LastPass maakt melding van hack, maar wachtwoordresets zijn niet nodig

LastPass maakt melding van een datalek. Een hacker zou toegang hebben verkregen tot systemen van het bedrijf via een ontwikkelaarsaccount en hij zou delen van broncode en 'gepatenteerde technische informatie' buitgemaakt hebben, maar geen gebruikersgegevens.

LastPass onderstreept dat het 'op dit momenteel geen actie aanbeveelt aan gebruikers of administrators' van de dienst. Dit omdat master passwords en de inhoud van de kluizen schijnbaar niet buit zijn gemaakt. LastPass zegt dat niet in zulke absolute bewoordingen maar stelt dat er 'geen bewijs is gevonden van ongeautoriseerde toegang tot versleutelde kluizendata'. De inbraak vond twee weken geleden plaats.

Zoals bekend slaat LastPass de gegevens over zijn klanten versleuteld op. Dit zorgt ervoor dat een digitale inbreker, indien hij deze gegevens weet te bemachtigen, ze nog steeds moet ontsleutelen. LastPass zelf kan ook niet bij de gegevens van klanten, daarom zijn gebruikers ook permanent buitengesloten indien ze hun wachtwoord vergeten en de verschillende password recovery-opties geen soelaas bieden.

"In reactie op het incident hebben we maatregelen getroffen om de situatie te beperken en te mitigeren. We hebben een toonaangevend cybersecurity- en onderzoeksbedrijf in de arm genomen. Terwijl ons onderzoek gaande is, hebben we een staat van insluiting ingesteld en extra veiligheidsmaatregelen getroffen. We zien geen verder bewijs van ongeautoriseerde activiteit."

De LastPass-kluis — Een LastPass-kluis in Google Chrome

Reacties (247)

b.stroosnijder 26 augustus 2022 08:51

Ik heb jaren van LastPass gebruik gemaakt maar ik ben zo blij dat ik de 'terugstap' weer heb gemaakt naar een simpel keepass bestand. In gebruikers gemak is het iets moeilijker omdat je het een en ander moet opzetten, maar kom op.. Je wachtwoorden in de cloud opslaan (versleuteld of niet) is toch gewoon vragen om problemen?

Mijn huidige setup:

Op mijn PC gebruik ik KeePassXC, dit is een moderne client voor keepass met een paar leuke features.
Dit combineer ik met de KeePassXC-Browser plugin voor firefox. Al bestaat deze ook voor chrome
Op mijn android gebruik ik KeePassDX (ook op playstore)
En nu het moeilijkste ; Ik gebruik Syncthing (Android) (ook op playstore) om mijn .kdbx bestand tussen al mijn devices te syncen. Dus tussen mijn PC, laptop en telefoon.

Het voordeel van deze setup? Mijn .kdbx bestand verlaat nooit mijn interne netwerk en ik heb overal naadloze integratie met browsers en apps.
Het nadeel? Zelf syncthing op moeten zetten. Zelf KeePassXC openen als ik mijn computer/laptop aanzet. Af en toe een minuutje wachten tot syncthing het bestand van mijn PC naar mijn telefoon heeft gesynct.

Dit is tegenwoordig zo makkelijk dat zelfs mijn vriendin dit zelf kon regelen.

Syncthing installeren op allebei de apparaten
QR code tonen op PC
QR code scannen op telefoon
Syncthing is nu gekoppeld
Password database aanmaken op laptop met keepass XC
Mapje selecteren voor sync in syncthing (telefoon aanvinken voor syncen)
Syncthing request op telefoon accepteren en een leuk plekje kiezen
Password Database openen in keepass DX op telefoon en instellen als standaard
Enige hulp van mij, keepass DX keyboard in android activeren

Kleine update voor IOS (ik heb geen ios devices):

Voor syncthing vind ik Möbius Sync
Voor KeePass zijn er best wat opties zo te zien: https://keepassium.com/articles/keepass-apps-for-ios/

Nog een update:
Ik ben echt mega dom en noemde eerst de Kee browser plugin. Maar zoals @avlt zegt gebruik ik, in combinatie met KeePassXC de KeePassXC-Browser (ook voor chrome) plugin.
Dit heb ik ook hierboven aangepast.

[Reactie gewijzigd door b.stroosnijder op 22 juli 2024 22:17]

Cergorach

Networking en security

@b.stroosnijder • 26 augustus 2022 09:29

Mijn .kdbx bestand verlaat nooit mijn interne netwerk

Dus je laptop en smartphone verlaten nooit je huis?

Daarnaast staat je volledige password database op drie verschillende devices. Een aanvaller hoeft slechts een kopie te pakken te krijgen en je bent het haasje. Het is dan niet x aantal keer een ww verkeerd invullen en het is geblokkeerd, maar ze kunnen oneindig veel kopieën maken en parallel aanvallen.

Daarnaast vind ik de houding van veel tweakers bijzonder arrogant, alsof ze zelf beter de beveiliging kunnen regelen dan een groot bedrijf met dedicated personeel daarvoor. Zelfs als ITer zal je niet bezig zijn met alle aspecten van IT...

Sidenote: Hoe regel je backups van je password database? Een synchronised bestand is namelijk geen backup.

b.stroosnijder @Cergorach • 26 augustus 2022 09:41

Dus je laptop en smartphone verlaten nooit je huis?

Goed punt. Technisch als ik mijn telefoon en laptop mee uit de deur neem, en ze allebei op het zelfde netwerk laat verbinden, zal ook binnen dat netwerk mijn .kdbx bestand gesynct worden. Wat ik er mee bedoelde is dat het bestand niet over 'het internet' heen en weer gaat.

En verder weet ik heel goed dat mijn beveiliging intern bij mij thuis waarschijnlijk niet beter is dat bij google, facebook en weet ik veel welk bedrijf. Maar ik adverteer mijn ip's ook niet breed. Ik schreew niet van de daken (oke nu misschien wel..) van 'HE, KIJK HIER, WACHTWOORDEN TE VINDEN'.
En dan nog, bij mij thuis zijn maar 2 .kdbx files te vinden, van 2 sullige nederlandertjes. Bij LastPass zijn het er? duizenden? Miljoenen? Geen idee, maar veel.

Security by Obscurity is natuurlijk geen security. Begrijp ik, maar ga jij nu proberen mijn kdbx bestandje te hacken?

Also, waarom is een syncronized bestand geen backup? Leuke claim enzo, maar zo kan ik zeggen dat het wel zo is en krijgen we een wellis nietus verhaal.

Niemand_Anders @b.stroosnijder • 26 augustus 2022 10:12

Je kunt ook kiezen voor bijvoorbeeld Bitwarden met de VaultWarden self-hosted server. Je hebt dan alle voordelen van de Bitwarden password clients (gratis) en deze officiële client ondersteund het gebruik van alternatieve servers.

Prive heb ik ook een VaultWarden container draaien en familie en enkele vrienden maken er ook gebruik van. Voordeel hiervan vind ik dat vault backups ook goed te regelen zijn. In mijn geval worden de backup zowel naar een NAS geschreven als een remove server.

Security throught obscurity is wel degelijk beveiliging. Wachtwoorden en pincodes van je bankpas worden (theoretisch) verborgen gehouden. Security through obscurity wordt een mogelijk probleem als het de enige laag is!

Een syncronized bestand wordt niet gezien als een backup omdat je niet terug kan naar een vorig versie. Zeg dat de versie op je telefoon corrupt raakt en vervolgens wordt deze versie gesynchroniseerd naar je netwerk. Vervolgens kunnen geen van de clients daarna nog bij de passworden.

Maakt dus in elk geval even een cronjobje aan welke dagelijks een simpele tgz maakt van je kdbx bestanden en verwijderd daarna de backups van 30 dagen oud of ouder of wat voor retention periode je wilt aanhouden. Mochten de bestanden corrupt raken (of iemand verwijderd ze per ongeluk van de share) dan heb je dus nog een backup welke je kunt terug zetten...

Mocht je ooit een apparaat kwijt raken, dan kun je vanuit VaultWarden alle sessies van clients direct verwijderen zodat de kans op misbruik iets kleiner is. Ligt er natuurlijk vooral aan hoe lang het duurt voordat je door hebt dat je een device kwijt bent geraakt...

dec0de @b.stroosnijder • 26 augustus 2022 11:58

Also, waarom is een syncronized bestand geen backup? Leuke claim enzo, maar zo kan ik zeggen dat het wel zo is en krijgen we een wellis nietus verhaal

omdat zodra op 1 client de file gerest wordt, or corrupt raakt, ze allemaal syncen naar die nieuwe lege of corrupte versie

Cergorach

Networking en security

@b.stroosnijder • 26 augustus 2022 12:39

Wat de anderen ook al aangeven bij corruptie of een fout synct het gewoon naar alle andere machines. Maar helemaal lastig als je last hebt van een cryptolocker en je bestand wordt encrypted... Seen that happen!

Cyb @Cergorach • 26 augustus 2022 10:10

Een aanvaller hoeft slechts een kopie te pakken te krijgen en je bent het haasje.

Je kan Keepass uitbreiden met authenticatie hardware als Yubikey. Dan is datgene niet meer van toepassing. (Tip: als je dat doet, zorg dan dat je meerdere hardware tokens hebt.)

Bovendien heeft Keepass ook een masterpass, dus als ze een kopie in handen hebben, moeten ze net als bij LastPass nog steeds dat zien te kraken. (En als er dan ook nog eens een hardware token op zit, is dat praktisch gezien onmogelijk zonder fysiek in de woning in te breken.)

[Reactie gewijzigd door Cyb op 22 juli 2024 22:17]

Cergorach

Networking en security

@Cyb • 26 augustus 2022 10:54

Yubikey kan je op meerdere manieren gebruiken: om je ww in te voeren, wat imho niet zo heel veel toegevoegde waarde bied, behalve dat je extreem complexe ww kan gebruiken.

Je kan het ook gebruiken voor one-time passwords via OtpKeyProv, wat waarschijnlijk niet gaat werken via de smartphone versie (maar ik kan het mis hebben).

Of via challenge-response via KeeChallenge, wat waarschijnlijk ook niet gaat werken via de smartphone versie (maar ik kan het mis hebben).

Er zijn een aantal cloud ww opslag oplossingen die ook gewoon werken met het masterkey principe en je ook kan uitbreiden met bv. MFA.

Ik kan het mis hebben, maar hoe exact werken de one-time en challenge-response oplossingen die hierboven zijn beschreven? Maken die alleen het master password complexer of wordt er een extra encryptie laag overheen gegooid? Wat ik zo van KeyChallenge lees is dat ze het secret => masterkey encrypten en niet de database nog een keer. Dat maakt imho het openbreken van je password database er niet echt moeilijker op. Je zal nog steeds maar 1x de masterkey te hoeven bruteforcen.

densoN @Cergorach • 26 augustus 2022 11:59

Je kunt Yubi ook gebruiken op smartphones met NFC.

Cergorach

Networking en security

@densoN • 26 augustus 2022 12:21

Dat is mooi, maar ik zat eerder aan de benodigde plugins te denken, die werken tot op heden alleen op Windows/Linux (voor zover ik zag).

Cyb @Cergorach • 26 augustus 2022 13:16

Waarop ik op doelde was de challenge–response mode, maar er zijn inderdaad ook minder veilige modi.
Ik weet niet of er een smartphone versie is die dat ondersteunt, maar op desktop is het wel mogelijk.

"Dat maakt imho het openbreken van je password database er niet echt moeilijker op. Je zal nog steeds maar 1x de masterkey te hoeven bruteforcen."
Dat is volgens mij juist exact wat je wilt, dat ze moeten overgaan op bruteforcen i.p.v. dat ze het wachtwoord weten te onderscheppen en het maar één keer hoeven in te voeren.

Zonder een Yubikey hoeft een hacker alleen maar fileaccess en een keylogger actief te hebben op een gecompromitteerd systeem. Met een Yubikey in challenge-response mode wordt dat heel wat lastiger. Je moet dan de fysieke Yubikey hebben, of de key die daar in opgeslagen zit, en de user key, of je moet een vulnerability in Keepass weten te vinden of bruce-forcen, maar dat laatste geldt voor elke software.

amigob2 @Cergorach • 26 augustus 2022 10:29

Als ik een password moet hebben op mijn telefoon connect ik met mijn VPN server thuis en is dus alles beschikbaar op mijn telefoon. Cloud oplossing ja makkelijk, maar veel te interessant voor criminelen.

Cergorach

Networking en security

@amigob2 • 26 augustus 2022 10:56

Dat is nu ook de optie waar ik naar neig, maar je thuisnetwerk is dan ook weer de zwakke schakel, de kans is immers groot dat je thuis wifi heb draaien...

Masterrikkie @Cergorach • 28 augustus 2022 00:53

tailscale

Ablaze @Cergorach • 26 augustus 2022 10:35

Goede punten, maar arrogant vind ik het niet. Waarom heb je personeel nodig om je eigen wachtwoorden te beheren? Een KeyPass database is zelf al encrypted en de applicatie is beproefd.

Een cloudoplossing heeft misschien betere security, maar dat hebben ze ook nodig, omdat ze gevoelige informatie van honderdduizenden mensen centraliseren en toegankelijk maken via een publiekelijk beschikbare service.

Dat kopiëren van databases zou ik inderdaad niet doen, maar KeyPass draaien op een nas of lokale server/pc vind ik geen probleem.

Cergorach

Networking en security

@Ablaze • 26 augustus 2022 11:05

Goede punten, maar arrogant vind ik het niet. Waarom heb je personeel nodig om je eigen wachtwoorden te beheren? Een KeyPass database is zelf al encrypted en de applicatie is beproefd.

Ik zeg niet dat je personeel nodig hebt om je prive wachtwoorden te beheren, waar ik het over heb is het beveiligen daarvan.

Natuurlijk hebben grote bedrijven een veel groter doelwit op hun rug geschilderd, maar prive individuen, zeker die op fora en in reacties informatie vrijgeven over wat ze wel niet gebruiken. De kans dat zo een organisatie een hack vind op hun password database is vrij groot. Hoe groot is de kans dat een tweaker een dergelijke hack tijdig vind? Als zo een hack plaatsvind zal eerst de ww/key per user moeten worden gebroken, dan ben je een tussen miljoenen, de kans dat daar betere targets tussen zitten dan jij is vrij groot. Als jou systeem wordt gehacked, weet je het niet, maken ze een kopie van je ww database en kunnen ze gaan kraken. OF... Waarschijnlijker, ze installeren een simpele keylogger en de volgende keer dat je de ww database opent ben je het haasje. Natuurlijk werkt dat ook zo met een cloud ww database, daarvan kunnen ze ook gewoon lokaal je ww van loggen, maar de kans dat zo een oplossing MFA gebruikt is vrij groot.

Edit: Imho is er geen perfecte oplossing, maar het is een gevalletje van risico's evalueren en mogelijk kosten overwegingen. Note: tijd=geld

[Reactie gewijzigd door Cergorach op 22 juli 2024 22:17]

avlt @Cergorach • 26 augustus 2022 12:26

Een aanvaller hoeft slechts een kopie te pakken te krijgen en je bent het haasje.

Nee hoor, een kdbx bestand is geencrypt. Je hebt het masterpassword nodig of extreem veel geduld en computingpower.

Cergorach

Networking en security

@avlt • 26 augustus 2022 12:37

Natuurlijk is het kdbx bestand encrypted, maar omdat je gewoon oneindig veel kopieën er van kan maken is het breken van het ww een heel stuk eenvoudiger dan het remote proberen op je cloud ww database (na x aantal pogingen blocked). En ik zeg niet dat het simpel is, maar een stuk minder onmogelijk dan dat de meeste denken. Ga maar eens zoeken naar parallele verwerking via moderne videokaarten van dergelijke attacks.

Misschien niet interessant voor pietje puk de putjesschepper, maar als iemand bv. voor een 'interessant' bedrijf werkt kan het zo zijn dat die persoon zijn werk wachtwoord(en) daar in bewaard. Is het een bitcoinminer/handelaar keys voor wallets? Etc. Imho is het nog erger bij bedrijven die hun (afdelings) ww daar in opslaan, want niemand weet dat er een kopietje van is gemaakt...

Het is niet makkelijk, maar dat is een hack op een groot ww management bedrijf over het algemeen ook niet...

ajakkes @Cergorach • 27 augustus 2022 13:30

Wat je lijkt te vergeten. En wat onze overheid ook een aantal keer is vergeten...

1 centrale locatie met miljoenen databases met wachtwoorden is vele malen interessanter dan miljoenen databases verspreidt over miljoenen verschillende systemen.

De hackers hebben nu mogelijk toegang tot heel veel databases, waarvan het overgrote gedeelte met zeer complexe wachtwoorden is beveiligd. Maar als er maar 1% gebruikers zijn die een wachtwoord hebben gebruikt die al een keer voorkomt in een wachtwoordbestand uit een eerdere hack hebben ze flink wat wachtwoorden van gebruikers in handen.

Voor b.stroosnijder moeten ze 1 van de 3 gesynchroniseerde databases in handen krijgen. En dan hebben ze 1 database van 1 gebruiker. Dat is geen drol waard.

Het klinkt hardstikke mooi, grote centrale databases. Zoals een database met patientgegevens, of met verzekeringsgegevens. Geen gedoe met uitzoeken. Maar ze zijn heel veel waard en worden continue gescanned op zwakke plekken. Maar veel handiger zijn 10.000 kleine databases ontwikkeld door 100 verschillende softwareleveranciers die allemaal hun best doen het zo goed mogelijk te beveiligen volgens de laatste standaarden. En in de gaten houden wat de recente zwakke plekken zijn.

Olaf van der Spek @b.stroosnijder • 26 augustus 2022 09:00

Je wachtwoorden in de cloud opslaan (versleuteld of niet) is toch gewoon vragen om problemen?

Waarom? Als ze lokaal versleuteld worden zou het geen probleem mogen zijn.

Scriptkid @Olaf van der Spek • 26 augustus 2022 09:49

lokaal 1 db is geen interesant target voor attackers, kost enorm veel tijd voor bijna geen gain,
bij een cloud opslag zoals lastpass gaat het om miljoenen accounts , nu ze de bron code hebben ghestolen kunnen ze exploits gaan bouwen,

leuk dat last pass zegt dat er geen inpact is maar gaan ze de hele tools herschrijven dan? meestal is dit pas stap 1 om de exploits te vinden.

Anoniem: 1322 @Scriptkid • 26 augustus 2022 11:37

lokaal 1 db is geen interesant target voor attackers, kost enorm veel tijd voor bijna geen gain,
Dit is natuurlijk niet waar. Malware bestaat tegenwoordig uit modules (build your own) en het kost vrijwel geen moeite om een module te bouwen die alle *.KDBX bestanden direct doorgestuurd (naast het installeren van een keylogger). In IT automatiseren we taken...

bij een cloud opslag zoals lastpass gaat het om miljoenen accounts , nu ze de bron code hebben ghestolen kunnen ze exploits gaan bouwen,
Het is helemaal niet zo zwart-wit. Broncode hebben wil niet automatisch zeggen dat men er iets mee kan, daar is juist heel veel kennis voor nodig. Zoals het artikel aangeeft kan Lastpass ook helemaal de klantdata niet 'ontsleutelen' dus zelfs als een volledige hack is, dan zou het nog niets uit moeten maken.
Om het punt kracht bij te zetten: Bitwarden is open source (broncode is openbaar) maar toch worden ze niet gehacked....

leuk dat last pass zegt dat er geen inpact is maar gaan ze de hele tools herschrijven dan? meestal is dit pas stap 1 om de exploits te vinden.
Hahaha, Whut? Moet Microsoft nu ook Windows gaan herschrijven omdat ze iedere maand tientallen bugs vinden?

plakbandrol @Anoniem: 1322 • 27 augustus 2022 12:24

Vraag me af of het zou helpen om de kdbx file te renamen naar bijvoorbeeld jpg of mp3

Zou in ieder geval helpen wanneer malware of een hacker een scan doet op kdbx bestanden.

Anoniem: 1322 @plakbandrol • 27 augustus 2022 16:23

Het bestand is hier het probleem niet zo. Als iemand zoveel controle over je computer heeft, dan is het toch al voorbij. Het enige wat tegenwoordig werkt is MFA dat je op een ander apparaat draait. Of nog beter, koop twee Yubikeys.

Anoniem: 1576590 @Anoniem: 1322 • 28 augustus 2022 09:35

dycell schreef:

Het enige wat tegenwoordig werkt is MFA dat je op een ander apparaat draait.

Als het bij de LastPass hack om dezelfde aanvallers ging als o.a. Twilio (ook begin augustus) en ook proxies zoals EvilGinX2 werden ingezet, dan is dat totaal zinloos. Slachtoffers voeren namelijk óók hun MFA code in op die fake site.

Zie de lange lijst (IOC's) met variaties op domeinnamen van targeted organisaties waaronder Mailchimp, T-Mobile, Teleperformance, ATT, Accenture, Box, Yahoo, Microsoft, Mailgun, Epic (games), Riot (games), Evernote, Hubspot, Cloudflare etc. gepubliceerd door Group IB, Silent Push en Microsoft.

dycell schreef ook:

Of nog beter, koop twee Yubikeys.

Hardware keys hebben alleen zin als je ze zó gebruikt dat de domeinnaam van de website gecheckt wordt. Dus niet als je met een druk op een knop die hardware key de 2FA code in een 2FA veld laat "typen".

Anoniem: 1322 @Anoniem: 1576590 • 29 augustus 2022 09:53

Slachtoffers voeren namelijk óók hun MFA code in op die fake site.
100% veiligheid bestaat inderdaad niet. Het grootste probleem is dat er altijd 1 zwakste schakel zijn blijven: de mens. Ten minste, tot we Passkeys (passwordless) gaan doorvoeren. Ik ben bekend met reverse proxies en inderdaad, die pakken ook MFA. Al ben ik benieuwd of ze ook Yubikeys aankunnen....

Maar MFA werkt zeker wel in het verhogen van beveiliging en kan daarnaast de meeste bruteforce / dictionary attacks vermijden. Ik zal er altijd bij blijven dat men dit in ieder geval op het primaire email account moet inschakelen.

Hardware keys hebben alleen zin als je ze zó gebruikt dat de domeinnaam van de website gecheckt wordt. Dus niet als je met een druk op een knop die hardware key de 2FA code in een 2FA veld laat "typen".
Niet altijd, het hangt grotendeels af van hoe het door de site geimplementeerd is. EvilGinx2 kan bijvoorbeeld een goede implementatie ook (nog) niet onderscheppen:
https://medium.com/red-te...thentication-d6ba2f530b7c
EvilGinx2 will not work against U2F physical hardware keys like yubikey, since the source domain is used as part of the authentication process.

Anoniem: 1576590 @Anoniem: 1322 • 29 augustus 2022 12:35

Door dycell:

Het grootste probleem is dat er altijd 1 zwakste schakel zijn blijven: de mens. Ten minste, tot we Passkeys (passwordless) gaan doorvoeren.

PassKeys zijn zeer interessant, maar kennen ook risico's - die ik aan het inventariseren ben, en van plan ben op security.nl te publiceren.

Zo zullen waarschijnlijk veel gebruikers toegang tot hun iCloud of whatever beter moeten beveiligen (om te voorkomen dat een aanvaller diens device weet te koppelen en zo in één keer alle passkeys van iemand naar zijn device gesynchroniseerd krijgt).

En gebruikers zullen erop gewezen moeten worden dat als een site "ineens" alleen nog maar alternatieve inlogmethodes biedt, of claimt dat een account-reset nodig is, het hoogstwaarschijnlijk om een fake site gaat.

Cybercriminelen stoppen niet bij nieuwe uitdagingen.

Door dycell:

Ik ben bekend met reverse proxies en inderdaad, die pakken ook MFA. Al ben ik benieuwd of ze ook Yubikeys aankunnen....

Yubikeys in FIDO2 mode niet, maar Yubikeys ondersteunen veel meer modes waaronder, zo te zien, TOTP.

Als de fake website uitsluitend de "AitM" (Attacker in the Middle) authenticatiemogelijkheden toont, en één of meer daarvan zijn geconfigureerd in jouw Yubikey, zou de aanvaller alsnog Yubikey-bezitters kunnen overhalen om met onveilige MFA in te loggen.

Door dycell:

Maar MFA werkt zeker wel in het verhogen van beveiliging en kan daarnaast de meeste bruteforce / dictionary attacks vermijden.

Als je MFA gebruikt omdat het wachtwoord geen factor is, hou je 1FA over, vooral symptoombestrijding dus.

Erger, MFA leidt af van waar gebruikers op moeten letten, namelijk: zie ik een slotje, én wat is de feitelijke domeinnaam in de adresbalk, én weet ik zeker dat die domeinnaam van de bedoelde organisatie is.

(Dan kan nog sprake zijn van een onterecht uitgegeven certificaat, bijv. na een domain hijack, maar de kans daarop is m.i. een stuk kleiner).

Immers, het unieke, voldoende lange en random gegenereerde wachtwoord opzoeken in jouw wachtwoordmanager leidt al genoeg af.

We hebben veel te veel oplossingen die maar in een deel van de gevallen werken en/of eenvoudig overruled kunnen worden.

Mooi recent voorbeeld (ook MFA gekaapt via proxy), relevante fragmenten:

Phishing Email
[...]
The sender appears to be a legitimate DocuSign address (dse@docusign.net), However, it is a spoofed address.
[...]
Microsoft tags this email as a phishing attempt (since it does not pass DMARC security checks), however, due to a misconfiguration in the client environment, the email was not blocked and appeared as legitimate in the executive’s email inbox.
[...]
DocuSign provides a list of email addresses it uses to send emails, including dse@docusign.net and recommends marking them as safe sender.

Door dycell:

EvilGinx2 kan bijvoorbeeld een goede implementatie ook (nog) niet onderscheppen:
https://medium.com/red-te...thentication-d6ba2f530b7c
EvilGinx2 will not work against U2F physical hardware keys like yubikey, since the source domain is used as part of the authentication process.

Het probleem hierbij is dat slechts weinig algemeen toegankelijke sites hardware keys zullen verplichten, want bijna niemand heeft zo'n key (en terecht, het zijn krengen van dingen: je kunt ze niet back-uppen en raakt ze makkelijk kwijt).

We zijn massaal op cloudaccounts overgestapt, zonder dat we daar betrouwbare, betaalbare en schaalbare AitM-bestendige authenticatiemethodes voor hebben (sterker, Microsoft suggereert onder "Recommended customer actions" dat haar Microsoft Authenticator met wat zwarte magie nog te redden valt - m.i. onzin).

Als we "onze" gebruikers en anderen beter willen beschermen, moeten we meer van worst case aanvallen uitgaan; cybercriminelen voeren die steeds vaker uit.

Anoniem: 1322 @Anoniem: 1576590 • 30 augustus 2022 13:20

PassKeys zijn zeer interessant, maar kennen ook risico's - die ik aan het inventariseren ben, en van plan ben op security.nl te publiceren.
Nice! Ik ben benieuwd want ik heb zelf nog geen tijd gehad om hierin te duiken.

Zo zullen waarschijnlijk veel gebruikers toegang tot hun iCloud of whatever beter moeten beveiligen (om te voorkomen dat een aanvaller diens device weet te koppelen en zo in één keer alle passkeys van iemand naar zijn device gesynchroniseerd krijgt).
Zeker, het 'fijne' van icloud is dat ze al heel lang MFA verplichten. Als je bijvoorbeeld wachtwoord synchronisatie wilt inschakelen met icloud, dan wordt je direct verplicht MFA in te schakelen. Ik las toevallig dit nog: Al 95 procent van iCloud-gebruikers heeft tweefactor ingeschakeld. Ik deel echter je zorgen hierin dat passkeys 'deelbaar' zijn tussen apparaten en dus ook gestolen kunnen worden. Ik had zelf liever gezien dat deze keys enkel op 1 apparaat werken maar ik heb er nog niet genoeg onderzoek naar gedaan om te zien wat de mitigerende ideeën daarover zijn.

zou de aanvaller alsnog Yubikey-bezitters kunnen overhalen om met onveilige MFA in te loggen.
Eens, dit soort aanvallen kunnen theoretisch. Maar ik zie zelf zo niet hoe dit in de praktijk er uit zou zien. Ik doe beheer op een aantal Google omgevingen en daar staan we enkel FIDO2 toe (niets lager). Naar mijn mening zal het enorm moeilijk zijn om binnen te komen op die omgevingen via phishing. We hebben ook nog nooit een incident gehad.

Verder ben ik bezig om SMS uit te schakelen op een aantal MS omgevingen. Security keys zijn nog niet 'volwassen' bij Microsoft dus die omgevingen zullen denk ik eerder aangevallen worden. Maar goed, ik denk nog steeds dat Yubikeys (voor nu) de beste oplossing is. Ze zijn daarnaast zo enorm simpel dat iedereen ermee kan omgaan (anders dan de Microsoft MFA app).

Als je MFA gebruikt omdat het wachtwoord geen factor is, hou je 1FA over, vooral symptoombestrijding dus.Erger, MFA leidt af van waar gebruikers op moeten letten, namelijk: zie ik een slotje, én wat is de feitelijke domeinnaam in de adresbalk, én weet ik zeker dat die domeinnaam van de bedoelde organisatie is.
Hier ben ik het niet mee eens. Uiteraard is het domein waar je inlogt zeer belangrijk maar MFA is simpel:
Iets wat je weet (je gebruikersnaam en wachtwoord) en iets wat je hebt (App, telefoon (BLE), Yubikey, etc).
Microsoft biedt bijvoorbeeld al enige tijd passwordless sign-in aan. Daarbij geef je helemaal geen wachtwoord mee op maar beantwoord je een vraag + biometrische validatie. Jij mag het dan 1FA noemen maar zij vinden dat er meerdere wegen naar Rome zijn.

Immers, het unieke, voldoende lange en random gegenereerde wachtwoord opzoeken in jouw wachtwoordmanager leidt al genoeg af.
Mwa, ik weet niet hoe jouw oplossing er uit ziet maar neem Lastpass, daar hoef je echt niets op te zoeken. Die geeft een hit op de URL en vult alles automatisch in... Het hangt volgens mij vooral van de inrichting af en die moet zo laagdrempelig mogelijk zijn. Vandaar mijn voorkeur voor Yubikeys.

We hebben veel te veel oplossingen die maar in een deel van de gevallen werken en/of eenvoudig overruled kunnen worden.
Het probleem hierbij is naar mijn mening vooral de leveranciers. Heel veel MFA aanvallen lopen via SMS, iets dat al jarenlang uitgeschakeld had moeten worden. MS is nu pas bezig om onveilige protocollen (met basic authentication) uit te schakelen. Dit had men jaren geleden al moeten doen.. Als je logs doorkijkt dan zie je iedere seconde wel password-spray aanvallen op deze protocollen. MFA werkt wel maar het moet dan ook goed geimplementeerd worden. Vaak zorgen de leveranciers ervoor dat het onveilig wordt door weer bijvoorbeeld een hersteld mogelijkheid via email of SMS 'te faciliteren' (zie twitter hack)...

Het probleem hierbij is dat slechts weinig algemeen toegankelijke sites hardware keys zullen verplichten, want bijna niemand heeft zo'n key (en terecht, het zijn krengen van dingen: je kunt ze niet back-uppen en raakt ze makkelijk kwijt).
Zeker, daarom zie ik ook toekomst in passkeys. Maar in de zakelijke wereld (waar ze voor je worden aangeleverd) werkt het naar mijn mening fantastisch. MFA is en blijft helaas een gedoe maar voor nu is het niet anders.

(sterker, Microsoft suggereert onder "Recommended customer actions" dat haar Microsoft Authenticator met wat zwarte magie nog te redden valt - m.i. onzin).
Microsoft kwam enorm sterk op toen ze hun authenticator app introduceerden maar naarmate de jaren is deze steeds 'minder' geworden inderdaad. Erg jammer want er zat veel potentie in.

Scriptkid @Anoniem: 1322 • 27 augustus 2022 21:59

Dit is natuurlijk niet waar. Malware bestaat tegenwoordig uit modules (build your own) en het kost vrijwel geen moeite om een module te bouwen die alle *.KDBX bestanden direct doorgestuurd (naast het installeren van een keylogger). In IT automatiseren we taken...

Geen idee waar je hier heen wilt want voor een aanvaller een 100 tal KDBX files proberen te hacken is honderden jaren werk,

Een cloud platform met een masterkey backup is tig makkelijker , of nog beter door een exploit in de source code te vinden de security omzeilen is nog makkelijker en dan heb je het hele platform

Zoals het artikel aangeeft kan Lastpass ook helemaal de klantdata niet 'ontsleutelen' dus zelfs als een volledige hack is, dan zou het nog niets uit moeten maken.

Dat zou ik ook zeggen als ik lastpass was, hebben al vele grote bedrijven gezegt tot dat puntje bij paaltje kwam en er toch een master key is net als bij M365 Bring your Own key etc.

Hahaha, Whut? Moet Microsoft nu ook Windows gaan herschrijven omdat ze iedere maand tientallen bugs vinden?

In windows zitten geen credentials op geslagen BUG != totale sourcecode kunnen inzien om bugs te vinden

Anoniem: 1322 @Scriptkid • 29 augustus 2022 13:17

Geen idee waar je hier heen wilt want voor een aanvaller een 100 tal KDBX files proberen te hacken is honderden jaren werk,
Het punt dat ik wil maken is dat de locatie niet echt relevant is voor de veiligheid. Het verzamelen van je lokale password databases is niet moeilijk en dit soort taken zijn geautomatiseerd. Als men toegang heeft tot je computer, dan is het achterhalen van het wachtwoord op die databases ook een peulschil (keylogger).

Een cloud platform met een masterkey backup is tig makkelijker , of nog beter door een exploit in de source code te vinden de security omzeilen is nog makkelijker en dan heb je het hele platform
Ik denk niet dat je weet hoe deze platformen werken. De data die opgeslagen wordt is versleuteld via one-way encryptie. Ook al steel je de data, deze is nog steeds onleesbaar zonder de gebruikers sleutels. De leverancier (als deze geen backdoor heeft ingebouwd) zal dus ook niets met de data kunnen. Dat is ook wat Lastpass hier ook claimt. Daarnaast kan je er vanuit gaan dat deze 'cloud' systemen hun beveiliging vele malen beter voor elkaar hebben dan een standaard gebruiker.

Dat zou ik ook zeggen als ik lastpass was, hebben al vele grote bedrijven gezegt tot dat puntje bij paaltje kwam en er toch een master key is net als bij M365 Bring your Own key etc.
Tja, in ieder stuk software moet je iemands woord geloven. Vertrouw je Keepass wel? En hoe zit het met de alternatieven zoals KeepassXC? Of Strongbox? Allemaal software leveranciers voor keepass bestanden.

In windows zitten geen credentials op geslagen BUG != totale sourcecode kunnen inzien om bugs te vinden
Je kan letterlijk 'credentials' in je startmenu intikken om ze in te zien. Ja, Windows slaat ook (soms ongevraagd zoals WiFi wachtwoorden) wachtwoorden op. Vaak maken andere software ook gebruik van Windows cryptografie onderdelen of zelfs de credential zaken. Geen idee wat je wilt zeggen met de laatste opmerking maar compiled code is niet hetzelfde als broncode.

Anoniem: 532949 @Scriptkid • 26 augustus 2022 11:39

nee, elk user zijn gegevens is versleuteld met een unieke sleutel. Het is niet zo dat ze maar 1 sleutel hoeven te kraken en dat dan iedereens gegevens uitlekken.
Daarnaast zijn ze bij password managers zich vaak wat bewuster van de gevaren en implementeren ze de cryptografische best practices zoals salting en peppering van hashes etc.

Het uitlekken van de source code doet (wanneer het goed is toegepast) ook geen afbraak aan de cryptografie!

Sluuut @Olaf van der Spek • 26 augustus 2022 09:57

Stel zo'n password manager bedrijf encrypt de databases met een private key die ergens opgeslagen staat. Dan kan een hacker uiteindelijk toch ook bij die private key komen en het ontsleutelen. Onmogelijk is het niet. Dan is de lokale opslag methode denk ik beter, want voor een hacker is het veel interessanter om een grote cloud partij met password databases te hacken dan 1 iemand.

Anoniem: 532949 @Sluuut • 26 augustus 2022 12:01

Ja dat zou zeker een zwakke schakel zijn, en juist daarom doen password managers dat ook niet.
Een goede password manager kan de passwords zelf helemaal niet versleutelen / ontsleutelen. Dat gebeurt allemaal client side, en zelf daar is de key niet opgeslagen, maar wordt die gegenereerd elke keer dat je hem nodig hebt.

b.stroosnijder @Olaf van der Spek • 26 augustus 2022 09:04

Ik lees tegenwoordig steeds vaker op tweakers dat de overheid graag zou willen dat die 'versleuteling' toch wat zwakker was. Want ze hebben toch best wat moeite al die chats te lezen. Dat heeft natuurlijk direct gevolgen voor zaken als bijvoorbeeld wachtwoord databases in de cloud lijkt mij.

KirovAir @b.stroosnijder • 26 augustus 2022 09:17

Ik lees tegenwoordig steeds vaker op tweakers dat de overheid graag zou willen dat die 'versleuteling' toch wat zwakker was. Want ze hebben toch best wat moeite al die chats te lezen. Dat heeft natuurlijk direct gevolgen voor zaken als bijvoorbeeld wachtwoord databases in de cloud lijkt mij.

Stervelingen zoals jij en ik zijn geen doelwit voor hacks van dit kaliber dus dat risico is echt (maar dan ook echt) nihil. De tijd/resources om de meestgebruikte algoritmes te ontsleutelen loopt met de huidige processors al in de jaren. Als je deel uitmaakt van het kabinet of wellicht wat Amerikaanse staatsgeheimen achter een wachtwoord hebt loop je enigzins risico. Voor de vakantiefoto's van mijn moeder loop ik graag dat miniscule risico in ruil voor gemakzucht.

Daarnaast: als je gebruikers zoals mijn moeder met syncthing laat klooien kan ik je garanderen dat ze minder veilig op haar laptop staan dan in de cloud van lastpass.

[Reactie gewijzigd door KirovAir op 22 juli 2024 22:17]

b.stroosnijder @KirovAir • 26 augustus 2022 09:28

En toch wil de overheid graag de chatberichten van stervelingen zoals jij en ik lezen. Als chat berichtjes al zo interesant zijn, hoe interesant is een wachtwoorden database dan wel niet?

I know I know, het is een beetje doom denken. Ik ben dan ook niet bang dat een hacker uit rusland of amerika mijn wachtwoorden wil. Maar ik maak me wel zorgen wat ons kabinet (en europa) allemaal zegt over encryptie en de gewilligheid om de eigen burgers te bespioneren.

Toch wel interesant, als jij en ik, als stervelingen, zo oninteresant zijn om gehackt te worden. Wat maakt de laptop van jou moeder dan zo belangrijk dat die wel een doelwit is? Volgens mij staan die wachtwoorden sowieso veiliger op haar laptop dan in de cloud van lastpass.

[Reactie gewijzigd door b.stroosnijder op 22 juli 2024 22:17]

KirovAir @b.stroosnijder • 26 augustus 2022 09:38

Toch wel interesant, als jij en ik, als stervelingen, zo oninteresant zijn om gehackt te worden. Wat maakt de laptop van jou moeder dan zo belangrijk dat die wel een doelwit is? Volgens mij staan die wachtwoorden sowieso veiliger op haar laptop dan in de cloud van lastpass.

Mijn persoonlijke redenatie is als volgt: De overheid is niet volwassen genoeg voor dit soort acties. De afgelopen jaren zijn cracks van berichtendiensten vaak gelukstreffers geweest. Buitenlandse diensten lukt ze nog niet om af te tappen (whatsapp) en ook iCloud locks vallen nog niet te kraken.

Met dat in het achterhoofd is de laptop van mijn moeder geen doelwit voor de overheid, maar wel voor scriptkiddie's die met een generieke cryptolocker een toevalstreffer hebben. Als ze dan meteen (geautomatiseerd) de KeePass files leegtrekken zullen dat makkelijke spambot accountjes worden.

Maar ik ben het verder eens met het doemdenken hoor. De overheid zou maar al te graag meekijken, ik acht ze alleen nog niet capabel genoeg.

Amerikaanse diensten wel overigens. Vandaar dat je geen high-profile target wilt zijn.

[Reactie gewijzigd door KirovAir op 22 juli 2024 22:17]

ehgeahrev @KirovAir • 26 augustus 2022 11:14

De overheid, dat zijn wij, jij en ik.

Mijn haren gaan overeind staan wanneer 'de overheid' als een kwaadaardig persoon wordt afgebeeld. In rusland en china kan je rustig gadeslaan wat een niet-goed-menende overheid inhoudt.

[Reactie gewijzigd door ehgeahrev op 22 juli 2024 22:17]

Anoniem: 532949 @ehgeahrev • 26 augustus 2022 11:49

Het is nogal een aanname dat "Wij" het allemaal met elkaar eens zijn, en de "overheid" kan altijd een richting in slaan die heel nadelig kan zijn voor een minderheid van de bevolking, echter kan je van te voren nooit voorspellen of je zelf ooit bij die minderheid zou horen. Neem bijv. de Boeren die zijn nu het "slachtoffer" van de Nederlandse democratie.

Je ziet ook dat overheden radicaliseren, kijk maar naar bijv Turkije, of wat er in sri lanka is gebeurt, landen die een redelijke democratie hadden.

Democratieën zijn ook niet optimaal efficiënt, neem de beslissing van Duitsland om te stoppen met kern energie ondanks dat het aantoonbaar beter is voor hun bevolking om daar mee door te gaan.

[Reactie gewijzigd door Anoniem: 532949 op 22 juli 2024 22:17]

ehgeahrev @Anoniem: 532949 • 26 augustus 2022 12:37

De overheid is de democratische resultante van wij. Turkije en Sri Lanka pasten en passen heus niet in het plaatje van een democratie.

In een democratie worden minderheden beschermd tegen de willekeur van een meerderheid. En je draait het om: de democratie en de natuur zijn het slachtoffer van niets ontziend boerengeweld en -vervuiling om toch maar 80% van hun vleesproductie te kunnen exporteren naar het buitenland.

De Duitse kernuitstap is en was een op-en-top democratische beslissing. Er is geen beter alternatief om anders te beslissen wanneer er beslist moet worden. Overigens ligt in kerngidsland Frankrijk de helft van hun nucleair productiepark er uit. En betalen ze daar even hoge prijzen voor hun stroom.

Anoniem: 532949 @ehgeahrev • 26 augustus 2022 13:59

De overheid is de democratische resultante van wij. Turkije en Sri Lanka pasten en passen heus niet in het plaatje van een democratie.

Nee op het moment niet meer.

In een democratie worden minderheden beschermd tegen de willekeur van een meerderheid.

Dat is quote die ik wel eens op school gehoord, en het zal ongetwijfeld wel eens voorkomen, maar is er ook bewijs dat dit de regel is i.p.v de uitzondering?

En je draait het om: de democratie en de natuur zijn het slachtoffer van niets ontziend boerengeweld en -vervuiling om toch maar 80% van hun vleesproductie te kunnen exporteren naar het buitenland.

Ik kan het ook gemakkelijk omdraaien. De democratie heeft boeren veranderd in: vervuilende over producerende vlees exporteurs. Als iemand die tussen de boeren woont heb ik gezien hoe de overheid met hun melk quota, subsidies etc. Deze democratische actie hebben de boeren getransformeerd in een volledige geautomatiseerde, dier onvriendelijke bio-industrie. Hoewel ik zelf helemaal niks heb met de (lompe) boeren, zijn ze net zo goed een product van de democratie, eerst hebben "we" ze opgehemeld, en nu breken "we" ze af.

De Duitse kernuitstap is en was een op-en-top democratische beslissing.

Ja, de verkeerde beslissing in mijn opinie. Wat weet de gemiddeld Duitsers van (kern) energie? Als het een democratie beslissing was geweest onder alle wetenschappers van de technische universiteiten, dan had ik het wellicht gerespecteerd.

Dit zijn allemaal maar voorbeelden van meningsverschillen, en in mijn beleving kiest de maatschappij verkeerd, want ze zijn slecht geïnformeerd en gemakkelijk te beïnvloeden.
Ik zeg niet dat de democratie per definiet slecht is, maar zou nooit durven stellen dat het "de beste methode" is, ook al is dat wat de kinderen op school te horen krijgen.

Btw er zijn oneindig veel vormen van democratie mogelijk, directer, indirecter, abstracter, andere manier van stemmen, andere manier van stemmen tellen. Met ieder systeem zijn eigen voor en nadelen. Er is geen "one size fits all" format. Kan chapters 12, 16, 17 voornamelijk 23 aanraden uit het boek: Networks, Crowds, and Markets: Reasoning about a Highly Connected World, editie (Cambridge University Press, 2010). Hier word in heel veel detail ingegaan op de interacties binnen een maatschappij, en verschillende voting systems.

De Duitse kernuitstap is en was een op-en-top democratische beslissing. Er is geen beter alternatief om anders te beslissen wanneer er beslist moet worden. Overigens ligt in kerngidsland Frankrijk de helft van hun nucleair productiepark er uit. En betalen ze daar even hoge prijzen voor hun stroom.

Dit is ook een grappige tegenstrijdigheid, volgens u is de Duitse beslissing goed, de Franse slecht. Beide zijn democratie erg vergelijkbare landen.

--edit typo's en andere dyslectische fouten..
--edit #2 laatste 2 paragrafen toegevoegd

[Reactie gewijzigd door Anoniem: 532949 op 22 juli 2024 22:17]

ehgeahrev @Anoniem: 532949 • 26 augustus 2022 17:52

Ik zeg niet dat de Duitse beslissing goed was en de Franse slecht. Wel dat kernenergie alleen lang niet zaligmakend is. Verschillende wegen kunnen bewandeld worden. Zolang er maar een democratisch draagvlak is voor de genomen beslissingen.

Ik denk dat je toch niet helemaal goed begrijpt hoe een democratie werkt. We verkiezen vertegenwoordigers (het parlement, de wetgevende macht) van wie we verwachten dat ze zich volledig toeleggen op het bestuderen van complexe dossiers en zich hiervoor laten bijstaan door experten en wetenschappers in commissies om zo goed en zo breed mogelijk gedragen beslissingen te nemen. Die dan uitgevoerd worden door de uitvoerende macht: de regering.

Het is aan diegene die stelt dat minderheden meer wel dan niet de speelbal van een meerderheid zijn in democratieën om die stelling hard te maken. Geef gerust een voorbeeld waar dat volgens jou zo zou zijn.

Tot slot ben ik erg nieuwsgierig naar welke bestuursmethode je dan beter lijkt dan een democratie. Waarvan er idd. meerdere smaken en kleuren bestaan maar essentieel wel dezelfde normen en waarden nastreven.

SED @Anoniem: 532949 • 27 augustus 2022 15:25

Je haalt democratie en kapitalisme door elkaar nu.

KirovAir @ehgeahrev • 26 augustus 2022 11:17

De overheid, dat zijn wij, jij en ik.

Mijn haren gaan overeind staan wanneer 'de overheid' als een kwaadaardig persoon wordt afgebeeld. In rusland en china kan je rustig gadeslaan wat een niet goed-menende-overheid inhoudt.

Nu gaan we erg offtopic: Wat je zegt is waar. Maar je kunt het niet met iedereen eens zijn. Op het moment is er behoefte aan telefoontaps en internet spionage volgens de 'meerderheid' ter behoeve van het tegengaan van terrorisme en criminaliteit. Ik zelf ben het hier niet mee eens bijvoorbeeld, maar omdat we in een democratie leven heb je dit alsnog te slikken. Is het per se slecht/kwaadaardig? Nee. Ben ik het er mee eens? Zeker niet.

PageFault @KirovAir • 26 augustus 2022 11:03

Als je toegang weet te verschaffen tot een telefoon via bijv. Pegasus of zo, dan is whatsapp uitlezen toch kinderspel?

Onderscheppen via het netwerk, zal wel een lastige kluif worden. Het onderscheppen niet, maar het decrypten.

Stufipower @b.stroosnijder • 26 augustus 2022 09:20

Begrijpelijk dat jou dat zo lijkt. Maar ‘de encryptie verzwakken’ in zijn algemeen gaat niet zomaar. Bovendien doelen ze ook op chat-apps voor zover ik weet.

Keepass is verder open source, de gebruikte encryptiemethoden zijn ook open source. Dat is wiskunde, en dus inzichtelijk. Als de encryptie zelfs hier, verplicht (aan wie leggen ze de verplichting op?), verzwakt wordt, dan is dat zichtbaar, en zal niemand meer keepass gebruiken.

Tot slot zou het ook (bij uitstek) dom zijn om bij een wachtwoordmanager te verplichten de encryptie te verzwakken. Want dan kan iedereen bij je wachtwoorden

[Reactie gewijzigd door Stufipower op 22 juli 2024 22:17]

White Feather

@Stufipower • 26 augustus 2022 09:36

Tot slot zou het ook (bij uitstek) dom zijn om bij een wachtwoordmanager te verplichten de encryptie te verzwakken. Want dan kan iedereen bij je wachtwoorden .

Tja, dat is met encryptie natuurlijk sowieso.

Veilig bankieren en thuiswerken kan bij verzwakking van encryptie niet meer omdat de overheid mee moet kunnen kijken. Dat criminelen dat dan binnen de kortste keren ook kunnen, daar willen ze niets van weten.

Maar aangezien je prima berichten in je wachtwoord-databases kan stoppen en die dan kunt versturen, zou dit ook onder dezelfde encryptie vallen.

En helaas zijn domme acties geen argument voor de overheid om hun werk te belemmeren.

C6DL @b.stroosnijder • 26 augustus 2022 08:59

Heb je ook een plugin voor Chrome welke gratis is welke met Keepass werkt ?
Kee kost een x bedrag per jaar.

Ik heb dezelfde setup hier, alleen mijn KDB staat in mijn OneDrive opgeslagen.
Waardoor een sync tool niet nodig is.

[Reactie gewijzigd door C6DL op 22 juli 2024 22:17]

b.stroosnijder @C6DL • 26 augustus 2022 09:06

Ik mijn post noem ik de Kee browser plugin. Deze is er voor firefox en voor chrome

Op de chrome pagina staat:

★ No payment required

Kee offers an easy and cheap password management solution via the Kee Vault service. This is available for a free trial period with no credit card required. If you decide that's not for you, the add-on can instead work with the free KeePass Password Safe 2 software and we offer step by step instructions for how to install and configure that to work on your Windows machine (and it can also be made to work on Mac and Linux with a bit more effort, with multiple guides existing to help in that endeavour)

Zolang je de 'Kee Vault Service' niet gebruikt is deze addon gewoon gratis

avlt @C6DL • 26 augustus 2022 09:23

Ik gebruik KeePassXC-Browser versie 1.8.1 Werkt als een zonnetje. En net zoals de echte zon, helemaal voor niks.

b.stroosnijder @avlt • 26 augustus 2022 09:34

Wow.. hoe heb ik dit zo fout opgeschreven. Natuurlijk gebruik ik de KeePassXC-Browser plugin en niet Kee. Voordat ik de overstap naar KeePassXC maakte (en gewoon keepass2) gebruikte had ik wel de Kee plugin. Ik heb dit in mijn originele reactie aangepast. Thansk @avlt! $_/-\o_$

HansRemmerswaal @C6DL • 26 augustus 2022 09:44

Ik heb dezelfde setup hier, alleen mijn KDB staat in mijn OneDrive opgeslagen.

Op OneDrive... Oh nee toch, staat het weer onveilige op de cloud

[Reactie gewijzigd door HansRemmerswaal op 22 juli 2024 22:17]

Drucchi @b.stroosnijder • 26 augustus 2022 09:02

Precies de setup die ik ook gebruik. Alleen staat de database op een NAS, die dus met Syncthing wordt doorgestuurd naar mobiele devices. Met versiebeheer in Syncthing heb je ook altijd een backup van je database op je mobiel. En uiteraard met 2FA (ook op de keepass db) dmv yubikeys.

[Reactie gewijzigd door Drucchi op 22 juli 2024 22:17]

b.stroosnijder @Drucchi • 26 augustus 2022 09:12

Haha, ik heb inderdaad als backup ook een syncthing instantie op mijn NAS draaien. En ik gebruik ook hardware keys voor 2fa op de sites die het ondersteunen, al gebruik ik de solokey

Als je trouwens nog eens wil checken welke websites / diensten allemaal MFA/2FA ondersteunen en in welke hoedanigheid, check https://2fa.directory/nl/

Polderviking

@b.stroosnijder • 26 augustus 2022 09:42

Je wachtwoorden in de cloud opslaan (versleuteld of niet) is toch gewoon vragen om problemen?

Jou syncthing, en mijn nextcloud waar ik soortgelijke dingen mee doe zijn evengoed "clouds" he...
En als iemand je hardware jat, heeftie je keyvault dus ook.

Het beveiligingsvoordeel van een offline key bestand tegenover gewoon bitwarden of lastpass is heel erg theoretisch en rust vooral op het gevoel dat je er zelf bij hebt.

Ben groots fan van het zelf hosten hoor. Heb ook een home server waar ik van alles op doe. Maar ik vind het nogal wat om dat in dit soort gevallen dat ook echt vanuit een security oogpunt te doen.
Je zegt daarmee effectief dat je het beter kan dat dat hele team van lastpass die daar letterlijk hun hele werkdag mee bezig is.

b.stroosnijder @Polderviking • 26 augustus 2022 09:50

Ik vind syncthing een cloud noemen wel een grote stap. Deze cloud bestaat uit een paar peer-to-peer gekoppelde apparaten die alleen communiceren als ze binnen het zelfde netwerk zijn.

En de enige reden waarom ik, wat ik doe, beter vind dat een partij als lastpass is schaal. lastpass is een doelwit. Ik misschien ook wel, maar ik ben met een grote margin een kleiner doelwit dan lastpass. Oftewel, ik ben (waarschijnlijk) oninteresant voor iemand om te hacken, of het uberhaupt maar te proberen.

Misschien is het schijnveiligheid, maar mijn logs geven geen entry weer, en alleen af en toe wat port-scanners. LastPass komt (relatief) vaak in het nieuws over een data-breach.

avlt @b.stroosnijder • 26 augustus 2022 09:30

Ik gebruik ook KeepassXC (en op Android).

Alleen het .kdbx bestand heb ik in de cloud (Google drive) staan. Lijkt me veilig genoeg; eerst zou men in mijn cloudomgeving moeten komen, wat me al onwaarschijnlijk lijkt en daarna moeten ze de encryptie van het kdbx bestand kraken.

b.stroosnijder @avlt • 26 augustus 2022 09:55

Op school maakte wij altijd de grap naar onze docenten

Backups daar doen wij niet aan, we hebben het project op google drive staan. Als we iets kwijt zijn sturen we gewoon een mailtje naar google of ze de bestanden nog hebben

Dit was natuurlijk gewoon luiheid van ons als studenten. Maar ik blijf het grappig vinden. Ik zou zo geloven dat diensten als google en dropbox veel meer met je bestanden doen dan je denkt. Niet dat het onveilig of iets is, maar weet jij precies wat ze ermee doen?

avlt @b.stroosnijder • 26 augustus 2022 12:33

Nee, ik weet niet precies wat Google met mijn bestanden doet. Ik weet dat b.v. mijn foto's gescand worden op kinderpornografische inhoud. Maar ik denk dat Google niet de tijd of recources vrijmaakt om mijn .kdbx bestandje te kraken.

En ja, voor de zekerheid kopier ik mijn .kdbx bestand ook regelmatig naar een lokale backup. En op mijn laptop heb ik het statusvlaggetje aan staan zodat er altijd een lokale kopie op mijn laptop staat.

Jochem285 @b.stroosnijder • 26 augustus 2022 09:15

Momenteel gebruik ik zelf nog Dashlane, maar ik neig er ook naar om het in eigen handen te gaan nemen. Het enige dat mij zorgen baart, is het idee dat als mijn hardeschijf/SSD/PC stuk gaat of gestolen wordt ik daarmee ook al mijn wachtwoorden kwijt ben. Maak je gebruik van lokale backups?

b.stroosnijder @Jochem285 • 26 augustus 2022 09:21

Ik snap je zorgen helemaal. Maar dit is, naar mijn mening, dus het geweldige van syncthing.
Mijn wachtwoorden database bestand staat nu op de volgende plekken bij mij:

Mijn computer
Mijn laptop
Mijn telefoon
Mijn NAS
Mijn tablet

Als een van de devices kapot gaat, is het enige wat ik hoef te doen:

Nieuw device fixen
Syncthing installeren en connecten met een van de andere devices
Folder share request accepteren van mijn kdbx map

Je devices worden je backups. Oke ik geef toe, als alles tegelijk in de fix vliegt heb ik een probleem. Maar dan denk ik dat ik wel aan wat anders denk dan 'oh shit.. hoe log ik nu nog in bij tweakers..'.

@C6DL zegt hier ook dat hij zijn kdbx bestand naar OneDrive synct. Dat is een keuze die je kunt maken. Of host ergens nextcloud met een backup ofzo. Je kunt het zo gek maken als je zelf wil.

snah001 @Jochem285 • 26 augustus 2022 11:29

Ik gebruik al meer dan 2 jaar Dashlane tot grote tevredenheid.
Alles wordt met ZeroKnowledge encryptie opgeslagen bij hun dus al zou daar een lek zijn, kunnen ze nog niks met wat daar opgeslagen is.
Daarnaast mocht je HDD-SSD-PC stuk gaan dan is het heel eenvoudig om alles weer terug te zetten op een nieuwe-andere device door gewoon de software te downloaden en het certificeringsproces te doorlopen.
Je hoeft ook niks op te slaan mbv een lokale backup want niet nodig.
Enige wat je wél moet doen is je eigen Masterpassword GOED onthouden want als je die kwijt bent en je kunt niet meer inloggen is het over.
Overigens ondersteund ook Dashlane 2FA voor Dashlane zelf.

Jochem285 @snah001 • 26 augustus 2022 11:32

Wel goed om te benoemen is dat er een stevig prijskaartje aan hun service zit. Ik gebruik Dashlane met de hele familie, waardoor wachtwoorden delen erg makkelijk en veilig wordt. Maar met elke familielid komt een nieuwe jaarlicentie en die kosten lopen flink op (zeker als je bedenkt dat het ook gratis kan).

snah001 @Jochem285 • 26 augustus 2022 12:09

Jouw opmerking van het "stevig" prijskaartje begrijp ik.
Tis maar wat je ervoor over hebt om je wachtwoorden écht veilig op te slaan en al kost Dashlane wel wat het werkt perfect en is echt veilig door E2E en Zero-Knowledge (ze versleutelen niet alleen alles in jouw vault maar ook alle metadata) en ze bieden zelf ook een extra authenticator app voor je smartphone aan die je dus ook voor Dashlane zelf kunt gebruiken.
Dat Lastpass dit soort problemen heeft is niet de eerste keer en ze komen er iedere keer weer mee weg.

Jochem285 @snah001 • 26 augustus 2022 12:11

Eens, als we Lastpass met Dashlane vergelijken gaat mijn voorkeur ook inderdaad naar laatstgenoemde. Het is bijzonder hoe vaak Lastpass al problemen heeft gehad, maar toch hoor ik de naam vaker als ik mensen spreek over password managers dan Dashlane..

snah001 @Jochem285 • 26 augustus 2022 12:19

En voor mijn data backup gebruik ik Pcloud encrypted (server in Zwitserland) die dezelfde basis regels hanteert.
Het master-password staat dan wel weer in Dashlane veilig opgeslagen en ik denk dat je tegenwoordig niet veel extra meer kunt doen waar weinig eigen werk in gestoken hoeft te worden en gewoon out of the box binnen 5 minuten werkt.
Redelijk duur setje bij elkaar maar dat is de veiligheid van alle gegevens mij wel waard maar kan ik dus niet spreken voor een ander omdat die dat wellicht het niet waard vindt.

[Reactie gewijzigd door snah001 op 22 juli 2024 22:17]

Jochem285 @snah001 • 26 augustus 2022 12:28

Misschien nog een interessante toevoeging: voor de 2FA gebruik ik Authy, met als backup een Feitan hardware key mocht er ooit iets mis zijn. Ook heb ik mijn partner geautoriseerd om (bij overlijden) toegang te verkrijgen als ik die niet binnen een maand ontzeg.

Edit: na wat gepuzzel hoe ik dit laatste heb ingesteld, ben ik zojuist erachter gekomen dat deze feature niet langer wordt aangeboden door Dashlane. Op de site staat een statement dat ze het aan het herontwikkelen zijn en ooit een nieuwe implementatie ervan willen uitbrengen.

[Reactie gewijzigd door Jochem285 op 22 juli 2024 22:17]

snah001 @Jochem285 • 26 augustus 2022 12:36

Dashlane biedt ook een Family abo aan voor $ 7,99 per maand en 6 gebruikers mocht je dit ontgaan zijn.

Jochem285 @snah001 • 26 augustus 2022 12:37

Daar ben ik ook net achter gekomen. Tijd om de licenties om te zetten!

swhnld

@b.stroosnijder • 26 augustus 2022 09:40

Met Syncthing vertrouw je nog steeds op software van een derde partij die via de cloud je Keepass bestand gesynchroniseerd houd volgens mij, je lokale PC zal neem ik aan niet open aan het internet hangen, dus Syncthing is dan de broker er tussen.

En wachtwoorden waar dan ook opslaan is vervelend genoeg, maar je kunt wel door 2FA te gebruiken de risico's beperken. Stel iemand raad je Tweakers wachtwoord, of hackt je Tweakers wachtwoord, zonder de verificatiecode kunnen ze niet op Tweakers inloggen en jou nadoen.

b.stroosnijder @swhnld • 26 augustus 2022 09:45

Syncthing is inderdaad een derde partij, maar syncthing doet aan peer-to-peer synchronisatie en werkt alleen zolang alle devices zich binnen hetzelfde netwerk bevinden. Teminste dit is hoe het out of de box werkt.

Ik heb mijn lokale PC inderdaad niet open en bloot opengesteld naar het internet dus als ik van huis ben kan ik niet synchroniseren. Het moment dat ik thuis kom (met telefoon in mijn broekzak) synct deze met mijn NAS, en zodra de PC aangaat ook met de PC. Maar anders niet.

swhnld

@b.stroosnijder • 26 augustus 2022 10:52

Ok, dat beperkt het risico wel enorm.

increddibelly @b.stroosnijder • 26 augustus 2022 10:12

dat klinkt als een prima oplossing; ik heb bitwarden thuis draaien, en gebruik dus meer standaard tooling / apps die voor het hele gezin werken. voor mij een prima compromis tussen convenience en security.

WhizzCat @b.stroosnijder • 26 augustus 2022 11:48

Mijn DB staat wel op een Cloud provider X, maar de Keyfile op Cloud provider Y. Een hack bij de een heeft dus an sich geen impact op de security van mijn KeepPass DB. Uiteraard ook met een dik masterpassword. Op deze manier kan ik met vrijwel al mijn devices bij de DB, maar zit er toch nog een soort van gelaagde security in. Door native ondersteuning van deze Cloud providers heb ik overal een gesyncte kopie van de DB tot mijn beschikking.

Het blijft altijd een compromis natuurlijk tussen eigen beheer, functionaliteit en gebruikers gemak. Over de loop van de jaren heb ik mij ook aangeleerd om, uiteraard, voor iedere website een ander password te maken van 24+ karakters dus als er weer eens een mailtje binnenkomt (Plex ...) ga ik mij daar echt weinig tot geen zorgen over maken.

Uiteindelijk blijf ik zelf de zwakste schakel

AOC @b.stroosnijder • 26 augustus 2022 12:25

Is het niet de bedoeling dat de keyfile en de database niet op eenzelfde device moet staan

?

Zelf vind ik het nog lastig waar ik me database moet laten. Deze wordt nu gesyncd naar Drive van Google

Arvado @b.stroosnijder • 26 augustus 2022 12:54

Nog een update:
Ik ben echt mega dom en noemde eerst de Kee browser plugin. Maar zoals @avlt zegt gebruik ik, in combinatie met KeePassXC de KeePassXC-Browser (ook voor chrome) plugin.
Dit heb ik ook hierboven aangepast.

Ja je bent echt uber de super mega dom als je ff iets door elkaar haalt

Nee natuurlijk niet.

Thnx, voor je uitgebreide reactie.

P_Tingen @b.stroosnijder • 26 augustus 2022 13:19

Respect voor je opzet, maar ik vertrouw in deze op de wachtwoordboer. In mijn geval is dat Bitwarden, maar het idee is hetzelfde. Elke oplossing heeft zijn sterke en minder sterke kanten. De sterke kant van jouw oplossing is dat je het zelf in de hand hebt. De sterke kant van mijn oplossing is dat ik het uit handen geef

De crux is dat het per persoon afhangt waar je prioriteiten liggen en hoe je de risico's inschat. Mijn belangrijkste accounts heb ik voorzien van 2FA dus al zouden mijn wachtwoorden in verkeerde handen komen, dan kunnen ze dáár in elk geval niets mee.

Mijn inschatting is dat Bitwarden (en LastPass ook wel) hun zaken voor elkaar hebben. In het geval van LP hebben ze kennelijk security by design door alles alleen encrypted op te slaan zonder de key er bij. Dus wat moet er gebeuren vooraleer mijn gegevens op straat liggen:

1) Wachtwoordboer moet gehackt worden
2) Buitgemaakte data moet gedecrypt worden
3) Mijn tweede factor moet erbij gehaald worden.

Deze lijken me alle drie op zichzelf al dusdanig lastig dat ik me geen zorgen maak en rustig slaap.

Sando @b.stroosnijder • 26 augustus 2022 13:54

Ik gebruik Syncthing (...). Dit is tegenwoordig zo makkelijk dat zelfs mijn vriendin dit zelf kon regelen.

Je post is erg informatief en dit is een handige setup om te voorkomen dat alles maar in een aantrekkelijk hacktarget staat samen met duizenden andere gebruikers. Wmb +2. Ik snap niet hoe mensen het in hun hoofd halen om 0 of zelfs -1 te modereren.

KeePass is een fijn programma. Maar ik heb liever niet al mijn wachtwoorden op mijn telefoon. Het is een gewild doel voor hackers en malware, dus als onverhoopt mijn masterwachtwoord gekeylogged en mijn database gestolen wordt, dan heb ik liever dat de schade "beperkt" is. Dat zou kunnen met dubbele versleuteling; één wachtwoord voor alles, en een ander wachtwoord voor expliciet gekozen entries die je op je telefoon wilt kunnen lezen. Dat zou ideaal zijn. KeePass experimenteert echter steeds met KeeShare, het is wat chaotisch omdat je dan opeens drie databases hebt in plaats van één, en het verandert steeds, dus ik gebruik het niet meer.

Syncthing is ook zo'n mooi programma. Helaas is het is wel lastig om Syncthing te gebruiken als self-hosted private cloud op een gedeelde always on HTPC of NAS, want je kan zover ik weet geen meerdere accounts tegelijk gebruiken. Met andere woorden: Je moet de shares van verschillende personen op één account maken, en daar heeft niemand zin in. Die setup heb je niet nodig voor een simpele share met kdbx, maar als je Syncthing als private self-hosted cloud gebruikt voor grotere bestanden die je niet op je telefoon wilt hebben, dan wordt het opeens ingewikkeld omdat je #[gezinsgrootte] instances parallel moet gaan draaien in docker containers.

[Reactie gewijzigd door Sando op 22 juli 2024 22:17]

Ellej_Harmsen @b.stroosnijder • 27 augustus 2022 10:06

Bij ons thuis hebben we een vergelijkbare set-up. Daarbij gebruiken we onze nas (met Synology drive) om de wachtwoorden ook op de andere apparaten beschikbaar te hebben. Daarnaast hebben we nu ook een bestand met de gezamenlijke wachtwoorden die met elk individueel account geopend kan worden. Het kost wat tijd en energie om het goed opgezet te krijgen, maar nu werkt het wel heel prettig.

Ik ben het met @b.stroosnijder eens dat een vergelijkbare set-up als voordeel heeft dat je veel lokaler/kleinschaliger bent dan een grote partij zoals lastpass. Ik zou zelf in het geval van een gelijkwaardige beveiligingsstandaard altijd kiezen voor de kleinschalige optie. Voor kwaadwillende is de investering in het hacken van een grote partij altijd veel interessanter dan een kleiner doelwit. Vanuit dat opzicht is delen met Synology drive misschien niet de beste keuze, het is misschien wel lokaal opgezet en beter dan OneDrive of zo, maar het alleen synchroniseren als je op je eigen netwerk zit is waarschijnlijk een beter idee.

Godson-2 26 augustus 2022 07:47

Als ik het zo lees kan Lastpass wel degelijk bij de wachtwoorden want het deze zijn niet end-to-end versleuteld. Het kost alleen meer moeite.

Als een hacker op de infrastructuur zou zitten en uiteindelijk een master password weet te bemachtigen dan liggen alle wachtwoorden van alle gebruikers op straat.

Nog los van het feit dat de NSA waarschijnlijk ook wel interesse heeft in alle wachtwoorden van gebruikers.

Ik sla mijn wachtwoorden alleen lokaal op. Niet op een externe dienst. En zeker niet als deze niet E2E versleuteld is.

jvdmeer @Godson-2 • 26 augustus 2022 07:55

Ik ben zelf inmiddels overgestapt op bitworden, maar ik weet niet waar je dat leest. Hoe bedoel je end-to-end versleuteld? Het enige dat over de lijjn gaat, is een encrpyt bestand, je wachtwoordkluis. last-pass fungeert hierbij eigenlijk als een soort gdrive, one-drive of iCloud. Pas als het bestand lokaal staat, kan je eigen pc het ontsleutelen met het wachtwoord dat alleen jij kent.

ik zie niet in, hoe Lastpass dan bij je wachtwoord kan komen.

Op 1 uitzondering na, ze zouden natuurlijk in de client een stukje code kunnen opnemen dat het wachtwoord ook naar henzelf toestuurt, maar dat zou heel snel opvallen en daarmee verklaren ze zichzelf gelijk failliet. Dus dat zal nooit gaan gebeuren.

Anoniem: 1576590 @jvdmeer • 26 augustus 2022 08:53

jvdmeer eindigde met:

Op 1 uitzondering na, ze zouden natuurlijk in de client een stukje code kunnen opnemen dat het wachtwoord ook naar henzelf toestuurt, maar dat zou heel snel opvallen en daarmee verklaren ze zichzelf gelijk failliet. Dus dat zal nooit gaan gebeuren.

Volgens BleepingComputer:

Door Lawrance Abrams: Password management firm LastPass was hacked two weeks ago, enabling threat actors to steal the company's source code and proprietary technical information.
[...]
Sources told BleepingComputer that employees were scrambling to contain the attack after LastPass was breached.
[...]

Als de cybercriminelen toegang hadden of hebben tot de sourcecode, kun je niet uitsluiten dat zij die ook wijzigen.

Denk aan de browser-plugin, maar ook aan allerlei code die normaal gesproken waarschuwt of blokkeert, bijv. in relatie tot het koppelen van nieuwe devices.

Zo te zien konden of kunnen de aanvallers bij de kroonjuwelen van LastPass.

Chiwn

@Anoniem: 1576590 • 26 augustus 2022 09:21

Gaat wijzigen niet een beetje ver? Na een aanval zou je toch wel kunnen nagaan of er iets gewijzigd is (vergelijken met backups en dat soort dingen).

Anoniem: 1576590 @Chiwn • 26 augustus 2022 10:12

Chiwn schreef:

Gaat wijzigen niet een beetje ver?

Die sourcecode zelf is nauwelijks iets waard (bovendien bevatten plugins, zoals voor Firefox, redelijk leesbare code).

Ik vermoed dat het hier gaat om dezelfde aanvallers ("state actors'?) als gisteren uitgebreid beschreven door Group-IB (bron: security.nl) en (op 15 augustus) door Silent Push: dit zijn geen scriptkiddies maar professionals die "supply chain" aanvallen uitvoeren (o.a. Twilio, CloudFlare en MailChimp).

Doordat zij phishing proxies als Modlishka, Muraena, CredSniper of Evilginx2 gebruiken (wat we vaker zullen gaan zien), zijn de meeste vormen van MFA kansloos - als de gebruiker niet checkt op het slotje én dat de domeinnaam in de adresbalk van de bedoelde organisatie is - wat niet zo simpel is en waarbij wij, internetters, ernstig worden tegengewerkt (zoals ik gisteren cynisch schreef).

Chiwn schreef ook:

Na een aanval zou je toch wel kunnen nagaan of er iets gewijzigd is (vergelijken met backups en dat soort dingen).

Dat kan veel (tijdrovend) werk zijn, vooral als je niet snel doorhebt op welk moment de aanvallers toegang kregen en jouw eigen ontwikkelaars ook vanalles hebben gewijzigd. Waarbij een "roll back" niet zomaar gegarandeerd veilig hoeft te zijn.

Ik hoop dat LastPass niet te lang gewacht heeft met waarschuwen en dat de huidige waarschuwing "luid genoeg" is.

Chiwn

@Anoniem: 1576590 • 26 augustus 2022 13:26

Ja dat is wel een interessant punt. Thanks voor het citeren van de artikelen ook.

Als je mag speculeren, stel het zou een state actor zijn, wat zou dan de motivatie zijn om in de development omgeving te komen? Puur voor het eenvoudiger vinden van 0days in LastPass?

Anoniem: 1576590 @Chiwn • 26 augustus 2022 15:31

Pure speculatie inderdaad: backdoors achterlaten op computers van devs/devops (ontwikkelaars worden vaak meer vertrouwd dan bijv. adminstratief personeel en hebben vaak toegang tot veel systemen), private keys bijv. voor code signing en VPN's kopiejatten, zo mogelijk source code wijzigen, en wellicht chanteren met gekopiejatte persoonsgegevens en/of bedrijfsgeheimen.

Dat insiders aan BleepingComputer lieten weten dat het lastig is om dit soort indringers definitief uit je netwerk te krijgen (en verder onschadelijk te maken) klink aannemelijk - vooral als van de grond af opnieuw opbouwen of zelfs "een weekje dicht" geen serieuze optie is.

Chiwn

@Anoniem: 1576590 • 29 augustus 2022 08:27

Interessant, bedankt voor je reactie

lenwar

@jvdmeer • 26 augustus 2022 09:20

maar dat zou heel snel opvallen

Ik denk dat dit heel erg zal tegenvallen.

De software zet versleutelde verbindingen op. Je ziet niet het verschil tussen versleuteld bestand dat over de lijn gaat of een open bestand dat over de lijn gaat. Het enige dat ze hoeven te doen is een gecomprimeerd csv-bestand met alle data opsturen naar dezelfde locatie als waar ze de versleutelde 'vaults' naartoe sturen. De back-end server regelt de rest.
Dat zijn in de praktijk voor een wachtwoord database van een gemiddeld persoon luttele kilobytes. (al heb je 2000 accounts met metadata erbij, dan kom je nog steeds niet aan 1MB)

Nou is bovenstaande natuurlijk gewoon commerciële zelfmoord om te doen, maar als ze echt kwaad zouden willen, zal dat niet makkelijk opvallen.

kimborntobewild @jvdmeer • 26 augustus 2022 09:25

ik zie niet in, hoe Lastpass dan bij je wachtwoord kan komen.
Op 1 uitzondering na, ze zouden natuurlijk in de client een stukje code kunnen opnemen dat het wachtwoord ook naar henzelf toestuurt, maar dat zou heel snel opvallen en daarmee verklaren ze zichzelf gelijk failliet. Dus dat zal nooit gaan gebeuren.

Als dat technisch gezien mogelijk is, dan kan je dus niet roepen 'Dus dat zal nooit gaan gebeuren.'. Want als hun software(update) wordt gehackt en geïnstalleerd wordt door de klanten, dan ben je er al.

Er zijn 'veel' wachtwoordmanagers voor het publiek. Ik denk dat het niet de vraag is óf er ooit een wachtwoordmanager gehackt zal worden, maar wannéér.

ACM Software Architect @Godson-2 • 26 augustus 2022 07:56

Voor zover ik hun uitleg begrijp is het niet zo dat lastpass "een paar master passwords" heeft en die hergebruikt voor een hele boel accounts. Dat is de naam voor het password dat een gebruiker/bedrijf heeft ingesteld voor toegang tot de daarbij horende vault.

Als die uitlekken is het uiteraard per definitie zo dat dan alle wachtwoorden van dat account 'op straat liggen'. Maar niet zo dat dan ook die van andere accounts op straat liggen.

[Reactie gewijzigd door ACM op 22 juli 2024 22:17]

kimborntobewild @ACM • 26 augustus 2022 09:28

Voor zover ik hun uitleg begrijp is het niet zo dat lastpass "een paar master passwords" heeft en die hergebruikt voor een hele boel accounts. Dat is de naam voor het password dat een gebruiker/bedrijf heeft ingesteld voor toegang tot de daarbij horende vault.

Als die uitlekken is het uiteraard per definitie zo dat dan alle wachtwoorden van dat account 'op straat liggen'. Maar niet zo dat dan ook die van andere accounts op straat liggen.

tenzij je

Als een hacker op de infrastructuur zou zitten en uiteindelijk een master password weet te bemachtigen dan liggen alle wachtwoorden van alle gebruikers op straat.

als volgt leest: een intern 'master password', bij LastPass zelf, dus. En dan dat misbruiken door malafide clientsoftwareupdates te verspreiden.

ACM Software Architect @kimborntobewild • 26 augustus 2022 10:14

Dat hebben ze niet.

kimborntobewild @ACM • 26 augustus 2022 10:27

Dat hebben ze niet.

Volgens mij begrijp je me nog steeds verkeerd.
Zo'n beetje bedrijf gebruikt intern toch passwords?

ACM Software Architect @kimborntobewild • 26 augustus 2022 10:34

't Is niet strict noodzakelijk om wachtwoorden te gebruiken, je kan e.e.a. doen met ssl-certificaten. Maar voor toegang tot servers en databases is het wel gebruikelijk ja. Bedoel je dat?

Mocht iemand ongeoorloofde toegang tot hun database/opslag weten te krijgen, dan liggen in potentie de hashes van de master passwords en de encrypted data van de vaults op straat. Maar daarmee nog niet gelijk de leesbare varianten daarvan.

En wellicht is er dan iets mogelijk met rootkit achtige constructies waarbij je uit het geheugen van de servers de decrypted versies kan lezen. Of dat je met brute forcing die vaults kunt openbreken.

Maar het wordt allemaal nogal theoretisch, aangezien men in deze context meldt dat master passwords van gebruikers juist niet buit waren gemaakt. En daarmee niet gelijk zegt dat die van de servers dat dan wel waren...

Tommy_K @kimborntobewild • 26 augustus 2022 10:22

Waar komt die info vandaan, er is namelijk geen enkele melding over interne master passwords van lastpass zelf?

Joecatshoe @Godson-2 • 26 augustus 2022 16:46

Als ik het zo lees kan Lastpass wel degelijk bij de wachtwoorden want het deze zijn niet end-to-end versleuteld. .

LP is wel end-to-end versleuteld?

Op de LP servers staan versleutelde wachtwoorden en alleen jij hebt de key. Decryptie vindt plaats lokaal op jouw device en volledig offline. LP heeft noch de decryptiekey, noch jouw plain-tekst wachtwoorden. Daarom dus dat wanneer je je key vergeet, LP jouw wachtwoorden niet kan redden. Da's de definitie van end-to-end.

Als een hacker op de infrastructuur zou zitten en uiteindelijk een master password weet te bemachtigen dan liggen alle wachtwoorden van alle gebruikers op straat.

Er bestaat geen masterpaswoord voor alle gebruikers (want end-to-end). Dit scenario is onmogelijk.

Seth_Chaos 26 augustus 2022 07:56

Een paar uur voor de mail van Lastpass, werd er op mijn Steam account ingelogd met een kloppend wachtwoord dat enkel eenmalig op twee apparaten is ingevoerd (maanden geleden) gegenereerd en bewaard door LastPass. Ik heb dan ook grote moeite met de bewering dat mijn data nog veilig is bij hen. De kans bestaat natuurlijk dat bijvoorbeeld Steam gehackt is. Maar die kans acht ik wel heel klein. In de logging van mijn eigen netwerk vindt ik geen onverklaarbare verbindingen naar binnen en of buiten mijn netwerk.

SpoekGTi @Seth_Chaos • 26 augustus 2022 08:17

Depends, ik heb mijn steam account met een specifiek 16 random char wachtwoord en een specifieke gebruikersnaam en 2FA die ik NOG nooit elders heb gebruikt en in een keep pass bewaar

En toch kreeg ik jaren geleden opeens een mailtje dat ik vanuit Rusland probeerde in te loggen….

Kan je dus ook de kanttekening bij de andere dienst neerleggen.

capronicus @SpoekGTi • 26 augustus 2022 09:07

Moet je soms ook mee oppassen, kreeg zo eens een mailtje van ubisoft dat men in mijn account zat, echter bleek dat dus gewoon phishing te zijn en de wachtwoord reset link leide naar een identieke maar dus andere website dan die van ubisoft.
En ik moet eerlijk toegeven dat het er allemaal zeer goed uitzag, was bijna niet te onderscheiden van een legitiem mailtje.

Revres @SpoekGTi • 26 augustus 2022 08:39

Dat kan toch ook wanneer er alleen een gebruikersnaam bekend is? Dan krijg je sowieso een melding dat er op een andere locatie geprobeerd is in te loggen.

Seth_Chaos @Revres • 26 augustus 2022 08:44

Alleen geeft Steam netjes aan dat er met een correct wachtwoord is geprobeerd in te loggen.

kimborntobewild @SpoekGTi • 26 augustus 2022 09:32

Depends, ik heb mijn steam account met een specifiek 16 random char wachtwoord en een specifieke gebruikersnaam en 2FA die ik NOG nooit elders heb gebruikt en in een keep pass bewaar

Ik las een jaar of 6 geleden dat wachtwoorden t/m 14 karakters (toen) al gekraakt konden worden middels brute-force. Dat is dus jaren geleden. Als dat klopt, dan kan je je afvragen of 16 karakters lang genoeg is.

dehardstyler @Seth_Chaos • 26 augustus 2022 08:31

Ik neem aan dat er wel interessantere zaken in je PW manager staan. Lijkt mij erg raar om bij Steam te beginnen. Heb je bijvoorbeeld een mailaccount erin staan? Die houden vaak een inloglogboek bij, als je daar ook succesvolle inlogpogingen ziet, die alleen worden tegengehouden door 2FA, zou ik snel alles gaan aanpassen.

Seth_Chaos @dehardstyler • 26 augustus 2022 08:37

Er staan zelfs bank accounts in. En inderdaad ook mail accounts. Op mijn Outlook account regent het altijd mislukte inlogpogingen van over de gehele wereld (Een stuk of 10 per dag). Steam is juist voor criminelen heel interessant. Er zit een online wallet op. En geld uit Steam is makkelijk wit te wassen via keysites waar ze game sleutels op kunnen verkopen. Daar gaan miljarden euro's in om.

[Reactie gewijzigd door Seth_Chaos op 22 juli 2024 22:17]

dehardstyler @Seth_Chaos • 26 augustus 2022 08:43

Ja mislukte pogingen zie je inderdaad de hele dag door met een Hotmail / Outlook account. Maar als die nog mislukt zijn en je alleen bewijs hebt van Steam, zou ik het zien als toeval. Mailaccounts zijn over het algemeen het eerste wat ze pakken, dat betekent namelijk in de meeste gevallen ook toegang tot de rest van je accounts en zo kunnen ze op die manier ook je wachtwoorden en zelfs emailadressen in accounts wijzigen. Daarna hebben ze volledige toegang.

Of je moet een of andere high value Steam account hebben, waarom je een target bent met je Steam account?

Nog steeds verwacht ik het lek dan ergens anders, simpelweg de hele wereld had nu in brand gestaan als alle wachtwoordkluizen die bij Lastpass staan opgeslagen waren geopend.

Ralph84 @Seth_Chaos • 26 augustus 2022 08:53

Maar al dat data is toch encrypted? Dat kan de hacker dan toch niet inlezen of mis ik iets?

YopY @Ralph84 • 26 augustus 2022 08:57

Dat is de theorie, maar encryptie kan gebroken en wachtwoorden geraden.

Ik bedoel als ze de gebruikersdata lokaal hebben, kunnen ze brute force gaan toepassen om de vaults te openen. En voor zover ik weet heeft LastPass niet geopenbaard welke encryptie en beveiliging ze gebruiken, dus het is lastig vast te stellen hoe goed die beveiliging nou echt is.

Seth_Chaos @YopY • 26 augustus 2022 09:03

Los van het gegeven dat het zomaar zou kunnen dat ze achterdeurtjes hebben ingebouwd. Die met het ontvreemden van de source inzichtelijk zijn geweest.

Drardollan @YopY • 26 augustus 2022 10:48

Zover ik het altijd begrepen heb is dat je kluis ge-encrypt wordt met als encryptiesleutel een code die je zelf bedenkt. Als die code sterk genoeg is dan loop je, lijkt mij, maar weinig risico. Als ze je kluis gestolen hebben dan moeten ze daarna nog je code kraken. Niet onmogelijk natuurlijk, maar dat vereist heel veel tijd en resources.

svane @YopY • 26 augustus 2022 16:08

En voor zover ik weet heeft LastPass niet geopenbaard welke encryptie en beveiliging ze gebruiken

Als je 't niet opzoekt dan weet je het inderdaad niet

Ze hebben gewoon een whitepaper hierover geschreven.

Ze gebruiken 256-bit AES voor de data, en oa PBKDF2-SHA256 / scrypt voor het hashen van de key. Volgens mij gewoon prima

DigitalExorcist @Ralph84 • 26 augustus 2022 09:00

Ligt eraan of de sleutel ook ontvreemd is of niet

chrisborst @Seth_Chaos • 26 augustus 2022 08:57

Volgens mij zit de fout eerder bij Steam. Dezelfde melding heb ik namelijk ook al 2x gehad. Waren in beide gevallen random gegenereerde wachtwoorden. Daarom op alle sites waar dat kan, 2FA aan zetten.

Falcon @Seth_Chaos • 26 augustus 2022 08:03

Hoe weet jij dat er ingelogd werd op Steam met kloppende info?

niekdejong @Falcon • 26 augustus 2022 08:07

Op het moment dat er een 2FA code verstuurd wordt (zijn de ingevoerde authenticatiegegevena correct).

Olaf van der Spek @Falcon • 26 augustus 2022 08:07

From: Steam Support <noreply@steampowered.com>
Subject: Your Steam account: Access from new web or mobile device

<name>,

It looks like you are trying to log in from a new device. Here is the Steam Guard code you need to access your account:

12345

If this wasn't you
This email was sent because someone attempted to log in to your Steam account. The login attempt included your correct account name and password.

If you are not trying to log in, we recommend that you reset your Steam password.

The login code contained in this email is required to access your account. Do not share this code with anyone.
Cheers,
The Steam Team

[Reactie gewijzigd door Olaf van der Spek op 22 juli 2024 22:17]

Seth_Chaos @Falcon • 26 augustus 2022 08:27

Wat Niek zegt. Je krijgt een MFA-melding. Los van het gegeven dat ik ook email logging aan heb staan. Waarin ik niet alleen verdachte aanmeldpogingen kan zien, maar zelfs waar ze vandaan komen. In dit geval kwam de inlogpoging uit Brazilië. Toen deze verdachte inlog poging plaats vond, ben ik ook meteen de beveiliging van Lastpass gaan opschroeven. (Regio locken en wachtwoorden aanpassen). En toen lag er ineens een e-mail op mijn deurmat dat Lastpass was gehackt.

[Reactie gewijzigd door Seth_Chaos op 22 juli 2024 22:17]

comecme @Seth_Chaos • 26 augustus 2022 09:36

Regio locken? Is dat iets dat je binnen LastPass in kunt stellen?

Drardollan @comecme • 26 augustus 2022 10:51

Ja dat kan je instellen. Maar je hebt er weinig aan als ze bij LastPass zelf binnen zijn en de kluizen gedownload hebben. Dan werkt geen enkele 2FA of regio blokkade meer helaas.

leto001 @comecme • 26 augustus 2022 10:53

Geloof het niet, waarmee het verhaal ook wat raar wordt. Zou an-sich nog wel een goede beveiligingsslag zijn.

Seth_Chaos @leto001 • 26 augustus 2022 11:33

Lastpass account instellingen>onderaan geavanceerd instellingen weergeven>kopje Beveiliging>Land beperking. Zit er gewoon in hoor.

leto001 @Seth_Chaos • 26 augustus 2022 12:03

Aha, I stand corrected. Zitten fraai verstopt die opties zeg. Dank voor het melden dan maar :-)

WTCosmium @Seth_Chaos • 26 augustus 2022 09:45

Er worden maandelijks bij steam 77000 accounts gehacked volgens bitdefender dus kan ook gewoon toeval zijn.

swhnld

@Seth_Chaos • 26 augustus 2022 11:12

Gelijk dan toch maar 2FA aanzetten op je Steam account?
https://www.howtogeek.com...-authentication-to-steam/
Dan kunnen ze in ieder geval niet met alleen een gelekt wachtwoord op je account inloggen.
Neem aan dat je gekeken hebt naar het IP adres dat het niet per ongeluk van jezelf is?

Verder, als je Lastpass niet meer vertrouwd, exporteer al je Lastpass data en stop ze in een andere oplossing die je wel vertrouwd, en wijzig gelijk daarna alle wachtwoorden die erin opgeslagen waren, en zet overal 2FA aan waar dat maar mogelijk is. Want zou je gelijk hebben dat jou Lastpass account gelekt is, zijn al jou wachtwoorden gecompromitteerd en moet je ze dus z.s.m. allemaal wijzigen.
Voor alternatieven: [Password Managers] Discussie- en reviewtopic

Overigens kan er ook nog wat anders mis zijn, dat je zelf je Lastpass ergens ingelogd heb in een browser of elders waardoor er toegang tot je wachtwoorden verkregen is. Dus de vraag is of een potentieel gelekt wachtwoord op je Steam account tekenend is voor de andere wachtwoorden. Zie je elders nog een inlog voorbij komen van een vreemd IP adres?

Seth_Chaos @swhnld • 26 augustus 2022 11:39

Zoals ik al vermeld had, heb ik MFA op Steam aan staan. Ik heb MFA op elk account aan staan waar dat wordt aangeboden. Het wachtwoord is buiten 2 maal ingeven bij de creatie nooit gebruikt en/of ingevoerd. Ik tik buiten het master paswoord van lastpass nergens handmatig wachtwoorden in. En het master paswoord van Lastpass wordt enkel gebruikt op door mij vertrouwde apparaten. 4 vaste apparaten.

swhnld

@Seth_Chaos • 26 augustus 2022 11:43

Maar zonder de MFA kan er dus niet op je Steam account ingelogd zijn?
Dus dan heeft de inlog gefaald, want de MFA was er niet?
Of de melding die je kreeg was een broodje aap / spam / phishing?
Of er is technisch ergens iets mis gegaan bij Steam?

Seth_Chaos @swhnld • 26 augustus 2022 11:58

Ik krijg vanuit Steam een melding en een MFA code wanneer iemand op mijn account ingelogd. En daarbij krijg ik te zien vanaf waar ze dit doen, en of ze een correct wachtwoord hebben ingevoerd. Ze hebben dus niet mijn Steam account kunnen gebruiken. Maar hebben wel mijn Steam wachtwoord bemachtigd. Zonder dat dat wachtwoord ergens is ingegeven. Afgezien van 1 maal, maanden geleden, bij een wachtwoord wijziging op mijn pc en Steam deck.

Dus de vraag is hoe heeft iemand mijn Steam wachtwoord bemachtigd buiten Lastpass om, terwijl deze maar 1 maal is ingegeven, en enkel in Lastpass wordt bewaard. En hoe toevallig is het dat ik een aantal uur na de inlogpoging een mail krijg dat Lastpass is gehackt. Dat kan puur toeval zijn. Maar dan zit ik nog steeds met de vraag waar en hoe hebben ze mijn wachtwoord bemachtigd.

En dan komt dus de vraag bij mij op. Is mijn master paswoord van Lastpass wel werkelijk de enige decryptie sleutel van mijn Lastpass vault.

[Reactie gewijzigd door Seth_Chaos op 22 juli 2024 22:17]

swhnld

@Seth_Chaos • 26 augustus 2022 12:11

Uitgaande dat je zelf de wachtwoordwijziging op Steam geïnitieerd hebt en op hun eigen website gedaan, en niet via een doorklik op een phishing mail of malafide website, is er een kans dat je PC gecompromitteerd is of Steam zelf. En het kan ook prima wel je Lastpass zijn. Maar met slechts 1 account geraakt zijn er veel meer andere opties.... immers waarom je Steam account targetten, en niet je mailbox die er aan gekoppeld is waar de alert op komt, of een van je andere accounts?

Belangrijkste, als je het risico wil uitsluiten, verander al je wachtwoorden z.s.m., zelfs als er dan een kopie van je huidige Lastpass database ergens zou zwerven, zijn die wachtwoorden niet meer bruikbaar.

Samoerai @Seth_Chaos • 26 augustus 2022 18:55

Dat is toch raar. Je zou verwachten dat er een poging gedaan wordt vlak nadat de hack plaats heeft gevonden en niet zozeer vlak voordat een melding gepubliceerd wordt. Zeker niet als daar een week of 2 tussen zit.

marcovit 26 augustus 2022 07:44

Bitwarden iemand?

Ik snap dat er altijd wel een kwestbaarheid in software zit maar bij een password manager is dit een no-go.

nieuws: LastPass dicht kwetsbaarheid in zijn browserplug-in

nieuws: LastPass dicht beveiligingslek in 2fa-app voor Android

nieuws: Hackers bemachtigen persoonsgegevens van servers LastPass

nieuws: LastPass brengt update uit voor Firefox-addon die kwetsbaarheid bevatte

[Reactie gewijzigd door marcovit op 22 juli 2024 22:17]

blorf @marcovit • 26 augustus 2022 07:47

Ik vertrouw ze geen van allen, ook browsers niet. Dit is wat vroeg of laat gebeurt.
Gewoon een eigen systeem hanteren van varianten van wachtwoorden.

Blokker_1999

Hackers
Hack
Networking en security

@blorf • 26 augustus 2022 08:03

En hoe ga je varianten uniek en random houden zonder het ergens te noteren? Dat lukt je niet. Er steken honderden wachtwoorden in mijn wachtwoordmanager, die kan ik nooit allemaal onthouden. En als je er een eenvoudig systeem op kleeft zoals de naam van de website opnemen in je wachtwoord wordt het ineens kinderspel om je wachtwoord te raden van andere sites.

LurkZ @Blokker_1999 • 26 augustus 2022 08:40

En hoe ga je varianten uniek en random houden zonder het ergens te noteren?

Daar zijn veel manieren voor. Een bekende is deze:
Verzin een goed wachtwoord en plak daar steeds wat achter.
123Tweakers
123Amazon
123WhatsApp

DigitalExorcist @LurkZ • 26 augustus 2022 09:01

Voor iedereen die dit leest:

Doe wat @LurkZ zegt dus absoluut NOOIT.

Door mensen verzonnen wachtwoorden die ze zelf moeten kunnen onthouden zijn NOOIT random. Pak een goeie passwordmanager, host 'm desnoods zelf als je clouddiensten niet vertrouwt. Je kunt een master password het beste nog op een papiertje schrijven en thuis in een la bewaren (zolang je er niet bij zet dat het je master password voor je password-manager is

). De kans dat er fysiek ingebroken wordt waarbij iemand op zoek is naar je wachtwoorden is nogal wat kleiner dan dat er digitaal gezocht wordt naar je wachtwoorden.

En gebruik overal waar het enigszins mogelijk is MFA. (Maar dan weer niet via SMS want dat is gewoon plaintext).

[Reactie gewijzigd door DigitalExorcist op 22 juli 2024 22:17]

kimborntobewild @DigitalExorcist • 26 augustus 2022 09:19

En gebruik overal waar het enigszins mogelijk is MFA. (Maar dan weer niet via SMS want dat is gewoon plaintext).

Even een vraagje: wat maakt het uit dat dat plaintext is? De kans dat zowel je (master)wachtwoord als je telefoon tegelijkertijd gehackt zijn: is die niet uitermate klein? Of doel je op een andere (hack)methode.

DigitalExorcist @kimborntobewild • 26 augustus 2022 10:29

SMS kan makkelijk onderschept worden; simswapping, of bijv. https://www.watchguard.co...ow-hack-sms-mfa-system-16

kimborntobewild @DigitalExorcist • 26 augustus 2022 10:54

SMS kan makkelijk onderschept worden; simswapping, of bijv. https://www.watchguard.co...ow-hack-sms-mfa-system-16

Ok; dat ziet er serieus slecht uit; en het gaat daar op deze manier mis:
"Lucky225 sent Sakari a Letter of Authorization filled out with false data and claiming that he was the owner of the journalist's phone number."
Hoe kan je een werkend 'Letter of Authorization filled out with false data' creëren?
Ik begrijp trouwens niet hoe het kan dat een foutief maar geslaagd Authorization request via een 3rd party ervoor kan zorgen dat SMS-jes van alle accounts die met met SMS 2FA werken, opeens naar een ander (al dan niet virtueel) toestel worden gestuurd.

DigitalExorcist @kimborntobewild • 26 augustus 2022 11:03

Nja 'makkelijk' is misschien ook wat overdreven, maar SMS is gewoon niet echt veilig

simswapping is ook een dingetje, maar inderdaad, je moet het wel bont gemaakt hebben om zó in de belangstelling te staan van iemand die jou wil hacken.

kimborntobewild @DigitalExorcist • 31 augustus 2022 15:12

...maar inderdaad, je moet het wel bont gemaakt hebben om zó in de belangstelling te staan van iemand die jou wil hacken.

Nee, het is gevaarlijk zo te denken. Als een beveiliging is te omzeilen, moet je er ook vanuit gaan dat dat massaal gaat; ongeacht of het doel 'een belangrijk persoon is' of niet.
De vragen in mijn vorige bericht zijn niet gesteld met een onderliggende vraag in het achterhoofd; ik ben daadwerkelijk benieuwd hoe zo'n Letter opgesteld en geaccepteerd kan worden.
Moet er dan bijv. al sprake zijn van 'persoonlijke gegevens' van het doel hebben verkregen? (Die liggen trouwens per miljoenen op straat, via miljarden gehackte webaccounts.) Zo ja: welke gegevens zijn voldoende?

DigitalExorcist @kimborntobewild • 31 augustus 2022 15:53

Dat kan massaal gaan, maar ik ging even uit van een targeted aanval en dat je daarvoor dus iets speciaals gedaan moet hebben om targeted te zijn…

Alex3 @kimborntobewild • 26 augustus 2022 12:02

Het is inderdaad een vaag verhaal, gekoppeld aan een staaltje onbeschaamde zelfpromotie.

swhnld

@DigitalExorcist • 26 augustus 2022 11:20

Op zich heb ik hier wel wat moeite mee voor gewone mensen. Het kost best wel wat moeite om voor 2FA via SMS dit gericht te onderscheppen en binnen X seconden te misbruiken. Voor journalisten, politici, directie van bedrijven is SMS een No go. Maar voor een normale arbeider is er niet genoeg te halen om al die moeite te doen lijkt mij? Of mis ik daar een risico?

DigitalExorcist @swhnld • 26 augustus 2022 11:27

Het probleem is vooral dat als een hacker dénkt dat er aan jou geld te verdienen is, er héél veel geoorloofd is om dat geld te krijgen. Ook als ze ongelijk blijken te hebben.

En vaak is het niet eens dat het om jou persoonlijk gaat, maar om een sleepnet waar jij toevallig in terechtkomt. Ja dan is SMS-hijacking niet zo vanzelfsprekend, maar niet uitgesloten..

kimborntobewild @swhnld • 6 september 2022 23:17

... Maar voor een normale arbeider is er niet genoeg te halen om al die moeite te doen lijkt mij? Of mis ik daar een risico?

Het maakt niet uit of je nu Biden of Jan Jansen heet; als er ergens een algemeen gat in een beveiliging zit, zullen er - als je maar lang genoeg wacht - bulk-aanvallen komen.

WTCosmium @DigitalExorcist • 26 augustus 2022 12:16

SMS is zeker niet meer van deze tijd. simkaart hacks gebeuren behoorlijk vaak of onderschepping van de smsjes. 2FA via sms kan best onveilig zijn en zou ik niet meer aanraden.

Kabouterplop01 @DigitalExorcist • 26 augustus 2022 09:20

Als aanvulling: Gebruik een wachtZIN als master password. Is ook random en "onkraakbaar" binnen de huidige normen.
Je moet je zelf bedenken hoe erg het is als een wachtwoord ergens lekt.
Stel dat je keepass gebruikt stel je wachtwoord generator in op alle mogelijke karakters en begin met 25 karakters. Als er een site is die je beperkingen oplegt voor je wachtwoord moet je achter je oren krabbelen.

vb wachtzin:
Mijn Partner 1s de Beste#
of
!Pa55word is Incorrect|

WTCosmium @Kabouterplop01 • 26 augustus 2022 09:48

Uiteindelijk zou beter zijn als we helemaal van wachtwoorden afstappen. maar zo ver zijn we nog niet helaas. ik denk dat een wachtwoord manager met random passwords voor elk account + sterke hoofdwachtwoord het beste werkt.

in elk geval beter dan zelf verzinnen van wachtwoorden en over al de zelfde wachtwoorden voor gebruiken.

RuddyMysterious @WTCosmium • 26 augustus 2022 10:49

Afstappen van wachtwoorden is helaas geen oplossing, want deel van de drie manieren om iets te beveiligen. Je kan toegang afschermen door één of een combinatie van de volgende drie mogelijkheden:

1. Wie je bent, e.g. vingerafdruk, irisscan, gezichtscan, etc
2. Wat je weet, e.g. wachtwoord, een token zoals een TOTP-seed, een private key, etc
3. Wat je hebt, e.g. een fysiek token zoals een eID, yubikey, bankkaart+kaartlezer, een simkaart (dus telefoonnummer), etc

MFA combineert doorgaans twee van de bovenstaande drie om het lastiger te maken voor kwaadwillenden die alvast één van de drie hebben buitgemaakt.

Anoniem: 1576590 @RuddyMysterious • 26 augustus 2022 11:52

Zoals Group-IB gisteren schreef (bron: security.nl) en en eerder ikzelf: de meeste vormen van MFA (ook bekend als 2FA) zijn kansloos als aanvallers phishing-proxies zoals proxies zoals Modlishka, Muraena, CredSniper of Evilginx2 inzetten en je óók jouw MFA code op de verkeerde site invult.

In tegenstelling tot Microsoft, die onterecht sugereert dat hun Authenticator app je zou kunnen beschermen tegen dit soort aanvallen, geeft Group-IB de m.i. enige zinvolle aanbevelingen onderaan hun rapport:

Group-IB recommends the following to mitigate similar attacks:

1) End users should always check, carefully, the URL of the site where you are entering your credentials. This is especially important for users with privileged accounts.

2) Treat all URLs that were received from unknown sources as suspicious. If in doubt, forward them to your security team for analysis.

3) Implement a FIDO2-compliant security key from a vendor like YubiKey for multi-factor authentication, like Cloudflare suggests

4) If you think your credentials might have been compromised, immediately change your password, sign off from all active sessions, and report the incident to your manager and security team.

Aanvulling 11:58: juist doordat zovelen dit risico van de meeste vormen van MFA niet inzien, vinden dit soort hacks plaats (ik heb een sterk vermoeden dat het bij LastPass om dezelfde "supply chain attackers" gaat als bij o.a. Twilio, MailChimp en CloudFlare).

Het enige dat je beschermt is ofwel checken van slotje én domeinnaam in de adresbalk én weten dat die domeinnaam wel/niet van de bedoelde organisatie is, ofwel een hardware key ofwel (toekomst) passkeys gebruiken.

[Reactie gewijzigd door Anoniem: 1576590 op 22 juli 2024 22:17]

RuddyMysterious @Anoniem: 1576590 • 26 augustus 2022 14:06

Zelfs FIDO2 compliant hardware tokens zijn niet veilig als men effectief gaat MITM'n met nagemaakte maar CA-signed certificaten. Een keten is maar zo sterk als de zwakste schakel.

Anoniem: 1576590 @RuddyMysterious • 26 augustus 2022 14:36

Wat je precies bedoelt met "nagemaakte" certificaten, weet ik niet.

Als je bedoelt:

"onterecht uitgegeven (in de zin van met een trusted CA-certificaat gesigneerde) https servercertificaten"

of

"gebruikers die zich laten overhalen om een CA rootcertificaat te installeren",

dan ja (alhoewel Certificate Transparency en CAA wat tegen die eerste casus ptoberen te doen).

Maar in dit soort gevallen houdt bijna alles op.

RuddyMysterious @Anoniem: 1576590 • 26 augustus 2022 15:03

Ik bedoel het eerste. En inderdaad, je moet een bepaalde chain of trust hebben om op te kunnen leunen.

WTCosmium @RuddyMysterious • 26 augustus 2022 12:08

Passwordless Authentication is dan toch de oplossing.
Ik weet dat hier nog aan gewerkt wordt maar uiteindelijk geen passworden meer hebben lijkt me wel beter.

RuddyMysterious @WTCosmium • 26 augustus 2022 13:43

Kan inderdaad perfect, maar zo haal je wel weer een extra barrière tegen indringers weg. Opgelet, ik schaar private keys en TOTP tokens ook onder passwords, want dat is de categorie van dingen die je weet, dus als je zegt "wachtwoorden weg, maar private keys en TOTP tokens behouden" is dat prima voor mij. Wel lastig, want véél accounts worden momenteel met alleen maar een wachtwoord beschermd, dus gaan veel mensen moeten veranderen van gewoonte en dat kan nogal tegenvallen.

Kabouterplop01 @WTCosmium • 26 augustus 2022 10:56

Helemaal eens en niets aan toe te voegen.

@RuddyMysterious Ook eens, maar brengt complicaties mee, biometrie is sterk afhankelijk van statische zaken, als er maar iets veranderd werkt het niet.

[Reactie gewijzigd door Kabouterplop01 op 22 juli 2024 22:17]

swhnld

@WTCosmium • 26 augustus 2022 11:27

Ik denk niet dat we ooit helemaal van wachtwoorden af kunnen stappen. Ergens is er een 0 punt. Stel je huis brand af en je bent alles kwijt, je telefoon, je computer, hoe kom je dan weer in je mailbox?

WTCosmium @swhnld • 26 augustus 2022 12:12

Ik denk van wel zie hier wat linkjes:
https://www.onespan.com/b...ess-authentication-future
https://blog.google/techn...to-a-passwordless-future/
https://www.cnbc.com/2022...when-it-might-happen.html

swhnld

@WTCosmium • 26 augustus 2022 13:26

Ik denk van wel zie hier wat linkjes:
https://www.onespan.com/b...ess-authentication-future
https://blog.google/techn...to-a-passwordless-future/
https://www.cnbc.com/2022...when-it-might-happen.html

Alleen het CNBC artikel benoemd de achtervang als het mis gaat voor account recovery. Dan krijg je security questions als, naam van je tante. Dat is minder veilig dan een wachtwoord, want terug te vinden op sociale media.

WTCosmium @swhnld • 26 augustus 2022 13:43

security questions moeten er natuurlijk ook gewoon niet meer zijn. je account recovery zal ook op een andere manier moeten gaan. Anders blijven we natuurlijk het probleem houden. Ik ben zeer benieuwd hoe het er over 10 jaar uit ziet.

lenwar

@DigitalExorcist • 26 augustus 2022 10:04

En gebruik overal waar het enigszins mogelijk is MFA. (Maar dan weer niet via SMS want dat is gewoon plaintext).

En met MFA ook rekening houden met het feit, dat als die MFA op basis van TOTP is (Google Authenticator en dergelijke), is dat wanneer de database met wachtwoorden is gestolen dat er dan een goede kan is dat de TOTP-sleutel ook is gestolen, waardoor die dus zinloos is geworden voor dat account. (het is tenslotte slechts een shared secret)

En die SMS in plaintext als 'probleem' zie ik om eerlijk te zijn niet zo. Althans. Tenzij je echt heel erg direct wordt getargeted, maar dan maakt het volgens mij allemaal niet zo veel meer uit.

DigitalExorcist @lenwar • 26 augustus 2022 10:30

https://www.watchguard.co...ow-hack-sms-mfa-system-16

Inderdaad, je moet het wel bont maken als je zó in de belangstelling staat. Maar feit blijft dat SMS niet echt heel erg betrouwbaar is..

lenwar

@DigitalExorcist • 26 augustus 2022 11:03

Ik heb het artikel zelf ook gelezen, en probleem is hier niet zo zeer het SMS-protocol zelf, maar eerder hoe de telco's er mee omgaan. Blijkbaar kunnen derde partijen legitiem inhaken op de systemen en SMS-verkeer laten omleiden. (wat als heel erg fout aanvoelt voor mij)

Onder aan de streep is dit natuurlijk wel een probleem binnen het gebruik van SMS, maar staat los van of het wel of niet versleuteld is.

DigitalExorcist @lenwar • 26 augustus 2022 11:06

Ok; dan is de nuance dat de implementatie van SMS-gebaseerde MFA niet veilig is.

Anoniem: 1576590 @DigitalExorcist • 26 augustus 2022 12:08

Zoals ik zojuist uitlegde (met advies) aan @RuddyMysterious: de meeste vormen van MFA (ook bekend als 2FA) zijn kansloos zodra aanvallers phishing-proxies zoals Modlishka, Muraena, CredSniper of Evilginx2 inzetten en je óók jouw MFA code op de verkeerde site invult.

En reken maar dat we dit soort aanvallen steeds vaker gaan zien.

DigitalExorcist @Anoniem: 1576590 • 26 augustus 2022 12:28

Uiteraard. Maar het is wel zo dat élke horde die je opwerpt, een groep aanvallers tegen zal houden. Alleen.. kies dan wel de goeie horde, en niet eentje van papier maché en 3 centimeter hoog

Anoniem: 1576590 @DigitalExorcist • 26 augustus 2022 12:48

DigitalExorcist schreef onder meer:

Alleen.. kies dan wel de goeie horde [...]

Ik denk dat de veel gepromote TOTP-apps (zoals Google Authenticator, Microsoft Authenticator en Authy) dat echt niet (meer) zijn.

Alleen maar MFA inzetten omdat mensen zwakke en niet-unieke wachtwoorden gebruiken, is m.i. stupide symptoombestrijding die ook nog eens afleidt en een hoop helpdeskgezeur geeft.

Sterke en zinvolle MFA die echt een factor toevoegt (afschuwlijke hardware keys en m.i. zeer interessante passkeys, die beide gebonden zijn aan "Webauthn/FIDO2 domeinnamen) heb je in veel gevallen niet nodig als je sterke en unieke wachtwoorden gebruikt (en soms kan dat simpelweg niet).

Maar dat soort wachtwoorden zijn helaas totaal onrealistisch zonder betrouwbare wachtwoordmanager.

De vragen die ik mij nu vooral stel is welke wachtwoordmanagers we nog wel kunnen vertrouwen, en welke vervolgstappen cybercriminelen nemen - zeker zodra we passkeys hebben (ik verwacht niet dat ze het opgeven).

DigitalExorcist @Anoniem: 1576590 • 26 augustus 2022 13:06

TOTP kan nog steeds prima zijn - in combinatie met sterke wachtwoorden die niet overál gebruikt worden natuurlijk. Het is een toevoeging, geen vervanging van...

Ook de vorm van MFA verschilt nogal. Je hebt van die pushberichten ("Klik Akkoord als u inderdaad wil inloggen"). Stuur een user 300 van die berichten achter elkaar en hij (m/v) zal vast wel een keer op "Akkoord" klikken om van die meldingen af te zijn. Sterker nog, recent was daar een goed voorbeeld van (maar die link/bron moet ik er weer eventjes bij zoeken..) waarbij een 'storm' aan MFA-requests gestuurd werd.

Je hebt ook een vorm waarbij je een code moet overtypen die je krijgt. Dat is op zich nog wel te doen, daar wordt iets meer interactiviteit van je verwacht en vereist dat je zowel je telefoon als je scherm bij elkaar open hebt staan. Dan weet je zeker dat je zélf aan het inloggen bent.

Dus ook binnen die OTP-apps heb je nog gradaties wat 'goed' en 'slecht' is.

Anoniem: 1576590 @DigitalExorcist • 26 augustus 2022 14:23

Het lijkt erop dat je het probleem niet begrijpt.

Voorbeeld: je ontvangt een SMS met een dringende oproep om in te loggen op jouw Microsoft-account, met in het bericht een korte URL via een URL- shortener service.

Je klikt daarop en komt op een pagina die identiek is aan Microsoft's login pagina, met een slotje naast de adresbalk (de meeste mensen hebben van idioten geleerd dat een slotje staat voor "een veilige website").

Mede doordat je te druk bent met jouw TOTP-app, vergeet je naar de domeinnaam te kijken.

En zelfs als je dat doet, zou je [b]microsoft-sso.net[/i] zien, wat veel van de weinigen die kijken, betrouwbaar zullen vinden klinken.

Bovendien, zo'n domeinnaam kan natuurlijk niet iedereen zomaar registreren, laat staan dat je daar ook nog eens, in een oogwenk en no questions asked, een zelfs gratis https servercertificaat voor zou kunnen krijgen, van notabene twee partijen (Let's Encrypt én Google).

Of wel?.

Je vult jouw e-mailadres, wachtwoord en TOTP-code in, die de proxy van de aanvallers instantaan invult op login.microsoftonline.com (een domeinnaam die, om onverklaarbare redenen, wél van Microsoft.com is, in tegenstelling tot microsoft-sso.net).

GAME OVER

[Reactie gewijzigd door Anoniem: 1576590 op 22 juli 2024 22:17]

DigitalExorcist @Anoniem: 1576590 • 26 augustus 2022 14:43

Ja dát is ook een optie. En geloof me, het is m'n werk om dit soort dingen te snappen en ik ben goed in m'n werk

Je hebt gelijk door te stellen dat dit één mogelijkheid is. Maar er zijn er meer die misbruik maken van TOTP en allerhande soorten MFA.

Het is een aaneenschakeling van ellende, en er is ook niet één oplossing die álles gaat afvangen voor je. TOTP niet, Microsoft niet, je browser en virusscanner/malware/firewall niet, en dan nog: stel dat je wél echt inlogt bij een HTTPS-site die vervolgens tóch gewoon je data blijkt te lekken naar andere partijen (yes Facebook, looking at you!) .. dan kun je netjes met TOTP ingelogd zijn maar ben je nóg nergens. Maar dat is weer een andere discussie

[Reactie gewijzigd door DigitalExorcist op 22 juli 2024 22:17]

spaceboy @LurkZ • 26 augustus 2022 08:49

Ja en als er dus érgens 1 wachtwoord lekt (bijvoorbeeld bij Amazon) dan vind ík het niet verschrikkelijk moeilijk om (als ik 123Amazon heb gezien) eens te kijken of 123Tweakers op deze site werkt. Maar goed, ik ben dan ook briljant. Dus ik snap je punt.

Polderviking

@LurkZ • 26 augustus 2022 10:03

Dus als ik je 123Tweakers te pakken krijg weet ik dat het waarschijnlijk ook 123[elke andere dienst onder de zon] is.
Hier zou ik toch wel naarstig snel mee staken hoor. Dan kan je m.i. net zo goed gewoon overal hetzelfde wachtwoord gebruiken.

[Reactie gewijzigd door Polderviking op 22 juli 2024 22:17]

blorf @Blokker_1999 • 26 augustus 2022 08:12

Het voordeel is dat jij niet weet hoe random ze zijn, en als dat wel zo was kon je daar nog steeds niks mee. Versleutelde wachtwoorden zoals opgeslagen bij diensten waar ik een account heb zien er allemaal even random uit, ongeacht wat het wachtwoord werkelijk is.

lenwar

@blorf • 26 augustus 2022 09:47

Ik snap wat je bedoelt, maar ik heb hier toch een beetje mijn twijfels bij om eerlijk te zijn.
Het feit dat je een 'systeem' hebt waarmee jij als mens je wachtwoorden kan onthouden (of desnoods ter plekke kan genereren), betekend dat het niet 'willekeurig' is, maar dat het alleen willekeurig lijkt (of doet alsof het willekeurig is).
Het voelt voor mij een beetje als de UPC-modems van vroeger die een gegeneerd wifi-wachtwoord hadden. Er zat alleen een relatie tussen de standaaard SSID en het bijbehorende wachtwoord. Het oogde willekeurig, maar er zat een systeem in, en dat werd dus gevonden.

Dus bijvoorbeeld (puur als voorbeeld. Ik heb geen idee wat het systeem daadwerkelijk was)
Wifinaam: UPC123456
Wachtwoord: 35e583827a98

Wifinaam: UPC654321
Wachtwoord: 631a39484182

In bovenstaand voorbeeld heb is wachtwoord de md5sum van de SSID, maar dan alleen de oneven posities van de hash met een maximum van 12 karakters. Het lijkt willekeurig maar dat is het niet. (verbazingwekkend veel cijfers in m'n uitkomsten, maar het is dan natuurlijk even ter illustratie)

Begrijp me niet verkeerd. Het is in elk geval een beter idee dan overal Wortel123! of GeheimWachtwoordTweakers123! te gebruiken, maar het is niet 'willekeurig'.
Ik vermoed dat als jij echt getarget wordt, en iemand drie van jouw wachtwoorden heeft, dat er dan best wel een systeem in te vinden is, zeker nu jij dit zo open en bloot op dit forum gezet hebt dat je dat hebt.

WTCosmium @lenwar • 26 augustus 2022 12:18

Mee eens je hebt maar 2 password lekken nodig en het verband tussen je wachtwoorden is zo gelegt.

blorf @lenwar • 26 augustus 2022 14:40

Kwestie van persoonlijkheid, denk ik. Ik ben een redelijke RNG. Een natuurlijke dobbelsteen. Dat kan best zo dat het niet is te onderscheiden van random cijfers uit een computer.

[Reactie gewijzigd door blorf op 22 juli 2024 22:17]

CH4OS @blorf • 26 augustus 2022 07:58

Tja, als je niets vertrouwd, maak dan alles zelf. Dan heb je in elk geval alle vrijheid en ben je zelf de zwakste schakel, of de sterkste.

lenwar

@CH4OS • 26 augustus 2022 09:11

Dat is uiteraard een non-opmerking, maar dat snap je zelf ook

Het niet vertrouwen, kan ook betekenen dat je er op een bepaalde manier mee om gaat. (of wilt gaan).

Als ik naar mezelf kijk. Anekdotisch dus.
Ik heb aardig wat domotica in huis. Veel op basis van z-wave en zigbee, maar (helaas) ook veel via IP. Ik heb voor veel van die apparaten aparte vlannetjes in m'n netwerk gezet en verkeer gewhitelist naar het absolute minimum dat technisch noodzakelijk is voor het gebruik, omdat ik niet volledig op de kundigheid vertrouw van de betreffende fabrikanten om het goed dicht te timmeren. Het gebeurt mij net iets te vaak dat bijvoorbeeld een slimme thermostaat in een botnet wordt opgenomen of dat ze als springplank gebruikt worden naar de rest van een netwerk.

Concreter. Ik heb mijn Dyson luchtreinigers een eigen vlannetje gegeven. Ik heb een Chromecast een eigen vlannetje gegeven (Nou acht ik Google wel in staat om "technisch veilige software" (Je snapt wat ik bedoel, want alle software bevat bugs, enz, enz, enz) te maken, maar die is principieel ;-) ) en zo door.

In z'n algemeen kan je bepaalde software/hardware met een zero-trust principe behandelen en het toch gebruiken, alleen houd je continue in je achterhoofd dat er wat mis mee kan gaan of ben je je in elk geval bewust van potentiële problemen. Ik vertrouw mezelf ook niet bijvoorbeeld. Dit is één van de redenen dat ik niet zelf ga zitten trutten om eigen software te maken voor alles wat ik nodig heb. Ik gebruik waar mogelijk in m'n eigen LAN DoH naar een lokale DoH server (Adguard Home in mijn geval) zodat ook m'n DNS-verkeer versleuteld over m'n LAN heen gaat.

En in het geval van password managers:
Ikzelf gebruik EnPass als password manager. Die synchroniseer ik via OneDrive. EnPass gebruikt de officiële APIs van Microsoft om met OneDrive te communiceren. Daar heb ik 'voldoende vertrouwen' in dat dat stukje goed zit. (Zelfde had gegolden voor Google Drive of Amazon en dergelijke, maar ik gebruik OneDrive.)

Maurits28 @lenwar • 26 augustus 2022 09:44

Over Enpass, die gebruikte ik ook met veel plezier voor enkele jaren. Maar kreeg laatste tijd toch een wat ongemakkelijk gevoel aangezien er veel onrust is op de fora van Enpass over (het ontbreken van ) onafhankelijke audits, weinig respons hierop en het feit dat het bedrijf uit India komt.

Dus overgestapt naar Bitwarden, wat open source is en iedere jaar onafhankelijke audit rapporten ook op de website plaatst.
Tot nu toe erg tevreden, enige wat onhandig is met Bitwarden is dat je opgeslagen documenten niet kan previewen in de app, maar met een Shortcut in iOS kan je dit gemakkelijk omzeilen.

Het is wel iets duurder dan Enpass, daar had ik een Pro versie na een eenmalige betaling enkele jaren geleden, maar volgens mij zijn zij ook overgegaan nu naar maandelijks/jaarlijkse betalingen (voor nieuwe klanten).

CH4OS @lenwar • 26 augustus 2022 11:13

Het is inderdaad redelijk een non antwoord. Maar als je zaken niet vertrouwd, dan kun je natuurlijk ook zelf iets maken, iets dat je immers wel vertrouwd. En natuurlijk is dat makkelijker gezegd dan gedaan en gaat er veel tijd in zitten. Maar het geeft je dan wel de vrijheid om te doen (en laten) wat je zelf wilt.

Natuurlijk weet ik dat dat ook redelijk onbegonnen werk is (zeker als je het alleen doet) en dat is juist mijn hele punt. Je bent in de software wereld best wel gebonden aan vertrouwen. Immers voor dependencies en middleware moet je die derde partijen ook maar vertrouwen. Doe je het niet, moet je zelf iets gaan schrijven, maar moet je dus wel afwegen of het de moeite waard is. Dat was waar ik op doelde, eigenlijk.

Zelf gebruik ik ook Enpass. In eerste instantie met mijn eigen Nextcloud, maar later toch maar de (encrypted) database op Google Drive gezet. Niet de beste of ideaalste optie, maar voor nu meer dan prima voor mij.

Von Henkel @CH4OS • 26 augustus 2022 14:42

En toch werkt de WiFi sync met Enpass zeer goed en makkelijk nadat hij eenmalig ingesteld is.
Zelf ben ik geen voorstander om in de cloud een back-up te maken.

Kveli @Von Henkel • 26 augustus 2022 21:04

Die WiFi sync heb ik nooit werkend gekregen. Ik heb geen idee waar dit door komt maar iets in mijn setup houdt 't tegen. Ik ben dus ook geen voorstander van backups in de cloud maar ik heb er ook maar voor gekozen want lui.

ZeromaNoiS @blorf • 26 augustus 2022 07:59

Ik denk juist dat er veel te winnen valt als iedereen braaf een password manager gebruikt en voor iedere website een uniek password genereert.

Nog mooier als er ook 2fa gebruikt wordt wanneer mogelijk.

SuperDre

Hackers

@blorf • 26 augustus 2022 09:51

Eigen systeem hanteren van varianten is natuurlijk ook erg slecht want er zit een regelmaat in, en dan zijn ze vaak wel te achterhalen.

Aeternum @marcovit • 26 augustus 2022 07:51

Het feit dat ze slachtoffer zijn (van hacks)/ beveiligings issues hebben is niet direct een aanwijzing dat het slecht is. Ik denk eerder dat het high profile is en dat ze daarom onder vuur liggen. Bitwarden en andere managers hebben dit soort fouten ook gegarandeerd en zullen die ook moeten fixen. Waar ik me wel over verbaas is dat ze zeggen dat je niet je wachtwoord hoeft te veranderen. Het is de meest simpele security maatregel die je kan nemen na een "hack".

ACM Software Architect @Aeternum • 26 augustus 2022 08:00

Dat hangt van de aard van de hack af. In dit geval is er toegang geweest tot (delen van) de broncode en wat andere informatie. Maar blijkbaar niet tot de opgeslagen vaults en/of masterpassword-hashes.

Dan is het op zich overbodig om die te veranderen. Zelfs niet als uit die broncode zou blijken dat ze stiekem de masterpasswords als "plain text" zouden opslaan (wat ze vast niet doen).

Accretion @marcovit • 26 augustus 2022 07:48

Tja, het is een password service die veel gebruikt wordt.

Echter doen ze wel hun best om het te patchen en laten ze het ook aan de klanten weten.

Het feit dat er voor andere password managers niet bekend wordt dat ze lekken hebben; betekend niet dat het niet zo is.

Maar ja, een offline password manager; zonder browser plugin, is lastiger om te hacken.

Miki @Accretion • 26 augustus 2022 09:14

1Password wordt ook veel gebruikt en die is nog nooit in het nieuws geweest met beveiligingsproblemen. 1Password staat bekend om de vele audits die het laat uitvoeren op haar systemen terwijl LastPass daar veel minder in investeert en dat zie je dus ook terug in hun trackrecord. Voor mij is het in ieder geval een toko om ver van weg te blijven.

lenwar

@Accretion • 26 augustus 2022 10:12

Echter doen ze wel hun best om het te patchen en laten ze het ook aan de klanten weten.

Ja, dat is dan ook wel echt het absolute minimum wat ze kunnen doen natuurlijk. Zij zijn volledig afhankelijk van vertrouwen.

We weten uiteraard geen details, maar het voelt voor mij wel heel raar dat één enkel gecompromitteerd ontwikkellaarsaccount zowel benaderd kan worden en tegelijk toegang heeft tot de broncode en geclassificeerde informatie. Daar lijkt mij procedureel wel wat aan te schorten dan.
Maar goed. Zoals ik al gelijk schreef. We kennen geen details dus dat blijft speculatie.

Niekoesj @marcovit • 26 augustus 2022 07:51

Tja ook Bitwarden zal ooit zulke alinbraken krijgen. Hoewel Bitwarden de broncode al publiekelijk beschikbaar heeft gemaakt en Lastpass gesloten software is.

Tassadar32 @Niekoesj • 26 augustus 2022 08:41

Je kan met vaultwarden ook zelf een bitwarden backend hosten. Een centrale opslag voor veel gebruikers is een veel aantrekkelijker doelwit dan een self-hosted oplossing op een willekeurige url.

DigitalExorcist @Tassadar32 • 26 augustus 2022 09:08

Vaultwarden draait uitstekend op m'n RPi4 met HomeAssistant. Geen enkele poort van buiten naar binnen open, alleen via ZeroTier beschikbaar en alles werkt overal. Ideaal.

Tassadar32 @DigitalExorcist • 26 augustus 2022 09:24

ZeroTier kende ik nog niet, ga ik even naar kijken!

DigitalExorcist @Tassadar32 • 26 augustus 2022 10:31

HomeAssistant ondersteunt dat ook, net als m'n MikroTik router

die kan dat 'native' als applicatie draaien. En voor iPhone en iOS zijn er prima apps (net als Linux en Windows en macOS).

Het beste draai je dan UPnP maar dat is qua security natuurlijk een no-go, als je alléén poort 9993/udp naar buiten toe open zet werkt het ook ten koste van wat snelheid. Maar voor thuisgebruik is dat meer dan genoeg.

Een alternatief is Tailscale, dat gebruikt een fancy implementatie van het Wireguard protocol wat iets opener is als je daar fan van bent. Dat kun je ook gelijk koppelen aan identity providers als Google, Microsoft en de andere groten der Aarde. Maar voor thuis is ZeroTier prima.

Let er wel op dat je in ZeroTier iets meer configuratie moet doen; het kan gratis, maar je moet wel even erop letten dat je je default route bijvoorbeeld standaard instelt in je ZT-netwerk. Tenminste, zo heb ik dat op m'n iPhone/huisnetwerk gedaan: al het verkeer, zelfs via 4G, routeert dan netjes via ZT en zo kan ik m'n NAS, Homeassistant en Adguard zelfs via m'n 4G connectie gewoon gebruiken en heb ik altijd het externe IP van thuis als ik onderweg ben. (Scheelt ook weer voor trackers en zo!)

[Reactie gewijzigd door DigitalExorcist op 22 juli 2024 22:17]

blorf @Niekoesj • 26 augustus 2022 08:46

De wachtwoorden verlaten het lokale systeem. Dat is een groot risico.

capronicus @Niekoesj • 26 augustus 2022 09:20

Er zijn wel wat barrières die je kan opgooien met bitwarden wat je met lastpass niet hebt.

In mijn geval is de server waarop bitwarden draait niet opengezet naar het internet toe (via VPN kan ik er natuurlijk wel zelf aan) stap 1 is dus al in mijn netwerk geraken. Ook niet onmogelijk maar toch al een stuk minder interessant om al die moeite te doen voor 1 databaseje, i.t.t. Lastpass waarbij als je erin geraakt je toegang (kan) hebben tot duizenden gebruikers hun wachtwoord.

Als men dus bij bitwarden binnengeraakt is dat dus voor mij geen probleem.

sanscorp @marcovit • 26 augustus 2022 09:03

Ik ben al lang over op bitwarden en zag wat verdachte activiteiten in maltrail vanuit Google Chrome, kort daarna allerlei succesvolle logins op diverse accounts waaronder gmail. Was er snel bij maar ik heb alle belangrijke wachtwoorden moeten wijzigen en nog krijg ik af en toe mailtjes van bijv. Surfshark onlangs (inactief account) dat er een login op een ander apparaat was.

Als ik alles moet wijzigen ben ik dagen bezig. Een DLL in Chrome was geïnfecteerd met een virus welke ook gesynchroniseerd werd over diverse PC's maar NIET herkent werd door de diverse grote virusscanners.

Ik heb geen idee wat ik hier nog aan kan verbeteren qua beveiliging en een keylogger o.i.d. hou je ook niet tegen.

Zou een hardtoken een oplossing kunnen bieden?

Djerro123 @marcovit • 26 augustus 2022 07:47

Ja Lastpass is ook een hard pass (

) voor mij geworden. Via werk kregen we een gratis 1Password account en heb geen spijt van die overstap.

Falcon @Djerro123 • 26 augustus 2022 08:02

Ik vind het persoonlijk anders nog flink wennen.

ZatarraNL

@Falcon • 26 augustus 2022 08:17

Die overstap heb ik een jaartje geleden ook gemaakt. En dat is inderdaad best even wennen. Vooral het regelmatig opnieuw invoeren van het master wachtwoord bij het opnieuw opstarten. Ik kan niet beoordelen of de ene echt veiliger is dan de ander.

Falcon @ZatarraNL • 26 augustus 2022 10:02

Wat mij verbaast is dat ik er niet 2fa wordt vereist bij het invoeren van je master, dan zou het ook iets minder vaak kunnen.

mphilipp @marcovit • 26 augustus 2022 08:15

Bitwarden iemand?

En als er volgende week in Bitwarden een lek ontdekt wordt?

Tassadar32 @mphilipp • 26 augustus 2022 08:42

Geen probleem als je die self-hosted hebt staan (vaultwarden).

mphilipp @Tassadar32 • 26 augustus 2022 13:18

En die self-hosted variant is onkwetsbaar? Niet om naar te doen, maar kan men niet op zoek gaan naar de self hosted installaties en die vervolgens kraken?

Tassadar32 @mphilipp • 28 augustus 2022 16:53

Kan prima, maar dan moet je een oneindig aantal domeinen en subdomeinen op alle mogelijke poorten afgaan. Security by obscurity is niet de beste oplossing maar in dit geval helpt het wel.

CH4OS @marcovit • 26 augustus 2022 07:54

Een hack is wel even wat anders dan een lek in de software. Ik wil die lekken niet goed praten, maar dat lek hoeft ook (nog) niet gebruikt of misbruikt zijn (en natuurlijk dicht je dan ook dergelijke potentiële lekken), dus dat hoeft zeker niet direct iets heel slechts te zijn. Een hack is dat wel, daar is het altijd te laat.

[Reactie gewijzigd door CH4OS op 22 juli 2024 22:17]

kiddingguy @marcovit • 26 augustus 2022 08:07

Een van de redenen dat ik geswitched ben naar Dashlane.

pbruins84 @marcovit • 26 augustus 2022 09:19

Daarnaast heeft LastPass nog steeds geen support voor U2F of FIDO2

CAPSLOCK2000

Hack
Networking en security

@marcovit • 26 augustus 2022 11:14

Bitwarden iemand?

Ik snap dat er altijd wel een kwestbaarheid in software zit maar bij een password manager is dit een no-go.

Dat is niet fair. Alle software heeft bugs, ook password managers. Niks in deze wereld is perfect, alles kan kapot. De vraag is alleen hoe je daar mee om gaat. Hoeveel veiligheid heb je nodig? Wat mag het kosten? Kun/moet je iets extra's doen om het gewenste niveau te bereiken?
Aangezien vast staat dat alle bugs software bev software bugs bevat wil je vooral weten hoe ze er mee om gaan. Lossen ze problemen snel op? Leren ze van hun fouten?

Een bedrijf dat regelmatig bugs/lekken meldt vind ik daarom betrouwbaarder dan een bedrijf dat nooit iets meldt. Bij dat eerste bedrijf weet ik dat lekken die ze vinden gaan dichten. Als je staat voor je product en je eigen kwaliteit dan ben je niet bang om fouten toe te geven.
Bij het tweede bedrijf weet ik alllen dat er bugs/lekken zijn waar ze niet voor uit durven komen.

Overigens zeg ik niet dat je een password manager blind moet vertrouwen. Een matige password manager is nog altijd veel beter dan geen password manager. En ook met een password manager zal er af en toe een wachtwoord lekken. Vandaar dat we tegenwoordig veel waarde hechten aan Multi Factor Authenticatie zodat je niet afhankelijk ben van de onfeilbaarheid van een enkel beveiliginsmiddel.

Zo gaat het overigens in alle soorten van beveiliging. Je vertrouwt nooit op een enkele bescherming maar op meerdere ovelappende lagen van beveiliging zodat een enkel gat niet genoeg is om binnen te komen. Een interessante exercitie is er over nadenken of je de boel veilig kan houden als je wachtwoorden op straat liggen.

PS. Bovenstaande is een algemene reactie, ik zeg niet dat Bitwarden of Last Pass beter of slechter is. Mij is het niet open source genoeg, maar dat is een andere discussie.

PPS. Ergens is het gebruik van password managers principieel fout. Alle boekjes gaan er van uit dat een wachtwoord alleen in het hoofd van de gebruiker zit en dus niet gestolen kan worden zonder het af te kijken op het moment dat de gebruiker het invoert. In praktijk is wachtwoordmanager een file die ergens op een schijf staat. Er zijn er die zeggen dat je dan het master-wachtwoord moet leren en dat het dan weer goed is. Maar ja, dan ben je dus eigenlijk al je systemen aan het beveiligen met hetzelfde (hoofd)wachtwoord en dat is ook weer tegen alle voorschriften in. Daarbij zal de gebruiker dat hoofdwachtwoord ook moeten invoeren en waarschijnlijk gebeurt dat op dezelfde computer als waar de passwordfile op staat. Even het keyboard afluisteren en dan kun je zelf de password manager unlocken.
We zijn daar langzaam naar toe gegroeid door wachtwoorden als enige beveiliging te gebruiken en te proberen een onfeilbaar wachtwoodsysteem te bouwen. Daarmee heeft het zichzelf kapot gemaakt door wachtwoorden te eisen die zo moeilijk zijn dat mensen ze niet meer kunnen onthouden.

Ik vind dat een wachtwoord simpel moet zijn. Zo simpel dat mensen het echt kunnen onthouden. Woorden al "voetbal" of "macaroni" of "zeilboot". Liefst ook weinig of geen regels over hoofdleters, cijfers en vreemde tekens. Simpel.
Misschien denk je dat dit helemaal gestoord is en totaal niet realistisch. Laat ik daarom een voorbeeld geven: de PIN-pas. Die wordt beveiligd met een 4-cijferige pincode. Dat is zo ongeveer het meest simpele wachtwoord denkbaar. En toch kiezen banken er voor om heel Nederland met zo'n pas rond te laten lopen. Klinkt als waanzin, toch? De clou is dat de veiligheid niet alleen in de pincode zit maar in een combinatie van middelen. Je moet niet alleen de pin-code weten maar je moet ook de kaart hebben. Vervolgens moet je naar buiten (je huis uit) om de kaart te gebruiken. Dan is er altijd winkelier bij die hopelijk op let. Of je staat voor een pin-automaat met camera. Vervolgens krijg je drie pogingen om je code in te voeren en daarna wordt je kaart geblokkeerd en ingeslikt door de pinautomaat.
Het wachtwoord (de pincode) speelt maar een kleine rol. Als zo'n systeem met 4-cijferige pincode goed genoeg is voor ons geld dan denk ik dat we ook op andere plekken toe kunnen met eenvoudige wachtwoorden. Mits we ze combineren met andere aanvullende maatregelen. Dat is prima want dat moest toch al vanuit het principe dat je nooit op een enkele laag beveiliging moet vertrouwen.

Alex3 @CAPSLOCK2000 • 26 augustus 2022 12:16

Om wachtwoorden te kraken worden eerst woorden uit het woordenboek geprobeerd, dus jouw simpele wachtwoorden komen snel aan de beurt.

[Reactie gewijzigd door Alex3 op 22 juli 2024 22:17]

CAPSLOCK2000

Hack
Networking en security

@Alex3 • 26 augustus 2022 12:27

De veiligheid van de pincode ligt in het feit dat je maar drie keer kunt proberen. Om wachtwoorden te kraken geldt die limiet meestal niet, en worden eerst woorden uit het woordenboek geprobeerd, dus jouw simpele wachtwoorden komen snel aan de beurt.

Je illustreert mijn punt: we gebruiken onze wachtwoorden verkeerd. In situaties waarin een dergelijke brute-force aanval mogelijk is moet je geen wachtwoorden gebruiken.

Wachtwoorden die bestand zijn tegen een moderne brute-force aanval kunnen mensen niet meer onthouden en al helemaal niet foutvrij invoeren. Probeer maar eens een wachtwoord van 32 tekens in te voeren op je mobiele telefoon. Met een paar vreemde tekens er bij is dat al snel praktisch onmogelijk.

Heb niet de illusie dat een "wie7eivmeS" een beter wachtwoord is dan "ajax". Dat langere wachtwoord wordt ook in een oogwenk gekraakt. Wachtwoorden van minder dan 20 tekens tellen eigenlijk niet als de aanvaller de tijd heeft. Ik ken weinig mensen die beweren dat ze zo'n lang wachtwoord van buiten kennen en niemand die zegt dat ze iedere 6 maanden een nieuw lang wachtwoord leren. Ook niet met handigheids als CorrectHorseBatteryStable
Wachtwoorden van meer dan 10 tekens worden al snel onwerkbaar. Dat gat is veel te groot en zal nooit meer kleiner worden. Laten we dus stoppen met wachtwoorden te beschermen door ze langer of moeilijker te maken.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 22:17]

svane @CAPSLOCK2000 • 26 augustus 2022 15:57

Heb niet de illusie dat een "wie7eivmeS" een beter wachtwoord is dan "ajax". Dat langere wachtwoord wordt ook in een oogwenk gekraakt. Wachtwoorden van minder dan 20 tekens tellen eigenlijk niet als de aanvaller de tijd heeft.

Zou je dit wat kunnen onderbouwen? Het klinkt niet echt geloofwaardig. Als een database met wachtwoord-hashes gestolen wordt, dan zijn deze meestal met iets als bcrypt gehasht. Als je dit wil brute-forcen ben je echt niet 'in een oogwenk klaar'. (met een kort, bestaand woord als ajax natuurlijk wel)

ajax: 0.22 sec
wie7eivmeS: 47 jaar
een wachtwoord van 20 tekens: 7 trillion trillion years

Wachtwoorden van meer dan 10 tekens worden al snel onwerkbaar.

Daarom heb je password-managers

. Leuk dat je een wachtwoord per se uit je hoofd wil leren, maar als een stuk malware je password-manager kan uitlezen, dan heb je meestal ook wel een keylogger te pakken.

Natuurlijk moet een site jou blokkeren als je x keer het verkeerde wachtwoord invult etc. maar lange wachtwoorden helpen vooral in de gevallen waneer er een database gestolen wordt.

CAPSLOCK2000

Hack
Networking en security

@svane • 26 augustus 2022 17:01

Zou je dit wat kunnen onderbouwen? Het klinkt niet echt geloofwaardig. Als een database met wachtwoord-hashes gestolen wordt, dan zijn deze meestal met iets als bcrypt gehasht. Als je dit wil brute-forcen ben je echt niet 'in een oogwenk klaar'. (met een kort, bestaand woord als ajax natuurlijk wel)

wie7eivmeS: 47 jaar

Ik weet niet welke site jij hebt gebruikt maar dat soort inschatting zijn altijd grof en ze verouderen razendsnel. Die van mij vast ook. Hier een voorbeeld uit 2020: https://thesecurityfactory.be/password-cracking-speed/

Mijn voorbeeld komt daar uit op 15 dagen. Dat is 15 dagen op een commerciele computer en dat kost 9000 dollar. Let wel, dat is voor /alle/ wachtwoorden van deze lengte en complexiteit. Als je een heel database hebt om te proberen en maar 1 wachtwoord nodig hebt om binnen te komen dan kan het sneller/goedkoper.
Dat onderzoek is twee jaar geleden gepubliceerd, ik denk dat je mag aannemen dat het tegenwoordig nog maar de helft kost. 4500 dollar is peanuts voor een bedrijf. Verder is het zo dat het altijd sneller kan door meer computers tegelijk in te zetten. Dat maakt het duurder, maar je bent ook eerder klaar.
Ja, zo'n wachtwoord houdt een vervelende buurman wel buiten maar een professionele hacker niet.

Een langer wachtwoord helpt wel maar we zitten nu al voorbij de grens van wat mensen nog uit hun hoofd kunnen leren.

bcrypt helpt inderdaad een hoop, maar ik geloof niet dat de meerderheid dat gebruikt. Van de groep die wel bcrypt gebruik is ook nog maar de vraag of iedereen het goed heeft geimplementeerd. Minder belangrijk maar ook relevant is dat je als gebruiker van zo'n dienst eigenlijk niet kan controleren. Dit soort dingen kun je natuurlijk over alle vormen van beveiliging zeggen en dat is ook precies mijn punt. Niet op 1 middel vertrouwen, niks is perfect. Dan is het ook niet nodig om overdreven ingewikkelde wachtwoorden te gebruiken.

Daarom heb je password-managers .

Twee posts eerder heb ik net een heel stuk over geschreven waarom password managers geen goede oplossing zijn. Daar verwijs ik even naar terug: CAPSLOCK2000 in 'LastPass maakt melding van hack, maar wachtwoordresets zijn niet nodig'

Voor de duidelijkheid, ik zeg niet dat je nu direct je password manager weg moet gooien. Zolang we afhankelijk zijn van lange wachtwoorden is zo'n password manager een redelijk compromis.

Leuk dat je een wachtwoord per se uit je hoofd wil leren, maar als een stuk malware je password-manager kan uitlezen, dan heb je meestal ook wel een keylogger te pakken.

Er zijn hele boeken volgeschreven over veiligheid waarbij de aanname wordt gedaan dat mensen hun wachtwoorden wel van buiten leren. Dat wordt weer gebruikt om beleid op te stellen zoals hoe lang een wachtwoord moet zijn, hoe vaak je het moet verversen en wat voor andere /onafhankelijke/ beveiligingsmaatregelen je moet nemen.

Dat onafhankelijke sneuvelt snel als je een passwordmanager inzet en dan ben je minder veilig dan je denkt.

Voorbeeld: Ik ken iemand die een password manager op z'n telefoon heeft en die met z'n vingerafdruk unlockte. Die persoon gebruikte ook een dienst die 2FA deed door SMS-jes te sturen. Die SMS-jes kwamen uiteraard op zijn telefoon binnen. Als het iemand lukt om zijn vingerafdrukken te stelen (of de telefoon in z'n handen te duwen terwijl hij ligt te slapen of wordt vastgehouden) dan zijn zowel wachtwoorden als SMSjes leesbaar.

Dat is natuurlijk geen gewone situatie, maar dat is het nooit als je wachtwoorden worden gestolen.

Natuurlijk moet een site jou blokkeren als je x keer het verkeerde wachtwoord invult etc. maar lange wachtwoorden helpen vooral in de gevallen waneer er een database gestolen wordt.

Dat klopt, dan helpt het. De vraag is of de kosten en baten tegen elkaar opwegen. Zoals dat mensen wachtwoorden gaan opschrijven of al hun wachtwoorden beveiligen met hetzelfde master-wachtwoord. Of de tijd dat ze niet kunnen werken door een vergeten wachtwoord.

Er zit overigens nog wat verschil tussen veiligheid voor personen en veiligheid voor organisaties. Als persoon kun je zelf er voor zorgen dat je altijd goede wachtwoorden kiest en die netjes opslaat. Als organisatie kun je niet afdwingen dat je personeel/gebruikers/klanten/studenten/patienten... goed met wachtwoorden omgaan. Als je organisatie maar groot genoeg is er altijd wel iemand die zich niet aan de regels houdt. Als organisatie moet je dus een beetje van het worst-case scenario uitgaan. Dan kun je mensen dus niet vrij hun wachtwoord laten kiezen (alle regels over hoofdletters en vreemde tekens zijn kapot te maken door een gebruiker die dat echt wil). Dus dan moet je met password-managers gaan werken. En die moet je ook weer met een wachtwoord beveiligen en wederom kun je er niet van uitgaan dat je gebruikers er niet goed mee om gaan.

Dan zeg ik dat je beter dat hele traject kan overslaan en accepteren dat wachtwoorden niet erg veilig zijn. Dat is op zich geen probleem. De meeste dingen hoeven ook niet erg veilig te zijn. Maar als het wel veilig moet zijn dan zijn er betere manieren om het gewenste veiligheidsniveau te bereiken, zoals het inzetten hardware tokens en MFA.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 22:17]

svane @CAPSLOCK2000 • 26 augustus 2022 20:22

Ik weet niet welke site jij hebt gebruikt maar dat soort inschatting zijn altijd grof en ze verouderen razendsnel. Die van mij vast ook. Hier een voorbeeld uit 2020: https://thesecurityfactory.be/password-cracking-speed/

Ik gebruik een site die geen hash gebruikt die in 2012 al te kraken was

. Maar je hebt gelijk, ik was het linkje vergeten: https://www.passwordmonster.com/

In 2012, it was demonstrated that every possible 8-character NTLM password hash permutation can be cracked in under 6 hours.[30]

Bcrypt kan je zo traag maken als je wil. dus zelfs met de meeste dure hardware is brute-forcen simpelweg niet te doen.

In het recente voorbeeld van de hack op Plex, gebruikten zij bcrypt:

I can't remember off the top of my head, but I know it's not MD5 😅

EDIT: Checked, and it's bcrypt

Dit is dus een recent praktijkvoorbeeld waar een wachtwoord als 'wie7eivmeS' aantoonbaar veiliger was dan 'ajax'. Zonder al te diep in te gaan, wou ik de misinformatie dat wachtwoordlengte niet uitmaakt, uit de weg ruimen

Ik waardeer de rest van je verhaal, maar ik heb helaas geen tijd om daar al te veel aan toe te voegen, behalve dat ik een andere mening heb over wachtwoorden / wachtwoordmanagers.

Maar dat kan gebeuren, toch mooi om te lezen!

mphilipp @lilmonkey • 26 augustus 2022 13:18

Geen software gebruiken eigenlijk....

AntiPax 26 augustus 2022 07:53

Na lang LastPass gebruiker geweest te zijn ben ik intussen overgestapt naar een eigen KeePass kluis. Kwestie van minder vatbaar te zijn in vergelijking met een grote gebruikersgroep zoals bijvoorbeeld LastPass (als doelwit), wat steeds online te benaderen valt. Wat niet wil zeggen dat in dit voorval er wachtwoorden buit zijn gemaakt, wat volgens LastPass zelf (voorlopig) niet het geval lijkt te zijn. Maar op één of andere manier had ik steeds een groeiend onveilig gevoel door al m'n persoonlijke gegevens, paswoorden en notities toe te vertrouwen aan een online leverancier waarvan je ze op zekere hoogte maar moet vertrouwen en hopen dat er nooit geen kritisch lek zou gebeuren. Ik begrijp evenwel dat de gegevens versleuteld zijn en bij een eventueel lek jouw data daarom niet meteen leesbaar is voor de hacker, zoals ook toegelicht in het artikel, maar feit is wel dat ze dan toch een belangrijk stukje van de puzzel te pakken hebben en je weet nooit hoe dat in de toekomst verder kan uitdraaien.

Edit: typo & terminologie

[Reactie gewijzigd door AntiPax op 22 juli 2024 22:17]

Tassadar32 @AntiPax • 26 augustus 2022 08:43

Heb voor een gulden middenweg gekozen: Vaultwarden. Wel het gemak van lastpass, maar self-hosted dus een stuk minder makkelijk te vinden en een veel minder aantrekkelijk doelwit voor criminelen.

Nemean @Tassadar32 • 26 augustus 2022 08:55

En waar host je deze? Op het internet via een VPS of in een docker op je NAS? En hoe ga je dan om met de back-up bijvoorbeeld, i.v.m. dataverlies? Puur uit nieuwsgierigheid.

Tassadar32 @Nemean • 26 augustus 2022 09:25

Docker op thuisserver. SSD mirror voor data voor hoge uptime, offsite incremental backup.

YopY @AntiPax • 26 augustus 2022 09:57

Ja ik probeer ook op KeePass over te gaan, desnoods met een sync oplossing delen over meerdere devices - dat kan via je lokale netwerk / rsync, maar voor het gemak is dropbox, icloud, onedrive of syncthing een oplossing.

Ik bedoel dat zijn nog steeds risicos, maar omdat er zoveel andere meuk in die diensten opgeslagen worden is het risico lager; een dienst als Lastpass wordt het doelwit juist omdat ze precies weten wat er is. En zeker in het geval van Google en Microsoft is de beveiliging ook beter - neem ik aan.

grimlock 26 augustus 2022 07:47

Het is inderdaad wel veel raak bij LastPass...

Martinspire @grimlock • 26 augustus 2022 08:16

Aan de andere kant ook niet zo raar. Het is 1 van de grotere partijen nog steeds wel. Dan ben je gewoon een heel interessant doelwit.

PolarBear @grimlock • 26 augustus 2022 09:49

Of ze zijn er open over.

Bor Coördinator Frontpage Admins / FP Powermod @grimlock • 26 augustus 2022 10:34

LastPass is inderdaad al vaker negatief in het nieuws gekomen. Aan de ene kant kan je vraagtekens zetten bij de vraag waarom, aan de andere kant is openheid prettig.

AlfABetA @grimlock • 26 augustus 2022 11:44

He kunt ook zeggen, in deze tijd van internet cybercrime, dat ze er snel en open over zijn. Er waren ook tijden dat bedrijven hun hacks probeerde te verzwijgen, en het pas maanden later als uitgelekte informatie naar buiten kwam. Puur om geen klanten te verliezen.
Ik heb zelf nog steeds lastpass. Deze week 2 e-mails gehad, 1 van lastpass, maar ook een van Plex, over hacks op hun servers. Dat hackers groepen proberen te hacken, zullen we steeds meer meemaken.
Daarom is het ook belangrijk dat een bedrijven waar je een bepaalde service van afneemt, er altijd eerlijk en open over zijn, en wat voor actie ze ondernemen. Dat geeft me een beter gevoel, en ook dat het probleem ook direct aangepakt word. Als er werkelijk bijvoorbeeld data was buitgemaakt, dan komt dit ook echt wel na buiten.

Ik heb vele paswoord manager geprobeerd puur uit interesse Dashlane, keepass, bitwarden, (self hosting) enz. Ze doen allemaal wat ze moeten doen.
Maar ik zie het gewoon zo. Ik kan van alles en nog wat proberen en te gebruiken voor mijn paswoorden. Maar als ik het bijvoorbeeld zelf host, dan heb je ook de verantwoordelijkheid om alles goed up to date te houden. En dat het ook veilig blijft vanaf buitenaf. natuurlijk kan dat allemaal zeer goed, maar niet iedereen heeft die kennis.
Paswoord manager gaat maart om 1 ding, en dat is vertrouwen, hoe je het ook doet. Betaal je voor een service, of gebruik je een gratis tool, of je host het zelf. Sommige gebruiken de paswoord manager in hun browser. Natuurlijk moet je wel je eigen research hebben gedaan wat voor jou het beste is.

Nu Lastpass weer een hack heeft gehad, heb ik echt niet het gevoel dat ik weg dat ik hun minder vertrouw, en Ik ben blij dat ze er open over zijn, en neem ook aan dat ze er ook actie om dit te voorkomen.
Hacken zal altijd blijven, en we nemen steeds meer diensten af, data die ergens overal te wereld op servers staan. Het een belangrijker dan het ander. Maar als je een paswoord manager gebruikt, in welke vorm dan ook, dan neem ik aan dat je met je volle verstand hoe het werkt, en hoe veilig je data is, en wat je hiervoor moet doen.

[Reactie gewijzigd door AlfABetA op 22 juli 2024 22:17]

Quo 26 augustus 2022 08:13

Lastpass heeft al vaker laten zien dat hun inbraakdetectie werkt. Ieder bedrijg wordt aangevallen, dus ook alle password managers. Dat Lastpass daar transparant over publiceert is te prijzen en legt de bal bij de anderen omdat ook te doen.

Dit lijkt op een supply chain attack, een aanval op de broncode. Daar is zelfs Keepass gevoelig voor. Ook open source is hier gevoelig voor. Zoek maar eens op malware and npm, node.js en python. Het wordt wel gevonden en opgelost, maar intussen is het wel in allerlei project beland en gebruikt. En heeft malfide code al data buitgemaakt.

AntiPax @Quo • 26 augustus 2022 08:18

Belangrijke nuance: als je jouw KeePass kluis offline bewaart (met eventuele offline back-up redundantie) dan is de kans dat die data gestolen of gelekt geraakt al véél kleiner. En je staat buiten schot voor het 'Honeypot' effect. Wat gebruiksgemak betreft is weer een andere zaak, maar qua veiligheid ben je volgens mij nog steeds beter af met een eigen KeePass (offline) kluis dan een LastPass kluis.

MiesvanderLippe @AntiPax • 26 augustus 2022 08:54

Dat is echt veel te simplistisch. In eigen beheer is totaal niet per definitie veiliger. Hoe zit het met jouw multi-level security architectuur? Waar is jouw incident response team? Heb je een IDS? Heb je uberhaubt een update strategie? Data recovery? Ja als je er zelf echt knie-diep in zit is het haalbaar, maar voor 99%+ van de gebruikers is self-hosted echt een slecht advies.

AntiPax @MiesvanderLippe • 26 augustus 2022 09:22

Ik heb gewoon beweerd dat offline een KeePass kluis bewaren (HD, USB-Stick, etc.) veiliger is omdat het minder makkelijk online te benaderen is. Daarom dat ik ook het gebruiksgemak even buiten beschouwing liet (bv. back-up/kopie maken op extra USB-stick en het ongemak om dat zo te moeten toepassen). Het gebruikersprofiel dat dit wil toepassen speelt uiteraard ook een rol. Je PC/laptop kan evenwel nog steeds gehacked worden, maar ter vergelijking kom je niet meteen in hetzelfde vizier van de hackers die online diensten aanvallen (die zijn en blijven een interessanter doelwit). Jij vermeldt self-hosted wat mij doet geloven dat je het vanop jouw netwerk beschikbaar maakt voor externe toegang en daarin volg ik je uiteraard dat je als one-man-army niet het niveau kan hanteren van een gespecialiseerd bedrijf.

Robbierut4 @AntiPax • 26 augustus 2022 08:27

En je staat buiten schot voor het 'Honeypot' effect.

Honeypot effect? In de IT wereld ken ik die term alleen als een ogenschijnlijk slecht beveiligd systeem om te kijken hoeveel hack aanvallen er zijn op een netwerk.

AntiPax @Robbierut4 • 26 augustus 2022 08:35

Je hebt gelijk, ik aanzag het als een evidenter doelwit gezien een grote gebruikersgroep er gebruik van maakt, en het daardoor aldus interessanter is om te hacken. Dat is wat ik dacht te representeren ermee. Maar heb de term verkeerdelijk geïnterpreteerd en toegepast. Bedankt voor de verduidelijking!

VincentvdBergh 26 augustus 2022 19:07

Precies de reden waarom ik KeepassXC gebruik en Keepass2Android.

Offline opslag in eigen beheer met wachtwoorden die ik fysiek synchroniseer.

junkchaser 26 augustus 2022 09:11

Welkom Bitwarden ...

Bor Coördinator Frontpage Admins / FP Powermod @junkchaser • 26 augustus 2022 10:33

Ook daar kan een hack plaatsvinden. Het is niet dat er diensten immuun zijn voor lekken, hacks en andere ongewenste zaken. Ik begrijp jouw opmerking niet zo.

junkchaser @Bor • 26 augustus 2022 15:33

Even de problemen bij Lastpass tellen en dan begrijp je waarom ...

LurkZ 26 augustus 2022 09:05

Ik heb verschillende password managers getest en LP scoort toch wel goed op gebied van gebruiksvriendelijkheid.
Helaas wel een zeer irritant dingetje wat na jaren nog niet is opgelost. Soms staat bij een invulveld het icoontje van LP op een icoontje dat al in het veld staan.
LP reageert zelfs niet op die klacht. Dat is zo sinds ze overgenomen zijn.

Vanwege dat icoontje ben ik al op zoek geweest naar een andere password manager, maar nog niet gevonden. Een ander voorbeeld van gestage achteruitgang van LastPass is de 'nieuwe' passwordless functie die met veel bombarie werd aangekondigd. Heel veel vragen op het forum; maar geen antwoorden.
De nieuwe functie is ondoordacht. Ipv een master password invoeren is 1 klik op de app voldoende. Dat werkt prima. Er is echter een zeer groot probleem, ik heb maar 1 telefoon...
Ik gebruik LP ook op mijn telefoon. De vault staat dus op dezelfde telefoon dan de authenticator app. Dus te persoon die mijn telefoon heeft gevonden/gestolen kan met 1 klik in mijn vault.

Om die reden gebruik ik nog steeds een masterpassword. Maar LP heeft aangekondigd dat het masterpassword op termijn gaat verdwijnen. Dat is het moment dat ze mij als betalende klant verliezen.
Misschien is alles zeer goed doordacht, en is er een zeer goede oplossing voor mijn probleem, maar als het bedrijf die kennis niet deelt....

Juist het zeer goed naar gebruiker luisteren is van essentieel belang voor dit type bedrijf. Zelf security problemen melden is zeer moeilijk omdat de meeste account types geen toegang hebben tot de helpdek en aangewezen zijn op een forum dat LP niet leest.

https://status.lastpass.com/
Geen security incidents....

Olaf van der Spek @LurkZ • 26 augustus 2022 09:30

Dus te persoon die mijn telefoon heeft gevonden/gestolen kan met 1 klik in mijn vault.

De telefoon zelf is niet beveiligd?

comecme @LurkZ • 26 augustus 2022 09:48

Wat ik ook jammer vind aan LastPass is dat ze voor de betaalde versie de prijs ex BTW adverteren. En dat zonder dat ze vermelden dat dat zo. Dat is m.i. verboden als je je richt op consumenten.

[Reactie gewijzigd door comecme op 22 juli 2024 22:17]

Retir @LurkZ • 26 augustus 2022 12:14

Via betaalde account is er wel een melding binnengekomen via de mail met een verwijzing naar het incident:

Dear valued customer,

We are writing to inform you that we recently detected some unusual activity within portions of the LastPass development environment. We have determined that an unauthorized party gained access to portions of the LastPass development environment through a single compromised developer account and took portions of source code and some proprietary LastPass technical information. We have no evidence that this incident involved any access to customer data or encrypted password vaults. Our products and services are operating normally.

In response, we immediately initiated an investigation, deployed containment and mitigation measures, and engaged a leading cybersecurity and forensics firm. While our investigation is ongoing, we have achieved a state of containment, implemented additional enhanced security measures, and see no further evidence of unauthorized activity.

Based on what we have learned and implemented, we are evaluating further mitigation techniques to strengthen our environment. We will continue to update our customers with the transparency they deserve.

We have set up a blog post dedicated to providing more information on this incident: https://blog.lastpass.com...recent-security-incident/

We thank you for your patience as we work expeditiously to complete our investigation and regret any concerns this may have caused you.

Sincerely,
The Team at LastPass

Op dit item kan niet meer gereageerd worden.

LastPass maakt melding van hack, maar wachtwoordresets zijn niet nodig

Lees meer

Reacties (247)

Sorteer op:

Weergave: