Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

LastPass voegt back-upfunctie aan app voor tweetrapsauthenticatie toe

Door , 52 reacties

Wachtwoordmanager LastPass heeft een back-upfunctie aangekondigd voor zijn tweetrapsauthenticatie-app. Daarmee moet het makkelijker gemaakt worden om gekoppelde accounts te herstellen, bijvoorbeeld na de aanschaf van een nieuwe telefoon.

LastPass schrijft dat het risico van een verloren toestel er niet voor moet zorgen dat gebruikers geen tweetrapsauthenticatie gebruiken. Daarom slaat de dienst nu de authenticatietokens op in de LastPass-account van gebruikers. Omdat de gegevens daardoor op dat servers van het bedrijf staan, zouden deze eenvoudig hersteld moeten kunnen worden.

In de instellingen van de app kunnen gebruikers de back-upfunctie inschakelen. Dit is een opt-in en staat daarom niet standaard aan. Het terugzetten van de authenticatiegegevens gebeurt door op een nieuw of gereset toestel in te loggen in de Authenticator-app. Vervolgens worden de gegevens op het toestel teruggeplaatst.

De app voor tweetrapsauthenticatie werd vorig jaar geïntroduceerd door het LogMeIn-dochterbedrijf. Destijds claimde LastPass dat de app op dezelfde manier via totp werkt als de Google Authenticator. Hieraan zijn verschillende diensten te koppelen die tweetrapsauthenticatie ondersteunen. Bij het inloggen bij een dergelijke dienst wordt er naast het wachtwoord naar een verificatiecode gevraagd, die door de app wordt gegenereerd. Daarvoor moet wel eerst een koppeling hebben plaatsgevonden.

Reacties (52)

Wijzig sortering
Mooie aanvulling. Moest laatst 2 dagen zonder mobiele service door het leven en toen merkte ik pas dat ik het tegenwoordig echt nodig heb. Kon niet inloggen op diensten als Gmail, YouTube, Facebook en mijn bank. Twee dagen lang nergens bij kunnen op je mobiel en dus ook geen apps downloaden duurt langer dan je denkt. :P
Ikzelf gebruik Authy, deze genereert de 2FA codes met een algoritme gezien deze ook offline werkt!
Elke TOTP 2FA applicatie werkt offline, er is immers alleen nodig:
shared secret + tijd

Een goede reden om Authy niet te gebruiken is dat dat deze een online component heeft. Nergens voor nodig, sla gewoon het shared secret op in je password manager als backup of om toe te voegen aan andere TOTP applicaties (op andere devices).
Ik gebruik ook authy, kan ik met gsm, en al mijn pc's telkens 2FA gebruiken.
Leg me gerust eens uit hoe ik dat zou doen op uw manier...
Mijn manier is:
1- activeer TOTP
2- achterhaal shared secret en sla die op in
2a- google authenticator
2b- gpg encrypted bestand (samen met de backup codes van stap 1).

Indien nodig kan je nu het shared secret aan een willekeurige TOTP generator voeren indien noodzakelijk maar vermijdt je het onnodige risico van generators met netwerk functionaliteit.
Als je Keepass gebruikt kan je Tray TOTP plugin gebruiken (deze genereert de codes), dan sla je twee vliegen in één klap.
En daarom moet je je wachtwoorden gewoon onthouden. Het is toch bespottelijk dat je niet kan inloggen op basisdingen als FB, Google en de bank zonder een app te gebruiken.
Ik ben een half jaar geleden begonnen met lastpass en heb alle pass woorden van wbsites en acounts verandert en dat zijn er intussen een a4 vol.
En elke nieuw paswrd is bij mij minimaal 15 tekens,letters,nummers lang en is dus niet in het hooft te onthouden.
En de hele belangrijke zoals bank, google, digid met een tweetrap beveiliging.

Misschien iets raars,
Denken jullie ook wel eens aan wat er kan gebeuren als je komt te overlijden, daarom ben ik hier mee bezig en heb dan een print van passwrden bij me overlijdens papieren, zodat na bestaande bij je dingen kunnen..

[Reactie gewijzigd door copyer op 20 mei 2017 08:37]

ik heb mijn vrouw gewoon mijn master paswoord laten leren, maar dan nog, als ik er niet meer zou zijn, maken die accounts ook niet zo heel veel meer uit...
daar zeg je zo iets...
ik denk dat ik daar ook eens werk moet van maken. Als ik er plots niet meer ben dat mijn partner toch nog aan mijn bitcoins kan :)
Toen vorig jaar mijn vader overleed, heeft het nog heel wat voeten in de aarde gehad om zijn online verleden netjes af te sluiten. Denk daarbij aan allerlei opslag in de cloud, en ook aan dingen als linkedin etc.
Bankzaken en verzekeringen vielen nog mee, met een eenvoudige brief en een bezoek konden we voor mijn moeder de zaken nog prima regelen.
Maar omdat we geen overzicht hadden, is het voor ons onduidelijk waar hij nog accounts heeft openstaan.

Zelf heb ik alles in Keepass of LastPass. De meest gevoelige info zit in keepass, dat op mijn NAS is opgeslagen. Backup is encrypted met Axcrypt en staat op onedrive. Het masterwachtwoord bewaar ik in mijn hoofd O-) en het hoofd van mijn vriendin is mijn backup _/-\o_
Mijn credo: ik doe het ook voor mijn dierbaren. Al hoop ik nog jaren vooruit te kunnen.

[Reactie gewijzigd door Batje4 op 22 mei 2017 07:18]

Idd, je hebt het ook niet geheel zelf in de hand. Een gek op de weg en je bent geschiedenis
Er zit in LastPass een functie die je kan instellen. Iemand kan jou account aanvragen en dan kan je een time-out periode zetten waar diegene de rechten krijgen op je kluis

https://lastpass.com/support.php?cmd=showfaq&id=9972

[Reactie gewijzigd door Binky11 op 20 mei 2017 08:52]

Tip: Bij Google kun je instellen dat je een bepaald persoon (of meerdere) specifieke data krijgen als je account een bepaalde tijd niet meer gebruikt wordt. Bijvoorbeeld na overlijden. Let wel, minimaal na drie maanden inactiviteit. Dus dan duurt het even voordat de begunstigde in je data kan.

Per persoon kun je ook instellen wie toegang krijgt tot welke data; je foto's, je e-mail, je browserhistory (why god why?), je Drive data, etc.
Je kunt hierbij een gepersonaliseerde boodschap opstellen, met bijvoorbeeld ook enkele wachtwoorden, of het bestand waar @Dorank het enkele berichten hierboven over heeft in je google Drive zetten en op die manier toegang tot je Lastpass kluis en andere met 2factor beveiligde gegevens verlenen.
Je snapt het doel niet van 2FA dan..
Het neemt niet de plaats in van een goed wachtwoord, het is een aanvulling daarop.
Daarnaast kan je gewoon instellen dat je apparaat onthouden wordt zodat die niet elke keer om een 2FA code moet vragen.

edit: of zag je LastPass en direct naar de comments om te klagen :+

[Reactie gewijzigd door SmokingCrop op 19 mei 2017 20:57]

Nee ik reageerde op SleepyPanda die kennelijk nergens z'n wachtwoord van kan of wil onthouden.
Ik snap het idee achter 2FA prima, maar ik vindt het bespottelijk dat wanneer een password dienst eruit ligt men nergens kan inloggen omdat alle wachtwoorden in een app zitten.
Ik heb 200+ websites in Lastpass met allemaal een unieke uit 12 karakters bestaande wachtwoord (vb: 3oKJq#1l^I9M). Hoe moet ik dat ooit gaan onthouden dan?

Daarnaast is het met Lastpass gewoon mogelijk om je "kluis" offline op te slaan en de iedereen ~1- seconde gegeneerde, 6 cijferige 2FA codes werken gewoon offline.
Ik wil ze wel onthouden hoor, maar voor veel van zulke diensten dien je ook een code via sms te ontvangen en die voer je in na je wachtwoord (kan een onthouden wachtwoord zijn of via een app). Stukje extra veiligheid, mocht mijn wachtwoord lekken.
Ja, maar daarvoor heb ik ook KeePassDroid op mijn telefoon gezet, met de KeyPassDatabase.kdbx, dan heb ik altijd mijn inlognamen en paswoords bij me, en beveiligd met een sterke code.
En daarom moet je je wachtwoorden gewoon onthouden. Het is toch bespottelijk dat je niet kan inloggen op basisdingen als FB, Google en de bank zonder een app te gebruiken.
Als jij al je paswoorden onthouden kan zijn er drie mogelijkheden:
1) je hebt een absoluut geheugen (geen pretje want dat is een bijzonder zware storing)
2) al je paswoorden zijn erg zwak, kan je ze net zo goed niet gebruiken
3) je gebruikt dezelfde paswoorden, een doodzonde waar we ons allemaal wel een schuldig aan maken.
Er is een vierde mogelijkheid: https://www.nemokennislin...twoordmanager-in-je-hoofd
Ik ben langzaam mijn wachtwoorden met deze manier te vervangen. Dat valt me overigens tegen
Gewoon een makkelijkk wachtwoord kiezen ja, dan vergeet je het ook niet. 12345 of zo. :)
Of een wachtwoordzin. Of zoals ik zelf doe een wachtwoord opgebouwd uit enkele woorden, getallen en leestekens, maar uniek en makkelijk te onthouden per site/account. En ja, ook ik heb ettelijke 10tallen wachtwoorden.
Daarom eigenlijk dat ik enkele dagen terug m'n volledige lastpass kluis heb geëxporteerd naar een tijdelijke tekst bestand en dit heb afgeprint.
(je kan vanuit lastpass rechtstreeks al je opgeslagen gegevens laten uitprinten.)
Bewaar die gegevens dan ergens in een doos thuis.
daarom 2 devices waar de TOTP codes op gegenereerd worden. op die manier kan je alsnog bij diefstal/verlies van 1 device online komen zonder je rescue codes te moeten gebruiken.

Ik gebruik overigens EnPass, werkt op alle mogelijke platformen en gebruikt een lokale database ;-)
Lijkt me onverstandig om je 2 factor en je wachtwoord op dezelfde plek te bewaren.

Gebruik voor een app met dezelfde functie Authy.
Alleen hiermee hoef je alleen op "Allow" te klikken en hoef je niet de code over te typen heb ik begrepen. Ik gebruik nu ook Authy omdat die wel al back-up had wat de Lastpass authenticator nog miste dus.
Tja, die functie werkt alleen bij een aantal websites. 4 volgens mij 🤔
Ja, dat is van te voren inderdaad een beetje onduidelijk welke het precies ondersteunen. Maarja dat is wel iets wat Authy nog mist.
Ik zag het vanochtend, voor mij kwam de update net een dag te laat en moest ik handmatig aan de slag gaan ;( Dus fijn dat het er nu is!
Mooi, dit is exact wat nog ontbrak in de app. Ik had wel liever de keuze gehad tussen backup in de cloud of off-line. Zelfs al wordt alles mooi geencrypteeerd met je mastereachtwoord, blijft het toch een beetje gevoelig om je wachtwoorden en de 2FA tokens op dezelfde plaats op te slaan. Van lastpass verwacht ik wel dat ze dit op orde hebben, maar je weet toch nooit.
Daarvoor heb je van elke dienst je offline backup codes. Eenmalige 2fa tokens :)
Ik mis vast iets, maar als ik mijn 2FA backup opsla in mijn Lastpass account, waar ik alleen met eerder genoemde 2FA in kan, hoe kom ik dan bij die backup als ik m'n telefoon verlies?
Tap the grey button, and we’ll ask you to confirm your LastPass account (if you’re logged in), or pass you over to the LastPass app to log in — both of these things require MFA.

[Reactie gewijzigd door Padvinder op 20 mei 2017 10:51]

Ik zou zeggen dat je je 2FA voor Laspass via een andere OTP-app moet genereren. Maar dan zit je weer met het probleem dat als je je telefoon kwijtraakt die app het shared secret niet meer kent.
Een alternatief kan zijn om bij Laspass een nieuw wachtwoord aan te vragen, ik neem tenminste aan dat ze een mogelijkheid bieden om via een mail alsnog in te loggen.
Maar ja, wat dan als dat mail account beveiligd is via 2FA via de LastPass-app...
Simpel, backup codes die ze nadrukkelijk vragen af te drukken en goed te bewaren ;)
Hier stond ik laatst ook aan te denken onder de douche :+ Authy synchroniseert ook 2FA-code's, maar is beveiligd met een wachtwoord dat in LastPass opgeslagen zit. Kan de één niet in zonder de ander en vice versa. Dus als m'n telefoon in de sloot valt heb ik toch echt een probleem.

Ben er nog niet helemaal achter hoe ik het wel fail-proef moet doen...
Omdat de gegevens daardoor op dat servers van het bedrijf staan, zouden deze eenvoudig hersteld moeten kunnen worden.
Vast. En niet alleen door jou, ook door de Amerikaanse justitie als ze zin hebben, of door een hacker als er weer eens het zoveelste gat in LastPass gevonden wordt. Zo'n functie in zo'n programma is vragen om ellende.
De data die naar Lastpass gaat is allemaal ge-encrypt met je eigen wachtwoord.
Wachtwoorden en 2FA tokens kunnen dus niet zomaar uitgelezen worden.

(Wachtwoorden DB wordt op je telefoon gedecrypt, niet op de server)
Maar je leest zoveel over gaten die er in "moeten" worden gelaten door de NSA en wat dan ook. Het is dus alsnog niet veilig imo.
Een offline database (ala KeePass) is (vind ik) veel veiliger, en LastPass geeft mij een naar gevoel
Tsja, je kan zelf de source van Lastpass inzien als je bijvoorbeeld de Chrome extensie hebt geinstalleerd. Hier in kun je duidelijk zien dat de database lokaal wordt gedecrypt en dat er niets unencrypted naar Lastpass gaat. (Als je een nieuw wachtwoord toevoegt, wordt de hele database opnieuw ge-encrypt en verstuurd)

Als je gelooft in gaten in standaard RSA of DSA functies, dan kun je helemaal niets meer vertrouwen. (Wiskundig zijn RSA en DSA overigens volledig veilig gebleken)
Oh, de wiskunde achter RSA vertrouw ik wel hoor, dat zal echt niet de zwakste schakel zijn. Maar er zijn vaker lekken in LastPass gevonden, en die zaten niet in het RSA algorithme.
Misschien is lastpass vaker in het nieuws omdat het een grote speler is, van die kleinere hoor je niet zoveel, maar dat betekend natuurlijk niet dat daar dan geen lekken zijn..
En ja ik ben een tevreden lastpass gebruiker.

[Reactie gewijzigd door copyer op 20 mei 2017 08:19]

Van lekken in KeyPass heb ik nog nooit gehoord, en dat is ook geen kleine speler. Maar die vertrouwen dan ook op offline databases.
Klopt, maar je moet het ook anders bekijken: De lekken die de afgelopen tijd in Lastpass gevonden zijn zaten allemaal in de browser plugins. Met andere woorden: ze hadden eigenlijk helemaal niks te maken met het cloud-gedeelte. Dezelfde lekken kunnen dus in theorie ook in offline password managers zitten. De chrome/firefox plugins voor KeePass doen bijvoorbeeld ook autofill op webpagina's waardoor ze mogelijk ook vatbaar zijn.

Er is, voor zover ik weet, nog geen lek of hack geweest aan de cloud kant van Lastpass. Ik snap dan ook niet waarom er telkens gewezen wordt op de "onveiligheid" van de cloud bij Lastpass.

Ik ben overigens zelf onlangs overgestapt van LastPass naar KeePass, omdat ik de indruk kreeg dat de sync niet altijd correct werkte en dat niet echt vertrouwen geeft. Maar los daarvan heb ik wel vertrouwen in de veiligheid van LastPass.

[Reactie gewijzigd door Sorcix op 20 mei 2017 12:35]

LastPass draait (vziw) alles in de browseromgeving en heeft daarmee een vrij groot attack surface. Bijv. 1Password heeft alleen een kleine helper die communiceert met de main app. KeyPass heeft die koppeling helemaal niet. Voor mij zit 1Password precies goed qua security/opzet en gebruiksvriendelijkheid.
Tsja, je kan zelf de source van Lastpass inzien als je bijvoorbeeld de Chrome extensie hebt geinstalleerd. Hier in kun je duidelijk zien dat de database lokaal wordt gedecrypt en dat er niets unencrypted naar Lastpass gaat. (Als je een nieuw wachtwoord toevoegt, wordt de hele database opnieuw ge-encrypt en verstuurd)
Je ziet dan helemaal niet de source van Lastpass. Lastpass is een closed source product. Het enige wat je ziet is de source van een plugin. Dat is een groot verschil.
En daarin kun je zien dat er geen unencrypted data naar de server wordt gestuurd... Is allemaal gewoon plaintext Javascript, dus je kan wel degelijk de source in zien...
Zegt men... Er is geen manier om dat te controleren en onder de patriot act is lastpass verplicht toegang tot data te geven..
Lastpass heeft meerdere openbare security audits gehad van opensource ontwikkelaars en veilig gebleken.
Leuk dat ze de servers open moeten gooien voor de patriot act, maar dan hebben ze een stapel encrypted databases zonder wachtwoorden, super nuttig natuurlijk...
De patriot act beschrijft het delen van data. Niet het "opengooien van servers". Dat heeft consequenties voor alle bedrijven met vestigingen in de US. Denken dat bepaalde data uiteindelijk uit te sluiten is (op wat voor manier ook) ik is naïef.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*