LastPass dicht beveiligingslek in 2fa-app voor Android

LastPass heeft een beveiligingsgat in de LastPass Authenticator-app voor Android gedicht. De 2fa-codes konden uitgelezen worden door een snelkoppeling naar een ander onderdeel van de app te maken en daarna met de back-knop te navigeren naar de pagina met de codes.

Normaal gesproken moet ook in deze 2fa-app ingelogd worden met een pin of een vingerafdruk, mits de gebruiker dat aanzet. Met behulp van deze betrekkelijk simpele truc, die ook door een malafide app uitgevoerd kan worden, wordt dit echter volledig omzeild en is een van de beveiligingsonderdelen van LastPass omzeild.

Securityonderzoeker 'Dylan.m' maakte op 24 december een post op Medium over het euvel, lang nadat hij het zelf aan LastPass had gemeld in juni. Volgens zijn tijdslijn bevestigde de ontwikkelaar dat het probleem bestond, maar een tijdsindicatie van wanneer de maker dit probleem zou verhelpen, konden ze niet geven. Op 8 december meldde hij zelfs dat hij de informatie openbaar ging maken, waarop LastPass niet zou hebben gereageerd. Uiteindelijk is op 28 december een update gepusht voor de app en is het lek gedicht.

LastPass is een digitale online kluis waarin gebruikers hun usernames en wachtwoorden kunnen opslaan. Deze worden dan versleuteld met een enkel 'hoofdwachtwoord' waarmee gebruikers toegang tot alles kunnen krijgen; het zogenaamde 'laatste wachtwoord dat ze hoeven te onthouden'. De dienst is beschikbaar in de vorm van browserextensies en een Android- en iOS-app.

LastPass heeft in het verleden vaker te maken gehad met beveiligingsproblemen.

IT-banen

Reacties (92)

vali 30 december 2017 13:46

Dit blijft voor mij toch wel de reden om kat uit de boom te kijken en gebruik te maken van Keepass. Hier heb ook zelf two factor Authentication toegepast en syncen gebeurd vanuit mijn eigen share naar alle devices toe. Mooie is dan ook nog dat je versie beheer kan toepassen op je database file.

Uiteraard heb je op Android en IOS niet de officiële apps, maar de gene die er aangeboden worden zijn wel volledig opensource.

[Reactie gewijzigd door vali op 27 juli 2024 07:14]

Zer0 @vali • 30 december 2017 14:12

Dit blijft voor mij toch wel de reden om kat uit de boom te kijken en gebruik te maken van Keepass.

Keepass is geen alternatief voor de LastPass Authenticator
Jammer genoeg gaat het artikel weer verder over de LastPass Password Manager functionaliteit, die helemaal niks met deze app te maken heeft.

vali @Zer0 • 30 december 2017 14:15

Klopt, voor de simpele gebruikers heb je Authy voor als alternatief. Ook daar kan je de code terugvinden op github.

Verder kan je prima two factor Authentication gebruiken met Keepass namelijk m.b.v. een plugin

[Reactie gewijzigd door vali op 27 juli 2024 07:14]

MiesvanderLippe @vali • 30 december 2017 17:31

Authy is echt een aanrader. Heeft bijvoorbeeld ook iCloud backups (dubbel versleuteld rustig aan (iCloud + eigen wachtwoord)) en een redelijk intuïtieve interface. Daarbij kent de app een pin/touchid authenticatie.

vali @MiesvanderLippe • 30 december 2017 23:49

Klopt, werkt erg fijn

Derkades @vali • 30 december 2017 23:09

Is alleen niet het nut van 2FA een beetje weg als je het op dezelfde plek als je wachtwoorden opslaat? Misschien alleen tegen malware die in je clipboard kijkt maar je wachtwoord.. Oh wacht de malware zal ook gezien hebben dat je de 2FA key erin stopte

vali @Derkades • 30 december 2017 23:49

Is alleen niet het nut van 2FA een beetje weg als je het op dezelfde plek als je wachtwoorden opslaat?

Gaat er meer om dat de keuze er is. Als het blijkt dat malware je keepass uitleest zou ik mij meer zorgen maken om andere dingen. Dat je daadwerkelijk geïnfecteerd bent en dat er meer gevolgen zijn.

[Reactie gewijzigd door vali op 27 juli 2024 07:14]

anboni @Zer0 • 30 december 2017 14:31

Het zijn dan wel verschillende apps met verschillende functionaliteit, maar dat neemt niet weg dat Lastpass behoorlijk laks heeft gereageerd op deze melding. Dat is wel iets om in gedachten te houden natuurlijk.

Zer0 @anboni • 30 december 2017 14:59

In addition to strengthening the app, the report highlighted needed improvements to our support process. Because this report did not come through our bug bounty program, proper steps were not taken to escalate and resolve it in a timely manner.

We’ve identified and resolved the procedural issue to ensure future reports are handled correctly. At LastPass, investigating and responding to security reports – and customer concerns in general – is our highest priority and we strive to always improve our internal processes.

LastPass geeft aan dat deze melding inderdaad niet goed opgepakt is en dit gaat verbeteren. Niks laks aan in mijn ogen, en een duidelijk teken dat ze het wel degelijk belangrijk vinden.

MiesvanderLippe @Zer0 • 30 december 2017 17:32

Er had wat mij betreft echt wel wat meer aandacht in gestoken kunnen worden. Het lijkt me dat het openen van een activity vanuit buiten de app sowieso niet wenselijk is en dat als je dat al toelaat dat je dit bewust en met strenge controle doet. Ook zou je nooit al je beveiligingsmaatregelen uit hetzelfde potje moeten halen maar goed, dat is een ander verhaal.

MrBreaker @Zer0 • 30 december 2017 14:15

Waarom denk jij van niet dan?

Zer0 @MrBreaker • 30 december 2017 14:19

Ik denk niet, ik weet... de LastPass Authenticator app is een app die 2FA codes genereerd, net als bijvoorbeeld de Google Authenticator, Authy en de vele andere alternatieven, en deze apps zijn onderling uitwisselbaar.

MrBreaker @Zer0 • 30 december 2017 14:31

En waarom is Keepass dan geen alternatief?

Ventieldopje @MrBreaker • 30 december 2017 14:40

Keepass beheert wachtwoorden, LastPass ook.

Waar het artikel over gaat staat los van LastPass als wachtwoord beheerder. De app in kwestie maakt 2FA TOTP codes aan (die 6 cijferige codes) en kan je gebruiken voor alle diensten die 2FA TOTP gebruiken. Er zijn tientallen apps die het zelfde doen en deze komt in het nieuws omdat het van de makers van LastPass is.

Verwijderd @MrBreaker • 30 december 2017 14:45

Omdat Keepass IMO geen app heeft die 2FA codes genereert.

MrBreaker @Verwijderd • 30 december 2017 14:48

Dat doet Keepass dus wel.

Verwijderd @MrBreaker • 30 december 2017 14:52

Als ik zoek met Google naar "keepass 2fa app" zie ik geen linkje naar de Play Store.

Aangezien jij zeker weet dat "keepass dat dus wel doet" mag je die stelling ook nog even onderbouwen.

MrBreaker @Verwijderd • 30 december 2017 14:56

https://keepass.info/plugins.html#keeotp

En werkt ook met keepass2android.

Verwijderd @MrBreaker • 30 december 2017 15:02

Een heel gedoe dus om aan de praat te krijgen, plugins, keepass2android man man man.

Dan liever een standalone app zoals Lastpass Authenticator, waar een klein foutje in zat dat enkel in zeer uitzonderlijke situaties misbruikt kon worden.

Update van LP worden gepust via de Play Store, dat heeft die KP plugin zeker niet, want dat is allemaal manueel gehannes.

MrBreaker @Verwijderd • 30 december 2017 15:10

haha:

" man man man" $_/-\o_$ $_/-\o_$ $_/-\o_$

Ja dat is zeker heel ingewikkeld om ff de download in het mapje plugins te zetten van keepass.

Keepass2andoid is gewoon een native Android app waarin je dan ook (zonder extra aanpassingen) TOTP kunt gebruiken.

sonicboy @MrBreaker • 2 januari 2018 11:21

Hoe dien je dan keepass2android in te stellen met OTP?
Heb nu de plugin 'keeotp' geïnstalleerd, maar vind niet hoe je zo'n OTP bestand moet genereren waarnaar keepass2android vraagt bij het inladen van de db.

edit: wanneer ik wat verder lees is deze OTP enkel bedoeld een bepaalde entry in je db, niet om je gehele db te ontgrendelen. Klopt dit?

[Reactie gewijzigd door sonicboy op 27 juli 2024 07:14]

MrBreaker @sonicboy • 2 januari 2018 21:21

Dat klopt een dubbele authenticatie in keepass kun je doen door middel van een keyfile. Hoe ga het timed one time password weten om in keepass te openen??? Dan heb je alsnog een (extra) auth. app nodig. Dus die mogelijkheid is er niet voor het ontsluiten van de keepass database.

sonicboy @MrBreaker • 5 januari 2018 19:03

Ok thx voor de info. Die mogelijkheid laat ik aan me voorbij gaan, allemaal wat te ingewikkeld moet zelf wel nog in mijn database kunnen

MrBreaker @Zer0 • 30 december 2017 14:57

Zie

Zer0 @MrBreaker • 30 december 2017 15:04

Leuk, maar dat is dus niet Keepass, maar een plugin. Daarnaast niet echt handig, want je kunt ze alleen op een desktop of laptop gebruiken, niet op een telefoon.

bilbob @Zer0 • 30 december 2017 17:22

Op de telefoon app zit TOTP ingebouwd. (in keepass2android)
In de windows app moet je de plugin even in de juiste map zetten.. dat is alles.

Dit doen ze omdat er wel 100 plugins zijn en het wordt een rommeltje als die allemaal meegeïnstalleerd worden.

MrBreaker @Zer0 • 30 december 2017 15:06

Want keepass2android draait niet op een telefoon? Bij mij toch wel, zonder plugin en wel TOTP.

Verwijderd @MrBreaker • 30 december 2017 15:16

keepass is een prima gratis alternatief, zelf wil ik wat meer mogelijkheden zoals opslaan in de cloud van last pass en ook mijn id kaarten / rijbewijs e.d. digitaal opslaan en dan heeft last pass weer een meerwaarde (waar je dan wel voor betaald).

Denk dat de gemiddelde tweaker voldoende heeft aan keepass wat inderdaad ook overal op werkt.

MrBreaker @Verwijderd • 30 december 2017 15:19

Idd, maar je kunt Keepass ook o.a. draaien op een (Synology) webdav server (lees je eigen cloud maken), dan ben je er ook.

nitien @Verwijderd • 31 december 2017 09:16

Lastpass is gratis...

nitien @Verwijderd • 31 december 2017 09:17

Lastpass is gratis hoor..

Zer0 @MrBreaker • 30 december 2017 15:11

En keepass2android is van de makers van Keepass?

MrBreaker @Zer0 • 30 december 2017 15:12

Nee, wie zegt dat?

Zer0 @MrBreaker • 30 december 2017 15:15

Jij... je zegt dat Keepass een alternatief is voor de LastPass authenticator, en nu kom je met een heel ander product aan zetten, dat alleen wat componenten van Keepass gebruikt en dezelfde database kan gebruiken.

vali @Zer0 • 30 december 2017 16:46

Het is niet een geheel ander product. Het is een opensource applicatie die ook gebruikt maakt je eigen keepass database. Het is een prima alternatief aangezien je alles zelf in de hand hebt en je data niet in een Public-cloud staat opgeslagen.

Denk je echt dat binnen Lastpass dezelfde team alles aan het maken is? Dit bij de meeste grote bedrijven vrij normaal. Je kan het alleen niet zien aangezien het closed source is.

[Reactie gewijzigd door vali op 27 juli 2024 07:14]

Zer0 @vali • 30 december 2017 17:48

Het is niet een geheel ander product. Het is een opensource applicatie die ook gebruikt maakt je eigen keepass database.

Dus als ik een applicatie schrijf die gebruik maakt van de keepass database, en er foto's van katten in opslaat is dat hetzelfde product?

Het is een prima alternatief aangezien je alles zelf in de hand hebt en je data niet in een Public-cloud staat opgeslagen.

En wat slaat de LastPass Authenticator dan op in de cloud?

Denk je echt dat binnen Lastpass dezelfde team alles aan het maken is?

Wellicht niet, maar ik weet wel waar ik moet zijn voor support of andere zaken... zoals het melden van security issues. Bij een issue in Keepass moet ik bij het Keepass team zijn, bij een issue in een plugin weer bij een ander etc.

vali @Zer0 • 30 december 2017 19:19

Dus als ik een applicatie schrijf die gebruik maakt van de keepass database, en er foto's van katten in opslaat is dat hetzelfde product?

Ik zet zelf ook bestanden op in mijn keepass database. Als jij het handig vindt om je wachtwoorden in te voeren aan de hand van een foto is dat je goed recht. Lijkt mij wel beetje omslachtig.

En wat slaat de LastPass Authenticator dan op in de cloud?

Misschien idee om eerst te lezen wat er met je data gebeurd als je gebruikt maakt van bepaalde dienst. Ook bij de Authenticator wordt je data in de Cloud opgeslagen. In ieder geval als je van de backup functie gebruik maakt. Iets wat gros van de gebruikers doen, anders kan je net zo goed die van Microsoft of Google gebruiker.

[Reactie gewijzigd door vali op 27 juli 2024 07:14]

MrBreaker @Zer0 • 30 december 2017 15:17

Nee, wel blijven lezen.

Dubbeldrank

@vali • 30 december 2017 13:58

Open source is absoluut geen garantie voor veilige software! Het argument dat iedereen naar de code kan kijken is waar, maar blijkbaar gebeurt dat niet. Dat hebben we in de afgelopen jaren nu wel vaak genoeg gezien in *nix gebaseerde open source software.

Wat mij meer zorgen baart is de lakse reactie van Lastpass, echter werd het wel gelijk gefikst toen het bekend werd gemaakt. Ik ben zelf nog steeds een tevreden gebruiker van Lastpass en maak voor 2FA gebruik van de Google Authenticator, ik krijg echt jeuk van alle losse authenticatie apps.

vali @Dubbeldrank • 30 december 2017 14:00

Open source is absoluut geen garantie voor veilige software! Het argument dat iedereen naar de code kan kijken is waar, maar blijkbaar gebeurt dat niet. Dat hebben we in de afgelopen jaren nu wel vaak genoeg gezien in *nix gebaseerde open source software.

Ik zeg nergens dat het geen garantie geeft voor veilige software, maar ik kan wel zien of een developer wel security patches toepast als er verandering plaatsvindt op github. Lastpass beloofd vanalles, maar je kan totaal niet zien of ze het waarmaken. Ja, in dit geval alleen als er weer een lek wordt gevonden.

Dat vind ik zeker de kracht van Opensource en dat is ook de reden waarom ik mijn wachtwoorden zeker niet in een pakket plaats zoals LastPass. Helemaal niet als ik het niet zelf in beheer heb.

Iedereen moet doen waar hij zich prettig bij voelt, maar het is wel een feit dat Lastpass flink wat blunders aan het maken is. Ben zeker nog niet de hack uit 2015 vergeten waar alles op straat lag. Vooral hun uitsprak van de hack maakte mij echt zorgen. Zeker als je bedenkt dat gros van de gebruikers maar een kort wachtwoord gebruikt.

Because of its strong encryption methods, LastPass says that the compromised encrypted master passwords will be very difficult to crack, as long as users created strong master passwords. “We are confident that our encryption measures are sufficient to protect the vast majority of users,” Siegrist said in his blog post.

Als je ervan houdt om je data in de public cloud op te slaan, waarom maak je dan niet gebruik van Authy inplaats van Google Authenticator? Synced je content naar alle devices toe en zorgt ervoor dat je niet je two factor Authentication opnieuw hoeft in te stellen mocht je device kapot gaan of gestolen worden.

[Reactie gewijzigd door vali op 27 juli 2024 07:14]

MrBreaker @Dubbeldrank • 30 december 2017 14:04

Bij closedsource weet je zeker dat enkel de ontwikkelaar de code heeft en door geen ander gecontroleerd wordt. Dus dan toch liever opensource.

Zer0 @MrBreaker • 30 december 2017 14:16

Bij closedsource weet je zeker dat enkel de ontwikkelaar de code heeft en door geen ander gecontroleerd wordt. Dus dan toch liever opensource.

Ook closed source kun je door anderen laten controlleren, en afaik laat LastPass dat regelmatig doen.

Bart ® Moderator Spielerij

@MrBreaker • 30 december 2017 14:29

Closed source kan ook gewoon door derden ge-audit worden. Daarnaast is er met open source het risico dat derden met slechte intenties in de source bruikbare bugs vinden die ze niet melden. Dat is met closed source lastiger. Zowel open source als closed source hebben hun voor- en nadelen.

Cyb 30 december 2017 13:53

Lijkt me uberhaupt altijd al eng: je paswoorden in handen geven van derden (LastPass in dit geval) in de hoop dat ze er goed mee om gaan en de zaak goed beveiligd hebben.

Als dan ook nog eens blijkt dat ze structureel laks hebben aan 1) hun core business (het negeren van waarschuwingen omtrent beveiliging van wachtwoorden), 2) veel fouten (beveiligings features die niet werken zoals ze zouden moeten) en 3) daarmee zeer gevoelige gegevens van gebruikers in gevaar brengen, dan vraag ik me af welke Tweaker het aandruft om daar al zijn wachtwoorden op te slaan.

Verwijderd @Cyb • 30 december 2017 14:24

Ik durf dat wel. LP had beter kunnen reageren maar het lijkt erop dat veel mensen de werkelijke aard van het lek niet helemaal snappen.

"Using the reported workaround to access someone’s temporary codes would have been difficult since it requires access to the device, and the one-time codes are useless without the username and password for the services they are used. At no time did the identified workaround allow access to the TOTP secrets used to generate the one-time codes."

Bor Coördinator Frontpage Admins / FP Powermod

Wachtwoord

@Verwijderd • 30 december 2017 18:50

"Using the reported workaround to access someone’s temporary codes would have been difficult since it requires access to the device, and the one-time codes are useless without the username and password for the services they are used. At no time did the identified workaround allow access to the TOTP secrets used to generate the one-time codes."

Die tekst komt rechtstreeks uit het artikel. Een exploit kan dan wel als "difficult" bestempeld worden door Lastpass zelf (wij van WC-eend) omdat je o.a. nog een username en password nodig hebt maar is dat juist niet het hele punt? Met deze exploit maak compromitteer je de extra factor waardoor je terugvalt op het standaard en veel minder veilige username + password systeem. Laat dat nou net het punt zijn waarom je een authenticator app extra gebruikt.

Een knap staaltje damage control van Lastpass wat toch al erg vaak negatief in het nieuws is.

Slechts enkele voorbeelden:

nieuws: Hackers bemachtigen persoonsgegevens van servers LastPass
nieuws: LastPass dicht lek in IE-client dat toegang gaf tot wachtwoorden
nieuws: LastPass forceert nieuwe wachtwoordaanmaak na mogelijke hack
nieuws: LastPass dicht lek waarmee tweetrapsauthenticatie uit te schakelen was
nieuws: LastPass raadt na nieuw lek aan sites direct vanuit de Vault te openen
nieuws: Google-onderzoeker vindt op afstand te gebruiken lek in LastPass - up...
nieuws: Onderzoekers vinden beveiligingslekken in wachtwoordmanagers
nieuws: 'Aantal wachtwoordmanagers op Android was onvoldoende beveiligd'

[Reactie gewijzigd door Bor op 27 juli 2024 07:14]

MiesvanderLippe @Verwijderd • 30 december 2017 17:34

Aanvallen met overlays en dergelijke zijn wel echt een stuk makkelijker hiermee. Het is gewoon een knullige fout en had niet voor mogen komen. LastPass beloofd ook bij elk lek een wijziging door te voeren in het beleid maar dit heeft al vier keer niet echt iets betekend blijkbaar.

bilbob @MiesvanderLippe • 30 december 2017 18:19

ze hadden het wiel niet opnieuw uit moeten vinden. Genoeg goeie 2fa apps te vinden...

bilbob @Cyb • 30 december 2017 17:24

je geeft je wachtwoorden niet uit handen. Er staat alleen een versleutelde database op de server die lokaal door jou geopend wordt.

Bor Coördinator Frontpage Admins / FP Powermod

Wachtwoord

@bilbob • 30 december 2017 18:58

Is dat wel zo? Een Amerikaans bedrijf als Lastpass heeft gewoon te voldoen aan de USA FREEDOM ACT (opvolger van de bekende Patriot Act). Deze wet maakt het mogelijk om alle data op te vragen wanneer er bijvoorbeeld, in de ogen van de Amerikaanse overheid sprake is van een terroristische dreiging. Een Amerikaans bedrijf kan niet weigeren om informatie vrij te geven. Impliceert dit niet dat de data door Lastpass ingezien moet kunnen worden? Je hebt er in ieder geval geen enkele controle over.

domi1kenobi @Bor • 30 december 2017 22:35

Zijn ze vet mee, die data is ge-encrypteerd.

Bor Coördinator Frontpage Admins / FP Powermod

Wachtwoord

@domi1kenobi • 30 december 2017 22:56

En dat baseer je op? Hetgeen Lastpass zegt? Natuurlijk is het mogelijk maar er kan ook een cryptografische master key bestaan die het wel mogelijk maakt om de daadwerkelijke data in te zien. Zoals aangegeven heeft Lastpass bij een verzoek van de overheid gewoon op te leveren.

[Reactie gewijzigd door Bor op 27 juli 2024 07:14]

domi1kenobi @Bor • 31 december 2017 10:48

gebaseerd op de techniek gebruikt door Lastpass en niet op bangmakerij...

Verwijderd @Bor • 30 december 2017 22:38

Ze kunnen de data wel geven, maar zonder de sleutels die de klanten hebben kan je er niks mee. Er werken 3000 mensen bij lastpass, die zouden allemaal in 1 keer hun baan kwijt zijn als dit ooit anders blijkt te zijn. De accountmanagers van last pass Ierland en Frankrijk waar ik persoonlijk contact mee heb geven dit ook aan. Het is ook geen klein bedrijf, een jaaromzet van 330+ miljoen dollar en ze werken met overheden over de hele wereld.

Maar zekerheid heb je inderdaad nooit.

ultimasnake @Cyb • 30 december 2017 14:01

Dat laatste kan ik niets op inbrengen, helemaal mee eens. Maar mijn wachtwoord neerleggen bij lastpass voelt mij voor het gros van de sites een stuk fijner dan zelf mijn wachtwoorden beheren. Simpele reden de 20+ random karakter wachtwoorden die ik kan maken op sites en dus niet snel terug val op mijn standaard wachtwoorden aangezien ik ze toch echt moet onthouden. 2FA (behalve bij Android in dit geval bij fysieke toegang tot iemands telefoon) is mijn inziens een goede beveiliging om op meer dan 1 apparaat alles veilig te houden. Maar ook meldingen van mogelijke physhing op zoveel sites waar ik wel een account heb (forums) maar tweakers etc geen heil in zien om te delen. Ook regelmatige even testen wat mijn score is wat me vervolgens een duidelijk inzicht geeft in wat ik eventueel moet versterken, verversen etc. Zo lang je in ieder geval geen accounts erin opslaat van je bank, gemeente, digid zit je denk ik wel goed bij dit soort partijen of in ieder geval beter dan met een kladblokje of een .txt bestand met je wachtwoorden erin

Grrrrrene

@batjes • 30 december 2017 15:19

Ik snap niet zo snel wat de gemiddelde mens met 20+ van die wachtwoorden moet.

Ik vind dit een beetje flauw. Tegenwoordig doe je bijna alles online, van aankopen tot geldzaken, van verzekeringen tot contact met je energieleverancier, van belastingen tot beleggingen. Even wat voorbeelden waarvoor ik 20+ unieke en complexe wachtwoorden gebruik:

- E-mail (GMail met 2FA en E-mail van mijn ISP)
- Paypal
- Steam
- Energieleverancier
- DigiD
- Pensioenverzekeraar
- Autoverzekeraar
- T.net
- Werkgever
- Enkele online games
- Mobiele telefonie provider
- Ziggo
- Enkele vliegmaatschappijen/reisorganisaties
- Online storage als Dropbox/Onedrive/etc
- OV-chipkaart
- DUO (mocht je gestudeerd hebben)
- UWV (mocht je werkloos zijn)

Dat zijn al zeker 20+ wachtwoorden die ik echt niet allemaal wil gaan onthouden. Een sterk master password maakt het hacken van Lastpass-achtige databases vrij zinloos omdat je dan allemaal encrypted (hopelijk met een sterk wachtwoord) databases hebt gehackt van mensen die dan snel al hun wachtwoorden weer kunnen aanpassen, waardoor je hack weer zinloos is. Gebruik je daarnaast 2FA, dan wordt het nog lastiger.

Ik heb zo geredeneerd: de kans dat een van deze individuele online serviceaanbieders gehackt wordt, waardoor mijn sterke, maar dan toch uitgelekte wachtwoord bekend is geraakt, is vele malen groter dan dat iemand een passwordmanager hackt en mijn DB weet te kraken. Ik kan je oprecht niet vertellen waar ik mijn standaard wachtwoord allemaal gebruikte voor ik een password manager ging gebruiken.

99/100 websites op het web, maakt het wat uit als die gehackt worden? Zolang er geen persoonlijke informatie te vinden is en je met een password reset je account terug kan krijgen... nee

Klopt, voor 99 van de 100 websites op het web maakt dit ook niet uit, maar zoals ik hierboven al uiteen heb gezet zijn er zat websites waar ik wel degelijk een erg sterk wachtwoord voor wil hebben. En ik vermoed dat met de opkomst van cryptocurrency de behoefte aan sterke wachtwoorden alleen maar groter wordt.

Ik kom zelf al niet echt verder dan mijn bank, overheid en mijn email. Al het overige, Tweakers inclusief, ze hacken het maar. Wat willen ze doen? Games kopen op mijn steam? Hardware kopen voor mij op alternate? Rotzooi posten hier op Tweakers? Zelfs mijn Facebook of Linkedin, go nuts. Zonder toegang tot mijn email blijf ik in controle.

Ik wil bijvoorbeeld niet dat anderen mijn DM's lezen, dat zijn niet voor niets privé-berichten. Nu ben ik al een tijdje crew-af, maar toen ik nog voor T.net werkte was dat natuurlijk extra gevoelig. Het is maar wat je wil toelaten. Je kunt zeggen "hier is toch niks te halen, dus ik laat mijn oude voordeurslot zitten", maar je hebt toch de rotzooi als er een keer ingebroken wordt (vergelijk: je moet de bende opruimen als je FB-account gehackt is). Ik heb liever dat ik te goed beveiligd ben dan te slecht.

Men overschat naar mijn gevoel enorm de waarde van het hebben van goede wachtwoorden op al je accounts. Het zou voor het gross niet op jou uit moeten maken als deze gehackt worden.

Voor veel webshops heb ik dat ook jaren gedaan: 1 standaard wachtwoord, niet eens complex, overal gebruiken.

Ik vind het persoonlijk wel prettig dat ik overal ter wereld gewoon overal bij kan, omdat de wachtwoorden die ik gebruik zich op de enige onkraakbare plek ter wereld bevinden... Mijn hoofd.

Dat kan met dit soort aanbieders toch ook? Installeer (in het geval van LastPass) de add-on voor Chrome en je kunt overal ter wereld via 2FA inloggen en je wachtwoorden laten invullen. Dat kan met je laptop, met een app in Android of iOS, waar dan ook, wat jij wil. Maar iedereen moet natuurlijk doen wat hij zelf goed vindt. Ik ben het een hele tijd met je eens geweest, tot ik me ging verdiepen in hoe dit soort systemen werken en me realiseerde dat ik wel heel vaak hetzelfde, redelijk sterke, maar niet unieke wachtwoord gebruikte.

batjes @Grrrrrene • 30 december 2017 15:58

Paypal snap ik nog, valt een beetje onder bank.

Steam kunnen ze niets mee wat jou schade doet zonder toegang tot je email. Enkel je games spelen of er games bijkopen.

Energieleverancier bij mij hetzelfde, alles wat ik contractueel doe wordt bevestigd via de mail. Mijn mobiele en vaste providers idem. In redelijk wat gevallen wordt er ook nog van alles via de post bevestigd.

Ik heb ook online games met accounts waar vele honderden of duizenden euro's in zit. Ook daar kunnen ze niets doen behalve -tijdelijk- de spellen spelen of zelf geld uitgeven.

DUO > digid, UWV > digid.

In bijna alle gevallen kunnen ze buiten een kleine hindering, weinig bereiken door die meuk te hacken.

Klopt, voor 99 van de 100 websites op het web maakt dit ook niet uit, maar zoals ik hierboven al uiteen heb gezet zijn er zat websites waar ik wel degelijk een erg sterk wachtwoord voor wil hebben. En ik vermoed dat met de opkomst van cryptocurrency de behoefte aan sterke wachtwoorden alleen maar groter wordt.

Je hebt uitzonderingen, maar als je het handig aanpakt, kom je daar met een klein handje vol wachtwoorden wel mee weg. Paar leuke zinnetjes in 2 of 3 volgordes oid. Doe dat 5 keer (wat wel te onthouden is) en je hebt 25 of 125 combinaties.

Dat kan met dit soort aanbieders toch ook? Installeer (in het geval van LastPass) de add-on voor Chrome en je kunt overal ter wereld via 2FA inloggen en je wachtwoorden laten invullen. Dat kan met je laptop, met een app in Android of iOS, waar dan ook, wat jij wil. Maar iedereen moet natuurlijk doen wat hij zelf goed vindt. Ik ben het een hele tijd met je eens geweest, tot ik me ging verdiepen in hoe dit soort systemen werken en me realiseerde dat ik wel heel vaak hetzelfde, redelijk sterke, maar niet unieke wachtwoord gebruikte.

Ik ben het internet gebruiken naar het aloude principe: alles wat je er op zet, is publiekelijk beschikbaar. Maakt niet uit of dit zich achter gesloten deuren bevindt of niet.

Buiten nog geen 10 logins, kan het me allemaal weinig boeien als de rest gehacked word. Voor wat me wel boeit heb ik safeguards, zoals notificaties bij vreemde loginpogingen en/of 2FA. Die groep logins is dusdanig klein dat het een kleine moeite is ze te onthouden. Alles wat me niet boeit daar hergebruik ik een aantal wachtwoorden zodat ik overal mezelf naar binnen kan bruteforcen.

Je veiligheid zit niet enkel in je wachtwoord. Ik gebruik bij verschillende communities/websites andere nicknames of andere email adressen. Al zou een hacker er 1tje te pakken krijgen, success met het vinden van de rest.

Ik laat weinig tot geen persoonlijke informatie achter op plekken waar dit gelogt wordt. Prive berichten, chats, mail, profielen, posts.

Als je alles via een password manager doet. Wat nou als daar een zero day in zit? Waar via een zero day in je browser, OS of apparaat zelf misbruik van gemaakt kan worden. Kunnen ze direct overal bij.

Het is een single point of failure, ik ben geen security expert, maar in de IT is dat doorgaans meestal de meest idiote vorm van garantie.

The Chosen One @batjes • 31 december 2017 09:53

Denk dat je heel erg onderschat wat mensen kunnen doen met accounts en waar accounts gebruikt voor worden. En alle risico's van dien, niet alleen voor jou maar ook voor andere mensen.
En de mens zelf kwa mogelijkheden overschat. Genoeg mensen en instanties die aangeven dat de mens zelf 1 van de slechste punten van beveiliging is.

De problemen die je kunt hebben met iemand die een "nutteloze" account kraakt kunnen veel groter zijn en heel lang duren om weer te fixen.

Heb nu ~220 accounts in mijn manager zitten. Meestal allemaal randomised. Bij de meeste wachtwoorden duur het tot "11.52 thousand trillion centuries" om ze te bruteforcen.En sinds paar dagen nu Yubikey erbij.

Grrrrrene

@The Chosen One • 31 december 2017 11:52

Nouja, het is misschien zo dat zij er niet zoveel mee kunnen winnen, maar stel nu dat iemand allerlei meuk gaat bestellen met jouw account en dat met Afterpay betaalt. Dan kun je het allemaal wel gaan terugsturen (want als de buren het aannemen in jouw afwezigheid kun je het niet weigeren), maar je bent er wel druk mee en het zal je ongetwijfeld *iets* kosten.

En wat je zegt: mensen onderschatten wat iemand met je account kan.

The Chosen One @Grrrrrene • 31 december 2017 12:06

Ze kunnen zoals boven gezegd wordt ook dingen kopen bij game accounts e.d. maar als dat met gestolen creditcard of geld van andere rekeningen gebeurd kunnen ze ook jouw account sluiten of blokkeren.

En dan weer unblokkeren kan erg vervelend/langdurig zijn. En als je dan wel je wachtwoord nog weet (simpel/gebruik je vaker volgens bovenstaand voorbeeld) maar niet bijv je veiligheidsvragen weet of nog een oud e-mail adres gebruikt of zo dan kan dat ook lastig worden.

Had daar ook wat probleempjes mee bij wat oude accounts, 1 was van mij oude school. Die weet ik absoluut nog, alleen kon hem niet beantwoorden... hoofdletter, volledig met school erin, zonder, niks.
Soms kun je ze resetten zonder problemen, en soms moet je een vraag of meer beantwoorden voor je ze kunt resetten. Beetje vaag, om de vragen te resetten moet je ze beantwoorden. Keer EA help gecontact etc.

Nu heb ik dezelfde 3 antwoorden voor elke veiligheidsvraag, of ze nu om een auto, straat of plaats vragen. In theorie niet het meeste veilig maar praktisch gezien toch het handigste.

-
Ben de afgelopen maand ~150-250 sites langsgeweest en wachtwoord geupdate en 100+ emails/twitter berichtjes of achter wat accounts aan te gaan of account laten verwijderen (doen sommige nog flink lastig over!), 3 gmails verwijderd e.d.
Had ~250 duplicate passwords (12 daar, 10 daar, 9 daar), wat op zich niet zo'n megaramp was maar better be save then sorry. Dat is nu nog ~30-40 of zo waarvan een gedeelte mogelijk niet meer bestaat (bigu.nl, Dixons.nl) en de rest is amazon.nl.de.co.uk.com etc.

Eh bla bla bla bla bla....

The Chosen One @Grrrrrene • 31 december 2017 10:06

Tis in mijn geval niet super super ernstig maar zag paar dagen terug dat ik nog een heel oud gmail account had ergens in mijn normale hotmail. (anders had ik gelijk kunnen reageren natuurlijk)

Ff weer toegang verschaft met wat proberen en zag dat er allemaal gamesites accounts, instagram, pandora, apple id en 2 banksites was aangemaakt in de tussentijd, wat andere spam als dating sites en gedoe erbij.

Kan in principe de gmail direct laten deleten maar ben ff bezig wat van de gemaakte accounts te deleten en wachtwoorden te resetten. Tijdje al geen (Indiërs volgens mij) activiteit bezig volgens mij meer maar stel dat dan ben ik ieg ff vervelend bezig.

Werd ook ineens weer buitengesloten door google door "suspicous activies" toen ik bezig was accounts te deleten en zo.

Aanvragen weer account los te gooien, maar ff telefoon er aan verbonden zodat ik het ff kan finishen. Nog ff wachten op apple id deletion en dan gaat de gmail helemaal weg.

[Reactie gewijzigd door The Chosen One op 27 juli 2024 07:14]

MrMarcie @batjes • 30 december 2017 19:42

? Ik beheer 60+ sites voor klanten. Dat zijn er dus al meer dan 20. En zo heb ik nog een riedeltje servers, VPS etc. Dan nog diverse andere systeempjes. Totaal ruim 1.000 wachtwoorden (ja ook onbelangrijkere zaken daarbij). Dus die 20 kom ik niet mee uit.

stresstak @batjes • 30 december 2017 16:44

Ik snap niet zo snel wat de gemiddelde mens met 20+ van die wachtwoorden moet.

99/100 websites op het web, maakt het wat uit [...]

Misschien gebruikt men ook wachtwoorden op andere plekken.?
Ongeacht waar ze voor zijn, kan een wachtwoordmanager ze voor mij onthouden of invullen.
Ik heb bijvoorbeeld ook wachtwoorden voor TrueCrypt, VeraCrypt en bitlocker in gebruik.

ennas7 @batjes • 30 december 2017 16:00

Als het dan toch niet uitmaakt, dan kan je die websites net zo goed in een password manager stoppen. Go nuts!

Belangrijke wachtwoorden die betrekking hebben tot primaire e-mail, geldzaken of identiteit kan je daar vervolgens buiten houden.

lilmonkey

@Cyb • 30 december 2017 15:44

Als dan ook nog eens blijkt dat ze structureel laks hebben aan 1) hun core business (het negeren van waarschuwingen omtrent beveiliging van wachtwoorden)

Wat een gelul, je weet niet waar je het over hebt. LastPass staat er juist om bekend dat ze normaal gesproken zeer snel en adequaat reageren op dit soort issues. Dit geval is een, voor zover ik mij kan herinneren unieke, uitzondering. Daarbij komt dat deze vulnerability praktisch niet of nauwelijks te misbruiken viel, zoals al door anderen verteld is.

MrMarcie @lilmonkey • 30 december 2017 19:40

Nou hun extensie voor Firefox hebben ze nog steeds niet op orde. Dus zo snel zijn ze nu ook weer niet. Daarom bij ze weggegaan.

Verwijderd @Cyb • 30 december 2017 15:45

Ik heb 200+ logins opgeslagen in m'n vault bij 1password. En waar het kan 2FA aan staan. Zoveel ww'en kan ik niet onthouden. Hergebruik van ww'en is vele malen linker dan specialisten je ww'en laten managen.

Al m'n ww'en zijn >20 karakters, lengte is alles. Alleen zeer frustrerend als er van die sites gebruik maken van minimale eisen als hoofdletters, speciale karakters en cijfers. Laat staan een max lengte van 16.

The Chosen One @Verwijderd • 31 december 2017 09:56

Hoofdletters, speciale karakters en cijfers zou altijd een minimale eis moeten zijn. Sites die alleen bepaalde (speciale) karakters of max lengte toestaan zijn vervelend.

Verwijderd @The Chosen One • 31 december 2017 10:33

En waarom zou dat een minimale eis moeten zijn als het geen toegevoegde waarde heeft? Het heeft geen invloed op de kraakbaarheid (is dat een woord) van een wachtwoord.

The Chosen One @Verwijderd • 31 december 2017 10:36

Het heeft absoluut invloed.
Er zijn (heel grofweg) 2 manieren om een wachtwoord te raden. Random ZELF raden dus 123456, en "wachtwoord", en namen, jaren etc proberen en door middel van bruteforcen.
Dit voorkomt dat mensen zoiets proberen te doen. En ja dat zijn er dus alsnog heel veel.

[Reactie gewijzigd door The Chosen One op 27 juli 2024 07:14]

Verwijderd @The Chosen One • 31 december 2017 12:15

Ik ging nog eens naar owasp om je ongelijk aan te kaarten maar ik was zelf abuis

.
Ik zal mijn persoonlijke richtlijnen aanpassen.

Edit:typo

[Reactie gewijzigd door Verwijderd op 27 juli 2024 07:14]

KopjeThee @Cyb • 30 december 2017 18:16

Dit gaat niet over het opslaan van wachteoorden. Het gaat om de 2fa code generator. Dus de opmerkingen zijn off topic (en onjuist, maar dat is een ander verhaal).

Luchtbakker 30 december 2017 13:52

Ik vind het toch vreemd dat wanneer een onderzoeker het netjes aangeeft er zo laks op gereageerd word, terwijl als het publieklijk word gepost het wel in 4 dagen opgelost kan worden.

Als je zo met lekken omgaat ben je geen serieus bedrijf vind ik. En daarnaast motiveert het een onderzoeker ook niet om zo iets te gaan melden.

[Reactie gewijzigd door Luchtbakker op 27 juli 2024 07:14]

Finraziel

@Luchtbakker • 30 december 2017 14:04

Dat is natuurlijk ook een aanname hè... het enige dat je min of meer zeker weet is dat Lastpass niet zo handig was in het communiceren naar de melder van het lek (er vanuit gaande dat die helemaal eerlijk is, maar hij lijkt weinig reden te hebben om te liegen lijkt me). Het zou prima kunnen dat Lastpass al langer aan een fix werkte maar dat het net iets meer tijd kostte dan de lekker hun gaf.

stresstak @Finraziel • 30 december 2017 16:38

Het zou prima kunnen dat Lastpass al langer aan een fix werkte maar dat het net iets meer tijd kostte dan de lekker hun gaf.

Maar als je niet aangeeft dat je het niet redt binnen de tijd, dan verstrijkt het ultimatum.
En dan wordt het euvel openbaar.

KoenvZuijlen @Luchtbakker • 30 december 2017 17:33

Je weet echter niet hoe het gegaan is. Misschien hebben ze zelf in de tussentijd grotere beveilgingslekken gevonden en gedicht die voor hun meer prioriteit hadden. Misschien waren ze al een tijd met de oplossing bezig maar hadden ze geen goede schatting wanneer de oplossing bedacht zou zijn omdat het een gecompliceerd probleem was om (goed) op te lossen. Pas als je zelf bij dit hele proces betrokken was (lees: in dienst bent bij LastPass en mee hebt ontwikkeld aan de oplossing kan je hier echt uitspraken over doen, maar dan zou ik je ook niet gauw zien zeggen dat het geen serieus bedrijf is.

f1regiver 30 december 2017 14:29

Persoonlijk vertrouw ik cloud diensten niet echt met mijn wachtwoorden.. KeePass en Last Pass vergelijken is zeker niet 100% correct, maar KeePass is tenminste onafhankelijk geaudit door oa EU-FOSSA.

Verwijderd @f1regiver • 30 december 2017 15:06

tja, last pass wordt bij onze overheid (leger / deel politie e.d.) gebruikt waarbij er ook security teams van de Nederlandse overheid een audit hebben gedaan, maar een audit is maar een momentopname. Feit blijft dat het verstandig is een password manager te gebruiken en voor elke site een ander complex wachtwoord.

Wij hebben gekozen voor last pass vanwege de fijne cloudfuntie, als mijn telefoon en alles gestolen is kan ik nog overal bij, ik heb ook mijn id kaarten e.d. allemaal encrypted in die cloud staan zodat ik zelfs die zaken kan opvragen als ik bestolen zou worden daarvan.

Maar het zelf onthouden van passwords is zo onverstandig, dus welke app je ook gebruikt, je bent beter af dan niks.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 07:14]

Bor Coördinator Frontpage Admins / FP Powermod

Wachtwoord

@Verwijderd • 30 december 2017 22:59

Waar vinden we meer info over audits op Lastpass? Er zullen ongetwijfeld mensen naar hebben gekeken maar ik vind nergens informatie over een uitvoerige audit / code inspection zoals bij sommige andere producten wel is gedaan.

Dat Lastpass als cloud dienst bij het leger wordt gebruikt betwijfel ik ten sterkste. Niet alleen is het geen gewoonte om van dergelijke commerciele cloud based oplossingen welke onderhevig zijn aan Amerikaanse wetgeving gebruik te maken maar ook wordt er doorgaans geen gebruik gemaakt van producten met een twijfelachtige staat van dienst en laten we eerlijk zijn; als we naar de eerder door mij gelinkte nieuwsitems kijken hebben we het hier wel over een dergelijk product.

[Reactie gewijzigd door Bor op 27 juli 2024 07:14]

AmonTobin @f1regiver • 30 december 2017 15:09

Ik vertrouw mijzelf ook niet met mijn wachtwoorden. ;p

Ik vind zelf dat ik na het in gebruik nemen van Lastpass mijn zaken veel beter op orde heb. Uiteraard blijft het een stuk vertrouwen wat je moet hebben in Lastpass.

Zo vertrouw ik mijn bank ook niet helemaal 100% met het geld wat op mijn spaarrekening staat, maar het is nog altijd beter dan in huis bewaren.

Ik heb er eigenijk niet zo heel veel moeite mee. Als je Lastpass gebruikt zoals het hoort, 2FA gebruikt en een complex master password hebt ingesteld, hoef je je niet heel veel zorgen te maken (extreem uitzonderlijke situaties daargelaten)

CR2032 30 december 2017 16:40

Voor mij weer een reden om mijlenver van LastPass af te blijven. Het is de honingpot voor wachtwoord hackers. En ook omdat Lastpass toegang heeft tot al jouw url's en log bestanden om ' de service te verbeteren'. Het staat netjes bij hun privacy voorwaarden maar daar lees je gemakkelijk over heen.

Geef mij maar KeePass. Iets minder mooi gelikt als LastPass maar doet het wachtwoord kunstje ook inclusief 2FA.

NSG 30 december 2017 16:55

Ik heb zelf mijn wachtwoorden in een “kluis” van LastPass staan. Maar om dan ook 2FA via hen te laten verlopen klinkt naar mijn mening niet echt verstandig, hier gebruik ik dan weer Authy voor.

ChAiNsAwII 31 december 2017 10:48

Wat waar dan? Je reageerd in een topic waar gemeld wordt dattie onveilig was, en dit is niet de eerste keer dat t voorbij komt. Dat jou oude wachtwoordje crap was ligt meer aan jezelf, je doet t lijken alsof dat altijd zo gebeurd, ik heb bepaalde ww al meer als 20 jaar in gebruik, zijn nog nooit gehacked, je moet gewoon orgineel. Heel veel redenen, oja welke dan? Dat ze in amerika dmv patriot act altijd bij jou ww kunnen komen? Nee dank je, veel succes met je manager rommel.

ChAiNsAwII 1 januari 2018 07:47

Daar ga je met je ww manager ; https://nl.hardware.info/...ken-om-personen-te-volgen

The Chosen One @ChAiNsAwII • 31 december 2017 10:01

Vreemd dat alle security experts jouw tegenspreken dan. ;p

En ik ga dus geen zelfde wachtwoord gebruiken op 150-200 "algemene sites"...
Een random site mag dan minder vitaal zijn voor je algemene leven maar kan alsnog belangrijk zijn en zeer storend en/of langdurende effecten hebben indien "gehacked".

edit;
Ik herhaal een gedeelte van wat ik hierboven in een andere post gezegd heb;

Zag paar dagen terug dat ik nog een heel oud gmail account had ergens in mijn normale hotmail.
Ff weer toegang verschaft met wat proberen en zag dat er allemaal gamesites accounts, instagram, pandora, apple id en 2 banksites was aangemaakt in de tussentijd, wat andere spam als dating sites en gedoe erbij.

Die site stamde uit een tijd dat ik 1 wachtwoord gebruikte voor alles. Daarna ging ik over op datzelfde wachtwoord met 1 cijfer erachter, toen 2/3 en wat mixen met cijfers.

Nu ben ik de afgelopen maand honderden sites langsgeweest en wachtwoord geupdate,beveligingsvragen geupdate, accounts verwijderd etc. etc.

[Reactie gewijzigd door The Chosen One op 27 juli 2024 07:14]

The Chosen One @ChAiNsAwII • 31 december 2017 10:16

Je spreekt jezelf tegen daarmee. Mijn manager zorgt voor goede wachtwoorden juist.
En het gaat niet alleen maar om het wachtwoord en de manager, je vergeet de site zelf. Daarom is het juist belangrijk om overal unieke wachtwoorden te hebben.

En onbetrouwbaar? Waar dan? Genoeg opties en managers met de juiste feature sets voor je eigen wensen. Er zijn juist heel veel redenen om er wel een te gebruiken.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (92)

Sorteer op:

Weergave: