LastPass-gebruikers krijgen melding van inlogpoging met master password - update

Meerdere gebruikers van wachtwoordmanager LastPass melden dat externen hebben geprobeerd om in te loggen op hun LastPass-account met het master password. Ze zijn bang dat hun master password is gelekt. Volgens Lastpass gaat het om bots die proberen in te loggen.

De meldingen komen van Hacker News, waar meerdere gebruikers inlogpogingen op hun account melden met het master password. De gebruikers ontvingen een e-mail van LastPass met de melding dat er een ongeautoriseerde inlogpoging is gedaan met het master password. De inlogpoging werd geblokkeerd, omdat degene die probeert in te loggen zich in een ander land bevindt.

De melding die LastPass-gebruikers krijgen.

De gebruikers vrezen dat hun wachtwoord is gelekt, omdat het wachtwoord dat ze voor LastPass gebruiken nergens anders voor gebruikt wordt. Tenminste tien gebruikers melden via Hacker News, Reddit en Twitter dat ze een e-mail hebben gehad dat iemand hun master password heeft gebruikt om in te loggen.

Inmiddels heeft How-to Geek een verklaring gekregen van een woordvoerder bij LastPass. Volgens LastPass gaat het om 'veelvoorkomende bot-activiteiten' waarmee wordt getracht toegang te krijgen tot accounts met data die is gelekt door een hack bij een andere dienst. Volgens het bedrijf hebben ze 'geen enkele aanwijzing dat accounts ook daadwerkelijk zijn binnengedrongen of dat iemand toegang heeft kregen tot LastPass'.

Update: 20.15: LastPass heeft in een blog uiteengezet wat er volgens het bedrijf aan de hand is en wat gebruikers kunnen doen om hun account te beschermen tegen ongeautoriseerde inlogpogingen. LastPass schrijft dat ze inderdaad zien dat er een 'kleine toename in activiteit is', waarmee de inlogpogingen door externen wordt bedoeld. LastPass benadrukt nogmaals dat er geen aanwijzingen zijn dat er een lek is bij LastPass of het voormalige moederbedrijf LogMeIn.

LastPass schrijft dat er meerdere functies in de wachtwoordmanager zijn ingebouwd om dit soort inlogpogingen te laten mislukken, waaronder het signaleren van inlogpogingen vanaf ongebruikelijke locaties. Daarnaast kunnen gebruikers zelf hun account veiliger maken door een sterk, uniek wachtwoord te koppelen aan het account. Ook wordt geadviseerd om tweestapsverificatie aan te zetten.

Reacties (159)

159

101

Wijzig sortering

Nilltris 29 december 2021 09:02

Lastpass geeft toch ook aan dat de meldingen waarschijnlijk door een fout in het systeem zijn verstuurd?

However, out of an abundance of caution, we continued to investigate in an effort to determine what was causing the automated security alert emails to be triggered from our systems. Our investigation has since found that some of these security alerts, which were sent to a limited subset of LastPass users, were likely triggered in error. As a result, we have adjusted our security alert systems and this issue has since been resolved.

These alerts were triggered due to LastPass’s ongoing efforts to defend its customers from bad actors and credential stuffing attempts. It is also important to remember that LastPass’ zero-knowledge security model means that at no time does LastPass store, have knowledge of, or have access to a user’s Master Password(s).

huntedjohan 28 december 2021 20:43

dacht dat ik een aardig sterk wachtwoord had voor Lastpass, maar ook ik kreeg dat mailtje. heel direct een nog langer en onlogischer wachtwoord aangemaakt.

toch wel zorgwekkend (vond ik) want ik durf hier toch wel voor 100% zeker te stellen dat mijn password echt uniek was, en nergens anders gebruikt werd (althans door mij) en vraag me af of er zieke geesten rond lopen die hetzelfde wachtwoord zouden bedenken

dutchgio @huntedjohan • 28 december 2021 20:52

Het zou ook nog iets op je eigen apparaten kunnen zijn wat toegang tot het wachtwoord heeft gekregen en nu misbruikt wordt, wellicht is het handig om uit voorzorg wat malware scans te draaien om dat uit te sluiten.

Maar de uitleg van LastPass met hergebruik van eerder gelekte wachtwoorden volg ik niet zo. Dat doe je niet bij je master password, zeker niet meerdere gebruikers.

swhnld

@dutchgio • 28 december 2021 21:31

Je moet de mensen de kost geven die denken het goed te doen, maar het niet doen. Die gebruiken variaties op een basiswachtwoord met dan voor elke website iets unieks, tot iemand de logica doorheeft.

OruBLMsFrl @swhnld • 29 december 2021 00:51

Die logica is wel een kwetsbare zaak, waar je vanaf moet. Dat gezegd, is het zeer speculatief dat zo publieke ophef rondom Lastpass ontstaat. Dan moet het om serieus veel accounts gaan wil het een publieke reactie rechtvaardigen van ze.

Het lijkt me eigenlijk heel sterk dat in heel korte tijd van heel veel verschillende mensen wereldwijd plots de logica afgeleid is om in het master password te komen. Als dat wel zo is, dan is er hier iets zodanig alarmerends gebeurd in de slimheid van indirecte password aanvallen, dat de hele ICT sector aan de slag mag.

swhnld

@OruBLMsFrl • 29 december 2021 09:31

Artikel heeft het over een 10-tal meldingen.....
Maar kan ook heel wat anders zijn geweest, een bug in de applicatie die onterecht alarm sloeg, of inderdaad mensen waarbij het wachtwoord in de browser opgeslagen was en die gegevens uitgelezen door malware, of... Ik heb ooit een alarm gehad toen ik een nieuw thuis IP adres kreeg van mijn provider, want dat IP adres hadden ze uit Afrika of Zuid-Amerika gekocht en was nog niet als Nederlands geregistreerd.
En in de komkommertijd rond kerst is alle nieuws meegenomen, zelfs als het mogelijk geen nieuws is.

OruBLMsFrl @swhnld • 29 december 2021 11:07

Dan heb je het puur over het artikel inderdaad. Dat is haast cosmisch toeval als die al bij de 10-tal meldingen in zit. Vaak zie je toch dat mensen niet meer melden als hun probleem al gekend is. Topje van de ijsberg die meldingen lijkt me dan.

Mij valt vooral op dat Tweaker als @huntedjohan hier dus ook al zelf mee te maken heeft, met wat hij aangeeft uniek wachtwoord. Malware is altijd een risico, je hoopt dat het wachtwoord niet in de browser was opgeslagen inderdaad. Een technisch foutje binnen LastPass kan altijd gebeuren, maar hadden ze dan toch hopelijk wel als zodanig gemeld in hun persbericht, dat er in deze geen reden tot paniek was

[Reactie gewijzigd door OruBLMsFrl op 23 juli 2024 21:42]

swhnld

@OruBLMsFrl • 29 december 2021 11:13

Meestal is een zero day precies dat, je weet niet waar het lek zit totdat het gedicht wordt. Dit jaar nog op de iPhone van mijn vrouw, ineens stond de hele kalender vol met spam. Week erna was er een update van Apple die het lek dichtte.
Bij Lastpass spreek je over 100.000den klanten, als er een lek bij hunzelf was, had ik veel meer impact verwacht, dus ik verwacht eerder een bug in een browser als Firefox, Chrome, etc. die misbruikt wordt om het ingevoerde of opgeslagen master password uit te lezen of te onderscheppen.
Ook de theorie dat dit nog van het 2017 lek is geweest kan nog in geval mensen daarna hun wachtwoord niet gewijzigd hebben, of wel gewijzigd maar later terug gewijzigd.
Het blijft gissen, maar het belangrijkste, gebruik 2FA waar dat ook maar kan.

Sw333t @swhnld • 29 december 2021 06:36

Goed punt. Zal die "logica" naar eens loslaten en alles generiek zonder basis wachtwoord gaan aanmaken.

Niet zo heel slim van mij. Gelukkig wel 2FA aan staan. Maakt me iets minder 'dom'.

swhnld

@Sw333t • 29 december 2021 09:36

Ach, de logica is niet zo heel erg, mits er niet meerdere wachtwoorden buitgemaakt worden gekoppeld aan je mail adres, want dan wordt de logica zichtbaar.
Een gegenereerd wachtwoord uit een wachtwoordkluis is dan sterker. Nog sterker is die kluis koppelen aan een apart mail account welke niet direct aan jou te herleiden is. dus stel je hebt sweet@gmail als je hoofd mailbox, maak je hout@hotmail als mail adres voor je wachtwoordkluis.

akooijman @swhnld • 29 december 2021 11:07

Je bent dan kwetsbaar voor gerichte inbraak pogingen, maar de gewone (...) bulk inbraak pogingen zijn (nagenoeg) kansloos bij een systematisch wachtwoord.

Zelf kies ik voor wachtwoorden die ik niet in de manager wil een combinatie van bestaande woorden waarvan ik één of meer letters weglaat (dan werkt een dictionary attack niet meer) en waar ik één of meer hoOfdletters in stop (niet de eerste natuurlijk, dat is te voor de hand liggend), alleen nog een kunstje om een cijfer en of leesteken te gebruiken en hopen dat het allemaal nog te onthouden is. (Dat laatste brengt in mijn geval weer een soort van systeem in het systeem 😎)

swhnld

@akooijman • 29 december 2021 11:15

Ja, en voeg je dan 2FA toe, is men helemaal kansloos.

akooijman @swhnld • 30 december 2021 06:38

Tot ik voor mijn nieuwe telefoon een fout maakte met Google authenticator en zelf ook kansloos bleek bij een paar accounts...
Dat blaadje met recovery codes moet ergens liggen. Denk ik...

swhnld

@akooijman • 30 december 2021 09:10

Er zijn ook 2FA oplossingen die een backup mogelijkheid bieden, zoals Authy of Lastpass Authenticator of Bitwarden.

En dan zou je nog recovery codes in een Keepass bestand op kunnen slaan op een USB stick of zo.

Of een PC thuis hebben waar je standaard op je e-mail ingelogd bent, met wel een harde schijf encryptie en inlog wachtwoord/pin code/biometrische beveiliging. Zodat je recovery codes per mail kunt ontvangen.

Mogelijkheden genoeg, alleen wel tevoren even over nadenken en doen.

[Reactie gewijzigd door swhnld op 23 juli 2024 21:42]

TheSiemNL @dutchgio • 29 december 2021 01:01

Komop, er zijn genoeg gebruikers die zwakke wachtwoorden hergebruiken. Ik zou ze niet allemaal de kost willen geven.

OxWax @huntedjohan • 28 december 2021 20:56

dacht dat ik een aardig sterk wachtwoord had voor Lastpass, maar ook ik kreeg dat mailtje. heel direct een nog langer en onlogischer wachtwoord aangemaakt.

Een klassieker maar wel zo correct

https://xkcd.com/936/

Ayporos @OxWax • 29 december 2021 00:22

Nou ja, ik zou niemand adviseren om zo een wachtwoord te gebruiken... dictionary aanvallen zijn een ding.
Gebruik dan op zijn minst een aantal woorden en namen in verschillende talen, inclusief fictieve namen/plaatsen uit fictie boeken die niet in standaard taal voor komen.

Op die manier kun je toch nog het 'makkelijk voor jou om te onthouden' aspect ervan waarborgen maar wel tegelijkertijd zorgen dat dictionary aanvallen praktisch onhaalbaar zijn.

DutchKevv @Ayporos • 29 december 2021 01:07

Dacht ik ook meteen. Brute forcen via dictionaries is daarnaast door bijna iedereen uit te voeren..

Dus zou het ook niet aanraden.

Argantonis @DutchKevv • 29 december 2021 03:31

Dacht ik ook meteen. Brute forcen via dictionaries is daarnaast door bijna iedereen uit te voeren..

Dus zou het ook niet aanraden.

Enkele woorden écht at random selecteren is prima veilig. Dictionary attacks hebben daar echt weinig mee te maken. De entropie is meer dan hoog genoeg.

Wanneer het onveilig wordt is wanneer je zelf een aantal woorden verzint, denkende dat het random is. Of als je bekende phrases gebruikt zoals die uit xkcd inmiddels is. Maar als je daadwerkelijk een random functie gebruikt om willekeurige woorden te selecteren zit je goed. Er zijn heel wat meer woorden dan letters/symbolen, een dictionary attack gaat die echt niet in alle combinaties aan elkaar plakken. Zou me daar eens wat meer in verdiepen anders.

pim @Argantonis • 29 december 2021 07:54

The evidenced trend is that people are more likely to select from around 3,000 very common words, and that means hackers have a lot fewer combos to run! Bron

Een random wachtwoord van 9 tekens is even zwak als een wachtwoord van 4 veelgebruikte woorden.

JumpStart @pim • 29 december 2021 09:49

Een incorrect gebruikte methode om een wachtwoord te maken is... goh, fout?

A Diceware word list is any list of 6⁵ (7776) unique words, preferably ones the user will find easy to spell and to remember.

swtimmer @DutchKevv • 29 december 2021 08:42

Ik zou verwachten dat brute force sowieso niet werkt en je na een poging of 3 een timeout van je login gaat krijgen.

GekkePrutser

Wachtwoord

@Ayporos • 29 december 2021 02:46

Inderdaad, als je *weet* dat iemand een zogenaamde "passphrase" gebruikt, pak je dat op die manier aan en dan is de entropie helemaal niet veel hoger. Je zit overigens wel aan een gecombineerde dictionary attack. Maar juist met bijvoorbeeld hinting van een persoon hun social media accounts kan je de boel vaak flink inkorten omdat ze vaak woorden kiezen uit hun interessegebied. Van iemand die enorme fan is van een bepaalde band kan je er donder op zeggen dat die songtitels gebruikt bijvoorbeeld.

Op mijn werk worden passphrases nu in principe aanbevolen als de standaard, maar ik geef zelf nog steeds de voorkeur aan echt random korte wachtwoorden. Die keuze bieden ze ons gelukkig nog steeds (het is of kort met hoge complexiteit of lang met losse woorden zonder uppercase/lower/speciale tekens enz. Onze logins zijn bovendien poging-gelimiteerd dus de kans op brute forcing is sowieso vrijwel nul.

Waarom? Nou omdat ik hem elke keer in moet typen bij het unlocken van het scherm (dat op slot gaat na 15m) en dan is het minder typwerk. En ik heb nou eenmaal een geheugen dat Mf67[*p2t net zo makkelijk onthoudt als een paar losse woorden. Ja ik snap het ook niet maar zo werkt het nu eenmaal bij mij.

Maar qua entropie is het ongeveer om het even, maar ik moet er wel bij zeggen dat je als aanvaller dan wel moet weten dat het om zo'n soort wachtwoord gaat.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 21:42]

Argantonis @GekkePrutser • 29 december 2021 03:33

Een passphrase zou dan ook uit random woorden moeten bestaan. Dan gaan al die argumenten niet op.

ashwin911 @Argantonis • 29 december 2021 10:13

Plus een random teken als scheidingsteken, begin en eind teken, Bijvoorbeeld: !!!correct@horse@battery@staple(((( is gelijk veel veiliger omdat dat moeilijker te bruteforcen is maar nog steeds makkelijk te onthouden. Of je zou een passphrase zelfs kunnen aanvullen met persoonlijke informatie zoals je postcode of de telefoon nummer van een jeugd vriend die je vroeger vaak belde. Dan word het complexer voor een algoritme maar niet voor je zelf.

[Reactie gewijzigd door ashwin911 op 23 juli 2024 21:42]

Pathogen @GekkePrutser • 29 december 2021 10:06

Is het niet sowieso beter om meerdere methoden te gebruiken voor één wachtwoord?
- 3-4 random tekens
- 3-4 random woorden
- random tekens tussen de woorden

Bijvoorbeeld:

_+_Correct!?Horse|Battery]Staple1$.

zo op het oog ziet dat er veel moeilijker te raden uit dan een string van random tekens of een passphrase, maar misschien zie ik hier weer een andere kwetsbaarheid over het hoofd?

japie06 @GekkePrutser • 29 december 2021 10:51

Jouw wachtwoord "Mf67[*p2t" heeft minder mogelijkheden (94^9) dan een diceware wachtwoord (7776^5). Scheelt bijna een factor 50 in het voordeel van diceware. Toegegeven, zal bij bruteforcen beiden niet als eerste worden gekraakt. Kortere wachtwoorden die in een hashleak zitten zijn natuurlijk veel eerder gekraakt.

GekkePrutser

Wachtwoord

@japie06 • 29 december 2021 11:40

Ja maar dan heb je dus zo'n lang wachtwoord dat je elke keer in moet voeren. Voor het openen van mijn computer heb ik daar geen zin in.

Al is het wel zo dat je tegenwoordig ook andere opties hebt daarvoor zoals vingerafdruk. Die gaan ze op mijn werk binnenkort ook toestaan dus dan kan ik zoiets wel doen inderdaad.

Overigens gebruik ik langere wachtwoorden dan 8 tekens, meestal 10 of 12.

JumpStart @Ayporos • 29 december 2021 09:35

Ook met een dictionary attack ben je nog veilig. Maar, eerlijk is eerlijk, de XKCD comic is op één punt wel achterhaald, en dat is dat je voor veiligheid nu wel 5 random / ongerelateerde woorden moet gebruiken en voor kritische toepassingen zelfs 6. Dit soort wachtwoord heet trouwens "Diceware": middels dobbelstenen compleet willekeurig woorden uit een Diceware woordenlijst (6⁵, dus 7776 unieke woorden) halen.

Het principe dat woorden makkelijker te onthouden zijn middels associatie en beeldvorming, en een aantal losstaande woorden veel meer unieke combinaties kent dan 12 willekeurige karakters, dat blijft overeind.

En ehh, namen en plaatsnamen uit fictie boeken staan ook gewoon in de betere woord-lijsten die voor dictionary attacks gebruikt worden, evenals bekendere songteksten, film quotes en citaten. Verschillende talen gebruiken kan overigens nooit kwaad, omdat de woord-associatie intact blijft.

"Let's see what we can see" gebruiken, uit de film Aliens, zou absoluut géén goed wachtwoord zijn.

[Reactie gewijzigd door JumpStart op 23 juli 2024 21:42]

japie06 @Ayporos • 29 december 2021 10:46

Als ik 5 woorden kies uit een lijst van 8000 woorden (bijvoorbeeld bij een Diceware password) zijn er 8000^5 mogelijkheden. Aangenomen dat de lijst en het aantal woorden bekent zijn duurt het nog steeds gemiddeld 585 jaar om het te raden als de aanvaller 1 miljard keer per seconde kan kraken.

Dictionary attacks zijn effectiever voor wachtwoorden als Welkom01, iloveyou etc. Daar kun je als aanvaller ook makkelijker inbreken want diegene zal security niet echt hoog in het vaandel hebben.

Wildfire

@OxWax • 28 december 2021 21:18

Ik wist meteen dat het die 'correct horse battery staple' was. Inderdaad erg goed te onthouden

swhnld

@huntedjohan • 28 december 2021 21:33

Ja, dat kan. Maar als je ook 2FA aan hebt wordt het risico al een stuk kleiner....

Jerie

@huntedjohan • 28 december 2021 23:12

Er komen bepaalde IP adressen steeds terug. Het lijken allemaal logins via VPN te betreffen.

Deze theorie zet uiteen waarom dit een gerafineerde phishing actie zou kunnen zijn: https://news.ycombinator.com/item?id=29706957

Een andere theorie is dat men via de autofill bug de wachtwoorden heeft verkregen (in 2017 want de bug is opgelost) en deze recent rond zijn gaan zwerven https://news.ycombinator.com/item?id=12171547

Wat ook nog zou kunnen is dat er een zero day in zit. Stel er zit weer zo'n bug in zoals die in 2017 (en die was ernstig...). Dan zou in combinatie met de andere theorie van phishing het (massaal!) jackpot kunnen zijn voor een aanvaller.

Lastpass zegt het volgende:

Importantly, we also want to reassure you that there is no indication, at this time, that LastPass or LogMeIn were breached or compromised.

Deze nuance mist in het artikel:

LastPass heeft in een blog uiteengezet wat er volgens het bedrijf aan de hand is en wat gebruikers kunnen doen om hun account te beschermen tegen ongeautoriseerde inlogpogingen. LastPass schrijft dat ze inderdaad zien dat er een 'kleine toename in activiteit is', waarmee de inlogpogingen door externen wordt bedoeld. LastPass benadrukt nogmaals dat er geen aanwijzingen zijn dat er een lek is bij LastPass of het voormalige moederbedrijf LogMeIn.

'At this time' is immers hun get out of jail kaart.

MrMarcie @huntedjohan • 29 december 2021 00:11

Als ze het kunnen bedenken is het geen goed password.

janvanpuffelen @huntedjohan • 29 december 2021 03:18

[Reactie gewijzigd door janvanpuffelen op 23 juli 2024 21:42]

NBK 28 december 2021 19:58

Dus LastPass stelt hier eigenlijk gewoon keihard dat de gebruikers die zeggen dat ze het wachtwoord alleen bij LastPass hebben gebruikt leugenaars zijn.

Hans C @NBK • 28 december 2021 20:36

Er is niet ingelogd geweest. Er worden alleen meldingen gedaan dat er een poging was. Je roept nu maar gewoon dat er gelogen wordt.

Mushroomician @Hans C • 28 december 2021 21:01

Dat hangt af van hoe je 'ingelogd' definieert.

Uit de melding:

Someone just used your master password [...] from an unknown location/device [..]. We blocked it [...].

Ik lees dat als inlogpoging met het wachtwoord is geslaagd, maar we vonden het verdacht en hebben het daarom geblokkeerd.

In de berichtgeving ontkennen ze dit.

[Reactie gewijzigd door Mushroomician op 23 juli 2024 21:42]

Jerie

@Mushroomician • 28 december 2021 22:58

Dat klopt inderdaad, kun je ook teruglezen in het artikel op Hacker News, en ik weet zelf uit ervaring dat het ook zo werkt (ik gebruikte Lastpass vele jaren).

Gody @Jerie • 29 december 2021 01:07

“Gebruikte”. Waarom nu niet meer en wat gebruik je nu als wachtwoordmanager (if any)?

Mushroomician @Gody • 29 december 2021 01:57

Pass, van passwordstore.org
Eenvoudige commandlineinterface.

Syncen optioneel dmv een Git repo op je eigen server.
Mag ook op github (of doe gek op je facebookwall), want:
Versleuteld met GPG

[Reactie gewijzigd door Mushroomician op 23 juli 2024 21:42]

GekkePrutser

Wachtwoord

@Mushroomician • 29 december 2021 02:53

Yes!! Deze gebruik ook. Met de sleutels op een Yubikey. Erg fijne oplossing, en veilig (geen master password), en er is ook een hele fijn Android app voor.

Jerie

@GekkePrutser • 29 december 2021 13:12

Als het goed is zit er op je GPG key wel een master password, toch?

GekkePrutser

Wachtwoord

@Jerie • 30 december 2021 10:40

Nee, alleen een pincode, omdat hij in de yubikey zit.

Het aantal pogingen is beperkt in de yubikey, heb hem zelf op 3 gezet. Net als bij een pinpas. Ook moet je voor elk wachtwoord de yubikey even aanraken (is ook iets dat je aan kan zetten).

De GPG sleutel staat dus niet op de computer zelf. Je kan hem ook niet exporteren, hij wordt aangemaakt in de yubikey en je krijgt alleen de public key.

Hierdoor is verlies wel een probleem dus ik heb er meerdere aangemeld.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 21:42]

Jerie

@GekkePrutser • 30 december 2021 11:39

Heb je ook de PUK code aangepast?

GekkePrutser

Wachtwoord

@Jerie • 30 december 2021 15:45

Uiteraard! Die zit er inderdaad ook op (al heet het administrator code als ik het me goed herinner).

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 21:42]

Jerie

@Gody • 29 december 2021 13:11

Nav die bug in 2017 ben ik destijds overgestapt naar Bitwarden, dat ik achter een Wireguard VPN zelf host met Vaultwarden (FOSS), de officiële client gebruikt de Azure infra. Vaultwarden is zelfs met premium features gratis, maar ik betaal Bitwarden netjes Premium voor 10 USD per jaar. Ik vind dat een mooie prijs, en ik gun het dit bedrijf.

Pass is van dezelfde auteur als Wireguard, dat geeft me vertrouwen. Ben echter niet zo kapot van GPG, want ik vind het niet KISS.

P_Tingen @Mushroomician • 28 december 2021 22:32

Zo lees ik het ook, "jouw ww is gebruikt, maar we hebben het geblokkeerd of er werd niet voldaan aan 2fa"

christopher72 @Mushroomician • 29 december 2021 01:30

Zo’n bericht moet je blijkbaar eerst 10x lezen voordat je begrijpt wat er bedoeld wordt. En als je denkt het te begrijpen wordt het door Lastpass ontkend. Dat lijkt me een uitstekende reden om als de *** te vertrekken bij dit bedrijf, dat nota bene als core business wachtwoordopslag heeft, met betalende klanten.

GekkePrutser

Wachtwoord

@Hans C • 29 december 2021 02:53

Volgens de gebruikers in die HN thread (ik gebruik zelf geen Lastpass dus ik kan dit niet verifieren), krijg je die melding alleen als je je wachtwoord succesvol ingevoerd hebt. Als je een verkeerd wachtwoord invoert dan schijnt het niet te gebeuren. Wel is het mogelijk dat de 2FA het dan nog geblokkeerd heeft (ik weet niet of dat verplicht is bij lastpass). Of dat ze het zelf geblokkeerd hebben als 'verdacht' zoals @witchdoc hieronder zegt.

Ook zegt bijna iedereen dat ze hun WW niet veranderd hebben sinds 2017 dus dat klinkt toch wel een beetje als een lek. Hoe moeten de aanvallers het dan achterhaald hebben?

Het zou inderdaad toch stiekem wel hergebruik kunnen zijn maar het zijn wel verrekte veel gebruikers die allemaal zeggen dat ze dat niet gedaan hebben.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 21:42]

demonic @NBK • 28 december 2021 20:00

Of op een andere manier 'gelekt' is. Keyloggers of via een MIDM-aanval of iets dergelijks.

(al is dit onwaarschijnlijk als het op grote schaal gebeurt.)

lilmonkey

@demonic • 28 december 2021 22:22

MIDM? Man In Da Middle?

Maverick @NBK • 28 december 2021 20:08

Het is natuurlijk best mogelijk dat iemand anders hetzelfde wachtwoord als jij gebruikt ergens op het internet. Pr3tzel73! lijkt redelijk uniek. Maar als de wet van de grote getallen om de hoek komt kijken blijkt dat nogal tegen te vallen.

Olaf van der Spek @Maverick • 28 december 2021 20:23

Maar hoeveel login attempts (per IP) staan ze toe? Als je maar een klein aantal pogingen kunt doen, mag zo'n wachtwoord alsnog geen probleem zijn.

witchdoc @Olaf van der Spek • 28 december 2021 23:50

Geen enkele poging.
Soms dent Lastpass dat ik zelf een hacker ben als ik op een vreemde locatie probeer in te loggen. Zelfs vanuit mijn eigen land.
Dan faalt die logon onmiddelijk en krijg je zelf geen duidelijke melding waarom het faalt tenzij je je mail gaat checken. Daar vind je dan een linkje om het inloggen van die locatie onmiddelijk mogelijk te maken.

Ayporos @witchdoc • 29 december 2021 00:28

"en krijg je zelf geen duidelijke melding waarom het faalt "

Hoewel ik kan begrijpen dat dit voor een eindgebruiker wellicht niet super gebruiksvriendelijk is, is dit wel het beste om te doen.
Het zelfde geld voor melden of de gebruikersnaam of wachtwoord incorrect is.. immers zo kan men achterhalen dat een gebruikersnaam wel of niet bestaat. Je wilt gewoon één generieke 'failure' melding tonen die verders niks meldt over wát of wáárom de loginpoging mislukt is.

"Als je maar een klein aantal pogingen kunt doen, mag zo'n wachtwoord alsnog geen probleem zijn. "
Fout.
Als ze op een of andere manier toegang hebben weten te krijgen tot jou username en wachtwoord hash (dataleak), dan maakt het aantal loginpogingen die de app/site zelf limiteert niet meer uit. Ze kunnen dan immers offline jou wachtwoord brute forcen tot ze een match hebben gevonden met de opgeslagen hash om vervolgens het gevonden wachtwoord in één keer correct in de live/online versie te gebruiken.
In principe moet je een data breach waarbij gegevens (ook al zijn ze hashed en salted) zijn buitgemaakt beschouwen als onveilig.. en omdat niet elke breach altijd even snel ontdekt/onthult wordt is het niet zo'n 'paranoïde' idee om je wachtwoorden periodiek te verversen.
Dit soort 'unknown location login -> block' procedures zijn zeer zeker een essentiële extra laag bescherming, maar bulletproof is het zeer zeker niet.

[Reactie gewijzigd door Ayporos op 23 juli 2024 21:42]

Maverick @Olaf van der Spek • 28 december 2021 20:25

Hm. Hier hebben jullie wel gelijk in natuurlijk. Kans lijkt me dan het grootst dat het wachtwoord bij de eindgebruiker zelf ontfutseld is. Die is vaak een stuk makkelijker doelwit dan lastpass.

Jeffrey_KL @Maverick • 28 december 2021 20:26

Ja toch is het vrij uniek als jij een sterk wachtwoord aanhoud (wat je toch op z'n minst voor je masterpassword zou doen) dat deze door iemand anders ook in gebruik is. Om een idee te geven er zijn met 10 characters 5.39 * 10^19 mogelijkheden oftewel 53.861.511.409.489.970.176.

Zer0 @Jeffrey_KL • 28 december 2021 21:02

Alleen zullen veel gebruikers niet zomaar 10 random karakters gebruiken voor een wachtwoordkluis, maar iet enigzins te onthouden, wat het aantal mogelijkheden beperkt.

Mel33 @Zer0 • 28 december 2021 21:12

Ik knip en plak hele lange hoofdwachtwoorden vaak vanaf mijn usb oid. Maar bij sommige kluizen kan je dat hoofdwachtwoord alleen karakter voor karakter intypen. Dat is ook al een hele veilige bijzaak.

[Reactie gewijzigd door Mel33 op 23 juli 2024 21:42]

Yoshi @Mel33 • 28 december 2021 21:41

ik zou dan denken dat het net gemakkelijker paswoorden gaan worden:
* de gemiddelde gebruiker wilt geen 20 random karakters invullen dus gaat dan maar voor iets dat gemakkelijk te onthouden (imho ;-) )

Verder lijkt het me niet moeilijk om keystrokes te emuleren in een script.

[Reactie gewijzigd door Yoshi op 23 juli 2024 21:42]

Mel33 @Yoshi • 28 december 2021 22:13

Yup zo bedoel ik het.

Robbierut4 @Maverick • 28 december 2021 20:21

Ik neem toch aan dat je geen miljoenen wachtwoorden per gebruiker kunt proberen bij lastpass. Dus ik kan toevallig dat wachtwoord hebben, zolang je dat niet weet heb je er niks aan.

DoubleYouPee @Maverick • 28 december 2021 21:53

Een masterpassword hoort toch bij een emailadres? Die kans lijkt me 0

jobvr @NBK • 28 december 2021 20:21

Nee, ik denk dat de email adressen gelekt zijn en daarmee wordt een inlog poging gedaan en die wordt al geblokt omdat het vanuit een onverwachte locatie gedaan. Daar ia nika vreemds aan.

dutchgio @jobvr • 28 december 2021 20:38

Dat kan wel zijn, maar de mail vermeld duidelijk "someone is using your master password".
Het gaat dus om een inlogpoging die op basis van het land wordt tegengehouden, niet omdat het wachtwoord niet klopt.

Cerberus_tm

@dutchgio • 28 december 2021 21:33

Het is onduidelijk. In de publicatie van Lastpass (link uit artikel) staat:

LastPass has mechanisms in place designed to send notifications to users when there are observed failed login attempts for accounts, such as the ones indicated in these recent reports. These notifications alert the user of blocked or failed login attempts due to attempted login with an invalid email address and master password combination...

Dit suggereert dat ze niet je Lastpass-wachtwoord hebben. Maar de melding die mensen krijgen suggereert dat wel. Dat klopt niet. Wat is het nu?

Jerie

@Cerberus_tm • 28 december 2021 23:01

Het is absoluut wel duidelijk. Ten eerste hebben mensen op Hacker News het getest. Ten tweede heb ik het zelf ook getest toen ik Lastpass gebruikte (want ik had ooit een rare login vanuit Japan, bleek ik zelf geweest te zijn via Tor om het te testen

). Ten derde je kunt het zelf ook verifieren.

1) Bij mislukte inlogpogingen krijg je geen e-mail

2) Bij een gelukte inlogpoging uit een vreemde lokatie (geografisch ander land, ander land, of andere provider?) krijg je wel zo'n e-mail.

3) 2FA is heel eenvoudig te verwijderen ...

Durandal @Jerie • 28 december 2021 23:16

3) 2FA is heel eenvoudig te verwijderen ...

voordat je inlogt?

DoubleYouPee @Durandal • 29 december 2021 01:01

Als je toegang tot de bijbehorende email account hebt alleen.... anders niet (mag ik toch hopen)

Cerberus_tm

@Jerie • 28 december 2021 23:27

OK dan klopt het dus niet wat Lastpass in bovenstaand citaat zegt?

Jerie

@Cerberus_tm • 29 december 2021 13:19

Jawel, het klopt wel wat ze zeggen, maar je moet het goed ontleden.

LastPass has mechanisms in place designed to send notifications to users when there are observed failed login attempts for accounts, such as the ones indicated in these recent reports.

Such as is een voorbeeld.

These notifications alert the user of blocked or failed login attempts due to attempted login with an invalid email address and master password combination...

Dit gaat al niet meer over de specifieke kwestie maar over de notificaties.

Waar ze IMO erg vaag zijn is het dikgedrukte deel. Het e-mail adres is namelijk wel correct, het wachtwoord niet. De combinatie is incorrect is eigenlijk een vrij onlogische manier om het te zeggen. Een e-mail adres is immers een gebruikersnaam. Het is geen authenticatie maar identificatie. Iedereen kan zeggen dat-ie Pietje is, en dat wordt bewezen met het master password. Het is echter ook weer te vaag om te stellen dat 'het master password niet klopt'. Want het gaat wel om het master password dat bij de username (in de vorm van een e-mail adres) hoort. Hoe je dat accuraat en eenvoudig in het Engels zegt zou ik niet zo 1 2 3 durven te zeggen, maar ik denk wel dat het eenvoudiger kan dat ze het daar verkondigen.

(Ik denk dat het komt doordat ze zin begint met invalid en eindigt met combination.)

[Reactie gewijzigd door Jerie op 23 juli 2024 21:42]

OxWax @dutchgio • 28 december 2021 20:57

Hoe leidt u dat af? (op basis land)

dutchgio @OxWax • 28 december 2021 21:13

"from a device or location we don't recognize".
Doorgaans is dat dan op basis van land, omdat de kans dat je zelf vanaf afwijkende landen inlogt kleiner is dan meerdere IP-adressen binnen hetzelfde land (wifi thuis, 5g, werk etc.).

In principe weet een aanvaller bij een account ook niet direct welk land de standaard is zolang je bijvoorbeeld een gmail.com mailadres gebruikt en niet een .nl domein.

gaskabouter @OxWax • 28 december 2021 22:02

Omdat dat letterlijk in de tekst staat?

De inlogpoging werd geblokkeerd, omdat degene die probeert in te loggen zich in een ander land bevindt.

OxWax @gaskabouter • 28 december 2021 22:36

Dat stond niet in zijn reactie

gaskabouter @OxWax • 28 december 2021 23:26

Het staat letterlijk in het artikel zo en hij herhaalt dat punt net als in het artikel staat dat het echte oorspronkelijke wachtwoord gebruikt wordt

Verwijderd @dutchgio • 29 december 2021 07:28

Precies! Ik gebruikte een wachtwoord van 17 karakters met twee bijzondere karakters erin. Dat WW gebruikte ik alleen voor Lastpass. Ik heb de mail ook gekregen met het advies om het WW aan te passen. Ik kan mij echt niet voorstellen dat een wachtwoordkraker mijn wachtwoord heeft "geraden". Vreemd. Ik heb het WW aangepast, het emailadres gewijzigd. Daarnaast ga ik mijn migratie naar Nordpass weer oppakken en Lastpass opdoeken. Ik was eigenlijk al een jaar geleden "klaar" met Lastpass.

NiGeLaToR

@NBK • 28 december 2021 20:47

Een handicap van LP plugin in je browser is dat je je master password en inlognaam kunt opslaan. Als er dus iets toegang heeft tot je pc en dat wachtwoord kan ontfutselen ben je de sigaar.

Nu hoop ik dat geen LP gebruiker dit doet zonder 2FA, maar dat terzijde.

lilmonkey

@NiGeLaToR • 28 december 2021 22:26

Tja, als je dat aanzet is dat toch vooral een handicap bij jezelf zou ik denken. Daarnaast lijkt het me dat dat wachtwoord achter dezelfde sterke beveiliging wordt opgeslagen als de kluis. Het risico van het onthouden van je wachtwoord is vooral dat iemand toegang tot je apparaat krijgt (wat natuurlijk sowieso al een groot probleem is) en dan automatisch ook tot je kluis.

rdridder @lilmonkey • 28 december 2021 23:00

Als het mogelijk is doen mensen het. Een wachtwoordmanager moet gewoon die mogelijkheid niet bieden maar de gebruiker helpen 2fa aan te zetten alvorens de optie te geven om je masterpassword op te slaan.

lilmonkey

@rdridder • 28 december 2021 23:26

LP waarschuwt je zeer duidelijk als je die functionaliteit probeert aan te zetten.

Sua @NBK • 29 december 2021 00:51

Kan ook phishing zijn toch?

Bloodhoundje 29 december 2021 00:18

En dit is dus precies de reden waarom ik vorig jaar ben overgestapt op een hardware password manager (Mooltipass). Opensource project van een groep security experts met goede ondersteuning.

Jaren geleden gebruikt ik met veel plezier Lastpass totdat men de dienst steeds verder begon uit te kleden na overname van Logmein. De combinatie van betaalde abbo's en het gevoel dat all mijn wachtwoorden in een online kluis staan waar ik geen volledige controle/beheer over heb voelde daardoor extra benauwend. Dit artikel geeft voor mij een gevoel van blijdschap dat ik de keuze gemaakt heb om mijn Lastpass eruit te gooien en volledig over te stappen naar een hardware pw manager die offline ook werkt en doormiddel van een keycard fysieke toegangscontrole op het apparaat heeft.

Het nadeel dat ik afhankelijk ben van dit apparaat kan ik mee leven, de database met credentials kan ik encrypted opslaan en op een andere locatie als backup bewaren. De hardware keycard met de decryptiesleutel kan ik na verificatie klonen. Dus ja het is wat meer werk. Maar met de berg exploits die gevonden blijven worden heb ik toch liever mijn wachtwoorden offline staan.

0xygen500 @Bloodhoundje • 29 december 2021 07:09

Is het zo raar om te betalen voor een product?

Verwijderd @0xygen500 • 29 december 2021 08:14

Bij Lastpass wel blijkbaar.

Ik lees dit telkens weer, dat mensen weggegaan zijn omdat ze moesten gaan betalen. Waarschijnlijk ook gewoon een doelbewuste keuze van Lastpass: om te stoppen met ondersteuning te bieden aan gratis gebruikers.

swtimmer @Verwijderd • 29 december 2021 08:40

Ik was altijd betaalde klant. Geen probleem.met dat. Maar dat ze opeens x4 gaan kosten zonder nieuwe functies was voor mij de reden om over te stappen. Er is ook teveel gedoe met koop en verkoop van het bedrijf zelf.

ChemoNL @swtimmer • 29 december 2021 09:37

exact dit!

jaren met liefde betaald voor dit product. maar het werd steeds minder qua functionaliteit en duurder.
daarnaast heb ik geen positieve gevoelens bij LogMeIn (onderbuik gevoel) dus de reden om weg te gaan naar bitwarden.

Blizz @Verwijderd • 29 december 2021 09:40

Mocht je het niet beseffen, de grote namen (voornamelijk LastPass, 1Password, Dashlane) hebben in dezelfde periode hun prijzen verdrie- of -viervoudigd. Daar kwam bij LastPass inderdaad ook nog bij kijken dat LogMeIn er waarschijnlijk toch niet zoveel aan had na de overname en niks op had met de belofte van 'veiligheid voor iedereen' waar LastPass het vroeger graag over had, dus daarbij graag voor winstmaximalisatie is gegaan.

yinx84 @0xygen500 • 29 december 2021 07:56

Absoluut niet. Ik betaal graag die paar tientjes per jaar voor 1Password. Het maakt m'n leven echt een stuk makkelijker.

ultimasnake @0xygen500 • 29 december 2021 08:41

Voor sommigen zeker, er zijn zat mensen die vinden dat niet alleen de zon gratis moet opkomen iedere dag. Van veel kan je nog zeggen ‘mag best gratis’ maar als je wachtwoorden veilig houden zo belangrijk is zou dit gerust tegen betaling mogen toch

Bloodhoundje @0xygen500 • 29 december 2021 11:53

Betalen voor een product doe ik met liefde, het verschil zit hem erin dat de makers opeens besloten de prijzen extreem te verhogen en gelijktijdig de functies uit te kleden. Op dat moment realiseer je je opeens weer dat SaaS de macht steeds meer weghaalt bij de consument.

vroegâh kochten we nog een product waarna dit product altijd van jou was. Met het risico dat na X jaar een nieuwe versie uitkwam en de updates voor de oude versie stopte. Echter kon je hiermee voor de meeste software gewoon gebruik blijven maken van je oude versie sinds die offline beschikbaar was en meestal de features voor de hobbyist/thuisgebruiker voldoende waren in de gekochte versie.
Tegenwoordig probeert elk bedrijf je een abonnement aan te smeren onder het motto van 'altijd updates' en gemak.

Dus ja, ik probeer mijn hoeveelheid abonnementen op diensten zo laag mogelijk te houden, dit is een stille sluipverbruiker op de portemonnee. Helemaal als je ziet dat bijna elk bedrijf dat nu een abbo dienst aanbiedt de prijzen elk jaar verhoogd (netflix, spotify, bijna elke streamingdienst). En jij kan daar dus niets aan doen. Je betaald of je bent je diensten kwijt. Geen ramp met streaming diensten, wel een ramp als je jezelf afhankelijk hebt gemaakt van een dienst die jouw wachtwoorden opslaat.

poktor @Bloodhoundje • 29 december 2021 03:53

en precies hierom gebruik ik self-hosted vaultwarden, zodat er niets buiten de deur wordt gehost met alle gevaren van dien.

familyman @poktor • 29 december 2021 06:12

Ik ervaar best een gevaar daarmee. Je moet je netwerk-, server-, en storage configuratie echt goed op orde hebben, snel patchen bij gevaren. Die bedrijven hebben daar professionals voor.

De offline oplissing hierboven voelt een stuk veiliger, ik ga er iig eens goed naar kijken.

oef! @poktor • 29 december 2021 11:19

Ik doe hetzelfde met bitwarden. De domeinnaam van de bw server zit vervolgens achter cloudflare die op zijn beurt weer geoblockt waardoor inloggen theoretische alleen vanuit Nederland kan.

jpsch 28 december 2021 20:17

Een ander land? Mag toch hopen dat dat niet bedoeld wordt met location.
Koud kunstje om de bot het dan uit andere landen te laten proberen.

dutchgio @jpsch • 28 december 2021 20:36

Vaak werkt dat voor automatische bot pogingen wel.
Voor een account dat enkel in Nederland gebruikt wordt is een inlogpoging vanuit China afwijkend.
Nou kan een bot natuurlijk ook een Nederlandse VPN gebruiken, maar dan moet je dat dus voor elk account aanpassen.
Niet onmogelijk, maar het maakt het wel een stuk moeilijker om op grote schaal zoveel mogelijk accounts na te lopen.
Daarmee wordt de mogelijkheid dan ook niet voorkomen, maar wel beperkt.

[Reactie gewijzigd door dutchgio op 23 juli 2024 21:42]

Robbierut4 @dutchgio • 28 december 2021 20:46

Toevoeging, dan moet de bot natuurlijk ook je locatie weten. Als jij pietje@puk.nl gebruikt is dat makkelijk, gebruik jij een gmail.com dan wordt het toch complexer.

John Duh @dutchgio • 28 december 2021 21:44

De lokatie check is niet waterdicht, maar een goede extra verdedigingswal, met waarschuwing voor de gebruiker. Want er wordt niet alleen gekeken naar het land waar je inlogt, maar ook de regio binnen dat land. En ook wordt er een link gelegd met het gebruikte IP adres. Nogmaals, dat is allemaal best te omzeilen, maar in 9 van de 10 gevallen heeft de gebruiker dan al 1 of meerdere waarschuwingen in de mailbox zitten. Als LastPass gebruiker gebeurt het mij ook wel eens, als ik buitenshuis wil inloggen.

Zer0 @jpsch • 28 december 2021 21:23

Koud kunstje om de bot het dan uit andere landen te laten proberen.

Koud kunstje om te detecteren dat er opeens van veel uitliggende locaties ingelogt wordt op een account....

ETH0.1 28 december 2021 19:57

"iemand is ingelogd met jouw master password maar we hebben deze login geblokkeerd' en 'It’s important to note that we do not have any indication that accounts were successfully accessed' rijmt totaal niet met elkaar

Aardedraadje

@ETH0.1 • 28 december 2021 20:02

Hoezo niet? Misschien dat de term "inloggen" wat losjes wordt gebruikt, maar iemand heeft dus de juiste combinatie user/pw ingevoerd, maar kreeg geen toegang tot de kluis want inlogpoging geblokkeerd adhv geolocatie.

Het is geen raar verhaal, maar de term "inloggen" wordt hier op 2 manieren gebruikt en dat is wat raar.

ETH0.1 @Aardedraadje • 28 december 2021 20:06

technisch gezien klopt het wat ze zeggen 'er is niet succesvol gebruik gemaakt van je account'

wat lastpass eigenlijk had moeten zeggen is:

'je master password bekend/gelekt en is geprobeerd om te gebruikent, we hebben misbruik voorkomen, pas als de wiede weerga je master password aan want dit is niet OK'

Christoxz @ETH0.1 • 28 december 2021 21:38

"iemand is ingelogd]

Er staat dan ook:" iemand heeft je master wachtwoord gebruikt"

LurkZ @ETH0.1 • 29 december 2021 09:10

Het is maar hoe je het bekijkt.
Er is wel ingelogd.
Maar vanwege een check na het inloggen heeft de hacker geen toegang tot de gegevens gehad.

Dus het wachtwoord is gelekt, geraden, gehackt, etc, maar vanwege een andere beveiliging was dit niet voldoende om in te loggen.
Zeer zorgelijk als je zo'n email krijgt.

slijkie 28 december 2021 22:11

Geen mailtje ontvangen hier. Echter is bij mijn login 2FA met een fysieke yubikey nodig. Dus ‘good luck’

Netsplit @slijkie • 28 december 2021 23:11

Hoe werkt dat als je een wachtwoord nodig hebt en geen yubikey bij je hebt?

ari

@Netsplit • 29 december 2021 07:05

Dan zal je je hardware-sleutel moeten gaan ophalen, dat is nu het hele punt van zo'n ding. En ook de reden dat je er twee moet hebben, want er raakt er natuurlijk eentje kwijt. Je kunt soms (bij Bitwarden in ieder geval) een ik-ben-mijn-2FA-kwijt-backupcode aanmaken wanneer je zo'n hardware-sleutel koppelt. Dat is dan een eenmalig te gebruiken backup-sleutel. Die zou je ergens kunnen opslaan, maar het hele punt daarvan is natuurlijk dat je 'm op papier bewaart zodat het een soort extra eenmalig te gebruiken hardware-sleutel wordt.

slijkie @Netsplit • 29 december 2021 09:20

In pricipe heeft men altijd je ‘huissleutels’ mee, dus ik heb hem altijd bij mij. En 1 backup key in de kluis.

wernert @slijkie • 28 december 2021 23:11

Yep. Ben ook m'n key gaan gebruiken. Voelde als 'overdreven' en 'weer een extra handeling', maan nu zeker blij mee. Als je je 'niet toegestane landen' instelt bij Lastpass, zou je ook bij gebruik van de yubikey geblokkeerd moeten worden.

DataGhost

28 december 2021 19:58

Ben ik toch blij met m'n offline passwordmanager Keepass waarbij het masterwachtwoord nooit mijn device verlaat. En mocht iemand toch dat wachtwoord te weten komen moeten ze ook m'n database nog zien te vinden, in plaats van dat ze gewoon naar een website kunnen gaan en het daar proberen.

lilmonkey

@DataGhost • 28 december 2021 22:36

Bij LP verlaat je master password je apparaat ook niet, tenzij je ervoor kiest via de website in te loggen op je kluis (edit: even gecheckt en zelfs dit is niet waar - ook als je direct via de website naar je kluis gaat gebeurt alles lokaal in de browser, alleen de kluis wordt gedownload).

En hoewel je technisch gelijk hebt dat bij LP aanvallers direct via de website op je kluis kunnen proberen in te loggen als ze je master password hebben, zitten daar dus nog andere beveiligingsmaatregelen achter, plus (hopelijk) 2FA. Als je 2FA niet aan hebt staan voor je master password ben je sowieso slecht bezig.

[Reactie gewijzigd door lilmonkey op 23 juli 2024 21:42]

Durandal @lilmonkey • 28 december 2021 23:21

(edit: even gecheckt en zelfs dit is niet waar - ook als je direct via de website naar je kluis gaat gebeurt alles lokaal in de browser, alleen de kluis wordt gedownload).

Daar zit dus wel een zwakte als je geinfecteerd bent.

lilmonkey

@Durandal • 28 december 2021 23:31

Als je geïnfecteerd bent heb je wel een zwakte, ja… ik denk zo dat dat dan ook een probleem is voor niet-cloud-based wachtwoordmanagers

Zer0 @Durandal • 28 december 2021 23:55

Als je geinfecteerd bent is je lokale keepass database ook niet meer veilig...

DataGhost

@lilmonkey • 28 december 2021 23:25

Alleen heeft LastPass volgens de melding toch op de een of andere manier kunnen verifiëren dat het correcte masterpassword gebruikt is en tegelijkertijd toegang kunnen blokkeren tot de kluis. Dan heeft er toch een stap plaatsgevonden met verificatie over en weer, waarbij de server nog een beslissing heeft kunnen maken.

Maar dat zal vast op een veilige manier geïmplementeerd zijn, het ging mij meer om het principe dat je wachtwoord je device nooit mag verlaten en vooral de garantie die je daarop al dan niet hebt. Dat weet je bij een website veel minder zeker, terwijl allerlei browserextensies wel mee kunnen kijken met wat je in je formulieren invult. Ook opent het de weg naar phishing-aanvallen waar dat met een native programma/app veel lastiger is omdat dat simpelweg niet in de browser gebeurt. Dus dat maakt de kans al groter dat je per ongeluk je wachtwoord over internet stuurt ook als je dat niet van plan was. Zeker als ze je, zoals ze op hun site zeggen, periodiek herinneringen sturen dat je opnieuw moet inloggen op je devices. Ik weet niet hoe dat in z'n werk gaat maar als dat een mailtje is met een klikbare link ofzo dan tsja...

En Lastpass is natuurlijk een enorm target, met een "simpele" MITM (ja daar heb je serieuze middelen voor nodig tegenwoordig dus heel realistisch is dat niet voor low-profile targets) kan iemand remote bij je wachtwoorden komen of simpelweg het inlogformulier aanpassen zodat die wel je wachtwoord gewoon doorstuurt in plaats van dingen clientside doet. Ook een doodzonde is dat dit op openbare PC's werkt waarvan je niet weet wat er allemaal op meeluistert, dat moet je natuurlijk nooit doen maar de optie is er dus die wordt ongetwijfeld ook door een klein percentage gebruikt. Met een native app en offline database kan dat gewoon niet, of is het een aantal stappen lastiger. Security en gebruiksgemak staan vaak haaks op elkaar.

lilmonkey

@DataGhost • 28 december 2021 23:47

terwijl allerlei browserextensies wel mee kunnen kijken met wat je in je formulieren invult

Zeker, maar dat is net zo goed een probleem met niet-cloud-based wachtwoordmanagers.

Zeker als ze je, zoals ze op hun site zeggen, periodiek herinneringen sturen dat je opnieuw moet inloggen op je devices. Ik weet niet hoe dat in z'n werk gaat maar als dat een mailtje is met een klikbare link ofzo dan tsja...

Dat gebeurt via notificaties op je device (of in je browserextensie).

met een "simpele" MITM (ja daar heb je serieuze middelen voor nodig tegenwoordig dus heel realistisch is dat niet voor low-profile targets) kan iemand remote bij je wachtwoorden komen

Aangezien alles lokaal gebeurt zie ik niet in hoe dat zou werken.

of simpelweg het inlogformulier aanpassen zodat die wel je wachtwoord gewoon doorstuurt in plaats van dingen clientside doet.

Dit is inderdaad wel een valide punt, maar dus alleen als je direct via de website in probeert te loggen, en simpelweg is sowieso onzin — ik hoef je hopelijk niet uit te dagen het te demonstreren

Ook een doodzonde is dat dit op openbare PC's werkt waarvan je niet weet wat er allemaal op meeluistert, dat moet je natuurlijk nooit doen maar de optie is er dus die wordt ongetwijfeld ook door een klein percentage gebruikt. Met een native app en offline database kan dat gewoon niet, of is het een aantal stappen lastiger

Dat kan gewoon wel en is niet eens een aantal stappen lastiger. Offline wachtwoordmanagers zoals Bitwarden hoor je net zo goed nooit op openbare PC's te gebruiken dus ik denk dat je je kennis een beetje op moet poetsen.

DataGhost

@lilmonkey • 29 december 2021 00:00

Zeker, maar dat is net zo goed een probleem met niet-cloud-based wachtwoordmanagers.

Dat is het niet, want die draaien niet in een browser, dus kunnen browserextensies daar ook niet bij. Als er op andere plekken op je machine iets vies draait, ja, dan kan dat.

Aangezien alles lokaal gebeurt zie ik niet in hoe dat zou werken.

Hoe kan Lastpass dan zulke mailtjes sturen? Als alles lokaal gebeurt betekent dat dat je de wachtwoordkluis lokaal hebt en als je daar met het juiste masterwachtwoord in komt is het behoorlijk simpel om dat niet aan Lastpass te laten weten. Ook kunnen ze op dat moment niet meer tegenhouden dat je erin komt. Alternatief is dat het niet volledig lokaal gebeurt en er dus verificatie is server-side voordat de hele kluis bij jou lokaal terecht komt. Dan wordt het al een stuk moeilijker (maar niet onmogelijk) om deze verificatie volledig lokaal te doen.
Afijn, het werkelijke punt: de MITM. Dat is dus een optie als je inlogt via de website, omdat de kluis op dat moment nog niet lokaal staat. Als je in dat proces de inlogpagina kan onderscheppen en aanpassen (nogmaals, vrijwel onmogelijk tegenwoordig) kan je de logica aanpassen zodat deze je wachtwoord wel over het internet stuurt in plaats van lokaal houdt.

Dat kan gewoon wel en is niet eens een aantal stappen lastiger. Offline wachtwoordmanagers zoals Bitwarden hoor je net zo goed nooit op openbare PC's te gebruiken dus ik denk dat je je kennis een beetje op moet poetsen.

Dat kan gewoon niet als uitvoeren van eigen executables niet wordt toegestaan op dat soort machines. En als dat wel kan, is het een aantal stappen lastiger omdat je dus het programma moet downloaden en je moet zelf je kluis op die machine krijgen voordat je ermee aan de slag kan, waar vaak nog een ander programma voor nodig is (ssh/dropbox/cloud client/...) zeker als de USB-poorten ook zijn uitgeschakeld. Je moet het inderdaad nooit willen doen, maar iets als Lastpass werkt dus zonder enige van die extra stappen in de browser, dus die verleiding is groter dan met "moeilijkere" password managers.

lilmonkey

@DataGhost • 29 december 2021 00:28

Dat is het niet, want die draaien niet in een browser, dus kunnen browserextensies daar ook niet bij.

Wat een onzin. Offline wachtwoordmanagers worden in de regel ook gewoon via browserextensies gebruikt. En hoe dan ook, je zult toch je wachtwoorden in een veld moeten krijgen. Of dat nou via een extensie gebeurt of via handmatig plakken vanuit een native app, kwaadwillende extensies kunnen er bij.

Hoe kan Lastpass dan zulke mailtjes sturen? Als alles lokaal gebeurt betekent dat dat je de wachtwoordkluis lokaal hebt en als je daar met het juiste masterwachtwoord in komt is het behoorlijk simpel om dat niet aan Lastpass te laten weten. Ook kunnen ze op dat moment niet meer tegenhouden dat je erin komt. Alternatief is dat het niet volledig lokaal gebeurt en er dus verificatie is server-side voordat de hele kluis bij jou lokaal terecht komt. Dan wordt het al een stuk moeilijker (maar niet onmogelijk) om deze verificatie volledig lokaal te doen.

De authenticatie/crypto is volledig lokaal. Er kan natuurlijk wel gewoon seintje naar de clouddienst gestuurd worden, waarna daar de extra checks plaatsvinden, waarna er weer een seintje terug gestuurd wordt met een go/no-go.

Je moet het inderdaad nooit willen doen, maar iets als Lastpass werkt dus zonder enige van die extra stappen in de browser, dus die verleiding is groter dan met "moeilijkere" password managers.

Zeker, en dat is een afweging waar niet iedereen de juiste keuze in zal maken. Echter, een minder goed geïnformeerd persoon die LP in de browser op een openbare PC gebruikt is sowieso al een persoon die niet offline Bitwarden of iets dergelijks gaat opzetten en gebruiken.

DataGhost

@lilmonkey • 29 december 2021 01:02

Wat een onzin. Offline wachtwoordmanagers worden in de regel ook gewoon via browserextensies gebruikt.

Ik zou je eens aanraden om naar KeePass te kijken, waar ik het eerder ook al over had. Dat gaat helemaal niet via een browserextensie, de browser kan er niet bij. Op het moment dat ik kies dat ik ergens een wachtwoord wil invullen kan ik dat met een sneltoets doen voor auto-type, waarbij KeePass gaat kijken waar mijn browser is, in plaats van dat mijn browser toegang heeft tot KeePass. Dit werkt om het even met welke andere applicatie trouwens, niet beperkt tot slechts webpagina's. Dus de andere kant op, en zeer belangrijk, want

En hoe dan ook, je zult toch je wachtwoorden in een veld moeten krijgen. Of dat nou via een extensie gebeurt of via handmatig plakken vanuit een native app, kwaadwillende extensies kunnen er bij.

zo'n extensie heeft direct toegang tot je hele wachtwoorddatabase in plaats van enkel de entry die je op dat moment in wilt vullen. In ieder geval als het in hetzelfde proces draait. Ook hebben extensies toegang tot je master-wachtwoord omdat je die invult in je browser (al dan niet in de LastPass-extensie). Een manager die niet in de browser draait (als pagina of als extensie) is in zijn geheel niet toegankelijk voor een browserextensie, waarmee het master-wachtwoord dus ook buiten bereik van extensies blijft. Ik vind *in* de browser geen veilige plek voor een wachtwoordmanager, dat is iets wat je los wilt hebben.

Er kan natuurlijk wel gewoon seintje naar de clouddienst gestuurd worden, waarna daar de extra checks plaatsvinden, waarna er weer een seintje terug gestuurd wordt met een go/no-go.

Dat kan inderdaad, maar een simpele go/no-go is dat niet. De database moet tijdens authenticatie fysiek achtergehouden worden door LastPass om dit security-technisch dicht te krijgen. Anders kan heel dat seintje geskipt worden door een aanvaller. De "go" moet het daadwerkelijke doorsturen van de database zijn, omdat zij anders niet zowel kunnen mailen dat er succesvol is ingelogd met het masterwachtwoord én dat hiermee geen toegang is verleend tot de database.

Als ze zelf het masterwachtwoord op geen enkele manier opslaan, moet authenticatie puur op het ontsleutelen van de database plaatsvinden. Zonder de hele database door te sturen kan bijvoorbeeld de header doorgestuurd worden, die lokaal ontsleuteld kan worden. Als dat lukt, kan de client terugsturen dat het gelukt is waarna Lastpass de hele database opstuurt. Echter, moet dit wel op een cryptografisch veilige manier gebeuren, gewoon een "ja het is gelukt" is niet voldoende want dan kan iedere aanvaller gewoon elke database downloaden om daar rustig offline naar te kijken. Maar goed, dat hoeft ook niet per se. Als de client kan beslissen of het decrypten van de header gelukt is, kan dat ook volledig offline gedaan worden zonder Lastpass te laten weten hoeveel pogingen geen succes hebben gehad. Dat is dus ook een security-gat, want de aanvaller heeft dan nog "maar 1 poging" nodig om binnen te komen, aangezien deze dat alleen maar zal proberen als de offline aanval een match heeft opgeleverd met een van de geprobeerde wachtwoorden. Alternatief is dat het decrypten van deze header iets oplevert waarvan client-side niet gecontroleerd kan worden of het correct is of niet. Dat lijkt me lastig. Een andere manier (ik denk de enige eigenlijk) die ik me wel voor kan stellen is hash chain (al dan niet OTP), wat eigenlijk gewoon heel vaak een hash van je master-wachtwoord is. Deze kan lokaal berekend worden en alleen op de server geverifieerd worden op correctheid.
(edit: als ik in hun SPOC paper kijk hashen ze inderdaad clientside het master-wachtwoord, sturen ze dat naar de server, hashen ze het daar nogmaals en vergelijken dat met wat in hun database staat. Daarna wordt de kluis pas doorgestuurd. Dus het gebeurt niet volledig lokaal.)

Echter, een minder goed geïnformeerd persoon die LP in de browser op een openbare PC gebruikt is sowieso al een persoon die niet offline Bitwarden of iets dergelijks gaat opzetten en gebruiken.

Noem je wel direct het andere uiterste van iets wat je op een server moet opzetten. Keepass is bijv. een kleine win/lin/mac/bsd/nix executable die je gewoon op een USB-stickje mee kan nemen, en/of je pakt een van de apps voor iOS/Android/etc. Helemaal lokaal en zonder dat je systeembeheerder hoeft te zijn, dus nog relatief gemakkelijk.

[Reactie gewijzigd door DataGhost op 23 juli 2024 21:42]

AvWijk @DataGhost • 28 december 2021 20:41

Helemaal mee eens

wernert 28 december 2021 23:47

Ook met een gratis Lastpass kun je een yubikey koppelen. Dan kies je de optie 'Google authenticator' onder "Settings > Multifactor > Multifactor Authentication - Free" en gebruikt de yubikey met de yubikey authenticator applicatie..

eboellie @wernert • 29 december 2021 02:07

dit snap ik niet

Dan kies je de optie 'Google authenticator' onder "Settings > Multifactor > Multifactor Authentication - Free"
Ok maar dan gebruik je toch enkel Google Authenticator?

en gebruikt de yubikey met de yubikey authenticator applicatie..
Hoe te koppelen dan aan LP?

slechtvalk 28 december 2021 21:24

Wat ben ik blij dat ik overgestapt ben naar Bitwarden.

Erwin @slechtvalk • 28 december 2021 22:49

Heb ik geprobeerd maar verschrikkelijk onvriendelijk in gebruik en voor het oog ook niet erg aantrekkelijk. Het ziet eruit als een plugin uit 2005.

vickypollard @Erwin • 28 december 2021 23:11

LastPass is ook niet bepaald het toonbeeld van schoonheid en gebruiksvriendelijkheid. Genoeg gezeik mee gehad.

MrMarcie @Erwin • 29 december 2021 00:10

Herken ik totaal niet. LP heeft wel meer issues gehad en sinds ik overgestapt ben, jaar of 4 nu denk ik, wil ik niet anders meer. BW is zeer gebruiksvriendelijk.

slechtvalk @Erwin • 29 december 2021 01:12

Het uiterlijk interesseert me niet. En ik vind het op mijn smartphone veel beter en gratis in tegenstelling tot Lastpass.

HollowGamer @slechtvalk • 28 december 2021 21:50

Daar zou ik ook graag naartoe zijn gegaan, zelfs liever nog Mozilla. Helaas ga ik er niet over.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (159)

Sorteer op:

Weergave: