LastPass dicht lek waarmee tweetrapsauthenticatie uit te schakelen was

Wachtwoordmanager LastPass heeft een lek in zijn software gedicht waarmee het mogelijk was de tweetrapsauthenticatie uit te schakelen. Het lek werd ontdekt door onderzoeker Martin Vigo. Hij meldde twee kwetsbaarheden, waarvan één niet bruikbaar bleek te zijn.

LastPass meldt dat het lek inmiddels is opgelost en dat gebruikers geen actie hoeven ondernemen. Om de tweetrapsauthenticatie uit te schakelen, was volgens het bedrijf vereist dat de aanvaller het slachtoffer naar een kwaadaardige website lokt. Daarbij moet de bezoeker ingelogd zijn in de wachtwoordmanager. LastPass claimt dat het daardoor moeilijker zou zijn om van het lek gebruik te maken.

Onderzoeker Vigo heeft zijn bevindingen gepubliceerd in een eigen blogpost. Daarin meldde hij in eerste instantie dat hij erachter kwam dat LastPass het geheim, dat samen met een timestamp nodig is om een tijdelijke toegangscode aan te maken, opslaat in een url die wordt gegenereerd aan de hand van het wachtwoord van de gebruiker.

Volgens hem maakt dit het hele gebruik van tweetrapsauthenticatie nutteloos, omdat dit juist moet beschermen tegen een aanvaller die het wachtwoord al in zijn bezit heeft. In zijn analyse maakte hij echter een fout, waardoor deze kwetsbaarheid niet exploitable is maar nog steeds getuigt van een matige implementatie, aldus Vigo.

Een tweede door Vigo beschreven probleem blijft echter geldig. Dat maakt het mogelijk om tweetrapsauthenticatie uit te schakelen via csrf. Hiervoor is alleen vereist dat de aanvaller het slachtoffer naar een website stuurt die hij beheert. LastPass loste dit op door een csrf-token te implementeren. De blogpost van LastPass spreekt nog van het omzeilen van tweetrapsauthenticatie, waarschijnlijk naar aanleiding van de oorspronkelijke melding van de onderzoeker.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 21-04-2017 21:00131

21-04-2017 • 21:00

131 Linkedin

Lees meer

LastPass dicht beveiligingslek in 2fa-app voor Android Nieuws van 30 december 2017
LastPass kondigt familieabonnement aan met gedeelde wachtwoorden Nieuws van 19 juli 2017
LastPass voegt back-upfunctie aan app voor tweetrapsauthenticatie toe Nieuws van 19 mei 2017
LastPass gaat autofill-api's gebruiken bij Android O Nieuws van 10 april 2017
LastPass raadt na nieuw lek aan sites direct vanuit de Vault te openen Nieuws van 27 maart 2017
Google-onderzoeker vindt nieuw lek in LastPass nadat eerder lek werd gepatcht Nieuws van 22 maart 2017
'Aantal wachtwoordmanagers op Android was onvoldoende beveiligd' Nieuws van 1 maart 2017
LastPass maakt synchronisatie op verschillende apparaten gratis Nieuws van 2 november 2016
LastPass brengt update uit voor Firefox-addon die kwetsbaarheid bevatte Nieuws van 27 juli 2016
Meer producten en artikelen
Netwerk en systeembeheer Security Wachtwoord

Reacties (131)

-Moderatie-faq
131
127
95
2
0
2
Wijzig sortering
Bor
21 april 2017 21:09
Dit is al het zoveelste incident bij LastPass de afgelopen jaren:

nieuws: LastPass raadt na nieuw lek aan sites direct vanuit de Vault te openen
nieuws: Google-onderzoeker vindt nieuw lek in LastPass nadat eerder lek werd ...
nieuws: LastPass brengt update uit voor Firefox-addon die kwetsbaarheid bevatte
nieuws: Google-onderzoeker vindt op afstand te gebruiken lek in LastPass - up...
nieuws: Hackers bemachtigen persoonsgegevens van servers LastPass

Het opslaan van usernames en passwords in een gesloten cloud gebaseerd systeem vind ik geen goed idee. Niet alleen is het een zeer aantrekkelijk doelwit voor aanvallers maar je hebt ook geen enkele controle over de veiligheid van de gegevens.Veel mensen zien de kwetsbaarheden pas in wanneer het te laat is.

Je zou verwachten dat deze dienst inmiddels wel last moet hebben van een enorme deuk in het imago. Toch lijkt Lastpass populair te blijven.

Op het forum loopt trouwens een interessant topic over password managers: [Password Managers] Discussie- en reviewtopic

[Reactie gewijzigd door Bor op 21 april 2017 21:10]

Twan0
@Bor21 april 2017 21:14
Voor mij is het juist een reden om bij lastpass te blijven, het ligt onder de loep nu. Er wordt steeds gewerkt aan het dichten van lekken, niemand zegt dat er niet net zoveel lekker in de andere diensten zitten.

Ik heb zelf geen thuis server om zelf een dienst te draaien en heb tot op heden enkel positieve ervaringen met lastpass.
RedPixel
@Twan021 april 2017 22:44
Je hebt geen server nodig voor dingen als KeePass :)
sxbrentxs
@RedPixel21 april 2017 22:50
En dat is waarom mensen voor LastPass kiezen. Omdat ze niet altijd iets bij hun hebben om mee te werken.
RedPixel
@sxbrentxs21 april 2017 22:56
Je kunt je database en KeePass portable wel in een cloudopslag (Dropbox, Onedrive, etc.) opslaan. Heb je iig niet gecentraliseerd al je wachtwoorden staan en kun je zelf alles onder controle houden.
sxbrentxs
@RedPixel21 april 2017 23:13
Je slaat het op in een andere Cloud... Eentje waar je waarschijnlijk ook je foto's en andere veelgebruikte spullen op hebt staan. Dus een enigszins wachtwoord die je eerder hebt gebruikt of die je op z'n minst (makkelijk) onthouden kan. Beetje social engineering, waarschijnlijk een virus op je telefoon, of ander apparaat dat er op aan gesloten is... Met zo'n "easy to access"-cloud heb je ongelooflijk veel kanten waar je een veiligheidsprobleem hebt. Met LastPass denk je wel een andere manier uit. Bijvoorbeeld inloggen op app(Browser extension, plugins, dedicated applications, you name it.) pas als dat nodig is i.p.v. unrequested access.

Nu hebben ze het fysieke bestand waarop ze veel sneller hun kraakprogramma's op uit kunnen voeren.
8)7 |:( Dat is misschien nog wel de slechtste actie die je kunt nemen. Een beter optie zou iets op een (soort van?) USB'tje die je om je nek kan hangen o.i.d. Eigenlijk... Dat zou de "aller" veiligste optie zijn.
Tadsz
@sxbrentxs22 april 2017 08:53
Opslag in een andere cloud is veilig genoeg mits je een Key file gebruikt die je op een andere wijze transporteert. Eenmaal de keyfile overgebracht hoef je dat nooit meer te doen en kan je gewoon je database op een andere cloud laten.

Al weten ze je wachtwoord, ver gaan ze niet komen
sxbrentxs
@Tadsz22 april 2017 10:52
Kortom: Houd gewoon een USB'tje bij je waar je wachtwoorden op staan. Want of ik nou die keyfile bij me heb of die hele wachtwoorden inboedel, veel maakt het dan niet meer uit.

Daarnaast, als ze dat encrypted bestand al hebben, dan zouden ze er zo veel kracht als dat ze willen tegenaan kunnen gooien om 'm te kraken. Dan ook nog eens op een cloud gezet die easy access heeft op veel devices. Het voelt een beetje alsof ik me aan het herhalen ben... 8)7
Tadsz
@sxbrentxs23 april 2017 14:25
Dat je aan het herhalen bent betekent dat ik niet duidelijk ben geweest in wat ik bedoel.


Dat je je database op cloud zet is om gebruiksgemak te verhogen (altijd de recentste wachtwoorden op al je apparaten). Omdat je database dan in de cloud staat met easy access kan hij inderdaad met heel wat rekenkracht of gokvermogen gekraakt worden.

Hier komt het gedeelte van de keyfile te pas. Deze keyfile kan je zelf kiezen (neem bijv. een bestand van 8kb) en functioneert dus als een soort heel lang wachtwoord. Al gooien ze er alle rekenkracht van de wereld tegen aan: de komende jaren zal geen enkele computer het juiste random bestand van 8kb kunnen genereren. Het enige probleem is dan dat je niet je keyfile bij diezelfde cloud moet plaatsen want dan heb je er niks aan.

Die keyfile zet je dus o.a. op usb. Of in ieder geval een manier dat hij moeilijk te benaderen is. De keyfile sla je op op computers die je vertrouwd. Dit kan gewoon, want anders moet je eigenlijk ook niet je database daar openen.

Het voordeel van je key op usb ipv database is dat je bij verlies van de usb geen zorgen hoeft te maken om je wachtwoorden: je gaat naar de eerste de beste plek waar je je database beschikbaar hebt, genereert een nieuwe key file en d.m.v. cloud worden al je andere locaties geupdate. Alleen zelf even de keyfile vervangen.

Als je je wachtwoorden op USB zou hebben zonder keyfile dan zou iemand hem bij verlies makkelijk kunnen kraken.

Een andere overweging is om je keyfile via cloud te doen en je database offline. Dan verlies je wel het gemak van syncen.
LEDfan
@sxbrentxs22 april 2017 07:12
Die andere cloud heeft dan hopelijk wel 2FA. En daarnaast het is waar dat eens iemand fysieke toegang heeft tot iets hij onbeperkt het paswoord kan proberen te kraken. Echter je zal gemiddeld 50 miljoen jaar nodig hebben als je een paswoord hebt van 10 karakters (en wetende dat de attacker weet dat je paswoord 10 karakters is, anders moet je nog eens alle paswoorden testen tussen pak 8 en 20 karakters). 10 Karakters vind ik daarnaast nog vrij weinig.
Daarnaast kan je Keepass toch wat instellen om iets trager te zijn met het decrypten.
En stel nu dat je heel veel computers hebt, laat ons zeggen 50 miljoen computers, dan kan je het kraken in 1 jaar, wat misschien voldoende tijd is om de gebruiker al zijn paswoorden te laten veranderen.

Bron: https://security.stackexchange.com/a/8477
The Zep Man
@LEDfan22 april 2017 08:06
Die andere cloud heeft dan hopelijk wel 2FA.
Nextcloud, dat je ook zelf kan hosten, heeft gewoon 2FA ondersteuning (waaronder TOTP, ook wel bekend als Google Authenticatie). Een goede combinatie voor Keepass. :)
sxbrentxs
@The Zep Man22 april 2017 11:03
En dat kan dus ook niet iedereen, nog is iedereen er beveiligd tegen. Als je eigen gehoste server nou gehacked wordt, wat dan? Dan had het misschien handiger geweest om de diensten van LastPass te benuttigen, die staan 24/7 op de server te kijken.

Uitzetten? Ja, kan. Totdat je op werk zit en je vergeten bent in al je haast om je servertje aan te zetten. En als je dat al gaat automatiseren denk ik dat je toch echt aan een ander soort probleem zit dan alleen je wachtwoord bestand waar je nu niet bij kunt, en dan ga je een heel ander onderwerp in.

Kortom: USB'tje om je nek, of bedenk wat leuks, met je hele keypass/lastpass/wachwoorden zooi erop en dan ben je waarschijnlijk het makkelijkst het veiligst.
ItsNotRudy
@sxbrentxs22 april 2017 00:50
Als je een beetje geeft om je veiligheid, dan heb je waar mogelijk ook nog een Authenticator nodig. Mijn kritieke diensten zijn veilig, want zonder mijn telnr. of Authenticator kom je er toch niet in, Facebook, Gmail, Ifttt, Steam, werk VPN... Alles vraagt mij om een extra code in te voeren.
ATS
@ItsNotRudy22 april 2017 08:31
Prima. Dat geldt voor mij ook voor LastPass. En het helpt totdat er een fout in de implementatie zit.
supersnathan94
@ATS22 april 2017 09:53
En daar gaat dit artikel dus over.

Er zit een fout in de twee traps authenticatie die daarmee vooldeig nutteloos is geworden om tegen aanvallen te beschermen.
ItsNotRudy
@supersnathan9422 april 2017 13:34
Nee, dan snap je de originele stelling die ik deed niet. Zolang je op alle diensten die in je LastPass staan ook nog tweetraps-auth hebt, boeit het eigenlijk weinig of die wachtwoorden door een persoon leesbaar zijn geweest.

Het is niet wenselijk, maar al je wachtwoorden zouden "bla" kunnen zijn, en dat zou je op het internet kunnen verkondigen, maar zonder je telefoon/authenticator komen mensen er toch niet in, tenzij die dienst ook een vulnerability heeft.
supersnathan94
@ItsNotRudy22 april 2017 17:27
Ah op die fiets. Ja dat klopt, maar dan is het nut van een password manager al veel minder natuurlijk. Ik kan immers veel makkelijkere wachtwoorden invoeren.

Maar goed. We snappen elkaar nu dus jeejj
ItsNotRudy
@supersnathan9422 april 2017 17:36
Hoera \o/ ik gebruik Last pass om wachtwoorden te auto fillen, werkt namelijk ook in Android apps. Verder ook om klotepasswords van onbelangrijke services in op te slaan. Ook al heb ik bijna overal tweetraps, ik heb wel beide componenten zelf nodig. Mocht iemand mijn Authenticator te pakken krijgen, dan is het in ieder geval fijn als Lastpass geen wachtwoorden kan lekken.
batjes
@sxbrentxs21 april 2017 23:37
Ik zou een voor mij veilige USB stick echt niet zo maar in willekeurige systemen stoppen :P
MrMarcie
@batjes22 april 2017 11:07
Precies. Scary.
ashemedai
@RedPixel22 april 2017 11:32
En werkt totaal niet in een omgeving waarin je met meerdere beheerders veilig wachtwoorden moet delen voor componenten in het netwerk waar er geen persoonlijke authenticatie mogelijkheden zijn.
Sojiro84
@RedPixel21 april 2017 22:58
Ikzelf heb een tijdje terug KeePass gebruikt maar ik merkte helaas al snel hoe onhandig het was.

Het is ideaal dat je de data lokaal hebt maar voor mij was het onhandig omdat ik op 3 pc's werk en ook op mijn mobiel en tablet.

Met KeePass kon ik de database maar op een machine gebruiken tenzij ik meerdere kopietjes op de andere pc's had maar dan moet ik zelf weer onthouden welke pc de hoofd kopie heb en dan zorgen dat de rest up-to-date blijft.

hier en daar wel wat dingen gevonden over syncen met gdrive en extensie die via via weer met de KeePass DB kon communiceren.

Uiteindelijk ben ik weer terug gegaan naar lastpass. Is zoveel makkelijker en ik heb altijd de data bij de hand op welk apparaat ik ook werk.
The Zep Man
@Sojiro8422 april 2017 08:08
Met KeePass kon ik de database maar op een machine gebruiken tenzij ik meerdere kopietjes op de andere pc's had maar dan moet ik zelf weer onthouden welke pc de hoofd kopie heb en dan zorgen dat de rest up-to-date blijft.
Dan stel je Keepass in dat deze de database na enkele minuten sluit. Probleem opgelost, en het is een stuk veiliger. :)
Ghost21
@Sojiro8422 april 2017 15:10
Gebruik zelf ook keepass, met de genoemde google plugin.
Werkt super. Heb er geen omkijken naar.

Ben zelf een beetje huiverig voor LastPass. Ze liggen misschien onder de loep, Maar als de implementatie initieel slecht is geweest(zoals nu gezegd wordt over dit onderdeel.). Dan verwacht ik niet dat het gaat helpen.

Kans is juist veel groter dat het als er onderdelen slecht zijn geïmplementeerd, dat er overal slecht is geprogrammeerd. Indien dat het geval is, is dat nauwelijks te herstellen.
bilbob
@Sojiro8422 april 2017 18:17
Dropbox werkt perfect met keepass (ook samen met de android versies).

Ik zelf gebruik een persoonlijke WEBDAV server. Werkt net zo goed samen als met dropbox.
RedPixel
@Sojiro8421 april 2017 22:59
Je kunt je database opslaan in iets als Dropbox :)
Superkanjo
@Twan022 april 2017 00:15
Ik snap je gedachtegang, ze liggen onder de loep en dichten de lekken. Toch is het niet geheel logisch wat je zegt, je hebt liever een pakket waar gebreken in zitten maar ze dit zeer goed op pakken tov een pakket waar geen gebreken naar boven komen?
ashemedai
@Superkanjo22 april 2017 11:29
Dus jij gelooft dat een pakket waar geen gebreken naar boven komen gelijk staat aan veilig zijn? Zolang je geen auditrapport ingezien hebt waar duidelijk naar voren komt dat alles ok is (zoals Cure53's evaluatie van Dovecot bijvoorbeeld) vind ik dat nogal een droom.

Geef me liever een leverancier die goed en snel actie onderneemt en responsible disclosure ondersteunt. In die hoedanigheid doet LastPass het erg goed. Zijn zat anderen die daar van kunnen leren.
Superkanjo
@ashemedai22 april 2017 13:18
Dus jij gelooft dat een pakket waar geen gebreken naar boven komen gelijk staat aan veilig zijn?
Dat heb ik niet gezegd.
PostHEX
@Twan022 april 2017 01:21
Andere PW managers liggen ook onder de loep hoor.
https://twitter.com/taviso/status/817065731703468032?lang=en

Idem voor 1Password en Dashlane. Ik denk dat Lastpass zoveel meer onder de loep ligt omdat men ruikt dat er iets fundamenteel binnen het bedrijf stinkt. Vind ik op zich ook niet zo gek. Ik bedoel ik twijfel bijvoorbeeld al lange tijd of Lastpass Inc wel genoeg talent aan kan trekken met hun freemium model.
monojack
@PostHEX22 april 2017 16:31
Wat is er mis met 1Password dan?
PostHEX
@monojack23 april 2017 01:55
Ik stelde niet dat er iets mis was. Aandacht krijgen voor bug opsporing != inherent iets mis met een product/service. Wat er in het verleden was gevonden was https://bugs.chromium.org...zero/issues/detail?id=888. Wat ik stelde was dat Lastpass meer aandacht krijgt dan de rest, omdat er zo vaak zo veel erge bugs zijn gevonden.

1Password is imo een van de betere closedsource opties alleen al vanwege de veel betere bug bounty rewards t.o.v. de concurrenten (https://bugcrowd.com/agilebits).

[Reactie gewijzigd door PostHEX op 23 april 2017 01:56]

Anoniem: 912403
@PostHEX22 april 2017 08:12
Dus, waarom zou hij veranderen als hij goed zit en de anderen ook onder loep genomen worden? Dan maakt het geen verschil of hij blijft of een andere dienst gebruikt. Waarom zou hij dan overgaan terwijl hij daar alles heeft :)
PostHEX
@Anoniem: 91240322 april 2017 08:38
Tja, goede vraag. Waarom zou je bij een PW manager blijven als de source closed is, terwijl de bug bounty maar tussen de $50 en $2,500 is. En wat maakt het uit dat het team achter je PW manager zeer waarschijnlijk een stel professionele amateurs zijn (https://twitter.com/taviso/status/845718016520142848). Je hebt alles toch? Waarom zorgen maken?

Overigens bedankt voor het minnen. Je weet dat het tegen de regels is om te minnen op basis van een meningsverschil, hè?

Edit: Fijn, dan klaag ik niet.

[Reactie gewijzigd door PostHEX op 22 april 2017 08:58]

Anoniem: 912403
@PostHEX22 april 2017 08:52
Tja, goede vraag. Waarom zou je bij een PW manager blijven als de source closed is, terwijl de bug bounty maar tussen de $50 en $2,500 is. En wat maakt het uit dat het team achter je PW manager zeer waarschijnlijk een stel professionele amateurs zijn (https://twitter.com/taviso/status/845718016520142848). Je hebt alles toch? Waarom zorgen maken?

Overigens bedankt voor het minnen. Je weet dat het tegen de regels is om te minnen op basis van een meningsverschil, hè?
Beste vriend, ik heb jou niet gemind. Verder las ik ergens (sorry, ben nieuw) dat zeiken over modstatus ook als ongewenst beschouwt wordt... Komt er bovenop dat je met verwijten begint te gooien zonder enige bewijs. Wat heb ik feitelijk misdaan? Jouw tegengesproken?

Verder lijkt het me interessant als je ook met werkelijke inhoud komt aanzetten in plaats van een nietszeggende tweet...
PostHEX
@Anoniem: 91240322 april 2017 08:55
Tweets van Tavis Ormandy zijn inhoudelijk. Ik snap niet wat je meer moet hebben.
KopjeThee
@Bor22 april 2017 07:23
"Het opslaan van usernames en passwords in een gesloten cloud gebaseerd systeem vind ik geen goed idee."
Deze opmerking is irrelevant bij het nieuwbericht, aangezien het geen server kwetsbaarheid betreft.

Verder zie ik geen reden om aan te nemen dat andere password managers, zoals keepass, minder client side kwetsbaarheden zouden bevatten. Voor de mensen die Keepass op dropbox zetten: Er is ook geen reden om aan te nemen dat dropbox servers beter beveiligd zijn dan.lastpass servers.

Het blijft een afweging tussen gebruiksgemak en veiligheid. Het meest velig is om overal lange willekeurige wachtwoorden te gebruiken, en deze zelf te onthouden.
innerchild
@KopjeThee22 april 2017 08:25
Van de zotte dat velen het tegenwoordig dood normaal vinden om al je wachtwoorden online te bewaren bij onbekenden. Echt te bizar....
Koffiebarbaar
@innerchild22 april 2017 10:04
Ik geloof er geen reet van dat ik security beter kan doen dan een dedicated team daar bij lastpass.
Diensen als lastpass zijn tevens een lapmiddel voor het grotere probleem dat wachtwoorden heet...
innerchild
@Koffiebarbaar22 april 2017 11:23
Dude.. je geeft je wachtwoorden af aan totaal onbekenden. Je kent ze niet. Je weet niet wat hun gedachte gang is. Je weet niet wat er aan de achterkant gebeurd. Je weet niet als jij er mee stopt of zij jou gegevens gewoon blijven bewaren.

Het feit dat men dit normaal vind is gewoon echt bizar.

[Reactie gewijzigd door innerchild op 22 april 2017 20:27]

MartenBE
@innerchild22 april 2017 15:43
Of je nu Lastpass gebruikt of een Keepass DB op een dropbox bewaart; het komt in grote lijnen op hetzelfde neer.

Hier is er sprake van threatmodelling: Ik acht de kans dat mijn gegevens op straat liggen, omdat ik overal hetzelfde wachtwoord gebruik of lame paswoorden verzin omdat ik het anders niet kan onthouden, groter dan dat er iemand mijn lastpass database kraakt.

Mij maak je ook niet wijs dat er in KeePass geen enkele fout of alleen pietluttige bugs zitten. Software development is moeilijk en security is nog veel moeilijker.
innerchild
@MartenBE22 april 2017 20:38
Je begrijpt niet wat je leest.....

Je staat al je data af aan wildvreemden. Het is gewoon onbegrijpelijk dat je dit weet te verdedigen terwijl je zonder dat je het door hebt door wie wat en hoe je data beschikbaar komt aan de achterkant.
MartenBE
@innerchild23 april 2017 03:50
LastPass says they never receive my Master Password. Don’t I send it to the LastPass servers when I log in?

No, when you login to LastPass, two things are generated from your Master Password using our code discussed previously before anything is sent to the server: the password hash and the decryption key. This is all done locally.

The password hash is sent to our servers to verify you. Once verified, we send back your encrypted Vault. We are only sent your hash, not your Master Password.
The decryption key, which NEVER leaves your computer, is then used to decrypt your Vault once it comes back.

How is my Vault encrypted?

LastPass encrypts your Vault before it goes to the server using 256-bit AES encryption. Since the Vault is already encrypted before it leaves your computer and reaches the LastPass server, not even LastPass employees can see your sensitive data!

https://lastpass.com/support.php?cmd=showfaq&id=6926

Dus het scheelt niet zoveel met iedereen die een keepass database op dropbox zet.

wat is het alternatief? Ik heb een 5-tal machines; een USB key met al mijn paswoorden op? 1 paswoord voor ze allemaal met een simpel truukje dat met algoritmes toch te achterhalen is op basis van eerdere database hacks?

[Reactie gewijzigd door MartenBE op 23 april 2017 03:53]

Bor
@MartenBE23 april 2017 10:47
Dus het scheelt niet zoveel met iedereen die een keepass database op dropbox zet.
Het verschil is hier de controle: die heb je bij Lastpass totaal niet. Je moet ze maar op de blauwe ogen geloven dat hun systeem inderdaad zo werkt als men in het door jouw aangehaalde stuk doet voorkomen. Wanneer je je beseft dat het hier om een US based bedrijf gaat veranderd de zaak compleet:
As an American company, LastPass like Microsoft, Facebook, Google, Yahoo and Apple must provide a way to access their users accounts to the American security organs. What's worse LastPass executives are not allowed to talk about their discussions or cooperation with the NSA under penalty of fine and/or jail.

[Reactie gewijzigd door Bor op 23 april 2017 11:36]

Koffiebarbaar
@Bor23 april 2017 12:01
Het verschil is hier de controle: die heb je bij Lastpass totaal niet. Je moet ze maar op de blauwe ogen geloven dat hun systeem inderdaad zo werkt als men in het door jouw aangehaalde stuk doet voorkomen. Wanneer je je beseft dat het hier om een US based bedrijf gaat veranderd de zaak compleet:
Die heb je bij een KeePass, waar je in de regel alles lokaal houd, maar in de praktijk zeker niet, wel dan?
Het opensource karakter kan je je ook niet achter verbergen, bugs als heartbleed die gewoon kunnen bestaan in kritieke software als OpenSSL waar honderden, dan niet duizenden ogen op gericht zijn bewijst dat ook dat geen ultieme oplossing is.

De integriteit van een KeePass moet ik als end-user evengoed op diens blauwe ogen aannemen. Als KeePass mijn wachtwoorden naar één of andere twitter feed schiet zou me dat waarschijnlijk volledig ontgaan.

[Reactie gewijzigd door Koffiebarbaar op 23 april 2017 12:08]

MartenBE
@Bor23 april 2017 12:32
Uit dat zelfde artikel:
Unfortunately the best way to sync 1password is with Dropbox, which is again a US corporation (although according to the Snowden revelations one of the last to fall under Goliath's thumb). If you have your 1password data on Dropbox or iCloud (i.e. if you want to be able sync between physically remote computers which is the whole point of a service like this), you are no safer than when using LastPass.
Ik begrijp wat jullie willen zeggen, en ik ga er ook mee akkoord. Maar mijn punt is eigenlijk vooral dat ik het wat hypocriet vond dat iedereen van de daken roept dat het lastpass het stomste is wat je kan doen, terwijl men bij alternatieven dan steeds afkomt met een keepass db op een dropbox folder (MEGA lijkt me dan zelfs nog klein beetje beter). Zeker als men het heeft over nation state hackers als de NSA, die vermoedelijk toch overal backports en unlimited resources hebben.

[Reactie gewijzigd door MartenBE op 23 april 2017 12:33]

innerchild
@Bor23 april 2017 11:04
Dit dus... helemaal correct..
KopjeThee
@Bor23 april 2017 21:38
"Het verschil is hier de controle: die heb je bij Lastpass totaal niet."

Die controle heb je bij Keepass ook niet... Je moet ze maar op hun blauwe ogen geloven dat jouw wachtwoorden niet onder water naar e.o.a. malafide partij worden gestuurd, om maar een voorbeeld te noemen. Dat staat helemaal los van of het lokaal of op een server wordt opgeslagen.
Bor
@KopjeThee23 april 2017 22:13
KeePass als voorbeeld is open source dus daar heb je die controle wel degelijk. Hierdoor gaat jouw reactie niet op.
KopjeThee
@Bor23 april 2017 22:14
"KeePass als voorbeeld is open source dus daar heb je die controle wel degelijk. Hierdoor gaat jouw reactie niet op."

Heb jij zelf die open code gecontroleerd en gecompileerd? Zo nee, gaat het gewoon op. Zo ja, dan ben je vermoedelijk de enige.
laptopleon
@innerchild23 april 2017 21:58
Feitelijk is de situatie niet heel anders dan met alle andere data op je computer.

Je computer koop je van / is gebouwd door / staat vol software van wildvreemden. Alles wat je eet is verbouwd door / verwerkt door wildvreemden.

Toch zul je de gok moeten wagen en die anderen moeten vertrouwen, tenzij je je leven wil slijten met het verbouwen van je eigen voedsel en zelfgemaakte kleding in een kaal houten hutje op de hei. ;)
Bor
@MartenBE23 april 2017 10:44
Of je nu Lastpass gebruikt of een Keepass DB op een dropbox bewaart; het komt in grote lijnen op hetzelfde neer.
Nee dat komt het niet noodzakelijk. In het geval van Lastpass parkeer je de wachtwoorden in een gesloten systeem bij de maker van dat systeem. Deze maker heeft zich ook nog eens aan de patriot act te houden. Je hebt hier geen enkele controle.

In het voorbeeld van Keepass DB plaats je de database file (al dan niet nog een keer extra encrypted) op een cloud dienst van een andere leverancier. Hier kun je aanvullende maatregelen treffen. Hier zit een groot nuance verschil.
bilbob
@innerchild22 april 2017 18:19
je geeft je ww niet af.
Je geeft een encrypted bestand af.
KopjeThee
@innerchild22 april 2017 09:28
Het is uiteindelijk ook een kwestie van vertrouwen. Vertrouw je je eigen beveiliging op je telefoon of pc meer dan die van de servers van lastpass, dropbox etc? Dat is volgens mij vooral een gevoel.

[Reactie gewijzigd door KopjeThee op 22 april 2017 09:38]

sxbrentxs
@innerchild22 april 2017 11:13
Times change. Met name de veiligheid van men zelf. Een keer een DB drop hier en daar en je kan nieuwe wachtwoorden verzinnen en onthouden. Leg dat bij een andere service, die niet eens weet wat je d'r in het wachtwoord bestand hebt staan, en je hebt oneindig veel wachtwoorden die je kan "onthouden" en "verzinnen" en waar zelf continue wordt bekeken of er iets fout gaat.

Er zal altijd iets fout kunnen gaan. Het zou van de zotte zijn als iemand zou denken dat je NOOIT zou kunnen worden "gehacked". Dat is gewoon naïef. Je kan het ze wel zo moeilijk mogelijk maken. En afhankelijk van hetgeen waar je je tegen wil beveiligen zou LastPass, KeyPass, noem maar op; een optie kunnen zijn.

[Reactie gewijzigd door sxbrentxs op 22 april 2017 11:14]

Bart ®
@Bor21 april 2017 21:23
Ze reageren juist altijd snel en adequaat op veiligheidsissues. Obscure kleine apps zijn veel minder te vertrouwen.
Bor
@Bart ®23 april 2017 10:33
En met welke reden is dat? Die vergelijking gaat natuurlijk niet automatisch op, zeker niet wanneer het niet om closed software gaat zoals in dit geval. Bovendien ken ik geen enkele andere password manager die zo vaak negatief in het nieuws komt in relatie tot security issues.
Koffiebarbaar
@Bor22 april 2017 09:41
Ik zit om die incidenten al mijn lidmaatschap van die club enige tijd onder de loep te nemen, maar het gebruik van EEN wachtwoordmanager zie ik als noodzaak met die tig triljoen accounts die je her en der hebt als moderde internettende man en ICT enthausiasteling en wachtwoorden gaan recyclen die tevens bij de verste verte niet in de buurt komen van de complexiteit van de wachtwoorden die ik in de LP database heb staan om ze een beetje te kunnen onthouden beschouw ik als minder veilig.

De vraag is dan hoe kan je dat anders aanvliegen. Keepass is een "vrije" oplossing, maar voor praktische overwegingen flikker je dat databasebestandje ook al vrij snel in de cloud en als die éénmaal in handen is van een derde kunnen ze daar onbeperkt op brute forcen zonder dat je daar verder zicht op hebt dus dat is niet perse een veiligere route. Bovendien mis je allemaal integratie links en rechts, vooral op mobiel vlak, en dat doet LastPass erg goed.
Dan heb je nog directe concurrenten als 1password maar volgens mij is dat verder allemaal één pot nat.

Ook kan je al die aandacht als argument zien om te blijven... ik ga er van uit dat ze geld willen blijven verdienen dus zullen ze in een rap tempo wat moeten doen met de gevonden zaken.
Tot dusver *afkloppen* ontbreekt het aan de echt kritieke incidenten in relatie tot de integriteit van hun manier van wachtwoorden opslaan. Zolang ik me relatief veilig voel kijk ik nog even de kat uit de boom.

[Reactie gewijzigd door Koffiebarbaar op 22 april 2017 09:52]

Morgan4321
@Koffiebarbaar22 april 2017 11:36
Ik heb zelf een KeyPass database op usb stick (met de portable versie van het programma erbij) en op m'n telefoon (met KeyPassDroid om het uit te lezen). Zolang je de boel netjes synchroniseert als je wachtwoorden toevoegt gaat dat heel goed.
MrMarcie
@Koffiebarbaar22 april 2017 11:03
Ik gebruik Lastpass al jaren naar volle tevredenheid met een 2500+ passwords. Echte essentiele passwordss (mijn servers e.d) beheer ik zelf. Die stop ik daar niet in.
Tralapo
@Bor21 april 2017 21:19
Je zou verwachten dat deze dienst inmiddels wel last moet hebben van een enorme deuk in het imago. Toch lijkt Lastpass populair te blijven.
Waarom? Ze gaan er telkens heel goed mee om en brengen snel updates uit, gevolgd door een keurige uitleg op de site. Mij geeft dat vertrouwen.

Natuurlijk zitten er gaten in de software, waar is dat niet zo. In dit geval zijn er veel mensen die er naar op zoek gaan, wat me een positief punt lijkt.

Zeker de laatste tijd is er een aantal keer achter elkaar wat gevonden, wat een soort kettingreactie lijkt te zijn van deskundigen die er aandacht op vestigen. Hier komt LastPass alleen maar sterker uit dan ooit, toch?
ashemedai
@Tralapo22 april 2017 11:42
Precies dat wat je zegt. Vind de opmerking van Bor nogal goedkoop sentiment. Hij vergeet in deze totaal de afhandeling van de disclosures. Juist die manier hoe ze er mee omgaan en snel goede fixes uitbrengen geeft me juist meer vertrouwen in die club.

Als een security researcher zijn/haar oog laat vallen op een product kan je er vanuit gaan dat ze al gauw een paar dagen tot weken hier mee aan de slag gaan. Dus ja, dan krijg je wellicht een X aantal problemen die naar voren komen binnen een korte tijdspanne.

Als de hoeveelheid security problemen de maatstaf zou zijn dan zou bijvoorbeeld Linux met 1791 over al die jaren schrikbarend zijn.
Webxorcist
@Bor21 april 2017 21:37
Een bug in de code is nauwelijks een incident. Een hack en gestolen gegevens is een incident. Al wat ik zie is een bedrijf dat actief haar code verbetert.

Top dus.
MiesvanderLippe
@Bor21 april 2017 21:59
Laat pass is er voor mij om sites waar ik niet perse om geef te voorzien van een wachtwoord dat uniek is voor die site zodat een lek geen invloed heeft op m'n 'grotere' accounts.

Valt Last pass uit elkaar dan is er niks verloren en genereer ik wel nieuwe want ik weet dan ook precies om welke accounts het gaat.
Anoniem: 528441
@Bor22 april 2017 09:37
Geeft alleen maar aan dat men dus er alles aan doet in het kip-ei spel tussen beveiliging en het level daarvan.
Nu zijn er nog steeds mensen die meer waarde hechten aan hun eigen verzonnen wachtwoorden, maar ik denk dat 88.999999% beter af zijn met een dienst als Lastpass
P.s |Vergelijk maar met de meldingen over ios, windows, linux, allemaal zorgen ze er wel voor dat het product er beter door werd
GrooV
@Bor22 april 2017 12:09
Het alternatief is geen password manager wat nog veel erger is. LastPass reageert juist heel goed op dit soort incidenten en zijn er ook open over!
Bor
@GrooV22 april 2017 12:33
Dat is natuurlijk niet waar. Er zijn legio andere password managers waarbij geen gebruik wordt gemaakt van een gesloten en cloud based systeem. Je vind hier en in het genoemde topic op het forum al legio alternatieven.
mschol
@Bor22 april 2017 23:46
maar net als LastPass liggen ook die onder vuur en zijn dus niet "veilig"
dan blijft als enige alternatief geen PW manager gebruiken over, en dat is eigenlijk nog veel erger qua veiligheid
Sharkoon
@Bor22 april 2017 22:05
Zeikerd, je kunt je huis nog zo goed beveiligen met sloten en alarm installaties. Maar een ruitje intikken kan nog altijd en is vrij eenvoudig uit te voeren.

Wat ik hiermee bedoel is geen enkel systeem is veilig, al doe je nog zo je best om het te beveiligen.

En waarom zou het een deuk in hun imago hebben? Ze lossen het op en de software is weer een stukje beter geworden.
Bor
@Sharkoon22 april 2017 23:42
Waarom een deuk in het imago lijkt mij duidelijk. Lastpass is met stip de password manager die het meest negatief in het nieuws komt als je kijkt naar de beveiliging. Dat lijkt mij toch het meest belangrijk voor een dienst als deze. Dit is niet de eerste keer dat het fout gaat of bijna fout gaat en dat zijn alleen nog maar de gevallen die naar buiten worden gebracht.

Dat geen enkel systeem veilig is klopt natuurlijk maar of je iets belangrijks als de opslag van wachtwoorden aan een gesloten systeem wilt overlaten die dermate vaak negatief in het nieuws komt als het op beveiliging van data aankomt lijkt mij een zeer valide vraag.

Het gaat hier niet om toevallige bugjes maar om fouten in het ontwerp. Het ontwerp en de opgeworpen beveiligingshindernissen deugen niet. Dat is een groot nuance verschil. Juist het gesloten systeem maakt controle op dit soort zaken erg lastig.

[Reactie gewijzigd door Bor op 22 april 2017 23:45]

Koffiebarbaar
@ArtGod22 april 2017 09:46
Helemaal gelijk. Alleen sukkels gebruiken het.
Zo kom je natuurlijk nooit over als een rieel figuur.
Er zijn absoluut mitsen en maren aan een dienst als LastPass maar die uitlegen behoeft toch wat meer tact...

Op papier staat je password database gewoon encrypted op de LP servers en die encyptie vind plaats op je PC dus je verhaaltje is allicht wat genuanceerder.
Wat de inlichtingendiensten met je wachtwoorden wil kan je je daarbovenop ook afvragen want als ze bij je cloud spul willen kunnen ze ook gewoon aankloppen bij de dienst waar ze info uit wensen te bemachtigen. En dat kan dan ZONDER dat de gebruiker een notificatie krijgt over een rare login vanaf een geografisch onmogelijke locatie.

[Reactie gewijzigd door Koffiebarbaar op 22 april 2017 09:47]

maratropa
21 april 2017 21:03
Al je wachtwoorden in een clouddienst stoppen voelt voor mij sowieso als 1 van de dommere dingen die je kunt doen?
zordaz
@maratropa21 april 2017 21:07
Ik zie dat vooral als een risico afweging.
Wat is onveiliger: hergebruik van een set wachtwoorden die je kunt onthouden bij talloze websites, of unieke wegwerp wachtwoorden per site die je in een cloudoplossing opslaat (of dat nu LastPass is of een database in DropBox).
Cilph
@zordaz21 april 2017 21:10
Ik zou dan ook best wel een Lastpass variant willen gebruiken die ik kan draaien in m'n private cloud (lees: thuisserver)
Antyrael
@Cilph21 april 2017 22:15
Je bedoelt zoiets als Passman (https://github.com/nextcloud/passman)?
Dit is een App voor de Nextcloud (https://github.com/nextcloud/server) omgeving.
Je kunt dit helemaal zelf hosten, dus zo veilig als jij het zelf kunt maken!

Ik ben overigens zelf een Lastpass gebruiker, omdat ik er veel meer voordelen in zie dan nadelen, maar ik heb Passman ook pas kort geleden ontdekt (volgens mij in het vorige topic over een Lastpass bug) en moet het nog goed bekijken.
FreshMaker
@Antyrael22 april 2017 00:13
Je bedoelt zoiets als Passman (https://github.com/nextcloud/passman)?
Dit is een App voor de Nextcloud (https://github.com/nextcloud/server) omgeving.
@Brantje is de of één van de ontwikkelaars, een eigen tweaker dus ;)

[Ervaringen] OwnCloud, Nextcloud
Cilph
@Antyrael21 april 2017 22:38
Zal naar Passman kijken, thanks.
vespino
@Cilph21 april 2017 21:50
Probeer dan KeePass zou ik zeggen. Gebruik het nu al een tijdje icm dropbox naar volle tevredenheid. Je kunt het (het wachtwoordbestand) ook op een eigen server zetten.
Wim-Bart
@Cilph22 april 2017 03:14
Ik zou dan ook best wel een Lastpass variant willen gebruiken die ik kan draaien in m'n private cloud (lees: thuisserver)
Keepass web :)
maratropa
@zordaz21 april 2017 21:09
ik bedoelde meer, ik stop het liever in een keypass file in eigen beheer.
zordaz
@maratropa21 april 2017 21:14
Kan prima werken als 'single user', maar goede familie sharing etc. is dan toch echt een stuk lastiger in te regelen. En Two-Step verification ook. Beiden voor mij een must.

[Reactie gewijzigd door zordaz op 21 april 2017 21:15]

Soldaatje
@zordaz21 april 2017 21:59
Syspass lijkt daar aan te voldoen: http://syspass.org

[Reactie gewijzigd door Soldaatje op 21 april 2017 22:02]

GrooV
@Soldaatje22 april 2017 12:11
Sorry maar is een zelf gehoste oplossing nou zo veel beter? Die moet je dus zelf actief onderhouden

[Reactie gewijzigd door GrooV op 22 april 2017 12:12]

Wim-Bart
@zordaz22 april 2017 03:11
Kan prima werken als 'single user', maar goede familie sharing etc. is dan toch echt een stuk lastiger in te regelen. En Two-Step verification ook. Beiden voor mij een must.
Hoezo, ieder eigen keepass en eigen accounts.
Bart ®
@maratropa21 april 2017 21:24
Handig met synchronisatie over meerdere werkplekken...
Wim-Bart
@Bart ®22 april 2017 03:13
Handig met synchronisatie over meerdere werkplekken...
Kan perfect met keepass. Heb inmiddels mijn keepass op een keepass webserver draaien, overal vanuit de wereld te benaderen. Heb een USB thumb drive met daarop een Certificaat voor ontsleuteling en daarop nog een wachtwoord. Dus al jatten ze mijn hele DB dan nog hebben ze meer nodig.
Bart ®
@maratropa21 april 2017 21:12
Wat denk je dat veiliger is?
a. Elke inlog een uniek en supercomplex wachtwoord, die weliswaar online opgeslagen worden, maar versleuteld met een complex wachtwoord dat alleen offline bekend is. Als er een site gehackt wordt, heeft de hacker alleen jouw inloggegevens van die ene site.
b. Elke inlog hetzelfde of nagenoeg hetzelfde wachtwoord aangezien je alles moet onthouden, waardoor je het risico loopt dat als er 1 van die sites zijn beveiliging niet op orde heeft, jouw inlognaam en wachtwoord voor alle andere sites ook op straat liggen.

Ik weet het antwoord wel.
maratropa
@Bart ®21 april 2017 21:14
en dus c: optie a maar dan in eigen beheer :)
Grrrrrene
@maratropa21 april 2017 21:17
Dat werkt voor mij dus echt niet, want ik werk niet iedere keer op dezelfde laptop/desktop. Ik log dan liever in op een cloud dienst met een enkel, veilig en complex password ipv dat ik op iedere PC weer moet ontdekken dat het wachtwoord van website X nog niet bekend is :(
Dorank
@Grrrrrene21 april 2017 21:31
Ik log dan liever in op een cloud dienst met een enkel
De aanname van de persoon waarpo je reageert is dat indien je dit zelf in beheer hebt, veiliger is dan een openbare cloud dienst. Ik ben het daar mee eens, mits je zelf voldoende interesse/vermogen hebt om de boel veilig te houden. Mijn oplossing is tot nu toe syncthing en keepassx (en dan helpt het indien je 1 plek hebt hebt die 24/7 toegangelijk is voor de andere clients). Maar ik zou zelf teneerste al geen (prive) wachtwoorden op "vreemde" hardware ophalen/invoeren.
Cartman!
@Dorank21 april 2017 21:52
Je geeft dat wachtwoord bij LastPass dan ook enkel lokaal op, encryptie/decryptie gebeurt allemaal client side.
Dorank
@Cartman!21 april 2017 21:58
Op "vreemde" hardware kan zomaar een keylogger draaien bv.
Cartman!
@Dorank21 april 2017 22:15
Op die manier ja. Dat is een risico maar met 2FA kun je dat risico grotendeels afdekken.
Dorank
@Cartman!21 april 2017 22:25
Maar je wachtwoord (lastpass/whatevermanager en de wachtwoorden die he extract) ligt dan al op straat. Als er de mogelijkheid is tot 2fa dan zijn er voor untrusted hardware zinnigere manieren die geen belangrijke info bloot geven (tiqr bv, maar helaas nog nooit tegen gekomen in het wild).
Cartman!
@Dorank21 april 2017 22:27
Dat is wel een heel gerichte aanval dan. Je kan LastPass iig instellen dat ie na X tijd al onbruikbaar wordt en je opnieuw wachtwoord+2FA code moet invullen.
dj__jg
@Dorank21 april 2017 23:30
Daarom moet je natuurlijk nooit met je lastpass inloggen op een apparaat dat je niet vertrouwt, net zoals je nooit je KeePass zou proberen te installeren op een pc in de bieb
Jorgen
@Grrrrrene21 april 2017 21:24
De hoop is dan wel dat de password manager van je browser, niet meeleest bij het automatisch invullen. Anders laat je overal je wachtwoorden achter.
Morgan4321
@Grrrrrene21 april 2017 23:14
Ik heb de KeyPass database op een usb stick staan, die heb ik toch altijd bij me.
Bart ®
@maratropa21 april 2017 21:22
Een tekstdocumentje op je telefoon of pc? Of op je NAS? Ik denk dat Lastpass veiliger is dan wat jij prive voor elkaar kunt krijgen...
lordfragger
@Bart ®21 april 2017 21:30
Keepass met de (stevig geëncrypteerde) database op dropbox/google drive/onedrive/owncloud/... Op die manier heb je je paswoorden altijd bij de hand (zo lang je aan je cloud storage kan) en gebruik je open source software. Als je dan ook de toeters en bellen zoals auto-fill uit zet is er niet al teveel dat lek kan zijn.

Het enige dat je als nadeel kan zien is dat je de paswoorden zelf moet copy/pasten, maar is dat zoveel gevraagd voor de veiligheid die je ervoor terugkrijgt?
Bart ®
@lordfragger21 april 2017 21:41
Dan sla je nog steeds je wachtwoorden in de cloud op... De discussie ging er juist over of dat wel of niet slim is.
lordfragger
@Bart ®21 april 2017 22:56
Hangt er vanaf hoe je het bekijkt. De keepass database is een geëncrypteerd bestand, geen individueel paswoord, die encryptie ga je echt niet snel breken.

De lekken in lastpass zitten trouwens bijna altijd in de browserplugins en de extra features die ze toegevoegd hebben om het de gebruiker zo eenvoudig mogelijk te maken. Als je die weg zou nemen is lastpass waarschijnlijk (het is immers geen open source) ook pakken veiliger.
BonzO
@Bart ®22 april 2017 09:50
Wat mensen vergeten zijn dat er ook opties zijn die je zelf host. Ik gebruik bijvoorbeeld Resilio Sync (https://www.resilio.com/individuals/) om het keepass bestand op al mijn devices in sync te houden. Hier komt geen cloud aan te pas. Maar je kunt ook bijvoorbeeld je eigen server gebruiken.
Bjornmeijer935
@Bart ®21 april 2017 22:01
Je kan zelf best een goede setup maken met een beetje kennis en wat lees werk.
Zo kan je zelf een password manager (teampass, webkeepass of syspass) hosten op een machine of VM. Vervolgens geef je alleen maar access via een VPN verbinding, bijvoorbeeld met OpenVPN i.c.m. key en token based authenticatie, daarnaast zijn er voor alle type devices een client dus je kan hem overal benaderen.
Versleutel uiteraard de gehele disk en je bent al een heel eind met een goede setup.
Bart ®
@Bjornmeijer93521 april 2017 22:03
En dan ga je ervan uit dat alle tools die jij in die hele zelfgebouwde keten gebruikt, allemaal veiliger zijn dan Lastpass?
Dorank
@Bart ®21 april 2017 22:16
In het geval van een keten van beveiliging/obstakels, moet er in elk gedeelte van de keten minimaal 1 exploit zitten om bij de unencrypted wachtwoorden te komen. Zo is de genoemde keten makkelijk extra te beveiligen met bv port knocking.

En in tegenstelling tot lastpass (wat een publiek toegankelijk doelwit is), geldt dat een aanvaller van Bjornmeijer ten eerste al weet moet hebben van het doel (obscurity is een goede eerste verdedigingsstap).
Bjornmeijer935
@Bart ®21 april 2017 22:22
Niks is 100% veilig, maar deze setup is wel behoorlijk veilig te noemen en de kans dat jij persoonlijk aangevallen word is vele malen kleiner dan een aanval op lastpass of de daarvoor ontwikkelde clients. Uiteraard is een password manager ongeacht welke maar zo veilig als de client die er toegang tot heeft. Dus links of rechtsom is de client bijna altijd de zwakste schakel.
Morgan4321
@Bart ®21 april 2017 23:16
En dan ga je ervan uit dat alle tools die jij in die hele zelfgebouwde keten gebruikt, allemaal veiliger zijn dan Lastpass?
Dat kan nooit moeilijk zijn als ik zie hoe vaak LastPass in het nieuws komt met een security breach. ;)
Sammiejj
@maratropa21 april 2017 21:06
Inderdaad, ik doe dat dan ook niet.
jozuf
22 april 2017 08:34
Des te meer reden om dit soort zaken te vermijden. Het is ook (zeker voor een tweaker) niet zo heel ingewikkeld je eigen infra hiervoor op te zetten.
Ik gebruik zelf KeePass, icm Nextcloud op mijn eigen server. Met tools als Keeweb, Keepass2Android (geconfigureerd met Webdav voor sync met nextcloud) kom je een heel end qua gebruiksvriendelijkheid. En dan ben je ook niet zo'n huge gaping target als de LastPasses van deze wereld.
Ik kwam laatst ook achter het bestaan van Duo. Geweldige tool omdat ik nu voor mijn hobby sites ook gewoon 2FA kan inschakelen voor de gratis (tot 10 gebruikers)!
grubby
@jozuf22 april 2017 10:18
DUO icm LastPass werkt prima, gebruik het al jaren. Volgens mij the best of both worlds... Usability vs Security dingetje. Een onafhankelijk access platform dat je ook makkelijk kunt gebruiken voor diverse andere cloud based apps is volgens mij altijd beter dan de 2FA van LastPass zelf. Bijkomend voordeel is de Push Authenticatie van DUO, vind ik toch wat prettiger werken dan de LastPass authenticator. DUO werkt ook lekker met beveiligen van toegang tot Google services...
jozuf
@grubby22 april 2017 12:35
Kan je toevallig iets van een hint geven hoe ik dat doe met Google diensten? Ik vond dit maar lijkt niet meer te kloppen. Aangezien ik al gebruik maakte van de Google authenticator (en nu liever over stap op 1 app, duo) zijn de stappen ook niet helemaal hetzelfde.
grubby
@jozuf22 april 2017 19:41
Push werkt helaas niet tenminste: wanneer je gewoon "sign in to Google" bedoelt. Dan is het gewoon een kwestie de QR code, die je krijgt wanneer je Google Authenticator kiest bij het instellen van 2FA, scannen met je DUO app op je phone. G-Suite (Google Apps) is/zijn ook te beveiligen met DUO. Hiermee kun je afzonderlijke apps beveiligen maar ook werken met SSO. Dan creëer je zeg maar een applicatie in DUO zelf en dan kun je wel Push gebruiken: https://duo.com/docs/gapps.
Yzord
21 april 2017 23:23
Hmm, ik wordt er nu wel een beetje simpel van. Ik gebruik dus Lastpass en heb nu zoiets dat ik toch maar eens verder ga kijken (Keepass bijv.?). Respect hoor dat ze het allemaal snel oplossen, maar de code is niet zo netjes dus als ik het zo begrijp.

Iemand nog tips?
gangsta_playa
@Yzord22 april 2017 00:07
Volgens mij is geen enkele password manager hun code "netjes".
Lastpass komt veel in het nieuws omdat het het meeste gebruikt is -> veel onderzoekers proberen het te kraken.
Keepass bijvoorbeeld zal vast ook dergelijke problemen hebben (naargelang de aangeboden functionaliteit) maar het wordt veel minder gebruikt -> minder onderzoek naar fouten in de code -> het lijkt alsof het veiliger is.
FreshMaker
@gangsta_playa22 april 2017 00:57
Niet alleen het weinige gebruik van keepass, maar vooral de individuele installatie is ook wel een kracht.
Waar de 'echte' online managers leunen op de dienst "wij bieden opslag voor jouw data" is keepass open, in zoverre, de gebruiker bepaalt de locatie.
Die keuze is zó divers, dat je het zelfs op een 3.5" diskette kan bewaren ( mijn database is nog onder 1MB )
Persoonlijk heb ik de kbx op mijn TransIP-stack (owncloud) staan, en een backup op mijn Gdrive.

Misschien is Keepass niet 100% veilig, maar het entrypoint is niet op één plek te vinden.
Om bij de betreffende database te moeten komen, moet je 'meer' doen, dan 'alleen' een website/plugin hacken.
FerOne
22 april 2017 01:02
Ik zie het probleem inderdaad niet zo.. ik gebruik LastPass al een lange tijd en telkens als er iets aan het licht komt wordt er snel gereageerd en opgelost.

Het blijft nog steeds super fijn om mee te werken namelijk.
armageddon_2k1
@FerOne22 april 2017 11:31
De vraag is alleen, hoe lang het lek er al zat zonder aan het licht te komen. En is dat lek misbruikt? Als iemand bij al jouw passwords kan, dan kunnen er wel eens nare dingen gebeuren.
FerOne
@armageddon_2k122 april 2017 13:17
Dat kon alleen door sommige kwaadaardige websites te bezoeken.
armageddon_2k1
@FerOne22 april 2017 22:41
Ja, dit lek. Maar welk anderen zijn er nog meer?
BasZer
22 april 2017 10:09
Zojuist door alle reacties heen gelezen. Mijn conclusie hieruit, de meningen zijn enorm verdeeld. Voor en tegenstanders komen met goede argumenten. Ik zelf gebruik Lastpass (heb daarvoor keepass gebruikt) maar door de jullie reacties weet ik niet of ik nu hier moet blijven of weggaan... (Dus blijf ik omdat ik het al gebruik)

Misschien dat de Tweakers redactie eens alle opties met elkaar kan vergelijken?

[Reactie gewijzigd door BasZer op 22 april 2017 10:10]

Eusebius
@BasZer22 april 2017 12:29
Waarom ben je weggegaan bij Keepass (of een variant)? Ik gebruik LastPass, maar door dit soort nieuwsberichten wil ik mijn 'sleutels' toch liever bij me houden op bv een USB-stick
BasZer
@Eusebius22 april 2017 20:02
Destijds, inmiddels drie jaar geleden, vond ik het veel ongebruiks vriendelijker. Wellicht dat het nu veranderd is.

Ik denk er bij zulke berichten net zo over...
rijk0214
21 april 2017 22:02
Wow dat is, in mijn professionele opinie, wel een slecht beveiligingsgat om te hebben. Éen van de eerste dingen die ik leerde toen ik aan het web werkte is dat je voor al je forms een XSRF token mee stuurt.

Net zoals Tweakers doet ^_^:
<input type="hidden" name="tweakers_token" value="REDACTED">

[Reactie gewijzigd door rijk0214 op 21 april 2017 22:04]

comecme
22 april 2017 10:21
Off topic: hoe werkt eigenlijk 2FA als je lastpass ook op je mobiel gebruikt? Ik gebruik nu OTP, maar de app daarvoor staat op mijn mobiel. Als ik lastpass ook op mijn mobiel installeer bevat mijn mobiel dan niet beide factoren van de 2FA?

Oftewel: is het veilig om LastPass op een mobiel te gebruiken waarop ook de OTP-app staat?
Gerard S
22 april 2017 14:07
Waarom niet een fingerprint of eyescan....een app die dat kan...bij banken log je toch ook in met een scanner in handformaat...die een puntjescode scant en...die je vervolgens automatisch en at random een inlogcode geeft
N8w8
@SiGNe22 april 2017 09:14
Hehe :) Same here, ik was er aanvankelijk wel enthousiast over, maar kreeg daarmee altijd van die fronsen toegeworpen in de stiltecoupe. Dus toch maar weer terug naar 2FA.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee