LastPass: hackers hadden toegang tot 'bepaalde klantgegevens' bij nieuw datalek

LastPass meldt dat hackers toegang hadden tot zijn cloudopslag, waarbij 'bepaalde klantgegevens' zijn ingezien. Volgens het bedrijf blijven wachtwoorden 'veilig versleuteld'. De hackers kregen toegang tot de opslag met gegevens die zijn buitgemaakt bij een eerdere hack.

LastPass schrijft in een blogpost dat het bedrijf onlangs 'ongewone activiteit' ontdekte binnen een cloudopslagdienst van een derde partij, die wordt gebruikt door LastPass en dochteronderneming GoTo. De wachtwoordmanager heeft vastgesteld dat een onbevoegde partij daarbij toegang kreeg tot 'bepaalde elementen van klantgegevens'.

LastPass zegt niet wat voor gegevens precies zijn ingezien. Het bedrijf doet momenteel onderzoek naar de omvang van het incident en naar welke specifieke klantgegevens zijn buitgemaakt. LastPass schrijft wel dat de wachtwoorden van klanten 'veilig versleuteld blijven'. Het bedrijf slaat geen decryptiesleutels op op zijn servers.

Dit is de tweede hack bij LastPass dit jaar. In augustus wist een hacker via een ontwikkelaarsaccount toegang te krijgen tot de systemen van het bedrijf. Bij die hack werd broncode en andere 'gepatenteerde technische informatie' van LastPass gestolen, maar werden geen klantgegevens ingezien.

Bij dit nieuwe datalek maakten hackers gebruik van gegevens die zijn buitgemaakt bij dat eerdere incident uit augustus, om zo toegang te krijgen tot de cloudopslag van LastPass. Het bedrijf werkt samen met securitybedrijf Mandiant om de hack te onderzoeken en heeft de politie op de hoogte gesteld van de aanval. LastPass blijft volledig operationeel, schrijft het bedrijf.

We recently detected unusual activity within a third-party cloud storage service, which is currently shared by both LastPass and its affiliate GoTo. Customer passwords remain safely encrypted due to LastPass’s Zero Knowledge architecture. More info: https://t.co/xk2vKa7icq pic.twitter.com/ynuGVwiZcK
— LastPass (@LastPass) 30 november 2022

Reacties (210)

210

104

Wijzig sortering

peewee. 1 december 2022 11:13

Volgens https://www.nu.nl/tech/62...twoordkluis-lastpass.html zijn er in augustus wèl gebruiksgegevens buitgemaakt

Mars4i @peewee. • 1 december 2022 12:09

Nu.nl schrijft het volgens mij wat ongelukkig op. Ze linken namelijk naar dezelfde press release van last pass als Tweakers.

Zoals ik het lees is er nu een nieuwe hack die gebruik heeft gemaakt van de in augustus gestolen data/source code. Volgens mij zijn er alleen in deze 2e hack gebruikersgegevens gestolen.

Aegir81 1 december 2022 07:55

Voor wie het nog niet deed: tijd om over te stappen naar alternatieven zoals Bitwarden en KeePass.

Bitwarden kun je zelf hosten en beheren als je dat wenst en KeePass synchroniseer je via een dienst naar keuze.

Oon

@Aegir81 • 1 december 2022 07:59

Ik ben nog steeds aan het proberen om over te stappen op mijn self-hosted Bitwarden, maar ik vind het toch lastig.

Zeker nu ik via mijn werkgever LastPass Families heb en dus 'gratis' voor mij en een aantal familieleden Premium heb blijft LastPass toch wel interessant

Aegir81 @Oon • 1 december 2022 08:00

Het is zeker interessant en makkelijk. De vraag is of je hen met je gegevens nog vertrouwt.

Cryothic @Aegir81 • 1 december 2022 08:57

Hoe ik het ook wend of keer, ik vertrouw m'n data meer bij LastPass dan dat ik het bij mezelf vertrouw.

Ze hebben hoe dan ook meer verstand van beveiligen en versleutelen dan ik. Natuurlijk kan ik lokaal weer gaan werken met een bestandje met een wachtwoord er op. Maar dat werkt nooit zo gebruiksvriendelijk als zo'n dienst als LastPass.
Ik kan ook van die self-hosted services gaan gebruiken, maar wederom heb ik dusdanig weinig verstand van beveiliging dat ook niet verwacht dat ik het veiliger voor elkaar krijg.

De kans is natuurlijk een stuk kleiner dat een hacker bij mij gaat proberen binnen te komen dan bij een bedrijf als LastPass. Maar 1x een verkeerde link aanklikken en je eigen systemen kunnen de sjaak zijn als het even tegen zit. Ondanks virusscanners, firewalls en weet ik wat.

Dus ja, ik vertrouw er op dat het bij LastPass veiliger staat dan bij mij. En dat er af en toe een hacker doorheen komt, neem ik voor lief. Tot nu toe zijn ze nog niet bij versleutelde data gekomen, al is dat misschien een kwestie van tijd. Zo naief ben ik dan ook weer niet

JakkoFourEyes @Cryothic • 1 december 2022 09:24

Dan nog blijft Lastpass niet de enigste optie. Er wordt hier wel mooi gezegd dat Bitwarden self-hosted kan, maar dat is niet hoe het standaard werkt bij Bitwarden. Standaard is dat ook gewoon in de cloud zoals Lastpass dat doet, alleen lijkt Bitwarden de boel een stukje beter voor elkaar te hebben. Dus dan hoef je helemaal niet zelf iets in beheer te nemen.

Mijn werkplaats gebruikt Lastpass, dus die gebruik ik daar, maar persoonlijk gebruik ik Bitwarden (niet self-hosted) en geef ook de voorkeur aan Bitwarden.

Persoonlijk vertrouw ik Bitwarden meer met mijn data dan Lastpass.

Uiteraard heb je ook nog andere opties.

[Reactie gewijzigd door JakkoFourEyes op 22 juli 2024 21:32]

Mathijs22 @JakkoFourEyes • 1 december 2022 10:13

Persoonlijk vertrouw ik Bitwarden meer met mijn data dan Lastpass.

Maar je legt niet uit waarom. In beide gevallen heeft de service geen toegang tot de ontsluitelde passwords die er opgeslagen zijn.

Hydranet @Mathijs22 • 1 december 2022 11:39

Als ik naar de website van Bitwarden ga kan ik de security audits terug vinden van verschillende jaren terug, ik kan geen security audits terug vinden op de website van Lastpass alleen dat ze security audits uitvoeren verder ook geen rapport terug te vinden. Daarom heb ik meer vertrouwen in Bitwarden en omdat het opensource is.
https://bitwarden.com/com...ird-party-security-audits

[Reactie gewijzigd door Hydranet op 22 juli 2024 21:32]

Caelorum @Hydranet • 1 december 2022 12:21

Openheid van zaken is 1 van de redenen waarom ik bij 1password (de EU variant) zit. Niet opensource of selfhosted, maar wel open in de audits en dergelijken. En er worden ook regelmatig zaken gevonden die echt beter moeten, netjes vermeld op de website.

JakkoFourEyes @Mathijs22 • 1 december 2022 10:15

Ik kopieer hier even een deel van een comment die ik ergens anders geplaatst heb:

Lastpass heeft de afgelopen maanden meerdere security problemen gehad (dit alleen zou al genoeg moeten zijn naar mijn mening). Ik kan van hun ook zo geen audits vinden, bij Bitwarden wel. Bitwarden is open source, Lastpass niet. Dit soort dingetjes.

Raymond Deen @JakkoFourEyes • 1 december 2022 10:58

Broncode leaks zouden op zich geen probleem moeten zijn; dat is per definitie ook zo bij open source software. Encryptie en beveiliging zouden ook niet afhankelijk moeten zijn van obscurity.

Los daarvan geeft het natuurlijk geen goed gevoel dat 1 dev account toegang geeft to zóveel data voor een bedrijf dat zo op veiligheid gericht is. Maar wanneer een externe partij zorgt voor een lek, dan reken ik LastPass dat niet aan.

Wat dan in mijn ogen wél spreekt voor een oplossing als Bitwarden met zelf je kluis gehost (evt in cloud) is dat de attack vector ineens oneindig veel kleiner wordt; nu zitten jouw gegevens erbij als bijvangst van een grotere hack van LastPass, maar dat kan dan niet meer.

GenGF @Raymond Deen • 3 december 2022 00:13

"Maar wanneer een externe partij zorgt voor een lek, dan reken ik LastPass dat niet aan."

Mwah, dat is wat makkelijk. Als een zodanig significant onderdeel van je dagelijkse operaties eruit bestaat om data veilig te houden, is de leverancier de schuld geven van eventuele lekken een grof teken van zwakte. Je weet wat wat de hardware/software kan en je zal als bedrijf zijnde je systeem zo op moeten zetten dat 1 lek nooit voor problemen van dit niveau kunnen zorgen. Zeker als er eerder in het jaar al een lek geweest is, waren de afgelopen maanden het moment geweest om de werkwijze nog eens tegen het licht te houden en desnoods in afgeslankte vorm verder te gaan.

Als ze dat gedaan hebben en het is niet gelukt, blijft fouten maken menselijk. Natuurlijk. Maar herhaaldelijk falen mag je een bedrijf best aanrekenen en niet op de externe partij afschuiven.

Als ik de goedkoopste banden die ik kan vinden onder een 20 jaar oude auto leg en in winterse omstandigheden uit de bocht vlieg, is het materiaal en de omstandigheden onderdeel van de oorzaak. Toch heb ik daar zelf ook schuld aan.

Dat is particulier. Gaan we deze vergelijking doortrekken naar falen als bedrijf, dan had er nog een instructeur naast gezeten die beter had moeten weten en in moest grijpen ook. Samen, met 4 ogen, hebben we het er op aan laten komen. Er is hier een keuze gemaakt en die keuze maakt dat mensen vertrouwen kwijtraken.

Raymond Deen @GenGF • 3 december 2022 16:11

Als jij met Bitwarden je kluis host op AWS of Azure en bij één van die partijen treedt er een lek op waardoor je kluis voor een onbevoegde is te downloaden dan ga je dat toch ook niet Bitwarden aanrekenen?

Ik weet niet welke cloud-dienst Lastpass gebruikt, maar ik denk niet dat ze daarvoor een obscure aanbieder hebben gekozen en eerlijk gezegd moet ik toegeven dat ik de kans groter acht dat door een foutieve implementatie deze onbevoegde toegang tot stand is gekomen dan dat er een lek zit bij deze grote cloud-diensten.

Maar dat zal wel naar buiten komen een keer en dan kunnen we wat minder speculatief zijn over het waardoor dit lek is veroorzaakt.

Muna34 @Raymond Deen • 6 december 2022 14:31

Feit blijft wel dat dit Lastpass een beetje achtervolgt. Ze zijn meermaals in het nieuws gekomen met data en source lekken. Okay, een 3th party heeft een rol gespeeld in dit specifieke lek. LastPass als dienst blijft eindverantwoordelijke. En deze firma heeft ondertussen een redelijke verantwoodelijkheid tegenover haar gebruikers heeft.

En de discussie die hier gevoerd wordt blijft terecht, en deze kan eindeloos gevoerd worden. Het is een kwestie van vertrouwen. Wat @GenGF aanhaalt is dan ook zeer redelijk. We kennen niet voor niets strenge standaarden die software en processen hoe om te gaan met data sterk verbeteren. Je mag verwachten dat een partij als LastPass voldoet aan een flinke lijst van deze standaarden. Dit geld niet alleen voor LastPass zelf, maar ook haar leveranciers. Een ketting is zo sterk als zijn zwakste schakel.

[Reactie gewijzigd door Muna34 op 22 juli 2024 21:32]

roawser @JakkoFourEyes • 1 december 2022 10:36

Dan nog blijft Lastpass niet de enigste optie.

Klopt, en ook niet de enige.

Cambionn

@JakkoFourEyes • 1 december 2022 11:10

Maar de Cloud versie van Bitwarden wordt in de US gehost, waar bij default AVG wordt gebroken door US wetgeving. Als je dan niet zelf-host, ga dan voor een Europees gehoste dienst als 1Password.

Aan de andere kant is die in Duitsland gehost, wat hoewel stuk better dan US wel een 14-eyes land is. Weet zelf echter zo geen dienst die in een niet 14-eyes land in Europa gehost wordt, laat staan een groot genoege partij om te vergelijken qua trackrecord en ervaringen.

[Reactie gewijzigd door Cambionn op 22 juli 2024 21:32]

ardsur @Cambionn • 1 december 2022 14:46

Zwitserland is vlgs mij geen lid van de 14-eyes alliantie. Dus een cloud (nieuw) van Proton Drive is vlgs mij dan gevrijwaard van de 14-eyes.

Cambionn

@ardsur • 1 december 2022 18:14

Klopt, maar dat is niet een niet-selfhosted passwordmanager 🫠.

Tenzij je bedoeld dat je daar puur KeePass bestanden opslaat. Maar gezien KeePass geen officiele mobile app heeft (en praktijk ervaring leert dat niet elke niet-officiele app altijd goed werkt met elke versie van KeePass en je dus zelf weer compatibiliteit moet checken en in de gaten houden), noch dat er complete browser integratie is...

Maar zelfs dat loslatend heeft Proton Cloud enkel web-interface op PC dus moet je steeds je database bestand handmatig up en downloaden via de browser als je iets hebt bewerkt. Weet zo gauw niet of de app offline-use heeft of dat je hem dan ook op je telefoon moet opslaan.

Dus overal niet echt een oplossing voor complete ontzorging noch compleet vergelijkbaar in gemak met een non-selfhosted Bitwarden of 1Password.

Proton is wel een mooie (die ik ook gebruik overigens) voor mail, persoonlijke cloud, agenda, en (gebruik atm dan niet maar heb wel) VPN. Heb daarnaast enkel nog een pCloud voor wat specifieke toepassingen waarvoor Proton Cloud te ver dicht getimmerd is 🥲.

Voor niet-selfhosted password manager zit ik zelf ook op 1Password omdat het iig EU is ipv US (waar Bitwarden meteen op afviel), en zo ver tevreden en niet echt een alternatief op dat niveau gevonden. Maar het 14-eyes country ding is wel noemenswaardig als we het over privacy hebben, dus wou het toch ff genoemd hebben.

[Reactie gewijzigd door Cambionn op 22 juli 2024 21:32]

capronicus @Cryothic • 1 december 2022 09:24

De beveiliging van Bitwarden is feitelijk voor jouw geregeld, enigste dat je moet doen is dus zien dat je docker up to date blijft (en best-practices blijft volgen natuurlijk i.e. 2fa etc...).

Gebruik zelf self-hosted Bitwarden maar hang deze niet open aan het internet, sync'd wel als ik terug thuiskom, en anders gebruik ik een VPN.

Veiliger kan eigenlijk al bijna niet meer.

Raymond Deen @capronicus • 1 december 2022 11:02

En jouw wachtwoordgegevens op je laptop/tablet/mobiel dan? Die kunnen net zo goed gecompromiteerd worden en al jouw wachtwoorden lekken.

Dat ze een docker container beschikbaar maken, vind ik trouwens een dikke duim omhoog.

Wil maar zeggen dat ook de manier waarop de software gemaakt is en hoe je het gebruikt erg belangrijk zijn....

capronicus @Raymond Deen • 1 december 2022 11:27

Lokaal worden de wachtwoorden encrypted via 256-bit AES encryption. Alleszins veilig genoeg. Alles is open source, biedt natuurlijk geen 100% garantie, maar het betekent wel dat het niet security through obscurity is en dat het door externen doorgelicht kan worden.

En dat gebeurt ook, ze publiceren deze rapporten zelf. (dit is er eentje, maar er zijn nog meer "security audit reports".

Raymond Deen @capronicus • 1 december 2022 12:12

Cool!

Met "de manier waarop software gemaakt is" bedoel ik trouwens niet alleen de encryptie-standaard die gebruikt is.
Ook de interne communicatie van jouw versleutelde wachtwoord in de kluis naar het invoerveld op een website bijvoorbeeld moet goed geregeld zijn om deze niet uit te laten lekken. Heb al voorbeelden voorbij zien komen van beveiligingen waar urls vatbaar waren voor replay-attacks, sleutels plaintext in cookies werden bewaard zodat ze makkelijk op een ander systeem waren na te bootsen en andere tenenkrommende zaken.
Encryptie is echt heel uitgebreid en complex, vooral wanneer je cross-device en dergelijke gaat werken.

scsirob @Cryothic • 1 december 2022 09:26

.. Maar dat werkt nooit zo gebruiksvriendelijk als zo'n dienst als LastPass.

En dat is dus een probleem. Je wisselt veiligheid uit met gebruiksvriendelijkheid. Een bestandje op eigen fysiek media met een niet te raden wachtwoord is niet zo gebruiksvriendelijke, maar wel heel veilig. Zoals ze dat in de USA zeggen: "Pick your poison".

lilmonkey

@scsirob • 1 december 2022 11:36

En dat is dus een probleem. Je wisselt veiligheid uit met gebruiksvriendelijkheid.

Dat is helemaal geen probleem, dat doe je namelijk altijd, in meer of mindere mate.

JeroenH @Cryothic • 1 december 2022 09:27

Hoe ik het ook wend of keer, ik vertrouw m'n data meer bij LastPass dan dat ik het bij mezelf vertrouw.

Precies, het is een kwestie van threat modelling. Om precies dezelfde redenen heb ik een (betaald) Dropbox account ipv en NAS thuis. Ik zie de nadelen daarvan heel scherp, maar ik ervaar de voordelen als groter.

Shadow771 @JeroenH • 2 december 2022 09:16

Valide punt als je zelf niet weet of geen tijd heb om een NAS te onderhouden en veilig houden

SHFT @Cryothic • 1 december 2022 10:03

Technische kennis is uiteraard een valabel argument om het uit te besteden maar ik ben er wel van overtuigd dat wanneer je het toch zelf host, met alle security toeters en bellen die beschikbaar zijn, het toch zeer veilig kan. De kans dat je als individu getarget wordt is vele malen kleiner dan de attacks waar LastPass mee te maken krijgt. Natuurlijk vraagt dat wel een investering in zowel tijd als hardware want je netwerk moet uiteraard op punt staan.

Verwijderd @SHFT • 1 december 2022 10:10

Je zal als individu misschien niet specifiek een doelwit zijn als het om je Bitwarden kluis gaat, klopt. Maar stel dat je toch een keer vergeet je Linux VM te patchen en je smart thermostaat opeens in een botnet zit. Is je kluis thuis dan nog veilig?

Daar moet je continu mee bezig zijn, en ik vraag mij af in hoeverre iedereen zich daar continu mee bezig houdt. Ik heb in ieder geval geen zin om thuis threat hunting te gaan doen voor mijn netwerk.

SHFT @Verwijderd • 1 december 2022 10:21

Absoluut, het wordt al snel vrij complex, zelfs voor een "hobbyist". Je moet er goed over nadenken en altijd bovenop zitten. Voor mij persoonlijk is het allemaal iets meer voor de hand liggend daar het in het verlengde van m'n job ligt maar ik snap zeker het argument dat het niet voor iedereen is.

igrutje @Cryothic • 1 december 2022 09:29

Zou ik vertrouwen zo mogen samenvatten?
Zelf < Lastpass < keepass of bitwarden

Er is natuurlijk nog zo'n vergelijking te maken mbt gebruiksgemak
Zelf < Keepass < Lastpass of Bitwarden

Uiteindelijk is het een keuze, afweging tussen gebruiksgemak, (gevoel) van veiligheid en kosten.
Ik zit bij keepass.

P_Tingen @Cryothic • 1 december 2022 09:37

Als het goed is en het klopt wat ze zeggen, dan zou een hacker zelfs met de versleutelde data nog niet zoveel moeten kunnen. Ze claimen zelf dat ze het master wachtwoord niet opslaan en wat er niet is kun je niet gebruiken dus dan zou je data nog steeds (relatief) veilig zijn.

Ik ben zelf overgestapt naar BitWarden. Simpeler van opzet en in gebruik, in mijn beleving net zo gebruiksvriendelijk (of eigenlijk beter, want minder bloat), kan gratis gebruikt worden en op meerdere apparaten. Oh, én het is open source, vind ik ook wel een pré.

Roy23 @P_Tingen • 1 december 2022 10:58

dan zou een hacker zelfs met de versleutelde data nog niet zoveel moeten kunnen

Op dit moment is de versleuteling wellicht sterk genoeg, maar stel dat iemand vandaag een kopie weet te maken van alle versleutelde data en over 2 jaar is de techniek zover dat de data wel ontsleuteld kan worden dan hebben ze al je wachtwoorden van 2 jaar oud.
Bij veel diensten moet je je wachtwoord eens in de zoveel tijd wijzigen maar ik zie in mijn KeePass dat ik 180 wachtwoorden opgeslagen heb, ik weet zeker dat ik niet eens in de zoveel tijd op 180 plekken mijn wachtwoord wijzig.

Ze claimen zelf...

Tja het is maar hoeveel waarde je daaraan hecht. Natuurlijk zal een dienst als LastPass claimen dat alles goed beveiligd is.

YopY @Cryothic • 1 december 2022 09:41

Daar heb je wel gelijk in, maar aan de andere kant, het is gecentraliseerd en iedereen weet precies wat voor data er opgeslagen wordt; het wordt dus een heel aantrekkelijk doelwit.

Dropbox en andere cloud opslag diensten zijn ook aantrekkelijk, maar het percentage data dat password databases is zal klein zijn. Plus die zitten bij giganten als Google, Microsoft of Amazon.

Tusk @Cryothic • 1 december 2022 11:14

Goeie invalshoek!
Ik gebruik zelf gewoon Google Smartlock. Ik duw een paar x per jaar een export van Google in Bitwarden, voor het geval dat Google mij ooit onterecht buiten gooit.

rozijnpak @Tusk • 2 december 2022 17:54

Goede tip om een kopie op te slaan. Mocht Lastpass om de een of andere reden het loodje leggen dan heb ik toch wel een probleem. Natuurlijk verhoogt het ook wel weer de gevoeligheid in theorie.

SoloH @Cryothic • 2 december 2022 09:29

An sich heb je gelijk, maar LastPass is voor hackers een gouden pot, en jouw server niet.

Oon

@Aegir81 • 1 december 2022 08:04

Maar dat is eigenlijk het geval met alle diensten waar je gebruik van maakt, uiteindelijk is het een afweging tussen gebruiksgemak van een grote dienst die vaak goede UX hebben, relatief goede beveiliging, geen eigen setup nodig, maar je legt wel je gegevens bij een andere partij neer, of het zelf hosten en dan zit je met over het algemeen minder gebruiksgemak (open source software is over het algemeen minder gebruiksvriendelijk), eigen risico vwb hosting en back-ups, maar wel volledig zelf de controle.

Die afweging is niet altijd even simpel, zeker niet als je ook zoals in mijn geval premium aan andere mensen biedt; als ik nu overstap op Bitwarden en mijn LastPass opzeg dan zal ik dus ook voor bijv. mijn vader iets moeten regelen, want die gebruikt LastPass via mijn Families abonnement

kodak

Datalek
Beveiliging en antivirus

@Oon • 1 december 2022 08:52

Dit lijkt me het moment om te begrijpen wat met die 'premium' aanbieding het verdienmodel is. Je maakt jezelf en anderen zo afhankelijk dat zelfs meerdere datalekken de klant nog liever laat blijven dan naar een concurrent te vertrekken.

EchoWhiskey @kodak • 1 december 2022 09:22

"...de klant nog liever laat blijven dan naar een concurrent te vertrekken."

En dan nog is het de keuze van de klant om te blijven/over te stappen
Overigens geldt het dan ook voor de andere aanbieders zoals Bitwarden etc.
Uiteraard heeft een online password vault een verdien model.

Ik ben jaren geleden van Lastpass naar Bitwarden overgestapt en volgens mij was het niet zo heel veel werk. Als ik mij goed kan herinneren kon ik mijn lastpass vault exporteren. (echter weet niet zeker)

P_Tingen @EchoWhiskey • 1 december 2022 09:32

Ja, ik ben ook overgestapt (paar jaar geleden ook). En je kan in LastPass alles exporteren en weer importeren in BitWarden. Ik ben zelf blij dat ik overgestapt ben. LastPass was verder prima, maar er kwam steeds meer bij, waar BitWarden simpeler is en voor mij geldt: meer simpel = meer beter.

Zoop @kodak • 1 december 2022 09:05

Klinkt als regelrechte vendor lock-in

Yzord @Oon • 1 december 2022 08:44

Je kan je pa toch ook Bitwarden geven via je eigen server? Kopietje exporteren van LP en importeren in BW en adres/app veranderen bij paps. Klaar.

Oon

@Yzord • 1 december 2022 08:45

Dat zeker, maar dat zijn wel weer handelingen, en weer andere software waar hij aan moet wennen.

Slaiter @Aegir81 • 1 december 2022 08:15

Waarom niet? Het is niet zo dat ze jouw gegevens aan de hoogste bieder verkopen.

Ieder systeem dat zich op het net bevindt kan gehacked worden, dus ook die thuisserver die sommige draaien. Dat ivm de lage graaf van winst voor een hacker dit niet snel gebeurd staat los van alle beveiliging die men denkt te hebben.

Dat er bepaalde klant gegevens op straat liggen door die hack is zondermeer vervelend. Als ik echter kijk naar het feit dat dergelijke gegevens ook via hacks bij andere bedrijven zijn buitgemaakt maakt LastPass niet meer of minder betrouwbaar is als voorheen.

Zoop @Slaiter • 1 december 2022 09:10

Beetje te vergelijken met de macos vs windows discussie. Men claimde dat macos veiliger is en niet eens een virusscanner nodig heeft, want "er zijn geen virussen voor mac", er zijn er een stuk minder ja, minder marktaandeel is minder interessant voor hackers, maar dat betekend niet dat het niet kan gebeuren. Security through obscurity werkt, wel ... zolang ze je niet vinden of targetten ..
Ik heb deze leuze over macos al een tijdje niet meer gehoord, ik denk dat het inmiddels ook totaal niet meer opgaat.

En dit gaat evengoed op voor elk stukje software, er zullen gradaties zijn van kwetsbaarheid, maar absoluut niks is 100% veilig.

swhnld

@Aegir81 • 1 december 2022 08:25

Op basis van het nieuws is het niet de vraag of, maar wanneer iemand gehackt wordt. En dan is de vraag, wie is transparant en wie niet?

Plus, vertrouw niet alleen op je wachtwoorden, zet er 2FA bij aan waar mogelijk.

x86dev @Oon • 1 december 2022 11:23

Enpass op je NAS icm een goed beveiligde reverse proxy en je hebt overal toegang tot je wachtwoorden.

Oon

@x86dev • 1 december 2022 11:23

Misschien te uitgebreid voor de reacties onder een artikel, maar waarom zou ik Enpass kiezen over Bitwarden?

MOmax @Oon • 1 december 2022 11:59

Enpass synchroniseert niet met een cloud-service van Enpass, echter biedt mogelijkheid om een eigen cloud te koppelen via GDrive, OneDrive, DAV, Nextcloud etc.

Voorbeeld: ik synchroniseer mijn wachtwoorden via een WebDAV pad naar een locatie op mijn Pcloud drive.

Verder denk ik niet dat Enpass bijzonder is t.o.v. van andere wachtwoordmanagers. velen hebben een lifetime licentie en dan stap je niet zomaar over.

Oon

@MOmax • 1 december 2022 12:01

Maar ik kan niet gewoon een eigen Enpass server hosten zoals ik bij Bitwarden kan?
Ik heb niet echt interesse in een oplossing die te vergelijken is met een Keepass bestand in Nextcloud gooien, ik wil echt een password manager die ik op meerdere apparaten kan gebruiken en die niet afhankelijk is van het syncen van een bestand

Rannasha @Oon • 1 december 2022 09:11

Ik ben nog steeds aan het proberen om over te stappen op mijn self-hosted Bitwarden, maar ik vind het toch lastig.

Je kunt het beste niet de server software van Bitwarden zelf gebruiken, want die is redelijk ingewikkeld. In plaats daarvan is er een onafhankelijke, maar volledig compatibele versie van de software, die Vaultwarden heet, die je makkelijk kunt installeren. Daarna kun je gewoon de Bitwarden browser-plugins en apps gebruiken en met je Vaultwarden server verbinden.

DigitalExorcist @Oon • 1 december 2022 08:14

In jouw geval zou ik toch niet graag afhankelijk zijn van je werkgever als je er privé gebruik van maakt. Stel dat je ooit in onmin met je werkgever raakt en van de een op de andere dag is je abonnement gecancelled of iets dergelijks.

Oon

@DigitalExorcist • 1 december 2022 08:16

Ik ben daarin gelukkig niet afhankelijk van mijn werkgever, want het zijn wel gewoon losse accounts. Mocht ik van werkgever switchen dan hoef ik alleen maar in mijn privé-account die link weg te halen en dan kan ik zelf upgraden naar Families.

Maar in dat geval heb ik ook meteen een goede reden om over te stappen op Bitwarden, die ik nu nog niet echt heb

Chris_147 @Oon • 1 december 2022 08:54

Beveiligingsproblemen bij LastPass is niet voldoende reden om over te stappen? Frappant!

Oon

@Chris_147 • 1 december 2022 08:57

Beveiligingsproblemen heb je overal. Waar LastPass vatbaar voor is, is ook Dashlane of de hosted versie van Bitwarden vatbaar voor. Zelf gehost door mijzelf heb ik alleen meer vertrouwen in omdat mijn server hier thuis op zolder een minder interessant doelwit is, maar ik kan me niet anders voorstellen dan dat de meer dan één security experts bij LastPass het beter op orde hebben dan de één niet-expert hier thuis.

Klauwhamer @Oon • 1 december 2022 10:06

Anderzijds: wanneer een KeePass-database met een fatsoenlijke sleutel op straat komt te liggen: succes er mee. Ik heb ongeveer tot mijn sterfbed al mijn wachtwoorden rustig te vervangen terwijl resources worden verspild het wachtwoord te brute forcen of social engineeren.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Wachtwoord
Security

@Oon • 1 december 2022 21:29

Waar LastPass vatbaar voor is, is ook Dashlane of de hosted versie van Bitwarden vatbaar voor.

Dat hoeft helemaal niet gezien het waarschijnlijk om andere software gaat met dus andere kwetsbaarheden.

Burning @Chris_147 • 1 december 2022 09:18

Ze signaleren en melden het, lijkt mij helemaal geen probleem maar gewoon een normaal proces. Logisch dat deze partij een groot doelwit is.

Het beveiligen van hun password gegevens is het business model. Zonder dat geen bestaansrecht, maak je dus maar niet druk dat ze niet 110% inzet hebben daar. Echter is dat zoals niks in het leven feilloos.

De vraag die je beter kan stellen is of je dit wil onderbrengen bij een groot bedrijf. Daar zijn voor en nadelen voor te noemen. Hetzelfde geld voor het zelf managen.

mphilipp @Aegir81 • 1 december 2022 08:12

En werkt BitWarden dan net zo goed met het invullen van wachtwoorden e.d? Het is leuk om steeds maar te pas en te onpas te roepen, maar zo'n programma is voor een groot deel ook een gemak. En zelfs met LastPass werkt het niet bij elke app of website (ik denk door veiligheidsmaatregelen), maar het moet wél gewoon altijd werken. Als ik steeds maar weer zo'n systeem moet gaan aanduwen, wordt ik er ook kriegel van.
En wie zegt dat mijn netwerk niet te kraken is? Ik ben geen security- of netwerkexpert...misschien is mijn wifi een lachertje voor de hackerd...

jcbvm

@mphilipp • 1 december 2022 08:16

Uit eigen ervaring kan ik zeggen dat het bij bitwarden hetzelfde of zelfs nog beter werkt. Ben nog weinig sites en apps tegengekomen waar het niet bij werkt en dat ligt dan meestal meer aan de app of website dan aan bitwarden.

Overigens zou ik het niet zelf hosten als je niet weet hoe alles precies werkt en hoe je het veilig kunt houden. De kans dat jou server een target wordt is natuurlijk wel heel gering.

Zelf host ik het niet maar gebruik ik hun cloud. Wel zal ik al mijn wachtwoorden wijzigen zodra er een lek wordt gemeld ooit.

mphilipp @jcbvm • 1 december 2022 08:41

Maar wat is de meerwaarde van Bitwarden in 'een' cloud tegenover LastPass in een andere cloud?

Rannasha @mphilipp • 1 december 2022 09:12

Bitwarden kun je zelf hosten (zeker met de alternatieve implementatie Vaultwarden, die het proces makkelijker maakt), dus je bent je eigen cloud.

Mathijs22 @Rannasha • 1 december 2022 10:20

Dan moet je wel een verdomt goede systeembeheerder zijn om te denken dat de jouw server veiliger is dan die van pro's. Dat begint met een aparte firewall en eindigt met een systeem dat uitsluitend voor het bestemde gebruik ingericht is.

mphilipp @Mathijs22 • 1 december 2022 10:57

Dat is dus ook mijn grote vraag. Is mijn systeem veiliger dan de systemen waar LastPass op draait? (Heel flauw kan ik zeggen 'ja' want mijn systeem is nog nooit gehackt

)
En is de BItwarden cloud veiliger dan de LastPass cloud? Tot nu toe is er niets uit de kluizen gestolen, laat dat duidelijk zijn. Er zijn alleen allerlei pogingen gedaan, maar ze hebben niets uit de kluizen kunnen stelen. Dus ja, waar de ophef nou eigenlijk over gaat...?

Telin @mphilipp • 1 december 2022 11:55

Nee natuurlijk is een selfhosted cloud van de gebruiker/consument niet veiliger in vergelijking met professioneel ingerichte clouddiensten met dedicated hardware voor ieder segment in de opstelling. Die paar firewall instellingen in een consumenten router ligt de professionele hacker echt niet wakker van.

De "veiligheid" komt puur vanuit het feit dat een servertje gehost door een willekeurige consument helemaal niet interessant is voor de professionele hacker en dus minder gevoelig is voor aanvallen.

mphilipp @Telin • 1 december 2022 13:16

Security through obscurity...ben benieuwd wat de security experts daarover te zeggen hebben...

Begrijp mij niet verkeerd, mijn spul is best veilig, en wordt straks nóg veiliger als ik mijn OPNSense klaar heb. Maar ja...dan moet ik wel alle zaken goed hebben ingesteld.
Wij weten natuurlijk niet hoe die clouddiensten zijn gehackt. Was het een insider, hebben ze een medewerker gehackt, of was de buitenste ring niet veilig genoeg? Laten we vaststellen dat alles dat online staat op een of andere manier gehackt kan worden. Aangevallen in ieder geval. Je mag ervan uitgaan dat een dienst als LastPass er van alles aan doet om zo veilig mogelijk te zijn. Je naam in de krant is natuurlijk hele slechte reclame. En zoals ik al eerder aanstipte: zij zijn een prime target. Als een hacker erin slaagt om in die kluis te komen, hoeft ie nooit meer te werken natuurlijk. Dus logisch dat voor hen het omgekeerde geldt als voor een self hosted BitWarden. Op mijn self hosted variant kunnen ze waarschijnlijk iets langer doorgaan zonder gedetecteerd te worden (hoewel ik IDS aan heb), en het netwerk van een willekeurige persoon kraken in de hoop dat er iets zinvols te vinden is, loont de moeite niet denk ik. Tenzij het Mark Rutte is oid. Mijn netwerk zal niet zo snel een target zijn.

Dus ja, mijn server is minder gevoeling voor aanvallen, maar niet inherent veiliger.

Mantis @Telin • 1 december 2022 12:39

Ja en nee. Als jouw eigen gehoste Bitwarden instance zonder VPN globaal bereikbaar is, ben je ook zichtbaar op search engines zoals shodan.io. Zodra er een exploit uit is, worden alle instances door bots afgegaan.
Zo ging het bijvoorbeeld ook bij die QNAP exploits dit jaar.

supersnathan94

Datalek

@Telin • 1 december 2022 16:25

De "veiligheid" komt puur vanuit het feit dat een servertje gehost door een willekeurige consument helemaal niet interessant is voor de professionele hacker en dus minder gevoelig is voor aanvallen.

Dat denk jij. Op het moment dat je zo’n apparaat publiek aan het internet hangt zonder firewall en VPN staat ie binnen 10 minuten volledig gescanned op shodan.io.

De rest is afwachten op een exploit en dan geautomatiseerd ertegenaan kletsen.

Zelf hosten kost meer en is niet veiliger.

Zelfs met VPN en firewall. Want ook die staan dan op shodan en ook daar is het wachten op een exploit.

EmbeddedPower @Mathijs22 • 1 december 2022 11:46

Maar, belangrijk verschil, jij bent niet zo'n aantrekkelijk doelwit.
Als jou server gekraakt wordt, dan hebben ze welgeteld 1 gebruiker te pakken.
Als de server van LastPass gekraakt wordt, hebben ze in een keer een heleboel gebruikers.

WybrenPC @Mathijs22 • 1 december 2022 12:31

Het veilige aan zelf hosten is dat je natuurlijk een minder grote attack surface vormt. Voor hackers is het niet interessant om voor een enkele user uren/dagen/weken bezig te zijn met het vinden van een vorm tot toegang tot jouw database. Zolang je niet je hele vault direct open zet naar het internet op port 80 of 443 (of een andere vrij bekende service port) is de kans vrij klein dat er gekke dingen gaan gebeuren.

Klauwhamer @Mathijs22 • 1 december 2022 12:09

Veilig is relatief. Daarnaast hoef je niet aan het MIT te doceren en/of een berg Junipers in de kelder te hebben om een goed geïsoleerde OpenBSD-kist in te kunnen richten en daar de service op te draaien.

bhartman @Mathijs22 • 1 december 2022 17:29

Hoezo? Gewoon je bitwarden/vaultwarden niet aan het internet hangen. Alleen lokaal (of via een VPN) synchroniseren. Zo moeilijk hoeft het allemaal niet te zijn.

JakkoFourEyes @mphilipp • 1 december 2022 09:38

Vertrouwen. Lastpass heeft de afgelopen maanden meerdere security problemen gehad (dit alleen zou al genoeg moeten zijn naar mijn mening). Ik kan van hun ook zo geen audits vinden, bij Bitwarden wel. Bitwarden is open source, Lastpass niet. Dit soort dingetjes. Hoeveel waarde jij daar aan hecht, is natuurlijk aan jezelf.

lilmonkey

@JakkoFourEyes • 1 december 2022 11:46

Lastpass heeft de afgelopen maanden meerdere security problemen gehad (dit alleen zou al genoeg moeten zijn naar mijn mening)

En als Bitwarden zo groot wordt als LP krijg je daar dezelfde verhalen over te lezen. Geen sterk argument, en dat geldt voor alle argumenten die ik iedere keer weer voorbij zie komen. Feit is dat LP, ondanks alle security incidents, nog nooit daadwerkelijk wachtwoorden heeft prijsgegeven en dat wekt juist vertrouwen.

thomas1907 @lilmonkey • 1 december 2022 13:23

Bitwarden kun je zelf hosten, dat is al een stuk beter als een cloud storage gebruiken voor je wachtwoorden.

lilmonkey

@thomas1907 • 1 december 2022 13:55

Maar we hadden het hier specifiek over cloud oplossingen. En zelf hosten is alleen beter als je echt weet wat je doet qua security, en dat weten de meesten echt niet ook al denken ze van wel.

moonlander @lilmonkey • 1 december 2022 13:31

Hoezo, als bitwarden zijn zaakjes wel op orde heeft dan hoeft dat helemaal nooit voor te komen. LastPass heeft bewezen dat ze toch wel wat steekjes laten vallen, terwijl bitwarden dat nu niet heeft.

Feit is dat LP, ondanks alle security incidents, nog nooit daadwerkelijk wachtwoorden heeft prijsgegeven en dat wekt juist vertrouwen.

Tsja dan is het wachten op dat het wel gebeurt natuurlijk.... Zouden ze er van leren?

Oke dat was even advocaat van de duivel en begrijp je punt wel hoor. Maar ja als we het over vertrouwen hebben...

Stijnvi @mphilipp • 1 december 2022 17:26

De meerwaarde van Bitwarden zit in het feit dat het open source is.
En ten opzichte van LastPass is het beter aangezien dit niet de eerste keer is dat er een lek is bij LastPass
Bovendien is LastPass ook niet meer gratis te gebruiken op verschillende soorten apparaten, terwijl het dat jarenlang wel was. Bitwarden is dat wel nog steeds.
Of Bitwarden nou heel veel beter is dan een andere passwordmanager, zoals Dashlane of 1Password, weet ik niet. Voor mij is het puur gebruikersgemak, en tot op heden de afwezigheid van lekken, waardoor ik Bitwarden verkies boven andere passwordmanagers.

schrikbeeld @mphilipp • 1 december 2022 17:37

De meerwaarde van Bitwarden is dat zij, in tegenstelling tot Laspass, hun zaken beter op orde hebben.
Iedereen kan een keer gehackt worden, maar 2 keer in korte tijd? Dan heb je toch zitten slapen.

mphilipp @schrikbeeld • 1 december 2022 17:49

Maar er zijn geen passwords buitgemaakt bij die inbraken. Dat er bij LastPass wordt ingebroken of pogingen worden gedaan, lijkt mij vrij logisch. Het is een nogal interessant target. Dus elke zichzelf respecterende hacker probeert daar in te breken. Maar het lukt ze niet om de kluizen te kraken. Ze krijgen blijkbaar wel toegang tot andere systemen, waar (denk ik) marketing- of facturatie informatie te vinden is. Zo komen ze aan persoonsgegevens. Ook kwalijk hoor, begrijp mij niet verkeerd. Maar het wil nog niet zeggen dat ze hun spullen niet op orde hebben. Als Bitwarden de grootste is, voorspel ik evenzoveel aanvallen op hun systemen. En dan zal er best wel een keertje eentje beet hebben en binnen komen. Maar zolang ze niet aan de kluizen met passwords komen, is er niets aan de hand.
Ze hebben ook wel eens in het Pentagon ingebroken. Maar dat wil nog niet zeggen dat ze de nukes kunnen lanceren.

Klauwhamer @mphilipp • 1 december 2022 11:57

Ik begrijp deze reactie niet zo. Je wachtwoorden zijn je kostbaarste digitale bezit en één (van de vele) providers is meerdere keren gehackt in een jaar tijd. Hoe kan het zijn dat je gebruiksgemak prefereert boven andere (gratis, open source) alternatieven die níet gehackt zijn? Waarom is de primaire reactie in drogredeneringen schieten als "misschien is mijn wifi ook wel lek dus ach" of "de interface is anders en dan moet ik mezelf dat weer aanleren". Wachtwoorden, online dienst, gehackt. Alarmfase één als je 't mij vraagt.

mphilipp @Klauwhamer • 1 december 2022 13:07

Ze hebben ingebroken maar hebben het belangrijkste niet kunnen pakken omdat dat veilig opgeborgen lag. Wat is er dan mis?

beerse @mphilipp • 1 december 2022 08:40

Als het om invullen van wachtwoorden gaat mis ik bij bitwarden de 'type at window' (aka autotype) mogelijkheid die KeepAss wel biedt.
Als systeembeheerder heb ik nogal wat remote verbindingen waarbij het copy-paste buffer geblokkeerd is of met kvm-oplossingen (vmware-console bijvoorbeeld) gewoon niet is geïmplementeerd. Een toetsenbord doorvoer is er altijd, anders kan je niet werken.
En mocht het copy-paste buffer wel werken, dan kan met type-at-window het wachtwoord ook voor key-loggers verbergen met https://keepass.info/help/v2/autotype_obfuscation.html.

[Reactie gewijzigd door beerse op 22 juli 2024 21:32]

3raser @mphilipp • 1 december 2022 08:50

Het grote gemis in Bitwarden is een autotype feature zoals die van KeePass. Dat werkt ideaal met bijvoorbeeld SSH sessies via Putty.

Lucas Goossens @3raser • 6 december 2022 08:20

Onderstaande werkt gewoon goed, moet ik zeggen. Ik begrijp de helse heisa rond Bitwarden niet goed. 1Password heeft een EU-instance en de Linux-variant wordt nu blijkbaar gelijk behandeld als die onder Windows of Mac.

Ik gebruik Bitwarden om de recovery keys in te bewaren, maar zie geen reden om over te stappen.

https://developer.1password.com/docs/ssh/

ikt @mphilipp • 1 december 2022 08:57

Bitwarden werkt hier in ieder geval heerlijk (op Firefox en Android). Er zijn natuurlijk uitzonderingen van websites en apps die vage forms gebruiken, maar nagenoeg alle standaard-forms worden goed herkend.

Het gemak is groter, en de bugs zijn minder, dan de andere password managers die ik heb gebruikt - Keeper en Lockwise.

KouweZakkie @mphilipp • 1 december 2022 15:00

Ik vind Bitwarden persoonlijk minstens net zo goed werken als LastPass. En eigenlijk ook "vriendelijker" (voor zo lang dat nog duurt, natuurlijk).

Stijnvi @mphilipp • 1 december 2022 17:22

Persoonlijk vind ik Bitwarden beter werken dan LastPass.
Ja, het is niet perfect, maar dat was LastPass ook niet.
Bovendien is Bitwarden volledig gratis, en kan ik het gebruiken op zoveel verschillende apparaten als ik wil, iets wat met LastPass helaas niet meer kan.
Tot slot is Bitwarden open source, iets wat voor een programma wat je wachtwoorden beheert toch wel fijn is

Mawlana @Aegir81 • 1 december 2022 08:28

En als je Bitwarden zelf wil hosten, dan kan ik je vaultwarden ten zeerste aanraden. Vreet minder resources, en je krijgt de premium features erbij.

SlimStorm @Mawlana • 1 december 2022 08:40

Gebruik het ook al meerdere jaren op mijn Raspberry PI en inderdaad werkt het met alle premium features. Wel een waarschuwing: het is zeker niet even downloaden en de install uitvoeren en het werkt. Je moet terdege ervaring hebben met Docker en hoe je de installatie wilt laten werken met https in je thuisnetwerk. En als laatste hoe je het eea beveiligd. Heb je die ervaring wel dan is de installatie inderdaad een kleinigheidje.

The Zep Man

Beveiliging en antivirus
Datalek
Security
Beveiliging

@SlimStorm • 1 december 2022 09:13

Wel een waarschuwing: het is zeker niet even downloaden en de install uitvoeren en het werkt. Je moet terdege ervaring hebben met Docker en hoe je de installatie wilt laten werken met https in je thuisnetwerk. En als laatste hoe je het eea beveiligd. Heb je die ervaring wel dan is de installatie inderdaad een kleinigheidje.

In plaats van Docker werkt Vaultwarden direct ook goed onder bijvoorbeeld Arch Linux (ARM). Wat kennis over een reverse proxy/web server om TLS aan te bieden, de verzoeken naar de juiste backend door te sturen en om de admin interface af te schermen is inderdaad wel nodig, maar daarna is het onderhoud minimaal.

Bitwarden kan ook zelf gehost worden, maar heeft niet alle functionaliteit ten opzichte van de commerciële versie. De deur staat open voor dat elke versie functies verder gestript worden. Ook is het een stuk zwaarder om te draaien. Vaultwarden gebruikt bijna niets qua CPU en geheugen.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 21:32]

Mathijs22 @SlimStorm • 1 december 2022 10:23

En als laatste hoe je het eea beveiligd. Heb je die ervaring wel dan is de installatie inderdaad een kleinigheidje.

Een Rasp aan het internet hangen en daar data opslaan die je niet vertrouwt aan experts op dit gebied.... Luister, ik heb geen idee of jij een ervaren systeembeheerder bent maar voor een gewone gebruiker is dat eenvoudig een onjuiste keuze.

The Zep Man

Beveiliging en antivirus
Datalek
Security
Beveiliging

@Mathijs22 • 1 december 2022 11:33

Een Rasp aan het internet hangen en daar data opslaan die je niet vertrouwt aan experts op dit gebied.... Luister, ik heb geen idee of jij een ervaren systeembeheerder bent maar voor een gewone gebruiker is dat eenvoudig een onjuiste keuze.

Gelukkig zijn we hier op t.net, en is de context van deze discussie van @Mawlana:

En als je Bitwarden zelf wil hosten,

Dat is niet iets voor 'gewone gebruikers'.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 21:32]

haelerien @SlimStorm • 1 december 2022 11:42

Zonder al teveel moeite vlot geïnstalleerd op mijn Synology DS218+ in docker.
Het veilig bereikbaar maken is inderdaad niet zo evident, maar dat geldt voor alles dat je extern bereikbaar stelt uit je thuisnetwerk/NAS. Ik doe het met een reverse proxy, aangevuld met 2FA en een hoop firewallregels op mijn router (enkel verkeer van België en buurlanden komt binnen).

Krimglas @Mawlana • 1 december 2022 09:36

Vaultwarden is ook beschikbaar als Home Assistant plugin.
Voor de home assistant gebruikers: Als je het ook netjes wil configureren naar buiten toe (bvb bitwarden.<domeinnaam>.<tld>) en je wil/kan niet prutsen met nginx configuraties is er ook de NginX proxy manager plugin die dit alles automagisch doet voor jou.

moonlander @Aegir81 • 1 december 2022 09:10

Zelf hosten is niet zozeer veiliger als je er geen verstand van hebt. Het is niet alleen installeren en het werkt.

Klauwhamer @moonlander • 1 december 2022 11:44

Maar er valt niet zo gek veel verkeerd te doen in geval van een goed versleutelde wachtwoord-database die je genereert met KeePass: de enige voorwaarde is dat men een fatsoenlijke master key fabriceert (correct battery horse staple). Hosten is in dit geval niet meer dan een locatie vinden voor je database waarbij het eigenlijk niet eens uitmaakt wie er toegang tot heeft (ik chargeer een beetje).

moonlander @Klauwhamer • 1 december 2022 12:17

En wat als blijkt dat je server open staat of je de laatste updates niet hebt geïnstalleerd, er code geïnjecteerd of aangepast is om je master password te achterhalen.. dan is je database ineens niet meer zo veilig.

Klauwhamer @moonlander • 1 december 2022 12:24

Ik denk dat je niet goed begrijpt wat KeePass doet: het is een programma waarmee je een standalone database maakt. Die database wordt door KeePass vervolgens met AES-256 encryptie (crytografisch een gouden standaard) versleuteld. Je hebt een klein bestandje met je wachtwoorden dat alleen te openen is met het master password. Je hebt verder niets te maken met servers die wel of niet open staan of updates die wel of niet geïnstalleerd zijn.

Jij kunt niets met mijn wachtwoordbestand, behoudens proberen het wachtwoord te vinden door middel van social engineering en/of brute force. Mijn master password is een volzin van 57 karakters. Je maakt geen schijn van kans.

Edit 2: Oh, en mocht AES-256 gekraakt worden, kan ik je vertellen dat je wachtwoordbestand de minste van je zorgen zal zijn

[Reactie gewijzigd door Klauwhamer op 22 juli 2024 21:32]

binaryrunt @Klauwhamer • 1 december 2022 13:06

Hij heeft het over Bitwarden. Wat gebeurt er als je docker image die je net hebt gepullt malware bevat?

thomas1907 @binaryrunt • 1 december 2022 13:22

Waarom zou je een willekeurige docker image pullen? Dan kijk je toch wat een betrouwbare image is zoals vaultwarden: https://github.com/dani-garcia/vaultwarden

moonlander @thomas1907 • 1 december 2022 13:25

Dat moet je dan allemaal maar net weten. De meeste mensen hebben geen verstand van zaken, en als men dan zegt dat je het zelf beter kan hosten en gratis is, dan gaan mensen het adh een stappenplan installeren. Zonder na te denken over de toekomst, onderhoud, beveiliging etc.

Klauwhamer @binaryrunt • 1 december 2022 13:27

Hetzelfde wanneer je een MS Office ISO van TPB ophaalt. Hoe kan dit nou een argument tegen een alternatief zijn voor een dienst die meerdere keren per jaar wordt gehackt? Hoe vaak pull je docker images en hoe vaak wissel je van source hier voor? Kom op.

moonlander @Klauwhamer • 1 december 2022 13:24

Ik hint meer op bitwarden.

Frits1980 @Aegir81 • 1 december 2022 08:03

Vergeet Enpass niet, daar kan je ook zelf je dienst kiezen. En is goed te betalen.

Maurits28 @Frits1980 • 1 december 2022 08:43

Ik heb Enpass een paar jaar gebruikt, maar ben toch overgestapt naar Bitwarden. Vooral omdat er toch wel veel onduidelijk is over onafhankelijke audits van Enpass. Toen ik overstapte (eerder dit jaar), was het laatste rapport geloof ik uit 2018 ofzo.

WeaZuL @Frits1980 • 1 december 2022 10:43

Enpass ben ik ook erg tevreden over, icm Nextcloud zelf te hosten en te gebruiken op al mijn mobiele apparaten en/of browsers. De betaalde pro versie moet ik nog ontdekken, momenteel mis ik niets?

ronansoleste @Aegir81 • 1 december 2022 08:58

Ik ben helemaal niet tegen zelf hosten maar in dit soort gevallen zou ik het zelf niet doen.
Als je zelf host ben je ook zelf verantwoordelijk voor de beveiliging ervan. En ik gok dat LastPass (en concurrenten) mensen in dienst hebben die daar meer verstand van hebben dan ik heb.

xoniq @ronansoleste • 1 december 2022 09:55

Een goede manier om het veilig zelf te hosten (middels Vaultwarden) is enkel een VPN toestaan. Zo heb ik dan de BitWarden app op mijn telefoon en Mac. Ik kan enkel data synchroniseren indien ik verbonden ben met de VPN thuis, dan wordt alles vernieuwd beide kanten op, en zolang ik niet op VPN zit, gebruikt ie de lokaal opgeslagen kluis.

Backups maak ik middels een cronjob automatisch van de hele docker instance in een tar naar een andere machine in huis. Verder zijn er geen SSH poorten e.d. open naar mijn huis, enkel VPN.

ronansoleste @xoniq • 1 december 2022 11:34

ja zo heb ik mijn server ook beveiligd. maar dat neemt niet weg dat er gaten in kunnen zitten waar ik simpel weg geen weet van heb. Ik ben geen security specialist, en het is een beroep voor een reden.
ik doe wat ik weet, maar ik weet dat ik niet alles weet ervan.
Daarom dat ik mijn wachtwoorden (wat primair is) niet zelf ga zitten hosten, dat laat ik liever over aan de mensen die daar specialist in zijn.

xoniq @ronansoleste • 1 december 2022 12:52

dat laat ik liever over aan de mensen die daar specialist in zijn.

Zoals LastPass

ronansoleste @xoniq • 1 december 2022 14:13

Moet je nagaan wat er kan gebeuren als je het bij iemand onderbrengt die er geen expert in is

xoniq @ronansoleste • 1 december 2022 14:39

Wat er kan gebeuren inderdaad. Echter is je machine thuis, die op Linux draait, die ook niet extern toegankelijk is zonder VPN (dus poortjes dicht), 'iets' minder interessant en een 'iets' kleiner potentieel doelwit dan een cloud dienst die van miljoenen mensen wachtwoorden in de cloud opslaan.

De kans is nog groter dat je lokale KeePass kluis wordt gejat op Windows, waar je continu dingen op aan het installeren bent en waar een backdoor in kan zitten.

ronansoleste @xoniq • 1 december 2022 16:37

Ja want een linux apparaat met alle poortjes dicht is nog nooit gehackt

niets is onfeilbaar.

xoniq @ronansoleste • 2 december 2022 00:55

Heb ik nooit gezegd, ik zeg alleen dat de kans dat een groep hackers jou privé servetje thuis die zo goed mogelijk dicht getimmerd is aanvalt, nihil is.

Partijen als LastPass en 1Password maar ook Bitwarden cloud zijn continu doelwitten, het zijn goudmijnen als ze ook maar een fractie van de data weten te pakken.

En laat LastPass nou net een partij zijn die afgelopen jaren meermaals een lek heeft gehad.

Creesch @Aegir81 • 1 december 2022 09:02

Je KeePass suggestie kan ik me prima in vinden aangezien het daar gaat om een self contained wachtwoord bestand wat niet afhankelijk is van server infrastructuur om te functioneren. Maar met het hosten van zoiets als bitwarden en andere zaken waar je te maken hebt met kritieke data (nextcloud bijvoorbeeld). Nu ben je zelf verantwoordelijk voor:

Het updaten van je bitwarden instantie.
De beveiliging van de server.
Monitoren of kwaadwillende derden toegang hebben gekregen.
Zorgen voor goede offsite backups van je data want mocht er iets fout gaan zou het nogal jammer zijn als je al je wachtwoorden kwijt bent.
De beveiliging van de backup (locatie)

Er zijn zeker tweakers die technisch capabel genoeg zijn om dit te doen en die de tijdsinvestering ook prima vinden. Maar, het overgrote gedeelte van de mensen heeft al in de basis niet de technische kennis om dit makkelijk te doen, laat staan op een veilige manier. Nu moedig ik iedereen aan om eens te experimenteren met het opzetten van een server (thuis of via een vps). Maar, het zelf hosten van kritieke data is niet iets wat ik mensen zal aanraden om mee te beginnen.

Sterker nog, ik denk dat van de mensen die zelf zaken host er een groot gedeelte het op zo'n manier doet dat hun data minder veilig is dan bij een cloud dienst.

Wil ik daarmee zeggen dat mensen niet moeten zelf hosten? Nee, maar ik vind wel dat er soms te makkelijk over wordt gedaan.

Zoals ik al aangaf, KeePass vind ik dan een betere oplossing aangezien je daar iig niet de verantwoordelijkheid hoeft te zijn voor de server zelf. Het is daarbij nog steeds belangrijk dat je een backup hebt van KeePass vault.

F-I-X @Aegir81 • 1 december 2022 11:31

Erg kortzichtig..

Hack zijn van deze tijd. Als ze niks naar buiten brengen en het komt later via andere kanalen toch naar buiten, is het ook weer niet goed. Jammer dat deze open manier van communiceren naar klanten dan weer afgestraft moet worden.
Uiteraard is het afhankelijk van welke hacks er worden uitgevoerd maar zover de informatie klopt is het een "third party" en dan van persoonsinformatie die geloof ik nergens meer veilig is.

Ik had ook een tijdje het idee om over te stappen van Lastpass. Maar ben nu wel blij met de verbeteringen o.a met het niet meer gebruiken van je hoofdwachtwoord in je browser maar via OTP/ authenticatie app.

Enige wat ik jammer vind is dat er geen meer jaren abbo beschikbaar is (tegen een gereduceert tarief).
Zelf hosten is leuk maar als ook NAS-en onderhevig zijn aan randsomware etc is de meerwaarde ook niet echt aanwezig.

Quitzcused @Aegir81 • 1 december 2022 09:45

Wij zijn op werk net over van keepass naar lastpass

mcmd @Quitzcused • 1 december 2022 12:12

Als wachtwoorden gedeeld moeten worden en je wilt per wachtwoord bepalen wie het mag gebruiken, en als je ook nog moet weten wie, wanneer een wavhtwoord heeft ingezien, dan is KeePass niet de juiste tool. Voor mij is dat allemaal veel minder relevant en ben ik zeer tevreden met KeePass.

Patoer @Aegir81 • 1 december 2022 12:25

Ik heb ze allebei, maar ik moet zeggen dat Lastpass toch beter werkt. zeken op mijn telefoon. Bitwarden geeft wel heel vaak aan dat de webwinkel er niet instaat bij het auto invullen maar na het spitten staat de gezochte webwinkel er toch wel in. Of Bitwarden wil auto invullen terwijl dit overbodig is. Dit heb ik bij Lastpass noch nooit.

mphilipp 1 december 2022 07:53

LastPass (en alle wachtwoordkluisjes) blijven natuurlijk een superinteressant doelwit voor hackers. Stel je voor dat ze erin slagen de boel te kraken... Dat zou niet moeten kunnen natuurlijk, maar je kunt het altijd proberen. Het gevaar is nu natuurlijk dat ze nu weten wie precies LastPass gebruikt, er gerichte phishing acties gedaan kunnen worden, in de hoop dat iemand zo dom is zijn hoofdwachtwoord af te geven.

Skit3000

@mphilipp • 1 december 2022 08:04

In de tweet staat dat wachtwoorden veilig boven omdat ze versleuteld zijn. Dat kan ook betekenen dat de versleutelde data is gelekt maar LastPass verwacht dat deze door de gebruikte encryptiemethode niet te kraken zijn. In dat laatste geval is dat op dit moment in 2022 zeker waar, maar tegelijkertijd zal het met de tijd door vooruitgang in processorkracht en het mogelijke vinden van lekken in deze methode uiteindelijk wel een keer mogelijk worden om de data te ontsleutelen (zeg maar in 2030 ofzo).

mphilipp @Skit3000 • 1 december 2022 08:09

Ik denk niet dat je als hacker moeite moet gaan doen om dit te encrypten. Veel te complex, en op dit moment ook niet mogelijk. Misschien met een quantumcomputer, maar het is veel teveel effort. Het is makkelijker om onder de klanten te gaan phishen. Er zijn tal van geintjes te verzinnen om iemand te lokken naar een server om daar in te loggen, zodat zij in de achtergrond op je echte LastPass kluis kunnen inloggen oid.

musiman

@mphilipp • 1 december 2022 08:38

Je bedoelt waarschijnlijk "decrypten" i.p.v. "encrypten". En quantumcomputers zullen goed zijn in het kraken van asymmetrische encryptie, maar symmetrische encryptie blijft toch wat lastiger.
Maar je hebt inderdaad gelijk dat een hacker niet gaat voor het moeilijkste traject, maar voor de eenvoudigste manier, oftewel de zwakste schakel. En dat is in teveel gevallen de mens.

thanx @musiman • 1 december 2022 08:46

Als ze de salt hebben uit de broncode en de versleutelde data van de gebruikers dan kunnen ze rainbowtables maken. Gebruikers met zwakke wachtwoorden zijn dan misschien kwetsbaarder dan in eerste instantie gedacht.

mphilipp @thanx • 1 december 2022 08:54

Ik mag hopen dat die salt geen vaste waarde is, maar iets dat gegenereerd wordt. De source van BitWarden is openbaar en het systeem is er niet minder veilig door. Dus ik denk dat dat geen valide punt is.

Gebruikers met zwakke wachtwoorden zijn sowieso de lul...net als mensen die overal hetzelfde ww gebruiken.

thanx @mphilipp • 1 december 2022 16:32

Ken genoeg systemen waar de salt gegenereerd wordt op basis van velden in de database. Ze zijn dan niet volledig willekeurig. En als je in de broncode kan lezen hoe de velden gebruikt worden voor het genereren van de salt dan kan je dit prima combineren met info uit andere bronnen.

JustFogMaxi @thanx • 1 december 2022 10:42

Salts zijn random en juist om rainbowtables tegen te gaan. Als ik 1 wachtwoord kraakt kun je voor de volgende weer opnieuw beginnen. En de salt staat gewoon in de DB die is niet super secret. Puur vertragings mechanisme.

[Reactie gewijzigd door JustFogMaxi op 22 juli 2024 21:32]

3raser @mphilipp • 1 december 2022 08:46

Zonder te weten welke versleuteling er is toegepast zou een hacker nu hij de data lokaal heeft staan wel een stuk eenvoudiger een brute force methode toe kunnen passen. Als een van de slachtoffers een zwak hoofdwachtwoord gebruikt dan is het een kwestie van tijd voordat die gekraakt wordt.

Skit3000

@mphilipp • 1 december 2022 15:15

Ik ben ook niet bang dat hackers nu gaan proberen te decrypten, maar dat als het over tien jaar wel tegen redelijke kosten mogelijk is ze dan direct een enorme database met inloggegevens hebben. Veel wachtwoorden en accounts zullen dan misschien niet meer in gebruik zijn, maar een deel wellicht toch nog wel.

rko4u @mphilipp • 1 december 2022 08:03

Natuurlijk is alle informatie bij lastpass aanwezig, anders kan je immers op een nieuw device niet inloggen en het systeem gebruiken.

RobIII @rko4u • 1 december 2022 10:48

Natuurlijk wel. Bij LastPass staat gewoon een encrypted "blob" aan data op hun servers. De decryptie vindt plaats op je eigen device m.b.v. je master password. Je hebt dus - in principe - geen kont aan die 'blob' als hacker (simpele master wachtwoorden etc. daargelaten natuurlijk).

rko4u @RobIII • 1 december 2022 11:02

Ik kan me niet voorstellen dat daar je master password voor wordt gebruikt. In dat geval zou je hem namelijk nooit kunnen aanpassen en al helemaal niet resetten. Er moet dus nog een decryptie sleutel ergens worden bewaard.

PolarBear @rko4u • 1 december 2022 11:08

Ik kan me niet voorstellen dat daar je master password voor wordt gebruikt. In dat geval zou je hem namelijk nooit kunnen aanpassen en al helemaal niet resetten. Er moet dus nog een decryptie sleutel ergens worden bewaard.

https://support.lastpass....-master-password-lp020010

Toch wel.

RobIII @rko4u • 1 december 2022 11:08

Als je je masterwachtwoord wijzigt wordt gewoon de hele blob opnieuw encrypted. Hell, dat gebeurt ook bij élke wijziging die je maakt in die blob.

En idd, ben je je masterwachtwoord kwijt dan heb je dikke vette pech. Dat staat ook niet een stuk of 500 keer overal en nergens vermeld ofzo

[Reactie gewijzigd door RobIII op 22 juli 2024 21:32]

Marve79 @mphilipp • 1 december 2022 08:02

Ik mag hopen dat iedereen zo slim is om 2FA te activeren en je met het hoofdwachtwoord nog niks kan.

lenwar

Beveiliging en antivirus

@Marve79 • 1 december 2022 09:56

Als je de databestanden en wachtwoorden hebt, dan doet die tweede factor niets. Althans, met TOTP (Google Authenticator e.d.) niet.

TOTP is niks meer dan een offline shared secret dat niet over de lijn gaat. Beide computers doen op basis van een timestamp en die shared secret dezelfde bewerking om op een 6-cijferige code te komen.

Het is dus puur de cliënt die het bevestigd.

In de praktijk is TOTP alleen zinvol voor als je wachtwoord is gelekt en de toegang tot een account wil hebben, zonder dat je data van het account al in hebt.

Ruzor 1 december 2022 07:56

Alweer een datalek bij LastPass? Snap niet dat daar nog gebruikers voor zijn. Als er iets veilig moet zijn, is het wel een wachtwoordmanager.

[Reactie gewijzigd door Ruzor op 22 juli 2024 21:32]

DigitalExorcist @Ruzor • 1 december 2022 08:15

Het lek zat niet bij LastPass zélf, maar een 3rd party cloud provider waar oa. LastPass gebruik van maakt(e).

3raser @DigitalExorcist • 1 december 2022 08:50

Dat is dan nog steeds een fout van LastPass door te kiezen voor een partij die blijkbaar zijn zaakjes niet op orde heeft.

DigitalExorcist @3raser • 1 december 2022 09:42

Ja, maar goed, als die derde partij een bucket open laat staan op Amazon kun je niet Amazon ervan betichten de zaken niet op orde te hebben. Microsoft doet ook een hoop goed maar als jij je Azure securitygroups en firewalls en dat soort zaken niet goed inricht is het ook niet het probleem van Azure..

Het ligt er maar net aan wie wát niet op orde heeft, en zelfs als je je spullen wél op orde hebt wil dat niet zeggen dat er nooit iets kan lekken.

Quitzcused @3raser • 1 december 2022 09:45

Dat kan je niet altijd ruiken, op die manier werk je met geen een externe partij,

3raser @Quitzcused • 1 december 2022 11:02

Als je zulke gevoelige informatie opslaat dan moet je misschien ook helemaal niet met een derde partij werken.

mschol @Ruzor • 1 december 2022 08:03

Alweer een datalek bij LastPass? Snap niet dat daar nog gebruikers voor zijn. Als er iets veilig moet zijn, is het wel een wachtwoordmanager.

de wachtwoorden zijn ook kennelijk nig veilig, alle andere info die mogelijk op straat ligt kan bij elke webwinkel gejat worden

en alweer? voor een highprofile target (ivm wachtwoordenkluizen) is 2x in een jaar nog weinig

Ruzor @mschol • 1 december 2022 08:10

Je mag er toch vanuit gaan dat een wachtwoordmanager toch een stuk veiliger is dan de een willekeurige webwinkel.

Wat meer nieuwsberichten over LastPass:

nieuws: LastPass maakt melding van hack, maar wachtwoordresets zijn niet nodig
nieuws: LastPass dicht kwetsbaarheid in zijn browserplug-in
nieuws: LastPass dicht beveiligingslek in 2fa-app voor Android
nieuws: Hackers bemachtigen persoonsgegevens van servers LastPass
nieuws: LastPass brengt update uit voor Firefox-addon die kwetsbaarheid bevatte

hamsteg @Ruzor • 1 december 2022 08:20

Wat is je punt? Kijk naar de windows patches die lijst is nog groter. Grote targets hebben automatisch meer pogingen.

Ruzor @hamsteg • 1 december 2022 08:27

Mijn punt is dat je dit soort berichten over andere wachtwoordmanagers niet tegenkomt. Dus die doen dan toch iets beter lijkt me.

Bijvoorbeeld:
https://tweakers.net/nieuws/zoeken/?keyword=bitwarden
https://tweakers.net/nieuws/zoeken/?keyword=1password
https://tweakers.net/nieuws/zoeken/?keyword=keepass

Sterker nog, in deze zoekresultaten komt LastPass ook terug:
nieuws: LastPass bevat zeven datatrackers in de Android-app, ook van marketin...

Creesch @Ruzor • 1 december 2022 09:10

Je valt nu overigens wel in een mooie valkuil betreffende statistieken. Wat je even vergeet mee te nemen is hoe populair deze andere diensten zijn, het is logisch dat hoe groter de dienst is hoe meer aandacht ze zullen krijgen van hackers.

Hetzelfde geld overigens ook voor de media, hoe groter of bekender de dienst, hoe groter de kans dat de media er melding over zal doen in een nieuwsbericht.

Naast dat je natuurlijk alleen het nieuws krijgt te zien omdat LastPass er open over is en omdat LastPass het heeft kunnen detecteren. Andere diensten kunnen zaken verzwijgen of simpelweg bepaalde zaken niet waarnemen.

Plus dat met alle aandacht die LastPass heeft gekregen er nog nooit echt wachtwoorden zijn gelekt. Op het moment dat dit wel zou zijn zou je daar namelijk genoeg krantenkoppen over tegenkomen. Dus het lijkt er toch echt op dat de claim van LastPass dat alleen maar de gebruiker zelf wachtwoorden kan decrypten klopt.

Neemt niet weg dat ik een tijd geleden zelf ben overgestapt op KeePassXC voor wachtwoorden beheer. Maar dat heeft er meer mee te maken dat ik gewoon minder gebruik wilde maken van clouddiensten in het algemeen.

Drogo @Ruzor • 1 december 2022 08:37

Dat andere wachtwoordmanagers niet netjes hun hacks melden, maakt ze niet veiliger.

mphilipp @Ruzor • 1 december 2022 08:56

Een passwordmanager is een prime target, zeker LastPass. Die krijgen tientallen aanvallen per dag moet je rekenen. Zolang ze de kluizen niet kunnen openen, is er niets aan de hand. Webwinkels worden aan de lopende band gekraakt. En daar maken ze vaak zelfs passwords buit.

Miki @Ruzor • 1 december 2022 09:12

Dat Lastpass redelijk vaak ongelukkig in het nieuws komt betekent niet dat de concurrentie dat ook overkomt. Van 1Password lees je nooit iets en Bitwarden is naar mijn weten ook niet slecht in het nieuws geweest in de afgelopen jaren.

arbraxas @Ruzor • 1 december 2022 08:17

Tja, het is ook waarom ik dit soort software niet gebruik.
Uiteindelijk is het gewoon een sleutel voor je sleutelkast.

Ruzor @arbraxas • 1 december 2022 08:24

Dat lijkt me dan weer niet verstandig. Hoe onthoudt je dan alle wachtwoorden? Of gebruik je overal hetzelfde wachtwoord? Om jouw analogie door te trekken, dat is dan één sleutel voor alle sloten.

[Reactie gewijzigd door Ruzor op 22 juli 2024 21:32]

arbraxas @Ruzor • 1 december 2022 09:11

Nee, dat is een aanname. Ik heb een methodiek om wachtwoorden te genereren.
Die ik hier uiteraard niet ga neerzetten.
En groot bijkomend voordeel, dat staat niet 24/7 online om bestookt te worden door hackers.
Want dit soort bedrijven / software is natuurlijk wel heel erg gewild om te bestoken.
1 privepersoon is alweer een stuk minder interressant om energie in te steken.

[Reactie gewijzigd door arbraxas op 22 juli 2024 21:32]

lilmonkey

@arbraxas • 1 december 2022 11:56

Ik heb een methodiek om wachtwoorden te genereren.

arbraxas @lilmonkey • 1 december 2022 14:07

Wat is daar zo dom aan, om unieke wachtwoorden te creeeren?

lilmonkey

@arbraxas • 1 december 2022 15:22

Gebruikmaken van een methodiek is een zwakte. Elke vorm van een patroon, hoe ondoorgrondbaar die ook lijkt, zou je moeten willen uitsluiten voor het sterkste resultaat.

arbraxas @lilmonkey • 1 december 2022 15:34

Uiteindelijk is gebruik van dit soort software ook een methodiek. Met zijn eigen uitdagingen en zwaktes. Iets wat door artikel mooi laat zien.
Het sterkste resultaat is om jezelf niet tot doelwit te maken.
Een juist dit soort software pakketten zijn doelwitten met de hoofdletter D.

En ik heb geen masterkey die ergens online bewaard word.
Mijn methode is niet perfect, maar dat is geen enkele om het eerlijk te zijn.

[Reactie gewijzigd door arbraxas op 22 juli 2024 21:32]

Ruzor @arbraxas • 1 december 2022 11:46

Je hoef de details niet te delen natuurlijk, maar wat is die methodiek dan? Als deze zo goed is, dan help je juist anderen ook om hun wachtwoorden veilig te houden. Ben benieuwd!

arbraxas @Ruzor • 1 december 2022 14:10

Het werkt net andersom, de methode maakt de details. Dat is ook de reden dat ik het voor me houd.
Alleen staat het niet online. Er is ook geen digitale kluis met wachtwoorden. Er valt wat dat betreft niets te hacken.

[Reactie gewijzigd door arbraxas op 22 juli 2024 21:32]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Wachtwoord
Security

@mschol • 1 december 2022 08:18

oor een highprofile target (ivm wachtwoordenkluizen) is 2x in een jaar nog weinig

Dat lijkt mij onjuist of merk jij ook regelmatige hacks bij high profile targets als banken, vitale infrastructuur, defensie etc?

Korvaag

1 december 2022 09:00

Je vault is client side encrypted. In het ergste geval heeft een hacker een encrypted container te pakken waar ie niets mee kan.

yzh @Korvaag • 1 december 2022 09:18

Bruteforcen

Krimglas @yzh • 1 december 2022 09:51

256-bit AES encryptie brute forcen is nuttig als je bereid bent om een paar miljoen jaar te wachten tot heel het universum is uitgedoofd

Scriptkid @Krimglas • 1 december 2022 11:14

of totdat die end user het zelfde paswoord ergens anders heeft gebruikt,

Of gecaptured is in de screen grab software op de pc

Krimglas @Scriptkid • 1 december 2022 11:49

Het hele punt van een PW manager is dat je een uniek, sterk wachtwoord gebruikt dat nergens anders gebruikt wordt. Probeer het zelf eens zou ik zeggen, in plaats van excuses te verzinnen waarom jij denkt geen wachtwoordmanager nodig te hebben.

Scriptkid @Krimglas • 1 december 2022 14:26

Het kan nog zo unique zijn,

screengrab en keylogger vangen alles, Zo zijn ze juist ook bij last pass binnen gekomen door het compromised account van de DEF en daar persistance op zijn pc achter te laten om de MFA te omzeilen dmv input grab.

Krimglas @Scriptkid • 1 december 2022 15:07

Prima jongen, blijf jij maar bij je wachtwoord123. Wat maakt wachtwoordbeveiliging uit, ze hacken het toch

style2k @Scriptkid • 1 december 2022 19:40

ja maar dan heb je nog altijd 2fa als je die heb aanstaan naturlijk door middel van een authenticator app op je telefoon of een hardware key bijv.

Scriptkid @style2k • 2 december 2022 12:08

2 dingen .

Hij heeft de DB dus 2FA is niet nodig,

Daarnaast , merendeel van de 2FA oplossingen werkt door iets door te geven OTP , die OTP tik jij in op jouw infected PC waardoor de aanvaller in real time de code ook invult op zijn scherm , Zo is het ook misgegaan bij last past staat letterlijk in de tekst

style2k @Scriptkid • 2 december 2022 12:48

ja klopt maar zijn ook andere 2fa opties zoals een hardware key natuurlijk. maar ik vraag me dan af wat heeft een 2fa dan voor nut als hackers als ze de database hebben die toch niet hoeven te gebruiken . dan is 2fa ook maar een waardeloos systeem eigenlijk.. ik ga er van uit dat als je de db zelf heb die 2fa daar ook voor gebruikt moet worden.

Scriptkid @style2k • 2 december 2022 13:35

nee 2fa zit alleen op de access laag naar de websites toe,

De database zelf is alleen beschermd door encryptie , Normaal zou je nooit acces krijgen tot de database maar als die gejat wordt helaas,

Beetje zelfde als een kluis , je moet een sleutel tot het huis hebben en de code van de kluis, echter als de dief het raam ingooit en de kluis mee genomen wordt kan men in alle tijd rustig de codes voor de kluis uitproberen of op 2de anier gaan ontfrutselen.

Dit heb je bij OAUTH ook gewoon,
Ook al heb jij MFA met 6 creteria, als ik je access token kan onderscheppen mag ik gewoon binnen in de database en helpt je MFA je niet,

[Reactie gewijzigd door Scriptkid op 22 juli 2024 21:32]

Meiklokje @Krimglas • 1 december 2022 18:12

Tot ze het algoritme door hebben en hoe zon sleutel wordt genereerd. Criminelen zijn wel slimmer. En zo lang heel je hebben en houden op een server staat is het niets van veilig. Alles waar het internet op aan hangt is gewoon niet veilig genoeg hoeveel methodes je ook verzint om een hacker buiten de deur te houden. En zo lang de mens het blijft doen blijft het foutief hoe hard en ingewikkeld je het ook dichttimmert, een computer kan alles omzeilen.

yzh @Krimglas • 1 december 2022 21:35

Ik bedoel natuurlijk de master password bruteforcen, die is vast niet zo random voor meeste mensen. Rockyou.txt zou vast op een aantal containers al goed werken

CH4OS

Datalek

1 december 2022 08:54

Ik zou echter verwachten dat door de Augustus leak alle credentials en keys bij hunzelf aangepast zouden zijn. Hoe weet men anders dat men met gegevens van dat lek dit nieuwe lek heeft kunnen doen?

[Reactie gewijzigd door CH4OS op 22 juli 2024 21:32]

Daan S

1 december 2022 08:59

De mail die verstuurd is door LastPass

Dear valued customer,

In keeping with our commitment to transparency, we wanted to inform you of a security incident that our team is currently investigating.

We recently detected unusual activity within a third-party cloud storage service, which is currently shared by both LastPass and its affiliate, GoTo. We immediately launched an investigation, engaged Mandiant, a leading security firm, and alerted law enforcement.

We have determined that an unauthorized party, using information obtained in the August 2022 incident, was able to gain access to certain elements of our customers’ information. Our customers’ passwords remain safely encrypted due to LastPass's Zero Knowledge architecture.

We are working diligently to understand the scope of the incident and identify what specific information has been accessed. As part of our efforts, we continue to deploy enhanced security measures and monitoring capabilities across our infrastructure to help detect and prevent further threat actor activity. In the meantime, we can confirm that LastPass products and services remain fully functional. As always, we recommend that you follow our best practices around the setup and configuration of LastPass, which can be found here.

As is our practice, we will continue to provide updates as we learn more. Please visit the LastPass blog for the latest information related to the incident: https://blog.lastpass.com...recent-security-incident/.

We thank you for your patience while we work through our investigation.

Sincerely,
The Team at LastPass

Corrigan 1 december 2022 16:01

Ik blijf het bijzonder vinden dat mensen nog steeds LastPass gebruiken.
Zoveel wachtwoorden tegelijk van zoveel klanten is toch vragen om problemen.

Het is niet of maar wanneer een hack weer gaat gebeuren. Terwijl het zo eenvoudig is om zelf je wachtwoorden encrypted op te slaan met bijvoorbeeld KeePass of KeePassXC voor de Mac en Linux.
Is het alleen gemakzucht?

Scriptkid @Corrigan • 2 december 2022 12:09

Tijd voor paswordless is aangebroken, Geef het een paar jaar en dan is het dood.

hotabibber 1 december 2022 07:57

Dit is voor mij een reden dat ik dit soort programma's nooit gebruik.

Wil niet het risico lopen dat mijn gegevens op straat komen te liggen of verhandeld gaat worden op het darkweb.

hamsteg @hotabibber • 1 december 2022 08:26

Dus gebruik jij veel het zelfde wachtwoord. Als er eenmaal een site is die gekraakt wordt of slordig is, is je wachtwoord bekend bij Brute Force aanvallers en zijn al je andere sites te hacken.

Het grote voordeel van PassWord tools is dat je voor elke site een unique (en lang) wachtwoord kun genereren. Gebruik voor je main password een zin, die type je na twee weken blind en daarna geen zorgen meer (en te gebruiken over meerdere devices). Bij geen van de grotere PassWord tools is de password vault gekraakt dus je zorgen zijn onnodig.

beerse @hamsteg • 1 december 2022 08:53

Wat hotabibber bedoelt met "dit soort programma's" is iets anders dan wat jij veronderstelt. Het soort programma's dat gegevens in de cloud opslaat is iets heel anders dan het soort programma's dat wachtwoorden beheert.

Zelf heb ik jaren lang een spreadsheet gehad met daarin de account informatie van veel van mijn internet accounts, inclusief wachtwoord. De kolom met wachtwoorden was 'versleuteld' door daar "wingdings" als karakterset te gebruiken. Niemand heeft daar ooit misbruik van gemaakt. Het bestand was electronisch niet als wachtwoord kluis te herkennen en het stond op privé disks en zo inclusief een constructie voor synchronisatie.

De tooltjes die op jacht gaan naar jou account gegevens zal elk *.kdbx bestand onderzoeken maar .*.ods bestanden overslaan.

Zebby @beerse • 1 december 2022 09:27

Ehm, Wingdings is een font, dus software kan dat gewoon lezen... En waarschijnlijk gebruik je daardoor geen automatisch gegenereerde wachtwoorden, wat weer zorgt voor minder beveiliging.

Hoe en wat zij scannen is natuurlijk de vraag, maar dit is niet beveiligd. Iets met Security through obscurity en zo. Dan zou ik het nog liever op een los blaadje zien op je bureau, dan behoeft het nog fysieke toegang.

beerse @Zebby • 1 december 2022 10:09

Inderdaad, het was 1998, toen werd een stikker/geeltje onder je toetsenbord niet gewaardeerd omdat de schoonmaker er dan makkelijk bij kon...

Wingdings was tegen het mee-lezen. UItlezen was de cel selecteren en dan in het type-veld bovenaan het wachtwoord lezen.

En het was voor gedeelde wachtwoorden zoals voor local administrator, root en dergelijke dus helemaal niet voor dagelijks gebruik of zo ....

[Reactie gewijzigd door beerse op 22 juli 2024 21:32]

Corrigan @beerse • 2 december 2022 23:09

Er is niets mis met Keepass. Eventueel hernoem je je .kdbx bestanden naar .png of wat dan ook of gooi je ze nog een keer door een encrypter heen.

Triteron @hamsteg • 1 december 2022 08:55

Gelukkig kan je ook lokale password managers gebruiken, zoals KeePassXC. Om de database te synchronizeren kan je Syncthing gebruiken of bijvoorbeeld een USB stick.

mphilipp @hamsteg • 1 december 2022 08:58

Dus gebruik jij veel het zelfde wachtwoord.

Hoe trek je die conclusie nou?
Dat iemand geen passwordmanager gebruikt, wil niet zeggen dat er steeds hetzelfde password wordt gebruikt. Je kunt het ook lokaal opslaan op een veilige manier.

michavb @hamsteg • 1 december 2022 08:54

Ik denk dat het meer gaat om de cloud opslag. Een lokale password tool lijkt mij ook veel veiliger dan bij een externe partij waarbij je niet 100% weet hoe de toegang is geregeld.

Verwijderd @michavb • 1 december 2022 09:53

Aangezien netwerkapparatuur van thuisgebruikers enorm vaak gebruikt wordt voor botnets, vraag ik mij af of dat wel echt zoveel veiliger is.

Scriptkid 1 december 2022 07:55

De wachtwoordmanager heeft vastgesteld dat een onbevoegde partij daarbij toegang kreeg tot 'bepaalde elementen van klantgegevens'.

LastPass zegt niet wat voor gegevens precies zijn ingezien

Dat mag toch niet, ze moeten toch binnen zovel uur alle klanten informeren die betrokken zijn met welke data van hun gelekt is ? Daarnaast klink het ook alsof er mee aan de hand is en hun business model comprmised is als je zo geheim doet over wat er breached is.

Oon

@Scriptkid • 1 december 2022 07:58

Ze hebben een meldplicht binnen 72 uur richting de AP bij een datalek waar persoonsgegevens zijn geraakt, maar er is geen wet die zegt dat ze iedere klant precies moeten laten weten om welke gegevens het gaat.

Zie bijv. deze link: https://autoriteitpersoon...ing/meldplicht-datalekken

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (210)

Sorteer op:

Weergave: