Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

LastPass dicht kwetsbaarheid in zijn browserplug-in

LastPass heeft een door Googles Project Zero aangetroffen kwetsbaarheid in zijn browserplug-in ongedaan gemaakt. Een aanvaller kon onder omstandigheden het laatst gebruikte wachtwoord achterhalen met een speciaal vervaardigde website.

LastPass heeft zijn browserextensie een update gegeven en veel gebruikers zouden automatisch die versie met nummer 4.33.0 moeten ontvangen, terwijl gebruikers die automatisch bijwerken uitgeschakeld hebben handmatig moeten updaten. Volgens de maker van de wachtwoordbeheerder trof het probleem alleen Chrome en Opera, maar is de update verstrekt voor alle browsers.

De kwetsbaarheid is vorige maand aangetroffen door Tavis Ormandy van Googles Project Zero, die erover bericht nu LastPass het probleem heeft verholpen. Hij ontdekte dat via een omweg de pop-up voor wachtwoorden van de browserextensie is te tonen, waarbij de cachewaarde nog aanwezig is. In de praktijk betekent dit dat het laatst gebruikte wachtwoord zichtbaar is.

Gebruikers moeten daarvoor wel naar een speciaal vervaardigde website gelokt worden, maar clickjacking is bijvoorbeeld te plegen door url's te maskeren achter Google Translate, zo tekent Ormandy aan. Hij spreekt daarom van een ernstige kwetsbaarheid.

Door Olaf van Miltenburg

Nieuwscoördinator

16-09-2019 • 14:20

89 Linkedin Google+

Submitter: daupie

Reacties (89)

Wijzig sortering
Hoe verhouden al die Keepass varianten zich tot elkaar? Ik gebruik zelf de normale (?) Keepass, maar in de reacties hier lees ik over KeepassX en KeepassXC. Verschillen / voordelen?
Zijn er nog goede alternatieven voor Lastpass browserplugin?
Ik gebruik Keepass op mijn laptop, en ben op zoek naar een browserplugin voor wat accounts die ik met mijn vrouw deel.
Als je bereid bent om zelf te hosten, kan ik Bitwarden van harte aanraden.

Wil je liever een dienst? Dan kan ik je OnePassword aanraden (heb ik zelf geen ervaring mee maar om mij hoor ik alleen maar positieve verhalen. In tegenstelling tot lastpass, wat iedereen eigenlijk een beetje meh lijkt te vinden, inclusief ikzelf.)
"Iedereen" is een beetje overdreven. Ik werk al jarenlang met Lastpass en heb geen enkele klacht, dus vind het zeer zeker niet "eigenlijk een beetje meh". De issues die tot nu toe zijn ontdekt, zoals ook regelmatig in andere internettoepassingen worden ontdekt, zijn tot nu toe snel verholpen. Lastpass werkt prettig en goed in de praktijk.

[Reactie gewijzigd door sellh48 op 16 september 2019 15:37]

Hier ook al jaren een erg tevreden gebruiker van Lastpass. Ik heb het zonder problemen draaien op OSX, Win, iOS en Android. Cross platform vind ik Lastpass juist een van de betere password managers.
Ik ben jarenlang gebruiker van zowel LastPass als 1Password en (iCloud) Keychain. LastPass voor Safari is bergafwaarts gegaan sinds enkele maanden, ook voor ze overgingen naar Apple's nieuwe implementatie van Safari extensies. Het is traag, werkt niet goed en soms helemaal niet (blanco extensie menu), websites die voorheen probleemloos werden ingevuld doen dat niet meer en na een clean install van de extensie is het nog steeds traag, lijkt het zichzelf altijd dubbel te laden nadat je op het icoon hebt geklikt en werkt het nog steeds niet zoals het ooit heeft gewerkt.

De macOS app werkt ook voor geen ene meter, maar die is volgens mij al vrij lang gedumpt. De nieuwe achtergrond app voor macOS lijkt beter, maar die loopt geregeld vast als je iets wilt kopiëren of als je je MP hebt ingevuld. De overige extensies en die voor andere platforms gebruik ik niet vaak genoeg om tegen problemen aan te lopen. Het geheel lijkt er door de jaren heen niet beter op zijn geworden en met name de klantenservice en imo de mate waarin bugs voorkomen en voor lange tijd niet opgelost worden is bergafwaarts gegaan sinds de overname door LogMeIn.
Ik ken natuurlijk niet iedereen op de wereld die Lastpass gebruikt. Dit is gebaseerd op mijn eigen+ervaringen van anderen. Iedereen bedoel ik in dit geval 'iedereen die ik ken die lastpass gebruikt'
Ik heb soms het idee dat kwetsbaarheden van Lastpass snel in het nieuws komen. En zover ik weet worden ze altijd snel opgelost. Lijkt mij juist een voordeel. Dan weet je tenminste dat er wat gebeurt is. Maar de berichtgeving kan natuurlijk ook mensen afschrikken.
Ik host nu al enkele tijd zelf Bitwarden op m'n server en kan het echt iedereen aanraden.
Alleen al om het fijt dat je het zelf kan hosten en open source is en dus niet het vertrouwen bij een third party hoeft te leggen was voor mij genoeg. Daarbij komt ook nog dat de plugins en apps goed werken. Ik gebruik zelf de firefox plugin en de android app. Er zit een makkelijke wachtwoord generator in, het heeft door als je ergens onbekends inlogd en geeft je een melding om het op te slaan (alles wat je van een password manager mag verwachten anno 2019 heeft het).
Laatst kwam ik er achter dat het ook totp ondersteund wat voor mij een echte uitkomst is aangezien ik vaak een nieuwe rom op mn telefoon zet en daardoor dus niet een totp app langduurig makkelijk kan gebruiken (al is dit uiterraard wel minder secure dan als je de totp ergens anders dan je wachtwoorden bewaard).

[Reactie gewijzigd door Lau1406 op 16 september 2019 16:03]

Ik gebruik zelf al jaren LastPass, eigenlijk tot volle tevredenheid, maar misschien weet ik niet beter; wat is er zo meh aan LP?
De plugin voor firefox is glitchy, autofill op android is glitchy, 2FA is glitchy.
Het leverde meer gezeur op dan gemak eigenlijk. Op iOS werkte het als een trein, dat wel. Maar dat doet bitwarden ook.
Ik was het met je eens over de autofill op android, maar na de laatste update is dit (voor mij) volledig gefixt.
Moet zeggen dat doordat je "glitchy" zo vaak gebruikt het nu ook weer niet echt duidelijk is wat je er precies mee bedoelt of wat er precies gebeurd.
Nooit echt problemen gehad met de autofill hier. Enkel wanneer de website zelf ook iconen rechts in het veld zet die je ook kunt aanklikken wordt het soms even een omweg gebruiken.
Heb je en voorbeeld van "glkitchy" op Firefox? Zelf weinig tot geen problemen gehad, en als de autofill knop niet werkt kan ik makkelijk op het account in de plugin drukken en autofilled ie 'm alsnog, als ik op een website kom met een log-in veld vult ie het automatisch in - als ik dat wil (gewoon een setting) - en als ie er echt niet uit komt kan ik altijd nog the good ol' copy-pasta doen.

Ik zie het probleem niet zo t.o.v. alternatieven, waar het m.i. precies hetzelfde werkt m.u.v. autofill. Daarnaast heb je ook de Lastpass app voor op de desktop waarmee je zelfs in apps kunt autofillen. Die werkt bij mij ook prima (af en toe een issue, maar goed, als iedereen z'n eigen namen voor log-in velden gaat gebruiken komen we nooit op een goeie normalisatie lijn) en zo niet, easy as pie om dan even een account erbij te pakken en een copy-pasta uit te voeren.
Nog even verder onderzocht en Bitwarden wordt goed ontvangen, daarom maar eens de gok genomen. De LP app op Android vind ik inderdaad soms wat vaag reageren door sites te openen in de LP app zelf ipv in de browser. Bitwarden geïnstalleerd, ww vanuit LP geïmporteerd en nu aan het kijken. Het ziet er in ieder geval overzichtelijk uit en het lijkt allemaal soepel te werken. Niet zo bloated, daar hou ik van. En een dark theme 😍

Dank voor de tip!
Wat is er mis met Bitwarden als dienst dan?
Geen idee, ik wist niet dat die bestond.
Ok. Het ziet er wel interessant uit. Ze claimen gratis te zijn en blijven voor persoonlijk gebruik.
Waarom moet het toch steevast gratis zijn? Gratis bestaat niet - je bent dan zelf het product.
Ik zeg niet dat het gratis moet zijn. Ik zeg alleen dat het het interessanter maakt. Bij Lastpass betaal ik sinds ik het ben gaan gebruiken (voordat de gratis versie de android app toegang had). Ik betaal nog steeds wat ik toen betaalde, maar mijn vrouw betaalt het viervoudige. De prijs van het jaarabo gaat de laatste jaren ieder jaar wel erg hard omhoog.

Ik weet trouwens niet hoe je in dit geval het product kunt zijn. Let wel, ze bieden ook een betaalde upgrade met meer functionaliteit en hebben corporate abonnementen.
Je kunt het ook (gratis) bij Bitwarden zelf laten hosten. Er is ook een betaalde optie met meer mogelijkheden. Maar zelf kom ik een heel eind met de gratis versie.

[Reactie gewijzigd door NoMoreMusic op 16 september 2019 14:58]

Ik vind lastpass prima werken, zowel op laptop als iOS en Android

[Reactie gewijzigd door Emin3m op 16 september 2019 16:13]

Wat is het voordeel van bitwarden tov KeePassXC?
Je host het op een server, in plaats van een losse file lokaal op je harde schijf. Je kan er dus vanaf elke computer met een webbrowser bij.
ik sla mn keepass database gewoon op een server op.. Dat kan gewoon.
Enig idee hoe het zich verhoudt ten opzichte van Keeweb?
Ah, ok, da's inderdaad wel een belangrijk verschil.

Maar draai je dan de server (bijvoorbeeld) thuis en moet je daarvoor dan de poort open zetten voor de hele wereld?

M'n keepassxc database wordt tussen al m'n computers en telefoons gesynct (via syncthing), het enige dat je dan mist is dat je er vanaf een willekeurige computer bij kunt. Maar vraag me af of dat een voordeel of een nadeel is :)

Wel handig(er) dat je niet eerst lokaal keepassxc moet starten.
Aan de andere kant zie ik dat de desktop app van bitwarden electron based is :(
Ik ben ook tevreden gebruiker van Lastpass. Op pc's met Chrome, Firefox en op android telefoons, altijd de wachtwoorden bij de hand en automatisch ingevuld op websites en apps, is simpel ideaal. Family account zodat ik alle belangrijke zaken deel met partner werkt ook goed :)
Even een kleine kritische check gedaan:
- Op de biwarden.com website staat geen contactinformatie. Enkel dat het bedrijf er achter het product 8bit solutions is
- Op de website van www.8bitsolutions.com kom je uit op een lorum ipsum drupal template
- Bij een search op linkedin staat het gaat om een Indiaas bedrijf met 3 contacten op linkedin
Ik weet niet of al die websites gerelateerd zijn aan de service, maar ik vind het allemaal vaag.
Password managers zijn enorme honey pots en je wilt dus al je passwords hier neerleggen? 8)7
Maar ja, het is gratis...

[Reactie gewijzigd door retep69 op 16 september 2019 16:01]

"Bij een search op linkedin staat het gaat om een Indiaas bedrijf met 3 contacten op linkedin"

Dan heb je de verkeerde gevonden, want 8 Bit Solutions is een Amerikaans bedrijfje:
http://search.sunbiz.org/...SOLUTIONS%20L160001061190
Of jij moet vinden dat Florida tegenwoordig een staat in India is...
En er is maar 1 contactpersoon op hun LinkedIn, niet 3: https://www.linkedin.com/...milar-companies_org_title

Trouwens, het is niet alleen gratis, het is ook open source: https://github.com/bitwarden
En Microsoft beveiligt de server: https://help.bitwarden.com/article/cloud-server-security/

Edit: bericht aangevuld.

[Reactie gewijzigd door TheVivaldi op 16 september 2019 20:02]

Open source is allemaal leuk en aardig maar wie controleert dan die hele code? Er wordt laatste tijd wel erg gedaan of open source allemaal heilig of beter is.
Externe auditors:
https://blog.bitwarden.co...ecurity-audit-c1cc81b6d33

Audit report:
https://cdn.bitwarden.net...20Assessment%20Report.pdf

Nu ken ik Cure53 niet dus hun expertise zal je dan wellicht ook nog moeten checken. Ergens komt het altijd neer op een stukje vertrouwen. Hoe ver je wil gaan in het controleren moet je voor jezelf bepalen.

Ik draai nu zo'n 3 maanden bitwarden op mijn eigen server na overgestapt te zijn van LastPass. Ik wil zo min mogelijk afhankelijkheden van het internet (als in Cloud). Dat wil niet zeggen dat het niet een aanvulling kan zijn maar als een derde parij besluit te stoppen wil ik niet een probleem hebben. Als bitworden stopt kan het ik het nog thuis blijven draaien tot ik een alternatief gevonden heb.
Wie zegt dat ik vind dat open source heiliger of beter is? Ik heb bij andere artikelen juist hetzelfde gezegd als jij. Het bericht hierboven was, naast de landcorrectie, alleen een aanvulling op wat de persoon erboven zei, en niet mijn mening over open source (die ik, nogmaals, met jou deel).

[Reactie gewijzigd door TheVivaldi op 16 september 2019 17:22]

"Dan heb je de verkeerde gevonden, want 8 Bit Solutions is een Amerikaans bedrijfje."

Waar heb jij die informatie dan vandaan?
Van de hoofdontwikkelaar; die heeft dat zelf medegedeeld: https://www.reddit.com/r/...q5pqwo/?context=8&depth=9

Ik denk dat de persoon hierboven uitkwam op het Indiase bedrijf https://www.linkedin.com/company/8bit-solution, maar dat is dus een ander bedrijf, dat zie je alleen al aan de 's' die op het einde van de naam ontbreekt. De LinkedIn-pagina van 'onze' 8 Bit is https://www.linkedin.com/...milar-companies_org_title

En de record (zeg maar KvK-inschrijving) is hier te vinden: http://search.sunbiz.org/...SOLUTIONS%20L160001061190

[Reactie gewijzigd door TheVivaldi op 16 september 2019 19:59]

Kun je daar ook tokens in opslaan of alleen wachtwoorden?
Dat is mogelijk! Bitwarden kopieert je token ook naar je clipboard na het automatisch invullen van je wachtwoord, dus je hoeft 'm alleen maar te CTRL+V'en :)
Is dat een feature of een weakness?
Hangt er van af hoe je het ziet :D
Bitwarden raad zelf aan om een externe app te gebruiken voor tokens (bijvoorbeeld Authy).

Tokens gezamelijk met wachtwoorden opslaan breekt immers het two-factor principe.
Het is mogelijk met de premium versie (10 dollar per jaar).
Ik zou je 1password.eu aanraden. Ik gebruik zowel LastPass als 1password.eu en ik vind de laatste beduidend beter en veiliger.
Ik ben dan wel benieuwd wat er veiliger aan is.
Als we het even toespitsen op de browserplugin (daar ging de vraag over): LastPass biedt de optie om het hoofdwachtwoord op te slaan. Dit betekent dat LastPass met één muisklik benaderbaar is via de browserplugin. Mijn ervaring is dat veel gebruikers dat prettig vinden. Terwijl het inherent niet erg veilig is. 1Password biedt deze optie bewust niet. Voor de gebruiker betekent dit dat het hoofdwachtwoord vaker ingevoerd moet worden. Maar het tekent in mijn ogen wel het verschil in benadering van beide apps.
Ter illustratie kopieer ik hier de reactie van support van 1Password op mijn vraag waarom ik voor mijn gevoel vrij vaak mijn hoofdwachtwoord moet invoeren terwijl ik ook gebruik kan maken van Windows Hello. Reactie: "Windows Hello is only available once you unlock 1Password first with your master password and after that, as long as you don't terminate 1Password, sign out, or reboot, it'll remain available on next lock view.
In order for Windows Hello to work, we have to give it a temporary one-time key to use on the next lock view, the key is based on the master password you entered in 1Password; we don't know your password and we don't store it anywhere. 1Password and Windows Hello keeps that key in your system memory, that's why once you terminate 1Password, it is reset completely and such key cannot be used to unlock 1Password again.
1Password uses encryption, not authentication like Windows Hello, that means in order for Windows Hello to be always available, your master password has to be stored on disk all the time. That's not a risk we're willing to take. As for Face ID and biometric security system, they're not a good security system because you cannot reset your fingerprint, facial data and so on; so if someone have stolen that information, they can reuse it all the time, you cannot change this. Your password can be changed and thus, will always be stronger than any other system; which is why you have to create a password/PIN before you can enable Hello and/or Face ID, Microsoft/Apple don't trust the same system as primary either and no one should; they have to fall back to the password/PIN if they suspect something is wrong; if you don't use your device for a few days, they'll reset it to require a password. That's very good security.
The other problem is that because of the encryption, if you forget your password, you cannot reset it, as there is no backdoor to your encrypted data. You would have to start over; thus many platform reset the biometric security once in a while to help you maintain your memory of the master password."

Mijn ervaring met de support van LastPass is 'anders'. Case: een gebruiker werd geconfronteerd met een crash van de browserplugin in Chrome. Nu wist hij zijn hoofdwachtwoord niet meer (dat krijg je dus als je het kan opslaan). Ik dacht dat het geen probleem was omdat deze gebruiker LastPass ook op een laptop én op een iphone had staan. Lang verhaal kort: op de laptop werkte de plugin ook niet meer en LastPass op de iphone was ook niet meer te ontgrendelen met touch id. Vervolgens dacht ik: nog steeds geen probleem omdat account herstel via de mobiele telefoon ingesteld was. Wat bleek vervolgens: dat werkte ook niet, om onduidelijke redenen. Uitgebreid contact gehad met support hierover, maar ze konden deze 'dominoramp' niet verklaren en kwamen niet verder dan het advies om een account reset uit te voeren. Dat was onontkoombaar, dus de gebruiker is al zijn gegevens kwijt.
Deze ervaring heeft mijn vertrouwen in het programma geen goed gedaan. En vandaar dat ik 1Password beter en veiliger vind.
Zijn er nog goede alternatieven voor Lastpass browserplugin?
Geen browserplugin gebruiken en gewoon zelf kopiëren en plakken van je wachtwoorden met een wachtwoordenmanager die na zoveel seconden je clipboard leegt.
Precies!

Dat doe ik al heel lang op deze manier met KeePass.

Inloggegevens zijn mij even te belangrijk om die toe te vertrouwens aan browser-plugins.

Kopieeren / plakken is zo gedaan, kost je een paar seconden.
Kopieeren / plakken is zo gedaan, kost je een paar seconden.
Dus elke keer als jij je mails checked of naar Tweakers gaat moet je je naam en pass opnieuw invoeren? Moet ik niet aan denken...
Hoevaak check jij je mail ed wel niet? Enige verslaving bespeur ik? :)
100 keer een paar seconden is best lang... En dat elke dag... nee dank u :-)
Inloggegevens zijn mij even te belangrijk om die toe te vertrouwens aan browser-plugins.
Dit is een uitgehold statement wanneer je realiseert dat alle applicaties die je op je computer hebt geïnstalleerd jouw clipboard kunnen uitlezen.
Eensch. Het overgrote deel van de kwetsbaarheden in password managers heeft met browserplugins te maken. Voor mij dus gewoon de copy / paste of autotype aanpak.
Juist ja, maar wel even vervelend dat je klembord in principe publiek is op je lokale pc en ook zo uitgelezen kan worden door allerhande programma's. Dat gaat dan weer niet op die manier met browser-plugins.

Dus ja, alles heeft zo zijn voors en tegens.
Aan de andere kant geldt hetzelfde voor je netwerkverkeer. Het klopt dat je klembord publiek is, maar zodra een aanvaller een malafide programma heeft geinstalleerd zijn er legio andere manieren om je gegevens te bemachtigen.
Ben zelf met heel veel vreugde overgegaan van Lastpass naar Bitwarden. Browser plugin werkt erg fijn.

Heb jarenlang de betaalde variant gehad van Lastpass, maar de Firefox ondersteuning werd steeds dramatischer. Na herhaaldelijk tickets te openen, werd ik afgewimpeld met de opmerking, dit heeft niet de focus voor ons, ga lekker chrome gebruiken.

De performance was ronduit slecht en vertraagde de browser ervaring drastisch.
De switch naar Bitwarden verhielp 95% van de problemen.
Klinkt meer als een FF probleem, maar goed, mijn ervaringen met FF zijn niet al te best. Te veel functies die er in mijn ogen standaard in moeten zitten, zijn alleen met plugins erin te krijgen.
Nee, helaas: de Firefox plugin voor lastpass is dramatisch. Het vertraagd de boel enorm. Plugin deactiveren, en Firefox is ineens weer snel. Toen heb ik heel snel wat anders gezocht.
Wellicht BitWarden.
Bitwarden gebruik ik naar volle tevredenheid. Veel mogelijkheden.
Ik heb ze allemaal geprobeerd en Dashlane is bij mij diegene die bleef hangen. Met name door goede ondersteuning op Windows, Linux en Mac OS X. Ook het inloggen in meerdere gmail (apps voor business) emails werkte het beste (destijds / eind 2018) bij Dashlane beter dan bij anderen (wo Lastpass). Vond zelf de webapps van LP erg rommelig. Het delen van ww in een business omgeving is wel beter geregeld in LP.
Ik zelf was ook altijd bezig met keepass. Maar sinds we op het werk over zijn op Apple moet ik zeggen dat de iCloud sleutelhanger fantastisch is. Als er nou zo iets cross platform zou bestaan.
Ik gebruik EnPass, een hele fijne applicatie waar ik zeer over te spreken ben!
Zelf gebruik ik Enpass ook, erg tevreden over.
Ik ben zelf heel enthousiast over 1Password mede omdat vroeger LastPass ook al eens beveiligingsissues heeft gehad.
De app kost wel geld maar goed, voor een applicatie waarin je je gevoelige wachtwoorden toevertrouwd betaal ik liever dan dat ik het gratis kan gebruiken.

Ps voor de mensen die Bitwarden gebruiken, doneer en betaal dat tientje. Dit kan de dev goed gebruiken om zijn app verder te ontwikkelen en overige kosten betalen die hij maakt. De cloudserver waar de wachtwoorden worden gehost is namelijk niet gratis.
Heel veel fantastische software op deze planeet is gratis, dat hoeft geen bezwaar te zijn :) Sterker nog, open source kan je zien als veiliger, want iedereen kan erin kijken en weten hoe het werkt waardoor (ernstige) fouten eerder gevonden en hersteld kunnen worden!

Ik gebruik zelf Keepass, gratis en werkt prima. Echter wel lokaal en zonder integraties. Veiliger, maar tegelijkertijd aanzienlijk minder gebruiksvriendelijk.
Dat heb ik ook nergens gezegd maar jij weet net zo goed als ik dat de open source community ook heel erg grillig kan zijn. Hoeveel kleine succesvolle projectjes worden niet door onenigheid over de koers stopgezet of geforked?

Daarnaast, de grote succesvolle open source projecten draaien uiteindelijk ook op donaties van het bedrijfsleven en community. De software bouwen zelf kan gratis maar de hosting van allerlei diensten en services is niet opensource. De dev die achter Bitwarden zit moet uiteindelijk ook de rekening aan Microsoft betalen voor zijn Azure cloud.
Voor Chrome is er CKP - KeePass integration for Chrome? Is alleen voor het uitlezen van het KeePass bestand.
Persoonlijk gebruik ik nu KeePassXC-Browser als browser plugin (met KeepassXC). Voor mij werkt het perfect! Alleen Google login velden vind de plugin moeilijk te begrijpen.
Ben zelf laatst gebruik gaan maken van Bitwarden, zeer tevreden over (en open source!).
Ik gebruik persoonlijk Bitwarden, werkt een stuk prettiger dan lastpass en als je betaald mag je het zelfs zelf hosten.
De KeePassXC browser plugin werkt erg goed. Kan je ook accounts in een database delen met iemand anders.
Dubbel als LastPass gebruiker.

LastPass is de hoogste boom, dus die vangt veel wind. Aan de andere kant komt dat natuurlijk de veiligheid uiteindelijk wel ten goede aangezien LP het vuur continue aan de schenen wordt gelegd. Het team komt altijd snel in actie, en dat wekt dan weer het nodige vertrouwen.

[Reactie gewijzigd door yinx84 op 16 september 2019 14:32]

Inderdaad! Ik heb liever een populaire plugin waarin kwetsbaarheden worden gevonden, en snel opgelost, dan een minder populaire plugin waar dergelijke kwetsbaarheden er wellicht jaren in blijven zitten.
Nou dat is natuurlijk niet helemaal waar. LastPass verschilt namelijk in opzet veel van andere password managers en kan daarmee wel eens meer aandacht behoeven wat betreft security. LastPass is vooral een online password manager welke offline terugvalt op een cache, terwijl andere password managers in principe de offline kluis gebruiken en vervolgens via een cloud oplossing de kluizen in sync houden.
Tjah, ik vind dit soort kwetsbaarheden niet zo heel boeiend eigenlijk. Crimineel moet in je device kunnen komen en bij een specifieke website je wachtwoord achterhalen. Werkelijke implicaties zijn daarbij voor veel gebruikers irrelevant laag.

De dienst werkt vooralsnog prima voor mij en de apps zijn ook op het niveau van de concurrentie of beter. Open source alternatieven zijn er genoeg maar dat maakt ze niet meteen beter of veiliger.
Nee, de crimineel kan in dit geval het wachtwoord uitlezen adhv een website die zij hebben gemaakt en online hebben staan. Dit kan dus ook een oude HTTP-website zijn die in het netwerk is aangepast. En dat kan bijvoorbeeld dus ook op een school worden gedaan. Of in een cafe door een "(naam_cafe)-klanten" netwerk open te zetten.
Ik gebruik al heel lang Sticky Password.
Heb via een actie toen een code voor de premium versie gekregen
Is zeer compleet en als je kopieert wordt het clipboard na een aantal seconden weer geleegd.
Ik zelf vind het ook een heel fijn programma. _/-\o_ Had ik eerder moeten gebruiken.
Dus dan zie je in de cache de inlogcode van een willekeurige website die de gebruiker de laatste keer heeft bezocht. Ik zie nog niet in hoe dit voor een aanvaller echt nuttig is. Je moet dan heel veel mensen benaderen met lastpass en hopen dat er een nuttige website in de cache staat. Ik lig hier niet wakker van.
Iedereen gaat nu los op lastpass en dat je over moet schakelen op een andere pw manager.

Maar gelukkig is lp zo groot dat ze dit soort dingen dus gaan uitzoeken, met ze bedoel ik Google zero Day...

Dat gaan ze heus niet voor alle pw managers doen....

Thanks Google
Ik zie niemand hier https://keyn.app/ melden. Dit is weliswaar niet een 100% vergelijkbare propositie (zeker niet tegen de LastPass Enterprise), maar ik vind het er wel veelbelovend uitzien!
Ziet er interessant uit al hebben ze tot nu toe alleen maar (beta) support voor iOS en Chrome, maar ik heb me aangemeld voor hun nieuwsbrief en lees dan wel wanneer er een Android versie beschikbaar is.
https://tweakers.net/nieuws/zoeken/?keyword=lastpass+lek

Lekker veilig, al je wachtwoorden onderbrengen bij een bedrijf wat regelmatig ernstige beveilingsproblemen heeft.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Games

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True