefoon een wachtwoord moet invullen doe ik dat wel via copy / paste.
Inderdaad. Je kan je WW Manager leuk lokaal houden, maar een USB krijg je niet in je telefoon.

Zelf heb ik mijn Kluis op mijn GDrive staan, waarvan het wachtwoord 1 van de 3 complexe WW's is die NIET in mijn Kluis staan. Dat is namelijk ook mn account recovery mail. Daar staat ook direct MFA op ingesteld, waardoor ik geen SPOF meer heb.
maar een USB krijg je niet in je telefoon.
Ow nee? OTP kabel bijvoorbeeld. Je hebt tegenwoordig zelfs USB sticks met een Micro USB aansluiting.
Dan moet je telefoon maar USB Host ondersteunen. Net als de andere apparaten die je meeneemt, of waar je een keer op wil inloggen.
Het is volgens mij moeilijker om een telefoon te vinden die het niet ondersteunt, dan een die dat wel doet...
Ik kan er geen een bedenken die dat niet doet, weet jij er een?
En hoppa, daar heb je jouw SPOF.
Dan ben je natuurlijk ook niet slim bezig. Je password kluis gaat natuurlijk op Dropbox / STACK / MEGA en nog een keer een kopie op een RasPi Zero thuis. De Zero als "Master" en die regelt dan ook de upload naar de genoemde 3. Mocht de Zero down gaan, heb je toch nog een redelijk recente back-up, die je altijd nog kan downloaden!

Alleen om die reden is het al beter als Lastpass. Heb ik het nog helemaal niet over beveiliging. Puur en alleen bereikbaarheid! :)

Op dit item kan niet meer gereageerd worden.