LastPass: hackers hebben versleutelde wachtwoorden van klanten gestolen

De hackers die deze zomer data stalen van LastPass, hebben de versleutelde gebruikersnamen en wachtwoorden van gebruikers gestolen. Deze zijn met AES-256 versleuteld en het masterwachtwoord is niet bij de aanval gestolen. De wachtwoorden kunnen wel gebruteforcet worden.

De hacker kreeg toegang tot een back-up van de vaultgegevens van klanten, waarin onversleutelde gegevens als URL's staan en versleutelde gebruikersnamen, wachtwoorden, notities en form-filled data. Deze versleutelde gegevens kunnen volgens LastPass alleen met het masterpassword worden ontsleuteld. Dit wachtwoord slaat LastPass niet op.

Dat masterpassword kan wel met bruteforcetechnieken achterhaald worden en de versleutelde gegevens zouden zo toch gelezen kunnen worden, erkent LastPass. Het bedrijf zegt dat als gebruikers de aanbevelingen van LastPass hebben gevolgd, zoals een master wachtwoord van twaalf tekens, dat het dan miljoenen jaren zou moeten duren voor het wachtwoord gebruteforcet is 'op basis van huidige gangbare bruteforce-technieken'.

LastPass zegt daarom dat deze gebruikers geen actie hoeven te ondernemen. Alleen gebruikers die een korter wachtwoord hebben, deze elders gebruiken, of waarvan het wachtwoord niet met LastPass' laatste pbkdf2-algoritme-implementatie is beveiligd, krijgen van LastPass het advies om wachtwoorden van websites te veranderen. LastPass verhoogde in 2018 zijn pbkdf2-implementatie naar 100.100 iteraties, maar alleen voor masterpasswords die daarna zijn aangemaakt.

Het bedrijf zegt niet hoeveel klanten zijn getroffen, alleen dat het 'minder dan drie procent' van alle zakelijke klanten heeft benaderd met het advies om actie te ondernemen. Hiervoor heeft het bedrijf gekeken naar de instellingen van deze klanten. Zakelijke klanten die niet door LastPass zijn benaderd, hoeven volgens het bedrijf geen stappen te ondernemen. Over particuliere klanten zegt het bedrijf niks.

De hackers kregen toegang tot de gebruikerswachtwoorden na een eerdere hackaanval in augustus. Daarbij kreeg de hacker toegang tot de ontwikkelaarsomgeving van LastPass en werden broncode en andere technische informatie gestolen. Deze informatie gebruikten de hackers om een werknemer 'te targeten', waarbij ze logingegevens bemachtigden en zo toegang konden krijgen tot cloudopslag van LastPass.

De wachtwoordbeheerder zei eerder deze maand al dat daarbij klantgegevens waren ingezien, waaronder de namen van gebruikers of bedrijven, adressen, e-mailadressen, telefoonnummers en IP-adressen. Nu erkent LastPass dus dat daarbij ook versleutelde wachtwoorden zijn gestolen. LastPass zegt meerdere stappen te hebben genomen om het risico op een vervolghack te verminderen, waaronder extra loggingmogelijkheden, nieuwe ontwikkelomgevingen en betere authenticatie van ontwikkelaaraccounts. Politiediensten en relevante toezichthouders zijn door LastPass ingeseind. Het bedrijf waarschuwt gebruikers ook voor phishingpogingen naar aanleiding van de hack.

Reacties (328)

heval 23 december 2022 08:11

Iemand had deze security breach aangemeld bij LastPass en hij beschrijft hier hoe LastPass op gereageerd heeft ( spoiler niet goed dus )

https://furry.engineer/@soatok/109560736140669727

LurkZ @heval • 23 december 2022 08:42

LastPass is al jaren aan het afglijden.
Eigenlijk vanaf het punt dat ze alleen nog support geven aan de duurste abonnementen.
Met de klachten op het forum doen ze helemaal niets.
Als jaren een bug die je haast dagelijks tegenkomt, maar geen fix.

Die zero password app en de aankondiging dat het master password op termijn gaat vervallen was voor mij de druppel.

OruBLMsFrl @LurkZ • 23 december 2022 08:51

Wij hebben ze ook mee vergeleken, maar zijn uiteindelijk privé naar 1Password gegaan en zakelijk naar Secret server.
1password ging het verst in security by design,
Secret server was dan weer beter in te richten voor matrix organisaties met centrale auditing en compliance behoeftes, en vereist niet voor elke eindgebruiker een eigen vault master password bovenop single sign on. Op sommige plekken overkill en minder computer vaardige medewerkers moet je echt helpen met één wachtwoord van de zaak apart te houden zonder hergebruik, laat staan twee.

user109731 @LurkZ • 23 december 2022 10:32

Inderdaad. Ik ben jaren geleden al bij Lastpass weggegaan omdat iets als WebAuthn/FIDO keys niet ondersteund werd terwijl elke concurrent dit had. Het is nu jaren later nog steeds "in development" zover ik kan zien. Geeft wel een beetje de houding weer, geld binnenharken met minimaal werk, dankzij de ooit goede naam.

Limbomol @LurkZ • 23 december 2022 12:41

Gelukkig ben ik al jaren geleden overgestapt naar Bitwarden....heel tevreden mee.

eboellie @heval • 23 december 2022 10:33

cool op Mastodon.

ik ben zonet maar over gegaan op keepass, want vrij.

anzaya 23 december 2022 15:09

Gewoon je LastPass passwords exporteren in een CSV bestand: Accountopties -> Geavanceerd -> Exporteren.

Daarna LastPass verwijderen: https://lastpass.com/delete_account.php

Bitwarden gebruiken en je passwords importeren m.b.v het CSV bestand.

Bitwarden website: Inloggen -> Hulpmiddelen -> Gegevens Importeren.

Of passwords importeren vanuit je Bitwarden addon.

Inloggen Bitwarden: https://vault.bitwarden.com/#/login

Done..

[Reactie gewijzigd door anzaya op 22 juli 2024 14:25]

TweakingRens @anzaya • 23 december 2022 16:49

Dit lost het probleem toch niet op? Je (versleutelde) wachtwoorden liggen nog steeds "op straat" en kunnen nog steeds ge-bruteforced worden.

anzaya @TweakingRens • 23 december 2022 17:07

Dat weet ik, maar wellicht wil men een andere wachtwoord manager na dit bericht.

peterthegreat71 @anzaya • 26 december 2022 09:33

Nou ik heb dat inmiddels gedaan. Ben over gestapt naar Nordpass. Alle wachtwoorden gewijzigd. (Was even een klusje) automatisch verlengen uitgezet bij LastPass en verwijderd.

Maar eigenlijk zou ik nog een stapje verder willen en wil eigenlijk me geld terug voor de resterende maanden.

Weet niet of dit iets is was kans zou maken. En niet omdat ze nu een keer gehackt zijn. Maar dat het op zijn minst al de 3x is. Want ze vertellen het vaak niet eens.

user1898894 @peterthegreat71 • 19 januari 2023 15:45

Had in november voor een nieuw jaar betaald.

Je moet met ze bellen, maar ging erg makkelijk en alles terug!

peterthegreat71 @user1898894 • 20 januari 2023 23:01

Oh oke. Ga ik het zeker nog eens proberen.

Dank je wel

biteMark @TweakingRens • 23 december 2022 17:38

Het is een paar avondjes buffelen maar je zal op elke website een nieuw wachtwoord moeten instellen.

peterthegreat71 @biteMark • 26 december 2022 09:34

3 dagen een paar uurtjes.

YellisVH @TweakingRens • 28 december 2022 08:26

AES 256bit brute-force je niet zomaar. Zelfs met een enorme rekenkracht ben je honderden jaren bezig. Ik snap de paniek helemaal niet. Lastpass is de meest bekende passwordmanager en die worden altijd eerst geviseerd. Als ze echt willen, zitten hackers overal binnen, zelfs bij Nordpass, Keeper, Bitwarden...

TweakingRens @YellisVH • 28 december 2022 19:54

Bruteforce gaat prima als je wachtwoord Flappie123! is.

YellisVH @TweakingRens • 30 december 2022 21:16

Dat is inderdaad waar. Maar wie een password manager neemt, is zich meestal wel bewust dat hij/zij een degelijk master password moet kiezen. Met nadruk op meestal ;-)

Indien je een master wachtwoord hebt zoals bvb "C@feDeZwaan!sMnFav0r!eteKroeg" hoef je je niet snel zorgen te maken wat bruteforce betreft.

[Reactie gewijzigd door YellisVH op 22 juli 2024 14:25]

ronald136813 @YellisVH • 3 januari 2023 15:32

Mee eens hoor , had een master password eigenlijk passphrase met leestekens , het aantal iteraties op mijn account stond op 100100 ook en maak me ook niet zo veel zorgen dat ze dit even gaan bruteforcen
heb als een security measure wel de belangrijkste accounts even aangepast en 2FA er op waar dit nog niet het geval was.
Lastpass is niet helemaal zero knowledge aantal zaken in de fault waren niet encrpyted zoals de url's de datum van de laatste mutaties zoals wachtwoord veranderingen e.d.

Ben over gestapt naar BItwarden , kluis bij LP gereset , het verwijderen van het account werkt niet , het lijkt alsof ze iets in stelling gebracht hebben , normaal werkt dit wel , heb een support vraag gesteld , maar geen antwoord

wat wel slecht is dat ze 5 maanden pas erna klanten gaan inlichten , er loopt een class action suite al en een exodus is gaande dit is einde lastpass denk ik ook , word ook al gesteld op andere media ook., dit product gaat om vertrouwen en dat is weg na dit incident ik gebruikte lp sinds 2015 en was super tevreden er over tot nu dan.

YellisVH @ronald136813 • 4 januari 2023 14:49

Ik heb eens kort Bitwarden gebruikt, maar kon me niet bekoren. Functioneel werkte alles wel, maar ik vond het persoonlijk niet zo gebruiksvriendelijk en mooi zoals bijvoorbeeld bij Lastpass. Mochten ze dit nog kunnen verbeteren dan stap ik zeker over aangezien de prijs die je er maar voor moet betalen.

Je hebt gelijk over het niet helemaal zero knowledge zijn van Lastpass. Voor een password manager van dit kaliber is dat ongehoord. Zeker niet als je ervoor betaald. Ik vermoed dat ze hierover wel dus hun les geleerd zullen hebben. Er gaan hier ongetwijfeld vragen/eisen worden gesteld door gebruikers/bedrijven.

Ik weet niet waarom die class action suites lopen, is het omdat ze gehacked zijn of omdat ze er pas laat mee op de proppen kwamen? In ieder geval is het gewoon wachten tot wanneer een andere grote speler gehacked wordt. Ik zie niet in waarom Bitwarden of 1Password geen slachtoffer zouden kunnen worden van een cyberaanval. Zouden ze dan ook weer hoppen naar een ander password manager?

Een oud gezegd luidt: "wat door mensen is geprogrammeerd, kan ook door mensen gehacked worden.

laibalion @anzaya • 23 december 2022 18:33

Mocht je wat tech-savvy zijn, er is een leuke, gratis en high-performance (geschreven in Rust) versie die je zelf kan hosten -> VaultWarden. Dus zelf hosten, zelf back-uppen en zelf voor de security zorgen.
Kan makkelijk via bijv. Synology docker gehost worden.

david-80 @laibalion • 3 januari 2023 11:37

He een goede, ik wil hier wel mee aan de slag. Punt is ik heb vele 40(random)digit passwoorden gehost in LastPass met authy 2FA.

Graag wil ik eens verder uitzoeken of bijvoorbeeld zo'n yubi key uitkomst kan bieden. Maar of dit met apps op de LG tv (webos) zal werken geen idee.

TerraSkye @anzaya • 23 december 2022 15:29

je vergeet het verwijderen van je csv bestand

Houthacker @TerraSkye • 23 december 2022 17:43

En het uitschakelen van je realtime backup vóór je de CSV maakt en weer inschakelen erna

sparow @TerraSkye • 23 december 2022 17:59

je vergeet het verwijderen van je csv bestand

Precies, en niet vergeten je LastPass account met wachtwoorden te verwijderen. Anders staan al je wachtwoorden 2x ergens in de cloud met 'dubbele' risico om gehackt te worden..

lild0pvs @anzaya • 23 december 2022 17:31

bitwarden is toch ook cloud, het is enkel afwachten totdat ze ook gehacked worden, basis idee, passwords in de clould oplsaan is gewoon slecht. dan werkt een papiertje aan je monitor thuis nog beter...... alhouwel ik dat ook niet doe...
passphrases en een locale encryptie en storage werkt beter.

anzaya @lild0pvs • 23 december 2022 18:03

Klopt, doe ik ook, maar veel gebruikers zijn niet zo technisch onderlegd als jou of mij en willen graag een wachtwoord manager die zo makkelijk mogelijk is.

Klauwhamer @anzaya • 24 december 2022 14:23

Waarom dan niet KeePass waarbij je gebruik maakt van Google Drive voor je keystore (die uiteraard beveiligd is met een sterke passphrase)? Heb je in ieder geval niet meer te maken met een bedrijf dat persoonsgegevens van jou uitdeelt aan hackers maar wel defacto alle gemakken.

sopsop @Klauwhamer • 27 december 2022 11:53

Hoe is Google Drive geen cloud opslag?

Klauwhamer @sopsop • 27 december 2022 12:56

Dat is het wel. Alleen hoef je geen persoonsgegevens met Google te delen, helemaal niet als je een specifiek account maakt voor cloud opslag (dus niet gekoppeld aan Android).

Edit: Het punt is: wanneer je een kluisje hebt én je hebt een berg persoonsgegevens die je kunt toepassen maakt dat de aanvalsvector voor een mogelijk zwakker master-wachtwoord significant groter. Helemaal als je maatwerk social engineering gaat toepassen. Dat maakt de LastPass-hack zo kwalijk, evenals het gebrek aan inzicht in consequenties.

[Reactie gewijzigd door Klauwhamer op 22 juli 2024 14:25]

d3burt

@Klauwhamer • 27 december 2022 15:30

En als je cloud oplossingen niet vertrouwt zet je een paar Raspberry PI's bij familie, en bouw je met Syncthing je eigen gedistribueerde Dropbox/Google Drive/OneDrive.

Hydranet @anzaya • 24 december 2022 18:55

Genoeg mensen die wel technisch onderlegd zijn maar ook niet zelf een password manager willen hosten, waaronder ik. Misschien dat ik wel ga kijken hoeveel moeite het mij zou kosten om zelf te hosten.

laibalion @lild0pvs • 23 december 2022 18:34

Zie mijn ander bericht. Je kan self-hosted doen ook, via een officiele manier, of via een alternatieve implementatie die meer lightweight is en makkelijk op je NAS kan draaien -> VaultWarden

The Chosen One @lild0pvs • 24 december 2022 16:30

Leuk in theorie, in de praktijk voor de meeste mensen geen optie, of gewoon niet wenselijk. (maar wel mogelijk, ook met Bitwarden)
En als je wat websites/accounts hebt waar je extreme voorzichtigheid wilt nemen zet je die niet in Bitwarden (of andere manager).

Zwakste punt blijft het wachtwoord zelf. En daar kan een manager bij helpen mits je het hoofdwachtwoord niet 123456 maakt uiteraard. IkHouvanWandelen!EN!appels is al een beter wachtwoord dan Achternaam1985 bijv.

Sahri @lild0pvs • 27 december 2022 00:32

Totdat je je wachtwoord bestand kwijtraakt bij een crash of ransomware aanval. Niks is 100% veilig maar de meeste bedrijven doen er werkelijk alles aan om het de hackers zo moeilijk mogelijk te maken. Ik ben zelf overgestapt naar 1Password en die bevalt me vele malen beter dan Lastpass. Ik heb een half jaar geleden m'n LastPass account verwijderd maar dat wel pas na de hack.

Maar het feit dat LastPass niks kwijt wil over het aantal getroffen particuliere klanten zint me totaal niet. Het zou wettelijk verplicht moeten worden om openheid van zaken te geven naar je klanten als er een datalek is geweest.

smartsys @anzaya • 24 december 2022 14:50

Dat lost toch niets op.
Je gaat dan wachtwoorden, die al encrypted in het bezit zijn van een hacker, verplaatsen naar een andere clouddienst.
De hacker kan nog steeds rustig op jouw data blijven kloten.

Op dit moment is het slimste om gewoon LastPass te blijven gebruiken en langzaam aan alle wachtwoorden in je kluis gaan bijwerken. Begin hierbij met de meest belangrijke.

Dit gaat LastPass niet nog een keer gebeuren en bij die andere partijen is het nog maar wachten tot iemand slimmer is dan de ontwikkelaars.

Persoonlijk maak ik me niet zo druk. Die hacker heeft van honderdduizenend klanten data gestoten. Als ie een voor een 1 dag per account zou opzetten is ie al vele vele jaren bezig en LastPass geeft ook al aan dat de AES256 met een wachtwoord van 12 karakters miljoen jaar kan duren om te hacken.
Stel dat je 8 of 10 karakters hebt, dan is het korter, maar nog steeds jaren.
Jaren keer nog veel meer jaren is simpelweg veel te veel om me nu heel druk om te maken, tenzij de hacker quantum computers tot zijn beschikking krijgt. Dan kan het van honderden jaren naar een paar jaar of maanden terugvallen.
Kleine kans dat een hacker deze techniek tot zijn beschikking heeft.

Ik denk dus dat als ik dit jaar de belangrijkste wachtwoorden preventief aanpas het allemaal wel los loopt.

peterthegreat71 @smartsys • 26 december 2022 09:38

Niet nog een keer? Volgens mij heb ik al 3x gelezen over dat ze gehackt zijn in een paar jaar.
Alleen dit is de eerste keer waarvan we weten dat er gegevens zijn buitgemaakt.
Maar vraag me af hoe dat de andere keren was. Heb ze al heel wat jaren met plezier gebruikt. Maar heb nu alles overgezet. En gelijk overal nieuwe wachtwoorden aangemaakt. Was even een klusje wat ik in 3 dagen gedaan heb. Maar is nu af.

smartsys @peterthegreat71 • 27 december 2022 09:39

Kan het ook zijn dat LastPass meer transparant is in wat er rondom hun platform gebeurd en de rest wat meer gesloten is en dus niet ieder dingetje meteen aan de grote klok hangt?

MischaBoender @smartsys • 27 december 2022 17:20

LastPass geeft ook al aan dat de AES256 met een wachtwoord van 12 karakters miljoen jaar kan duren om te hacken.

Kan duren! Dit is de tijd die nodig is om alle mogelijke 12 karakter wachtwoorden te proberen, mogelijk ook inclusief kortere wachtwoorden. En dan ligt het ook nog aan wat voor hardware wordt ingezet.

Als je een partij encrypted wachtwoorden hebt kost het trouwens niet heel veel meer tijd om ze allemaal te kraken t.o.v. 1 wachtwoord.

smartsys @MischaBoender • 29 december 2022 12:05

Zoals ik het begrepen heb is een backup bestand zonder encryptie gestolen. Hierin bevinden zich containers met user data en deze containers zijn WEL voorzien van encryptie met AES256.

Naar mijn weten duurt het met de huidige beschikbare hardware vele vele jaren om een AES256 encrypted container met brute force open te breken. Zijn de wachtwoorden in deze container nog relevant na een paar jaar? Nu iedereen het advies heeft gekregen de wachtwoorden aan te gaan passen, denk ik van niet.

Of het mogelijk is om ALLE containers tegelijk aan te vallen betwijfel ik. Ik denk dat je je resources gaat verdelen waardoor de doorloop tijd per container aanzienlijk langer wordt.
LastPass deelt zelf informatie dat ze in totaal 100.000 zakelijke klanten bedienen en 33 miljoen particuliere klanten. Als al die containers zijn gestolen moet je dus 33,1 miljoen keer een hack uitvoeren die in het meest ideale geval een paar uur duurt voor iemand die een simpel wachtwoord heeft gekozen met een korte password lengte. Dan praat je nodig steeds over miljoenen uren.

Je gaat er nu ook vanuit dat iedereen een 12 karakter password heeft. Er zullen er zijn die korter zijn, maar ook die langer zijn. Hoe langer het wachtwoord hoe moeilijker te kraken. Er zullen dus duizenden, misschien zelf honderdduizenden containers zijn die tientallen jaren duren om open te breken.
De vraag is of de hackers de resources überhaupt hebben om deze hack poging te wagen en als ze deze resources bezitten of je deze hier jarenlang aan wil blijven besteden?
Er vinden iedere paar weken hacks plaats en het kan zomaar zijn dat morgen een veel belangrijkere bron van data wordt gevonden waar direct waarde uit is te halen, bijv. geheime documenten waar een andere partij tientallen miljoenen voor wil betalen. Dan hoef je geen kruimels te verzamelen door van particulieren te gaan stelen. Oftewel je resources ga je weer heel anders inzetten.

Dit kan naïef denken van mijn kant zijn, maar ik denk overwegend meer praktisch. Je kunt vaak maar een beperkt aantal dingen tegelijk en je prioriteert je taken zodanig dat je eerst de meest belangrijke uitvoert. Als je vrouw daarna iets anders bedenkt, komt dat vaak even op een hogere plek.

ronald136813 @smartsys • 3 januari 2023 15:39

Je hebt een punt hoor , als je gewoon een goed master password hebt gebruikt dan zit je wel redelijk safe , ik ben wel overgestapt omdat ik het niet kan verkroppen dat een LP medewerker gefished kan worden een bedrijf dat securtiy op nummer 1 moet zetten het feit dat dit mogelijk was is stuitend , het is sensitieve data , mensen vertrouwen er op.
Dit is zo slecht dat dit gebeurd is , ik heb al zoals gezegd in andere reactie gelezen dat dit het einde is van lastpass er komt gewoon een exodus , je kan gewoon niet meer vertrouwen op dit product en dat is jammer.

Clukers @anzaya • 23 december 2022 17:12

Van het moment dat Lastpass naar een betalend model is overgestapt als je wat meer functionaliteit wou, zoals syncen tussen verschillende toestellen, ben ik al overgestapt naar bitwarden. Dat was toen ook een aanrader van iemand in de comments en op het forum, en ik heb er nog geen moment spijt van gehad. Website, plugin (Firefox) en app werken zeer goed en ik heb Lastpass nooit gemist in de voorbije jaren. Bitwarden is een dikke aanrader!

Edit: typo

[Reactie gewijzigd door Clukers op 22 juli 2024 14:25]

Anoniem: 1802422 @anzaya • 24 december 2022 14:15

Mooi reclamespotje

Markdouma @anzaya • 28 december 2022 11:18

Dank voor je comment. Ik ben overgestapt, dit topic heeft me wel doen beseffen dat het goed is om bij LastPass weg te bewegen

Jouw instructies waren perfect en inmiddels een blije klant bij Bitwarden

anzaya @Markdouma • 28 december 2022 13:44

Mooi! Fijne jaarwisseling alvast!

Anoniem: 91634 @anzaya • 30 december 2022 02:26

Beter geen paswoord manager gebruiken. Een paswoord manager is net als een pin automaat op de hoek van de straat. Ieder kan van ver af zien dat er daar wat te halen valt waardoor dit altijd één van de eerste doelen zal zijn voor de hackers.

Ntr- 23 december 2022 08:29

Ik vond het zelf altijd wel tricky om online diensten te gebruiken van password manager, nooit het gevoel gehad dat het daadwerkelijk veilig is. Ik zou zeggen gebruik een lokale keepass database voor je wachtwoorden, op die manier ben je ook bijna geen target voor hackers, diensten zoals LastPass zullen altijd een target zijn voor hackers omdat er veel wachtwoorden staat van gebruikers. Ik zie zelfs mensen hun werk accounts (o.a admin accounts) opslaan in LastPass, als dat lekt heeft het voor een bedrijf zelfs een grote impact.

Saven @Ntr- • 23 december 2022 10:35

Mwah,

De kans dat iemand van alle miljoenen gebruikers, nou net jouw account besluit te misbruiken, is natuurlijk al verwaarloosbaar klein. Dus in dat opzicht is een groter lek (in de zin van buitgemaakte data) weer beter

Maar goed, dan heb je nog eens de encryptie van je master password, die eigenlijk niet te bruteforcen is. Ik zou me iig geen enkele zorgen maken als je een beetje fatsoenlijk master password gebruikt

[Reactie gewijzigd door Saven op 22 juli 2024 14:25]

Admiral Freebee

@Ntr- • 23 december 2022 09:02

Het is altijd een afweging tussen gebruiksgemak en veiligheid helaas. Veel mensen ga je niet aan een wachtwoordmanager krijgen tenzij het met zo weinig mogelijk gedoe is. Dat wil zeggen een eenvoudige automatische sync, goed werkende autofill, niet elke keer een complex wachtwoord invoeren, enzovoort. En dan kom je niet bij Keepass uit.

batjes @Admiral Freebee • 23 december 2022 09:44

Voor Keepass kan je prima een 'automatische sync' opzetten door het kdbx bestand in iCloud, Google Drive of Onedrive te zetten. De autofill werkt prima en een master password is zo moeilijk als je het zelf wil maken, je kan ook biometrie gebruiken.

Blokker_1999

Hackers
Datalek
Hack
Beveiliging en antivirus
Wachtwoord

@batjes • 23 december 2022 10:01

En dan sla je je wachtwoord op de ene PC op, staat de database nog open op de andere PC en vraag je je de volgende dag af waarom je daar dat wachtwoord niet terug vindt dat je gisteren toch echt had opgeslagen.

pmeter

@Blokker_1999 • 23 december 2022 10:43

Dat is mij in een jaar of 4 gebruik nog niet overkomen. Ik gebruik overigens geen KeePass maar Enpass, dat ook werkt via een databasebestand op een persoonlijke cloud zoals Google drive of Onedrive. De Enpass clients op mijn devices maken elk zelf contact met de gekozen eigen clouddrive en regelen zelf de sync. Daardoor kan de sync, zo neem ik aan, per veld van de database plaatsvinden in plaats van dat de database als gehele file gesync wordt. Misschien gaat het daarom goed?

[Reactie gewijzigd door pmeter op 22 juli 2024 14:25]

EmbarrassedBit @Blokker_1999 • 23 december 2022 20:28

Je eigen gebrek aan discipline in het rekening houden met bepaalde functionele beperkingen, is geen geldig argument tegen een bepaalde setup. En levert bijgevolg geen argument voor de objectieve noodzakelijkheid van real-time synchronisatie met de bijhorende complexiteitskost.

Ik gebruik KeePassXC op mijn PC om mijn keepass-bestand te manipuleren waneer ik accounts aanmaak, wijzig of verwijder. Enkel dat bestand is canoniek. Ik download het naar mijn mobiele apparaat en gebruik het lokaal op dat apparaat opgeslagen bestand alsof het synchroon loopt met het canonieke bestand op PC en in Nextcloud. In het extreem zeldzame geval dat een wachtwoord er nog niet in zit of niet meer actueel is, download ik het canonieke bestand opnieuw van de server en loopt het weer synchroon.

Techneuten schatten de kost in termen van setup-complexiteit (in het bijzonder afhankelijkheid van derde partijen) altijd veel te laag in in vergelijking met de opbrengst van real-time synchronisatie. Dit een manier om niet in die val te lopen, want Nextcloud gebruik ik sowieso. Moest ik Nextcloud niet gebruiken, dan zou ik het nog steeds met een geobfusceerde URL op persoonlijke webruimte kunnen zetten.

[Reactie gewijzigd door EmbarrassedBit op 22 juli 2024 14:25]

amigob2 @batjes • 23 december 2022 12:34

Keepass file op mijn synology nas, VPN server active op mijn router. Dus als ik een paswoord nodig heb buitens huis. is het eerst even de VPN activeren en dan kan ik bij mijn Keepass file. Iets wat gebruiksonvriendelijk maar ik heb er wel vertrouwen in dat mij Keypass file niet in verkeerde handen komt

bonzz.netninja @Admiral Freebee • 23 december 2022 09:43

Een slagje offtopic maar al die zaken zijn wel degelijk eenvoudig voor elkaar te krijgen met een (goede) keepass client. Hier heb ik middels syncthing de keepass files gesynct tussen de clients bijvoorbeeld.

Of dat allemaal de doen is voor tante mien...nee. Maar wat dat betreft is lastpass ook al een uitdaging

mjl @Admiral Freebee • 23 december 2022 12:15

KeePass Touch op een iPhone ivm met KeePass op de desktop en met sync naar Dropbox werkt prima. Beide gratis te gebruiken!

Android zal vast ook een oplossing hebben.

Sircuri @mjl • 23 december 2022 14:08

Dan ben je toch weer terug bij af? Je gebruikt een externe dienst om je KeePass file op te slaan. Kan je net zo goed een dienst als BitWarden gebruiken. De master key heb je zelf net als bij KeePass... alleen heeft BitWarden het hele storage probleem voor jou ook opgelost en bovendien goede clients voor alle platforms. Keepass voor de Mac is namelijk een drama.

mjl @Sircuri • 23 december 2022 14:12

Ja je blijft een cloud opslag houden. Zonder dat wordt het wel lastig om je data tussen devices te delen…

Dropbox is natuurlijk een ander soort target dan dedicated password services. Stel Dropbox wordt gehackt dan denk ik dat losse password files minder snel doelwit zijn en er veel interessantere data buit gemaakt wordt.

[Reactie gewijzigd door mjl op 22 juli 2024 14:25]

Sfynx @Admiral Freebee • 23 december 2022 19:32

Het is altijd een afweging tussen gebruiksgemak en veiligheid helaas. Veel mensen ga je niet aan een wachtwoordmanager krijgen tenzij het met zo weinig mogelijk gedoe is. Dat wil zeggen een eenvoudige automatische sync, goed werkende autofill, niet elke keer een complex wachtwoord invoeren, enzovoort. En dan kom je niet bij Keepass uit.

Strongbox is voor Apple/Safari-gebruikers wel een mooie Keepass frontend, integreert mooi met biometrische unlock/Secure Enclave en de native macOS/iOS autofill API e.d. zonder extra browser plugins.
Synchronisatie gaat dan het makkelijkst door de .kdbx file in iCloud Drive te houden.

[Reactie gewijzigd door Sfynx op 22 juli 2024 14:25]

Blokker_1999

Hackers
Datalek
Hack
Beveiliging en antivirus
Wachtwoord

@Ntr- • 23 december 2022 09:59

Heb zelf jarenlang LastPass gebruikt en gebruik nu de online variant van Bitwarden. Ik moet niet zelf zorgen dat mijn keepass files up to date zijn overall, de cloudservice zorgt daar voor.

Natuurlijk zijn diensten zoals LastPass en Bitwarden zeer grote doelwitten, maar zolang ze alles juist implementeren, dat wil zeggen dat enkel jouw master wachtwoord alles kan decrypten, mogen ze van mij aanvallen zoveel ze willen.

cboy @Ntr- • 23 december 2022 10:55

Liever selfhosted op een veilige vps met goed versleutelde toegang voor jouw devices dan op eigen hardware. Als je selfhosted omgeving op je eigen hardware kapot gaat ben je al je data onherroepelijk kwijt. Met een vps kun je nog backups terugzetten en snapshots maken..

Anyhow, mijn master password is toch te complex om te kraken.. ik heb een abonnement op LastPass en t bevalt me verder prima.

[Reactie gewijzigd door cboy op 22 juli 2024 14:25]

tvtech

@cboy • 23 december 2022 16:25

Je kunt je eigen omgeving uiteraard ook gewoon backuppen, ook naar een externe locatie (als je die hebt dan) waar bv een nas draait. Zijn genoeg gratis tools voor bv Veeam.

Cergorach

Beveiliging en antivirus

@Ntr- • 23 december 2022 11:27

Een lokale Keepass database is imho onveiliger in veel gevallen. Die kan immers makkelijk gekopieerd worden zonder dat je dit weet. Vervolgens kan die oneindig gekopieerd worden en kan deze zonder obstakels gebruteforced worden. Als je dat bij een centrale password manager zou doen, zouden er allerlei alarmbellen moeten afgaan en tenminste geblockt moeten worden van IP adres xyz...

Online password opslag is net als elk andere IT leverancier, je heb er bagger tussen zitten en je heb er pareltjes tussen zitten. Lastpass is kennelijk vrij bagger, zeker gezien hoe vaak het in het nieuws is gekomen qua hacks (check Tweakers.net nieuws artikelen) en andere meuk.

Doopliss @Cergorach • 23 december 2022 12:16

Is het niet zo dat als je een voldoende veilig wachtwoord hebt dit een belachelijk lange tijd zou duren en veel zou kosten?

Cergorach

Beveiliging en antivirus

@Doopliss • 23 december 2022 12:48

Dat ligt er aan wat je ermee beveiligt. Staat daar het Global Admin account in voor het overheidsorgaan of Enterprise waar je voor werkt in? Staan daar je crypto keys in en men weet 'toevallig' dat in je wallet een flink bedrag staat? Staan daar je MFA recovery keys in? Etc. etc. Ben je de eerste in een reeks hacks die leiden tot een veel grotere payoff?

En wellicht gokt men verkeerd en valt er niet zoveel te halen als dat men gokte, dan nog zal men halen wat er te halen valt uit je password database om hun tijd/kosten zoveel mogelijk te compenseren.

Vergeet ook niet dat er een sterk gehalte is van "Wij van WC Eend..." bij blog posts van de leveranciers zelf...

Hou er rekening mee dat mensen erg slecht zijn in het kiezen van 'random' nummers en nog veel slechter in het kiezen van 'random' woorden. Afhankelijk van de persoon, zal er woorden worden gekozen die passen bij deze persoon en ook in een combinatie worden gebruikt die passen bij die persoon. Een doorsnee Nederlandse bouwvakker zal nooit het woord 'Kantian' gebruiken in zijn of haar ww en de kans dat een hoogopgeleid persoon die zichzelf veel te serieus neemt het woord 'lulo' gebruikt in zijn wachtwoord is extreem klein...

Het Nederlandse woordenboek kent slechts 430.000 woorden, de voorgestelde methode van 4 woorden levert 34.188.010.000.000.000.000.000 combinaties op. Dat is nog steeds significant minder dan dezelfde lengte aan kleine letters, hoofdletter, cijfers en leestekens. Vervolgens kan je enorme lijsten woorden afstrepen, want mensen kennen deze woorden niet of gebruiken ze nooit, dan wordt het aantal combinaties heel snel een heel stuk minder...

MrMarcie @Doopliss • 23 december 2022 19:17

Hier kan je de veiligheid van je password testen.

ChrisVrolijk

23 december 2022 08:08

Toch maar eens kijken naar een andere tool zodra mijn abonnement verloopt. Gebeurt mij wat te vaak

beerse @ChrisVrolijk • 23 december 2022 09:58

Beter nu overstappen en de rest van je abonnementstijd gebruiken om je gegevens over te zetten en in de overzetting de wachtwoorden bij te werken zodat ook de oude backup van de vorige dienstverlener geen last kan geven.

JanW @ChrisVrolijk • 23 december 2022 08:25

Waarom wachten tot je abonnement verloopt? Bitwarden is bijvoorbeeld gratis en een goed alternatief. Betaalde variant biedt wat extra's, maar niks noemenswaardig. Begin nu vast met overzetten.

Kvuivbribumok @JanW • 23 december 2022 09:42

Er bestaat ook een handige tool om je ge-exporte passwords van lastpass te importeren in bitwarden (je zal ze uiteindelijk wel allemaal moeten veranderen gezien deze hack maar het scheelt toch wat tijd en moeite).

Wildfire

@Kvuivbribumok • 23 december 2022 11:21

Ik heb tegen de 400 websites in LastPass zag ik zojuist. Dat is niet een klusje van "even" veranderen helaas.

Maar misschien dat ik deze vakantie er toch maar eens voor moet gaan zitten en elke dag iets van 50 sites ga aanpassen.

En dan wanneer dat gedaan is eens een keer overstappen op een localhosted password manager. Ik heb toch een Synology NAS en een Windows servertje staan dus keus genoeg lijkt me.

!mark @Wildfire • 23 december 2022 18:00

Je zou natuurlijk ook kunnen beginnen met de meest belangrijke zaken waarbij de schade groot kan zijn als je daar je account zomaar kwijlt bent; bij de meeste mensen zullen dat er hooguit 25 zijn.

Minder belangrijke dingen zoals je Tweakers account (

) kunnen tzt in een vakantie een keer

BulMi @Wildfire • 3 januari 2023 09:41

Je kunt beter eerst overstappen en dan pas alles veranderen. Anders staan je nieuwe wachtwoorden alsnog allemaal bij LastPass en bljift het bijv. bestaan in de backup files van hun.

Saven @Kvuivbribumok • 23 december 2022 10:36

Dat zit toch gewoon in LastPass ingebouwd? Kun je gewoon een export maken van je wachtwoorden. Elke andere manager biedt vervolgens weer een simpele importfunctie.

funrider @JanW • 23 december 2022 10:28

Ik heb ook Bitwarden (na eerder KeePass te hebben gebruikt), en vond de meerwaarde van een betaalde Personal Premium versie a 10 dollar per jaar het meer dan waard.

SED @JanW • 23 december 2022 13:07

Gratis variant heeft geen 2FA een essentieel onderdeel van een manager m.i.

JanW @SED • 23 december 2022 13:23

In de gratis versie kon ik mfa ook aanzetten. Of bedoel je het genereren van TOTP? Dat hou ik het liefste zo ver mogelijk gescheiden van m'n password manager.

SED @JanW • 23 december 2022 13:29

Ik vergeleek op deze site.
https://bitwarden.com/pricing/

Geen advanced 2fa..
Bij free staat dat niet.
Ik gebruik yubikey als 2e factor
Kan dat bij de free versie?

JanW @SED • 23 december 2022 13:38

Ah dat bedoelde je. Zo te zien niet. Iets verder naar beneden staan een vergelijkingstabel.

nullbyte @SED • 23 december 2022 13:39

Lastpass had ubikeys moeten gebruiken voor toegang tot de back-up van de vaultgegevens dan was dit lek er niet geweest.

DennusB @ChrisVrolijk • 23 december 2022 08:31

1Password for the win, serieus. Prachtige app, fijne prijs (zeker met gezin/familie) en het werkt als een trein!

SED @DennusB • 23 december 2022 13:08

60 euro per jaar is niet goedkoop.

Hennie-M

@SED • 23 december 2022 15:14

Zelfde prijs als Lastpass Families

SED @Hennie-M • 23 december 2022 19:38

Scheelt toch een euro per maand!

Clueless @SED • 24 december 2022 00:27

Misschien leuk om te weten is dat je Family abonnement gratis is voor je (gebruikmakende) medewerkers als je het zakelijk gebruikt. Is vanaf de Business variant.

[Reactie gewijzigd door Clueless op 22 juli 2024 14:25]

wica 23 december 2022 08:10

Het bedrijf zegt dat als gebruikers de aanbevelingen van LastPass hebben gevolgd, zoals een master wachtwoord van twaalf tekens, dat het dan miljoenen jaren zou moeten duren voor het wachtwoord gebruteforced is 'op basis van huidige gangbare bruteforce-technieken'.

Ik vind miljoenen jaren echt wel overdreven. Dat het op dit moment lang duurt, kan best kloppen.
Maar is ook afhankelijk van hoeveel resources je wilt besteden, om een wachtwoord van een account te achter halen.

En wie weet, wordt er morgen een andere techniek ondekt. Waardoor het als nog sneller kan.

Simpel gezegd, verander je wachtwoorden die je bij lastpass hebt opgeslagen.

3raser @wica • 23 december 2022 09:40

"schoonmoeder" is een wachtwoord van 12 karakters. Ik gok dat ze die binnen 10 seconden hebben gevonden door middel van een dictionary attack. Dus die miljoenen jaren liggen alsnog heel erg aan het gekozen wachtwoord.

Guus... @3raser • 23 december 2022 10:38

Ik vind het een heel onverantwoord statement van LastPass. Ik verwacht dat voor een heel groot deel de 12 karakter wachtwoorden niet veilig zijn. Een aanvulling is dat een dictionary attack niet letterlijk een woordenboek gebruikt maar gewoon lijsten van eerder gebruikte en gekraakte wachtwoorden en mogelijk kleine variaties daarop.

Mogelijk zal het enkele uren, dagen of weken duren maar bij lange na niet lang genoeg om nog steeds van redelijke beveiliging te spreken.

3raser @Guus... • 23 december 2022 11:32

Ik denk dat "gewone" LastPass gebruikers (die iets minder goed zijn in het verzinnen van wachtwoorden) heel erg veel rekening moeten houden met het idee dat hun database op korte termijn gekraakt wordt. De aanvallers kunnen bovendien al zien of hun wachtwoord nog is aangepast na 2018 door het aantal iteraties te checken. Die databases zijn het meest kwetsbaar en daar worden mogelijk ook nog kortere wachtwoorden voor gebruikt.

dok33 @3raser • 23 december 2022 12:03

Ik denk zelf, omdat de metadata ook buitgemaakt is en blijkbaar niet allemaal encrypted, dat de hackers heel gericht alleen de interessante accounts en wachtwoorden kunnen kiezen om aan te pakken.
Waarom zouden ze het twitter wachtwoord van Jan Piet Snot kraken, als ze die van Mark Rutte ook hebben, ofzo. Uiteraard zullen ze ook wel wat simpelen dictionary attacks loslaten op de rest, want je weet nooit wat voor bijvangst je hebt. Bank logins zijn natuurlijk altijd money.

Dit is echt ernstig, hoe langer je er over nadenkt, hoe erger het is.

Robbierut4 @3raser • 23 december 2022 10:33

Minimum vereisten van Lastpass voor je masterpasscode zijn: minimaal 12 characters, minimaal 1 nummer, 1 uppercase en 1 lowercase. En niet je email adres.

Sch0onmoeder is wel toegestaan.
En helaas hebben alle dedicated password crackers een rule list die voor elk dictionary word de eerste letter vervangt met hoofdletter variant en /of eerste letter die lijkt op een cijfer vervangt voor dat cijfer.

Of de mensen die lastpass gehackt hebben ook veel ervaring hebben met password cracken weet ik niet.

Persoonlijk maak ik mij niet zo'n zorgen, heb meer dan 25 characters bestaande uit niet dictionary woorden en special characters.

Kayl @Robbierut4 • 23 december 2022 10:53

Weet jij misschien hoe dat zit met een wachtwoord dat bestaat uit meerdere dictionary woorden? Dus bijvoorbeeld AapNootBoom. Is dat dan een veilig wachtwoord, of is dat op 1 of andere manier als individuele woorden te herkennen? Mij lijkt van niet, omdat het 1 string is, maar vraag me altijd af wat nu echt een goed, maar herkenbaar/bruikbaar wachtwoord is.

Robbierut4 @Kayl • 23 december 2022 11:05

Een veelgebruikte techniek is wordlist1 + wordlist 2. En soms + wordlist3.
Dat geeft enorm veel opties, maar nog steeds nauwelijks in vergelijking met alle unieke opties.

Herkenbare wachtwoorden die niet veel op lijsten voorkomen zijn bijvoorbeeld achternamen. Gegarandeerd dat Jansen voorkomt. Maar neem de hoofdredacteur, Funnekotter. Dat is al relatief uniek.
Maak er dan een zin van met wat special characters en je krijgt: funn3Kotter-woutIsgekopTw3@k3rs

Relatief makkelijk te onthouden, wat special characters, hoofdletters en nummers. En 32 characters lang.

Kayl @Robbierut4 • 23 december 2022 11:36

Ik weet niet goed wat word lists zijn. Betekent dat ze dus meerdere dictionary woorden combineren. Dus mijn voorbeeld van AapNootBoom of AapNootBoom01! niet sterk is?

Robbierut4 @Kayl • 23 december 2022 12:37

Excuses.
Wordlists zijn enorme lijsten met unieke woorden. Bijvoorbeeld alle woorden uit alle woordenboeken ter wereld.

Tijdens het cracken probeert de software dan elk woord uit de lijst te combineren met elk ander woord uit de lijst. Bij je voorbeeld van Aap Noot Boom, krijg je dus:
AapAapAap- AapAapNoot - AapAapBoom - AapNootAap - AapNootNoot - AapNootBoom -AapBoomAap - AapBoomNoot - AapBoomBoom - NootAapAap - NootAapNoot - NootAapBoom - NootNootAap - NootNootNoot - NootNootBoom - NootBoomAap - NootBoomNoot - NootBoomBoom - BoomAapAap - BoomAapNoot - BoomAapBoom - BoomNootAap- BoomNootNoot - BoomNootBoom - BoomBoomAap - BoomBoomNoot - BoomBoomBoom

Je kunt dan in de cracking software nog dingen instellen als eerste letter van elk losse woord met hoofdletter. Of elk eerste letter van het gehele woord met een hoofdletter, etc.

Kayl @Robbierut4 • 23 december 2022 14:21

Dankje voor de toelichting. Ik dacht met losse woorden te combineren veiliger te zijn, maar dat lukt dus niet zo. Ga me er nog maar even goed in verdiepen. Gaat voor mij met name om master passwords die je echt moet onthouden.

Anoniem: 1576590 @Kayl • 23 december 2022 13:46

De meest gebruikte (want meest effectief) zijn lijsten met gelekte wachtwoorden, met de vaakst (door de meeste individuen) gebruikte bovenaan. Die worden dus als eerste geprobeerd.

Een lijst van de (volgens deze partij) eerste 200 meestgebruikte wachtwoorden vind je hier.

"Iets" langere lijsten (Gigabytes) kun je vinden bij ';--have i been pwned?.

Zo'n dictionary attack is, indien lange wachtwoorden verplicht zijn en een sterk vertagende KDF (Key Derivation Function), zoals PBKDF2, scrypt of Argon2 wordt gebruikt, meestal vele malen effectiever (bij een deel van de accounts) dan de klassieke brute force aanval (aaaaaaaaaaaa, aaaaaaaaaaab, aaaaaaaaaaac etcetera).

[Reactie gewijzigd door Anoniem: 1576590 op 22 juli 2024 14:25]

Kayl @Anoniem: 1576590 • 23 december 2022 14:22

Thanks, die lijst ga ik eens doorkijken. Verder gebruik ik Bitwarden en die laat ik ook checken op wachtwoord lekken.

Oid @Kayl • 23 december 2022 12:13

lijst met woorden
lijst:
Aap
Noot
Boom

En dan indivuele woorden aan elkaar plakken, hoofdletters proberen, speciale tekens a@p bijv.
01! zal vast ook wel op die lijst voorkomen.

Argantonis @Kayl • 23 december 2022 12:15

Woorden kunnen idd gecombineerd worden, maar als je er wat meer woorden van maakt én het is geen standaard serie (wat AapNootMies natuurlijk wel is), dan zit je behoorlijk veilig.

De relevante xkcd: https://xkcd.com/936/

Kayl @Argantonis • 23 december 2022 14:20

Dankje, dat is inderdaad waar ik mijn inspiratie vandaan haalde. Maar dat blijkt nu gek genoeg toch niet veilig genoeg te zijn als ik andere berichten lees. Blijft lastig zo.

Argantonis @Kayl • 23 december 2022 14:56

Het gaat er vooral om dat je die woorden willekeurig kiest. Tja natuurlijk zijn er dictionary attacks maar die gaan echt niet (zoals hier gezegd wordt) elke combinatie van woorden tot x aantal aan elkaar plakken. Maar als je dingen als AapNootMies zou nemen dan is dat een serie die veel vaker voorkomt (en ook niet willekeurig is)

Ik zou niet teveel van wat hier gezegd wordt uitgaan en eerder de antwoorden op https://security.stackexc...ong-dictionary-passphrase lezen.

Kayl @Argantonis • 23 december 2022 16:15

Dankjewel, dat is goede info!

GeeEs @Kayl • 23 december 2022 13:47

Ik heb deze eens door OpenAI chatGPT gehaald.
Deze is van mening dat dit absoluut geen sterk wachtwoord is

Ook met 01! erachter is dat niet een sterk wachtwoord.
Zelfs van verschillende o's een 0 maken, vind de AI niet goed genoeg, al is dat wel iets veiliger.

Kayl @GeeEs • 23 december 2022 14:23

Interessant! Weet je wat deze dan wel suggereert?

GeeEs @Kayl • 23 december 2022 14:56

Dat was ook mijn vervolgvraag aan de chatbot... maar aan passwords genereren doet ChatGPT (gelukkig!?!) niet aan

Wel krijg je uiteraard suggesties van hoe je het beste een sterk wachtwoord maakt. Die suggesties zijn niet veel anders dan wat het normale advies hier op bv Tweakers ook is.

Quote...

"It is generally not a good idea for me to suggest a specific password for you to use, as it is important to use a unique password for each of your accounts. If you use the same password for multiple accounts and one of those accounts is compromised, then all of your accounts are at risk.

Instead of suggesting a specific password, here are some general tips for creating a strong password:

Use a mix of upper and lower case letters, numbers, and special characters.
Make it at least 8 characters long, and ideally longer.
Avoid using personal information such as your name, birthdate, or common words... Etc .."

Dan nog dit....
Over wat een AI er zelf mee zal doen en kan, met de input die wij nu geven met onze vragen over dit soort zaken...

...

[Reactie gewijzigd door GeeEs op 22 juli 2024 14:25]

Kayl @GeeEs • 23 december 2022 16:18

Interessant! Ik denk dat wachtwoorden met een password manager niet zo moeilijk zijn. Ik gebruik vaak wachtwoorden van 30 karakters door mijn password generator aangemaakt. Maar uiteindelijk heb je toch 2 wachtwoorden die je moet kunnen onthouden, je masterpassword van je password manager en van je 2FA.

En dan is het fijn dat die sterk zijn en te onthouden

nullbyte @Kayl • 23 december 2022 13:48

Een dictionairy attack kan ook op een andere manier gebruikt worden. Er wordt b.v. gekeken naar lijsten met wachtwoorden die publiekelijk zijn gemaakt (lees b.v. verkocht op dark web). Als dan blijkt dat veel personen "my favorite sportsteam" + "isthebest" hebben dan wordt er een lijst met teams afgedraaid tegen die veelvoorkomende string.

Eigenlijk komt het neer op dataset analyse en dan een zo efficient mogelijk algoritme maken om wachtwoorden te raden.

Patrick_Wolf @Robbierut4 • 23 december 2022 12:02

Het mooie is dat de voorwaarden dus eigenlijk bekend zijn en hierdoor gelijk de 'geavanceerde' versie gebruikt kan worden om het te decrypten. Je weet namelijk al dat er minimaal een upper, lowercase en een getal aanwezig moet zijn.

Robbierut4 @Patrick_Wolf • 23 december 2022 12:26

Hoewel correct, maakt dat het niet echt makkelijker.
Je kunt het woord "uitzichtloos" (12 characters) op 12 verschillende manieren schrijven als je 1 uppercase gebruikt, tegenover 1 manier zonder uppercase.
Dan moet er nog een getal bij. Gaan het nog exponentieel meer opties worden.

Die ene all lowercase is dan niet eens meer de moeite om uit je lijst te halen, ga je niet merken tijdens het cracken.

litemotiv @Robbierut4 • 23 december 2022 12:41

Minimum vereisten van Lastpass voor je masterpasscode zijn: minimaal 12 characters, minimaal 1 nummer, 1 uppercase en 1 lowercase. En niet je email adres.

Dat is dan sinds kort of voor nieuwe masterpasswords, want mijn passphrase op het moment dat ze gehacked werden van de zomer was lowercase text-only (maar wel veel karakters).

Cyberpuppy @3raser • 23 december 2022 12:06

Ik hoef dus nu maar een kleine 1500 wachtwoorden aan te passen. Want hier helpt MFA dus niet tegen en het hoofdwachtwoord is me net iets teveel op het randje van wat ik veilig acht.

Klein voordeel van dit is dat ik niet hoef na te denken over wat ik de komende dagen zal gaan doen.

bhartman @Cyberpuppy • 23 december 2022 14:13

Een andere passwordmanager zoeken?

Cyberpuppy @bhartman • 23 december 2022 14:24

Dat had ik gelukkig al gedaan voor het meest kritische deel. Echter voor een deel nog niet.

Inderdaad wel een goed moment om helemaal over te stappen.

bhartman @Cyberpuppy • 23 december 2022 14:26

Ik zou ze niet meer vertrouwen, nadat in de zomer al een deel van de broncode (bug hunting!!) is gestolen. Dit incident lijkt daar dan ook een gevolg van.

lazershark @3raser • 23 december 2022 15:01

Ik had zelf mijn wachtwoorden bij Lastpass.

Er staat ook iets over "PBKDF2 iterations", dat zou standaard op 100,100 moeten staan volgens Lastpass om "veilig" te zijn, maar bij veel gebruikers van oudere accounts stond dit op minder? Is dit rampzalig, of hoe moet ik dit nu begrijpen?

[Reactie gewijzigd door lazershark op 22 juli 2024 14:25]

3raser @lazershark • 23 december 2022 15:38

Hoe meer karakters, hoe beter. Maar de willekeur van karakters telt ook mee. Dus gebruik speciale tekens, cijfers en hoofdletters. Het liefst zo willekeurig mogelijk.

Het aantal iteraties is direct van toepassing op de snelheid waarmee je persoonlijke datakluis kan worden gekraakt. 5000 iteraties is vrij weinig. Het scheelt een factor 20 met 100.100 iteraties. Je zou dus grofweg kunnen zeggen dat je met een brute force aanval in eenzelfde tijdseenheid 20 keer zoveel wachtwoorden kan proberen op jouw datakluis ten opzichte van de nieuwe instellingen. Je kluis is theoretisch gezien dus sneller te kraken. Maar of dit rampzalig is dat ligt vooral aan je wachtwoord. Ik zou je hoe dan ook adviseren om alle wachtwoorden die in die kluis stonden te wijzigen. Als het er heel veel zijn begin je met de meest belangrijke, zoals die van persoonlijke e-mailaccounts en eventuele accounts voor financiële instanties.

[edit] En wees ook bedacht op spearfishing. Bij de hack zijn er ook veel persoonlijke gegevens buit gemaakt die helemaal niet versleuteld waren. Die kunnen nu dus al gebruikt worden om je op te lichten. Een beetje extra alertheid kan dus geen kwaad.

[Reactie gewijzigd door 3raser op 22 juli 2024 14:25]

lazershark @3raser • 23 december 2022 15:42

Ok, bedankt voor de behulpzame info!

Toch maar even die wachtwoorden veranderen, zucht...

Mathijs22 @3raser • 23 december 2022 19:45

"schoonmoeder" is een wachtwoord van 12 karakters. Ik gok dat ze die binnen 10 seconden hebben gevonden door middel van een dictionary attack.

Ahhh nee, daar heb je ongelijk. Omdat Nederlands een erg kleine taal is gaan de dictionary attacks niet erg snel naar dat woordenboek. Ik zal het sterker zeggen, ik ken zes gebruikte woordenboek aanvallen (Nederlands, lol) en maar een gebruikt een Nederlands woordenboek.

Natuurlijk is een bestaand woord erg dom om te gebruiken.

3raser @Mathijs22 • 24 december 2022 09:47

Dat iets onwaarschijnlijk is maakt het niet onmogelijk. Daarnaast hebben de aanvallers je persoonsgegevens en weten ze dus ook uit welk land je komt. Daar passen ze een dictionary attack echt wel op aan. Het zou naïef zijn om te denken dat je wachtwoord veilig is omdat je toevallig Nederlands spreekt.

LurkZ @wica • 23 december 2022 08:36

Helemaal eens met je laatste statement.

Wat betreft de andere technieken. Ja dat klopt uiteraard, maar ik denk niet dat hackers hier enorm veel resources op gaan zetten en dan bv over 10 jaar nogmaals proberen.
Gewoon zoeken naar zwakken master passwords en dat is het dan.
Een wachtwoord dat je in een maand kunt bruteforcen is zwak. Maar stoppen die hackers daar ook zoveel tijd in? Ze moeten namelijk duizenden kluizen openen.

Heel veel resources worden pas ingezet als je iemand echt wil pakken.
Hackers hebben niet veel interesse in de kluis van wica of LurkZ, maar die van Putin en Biden zal veel meer aandacht krijgen.

Shamalamadindon @LurkZ • 23 december 2022 09:22

Dit is hoe ik het ook zie. Nu geen issue, maar 5 jaar verder merken we de hack nog na waarschijnlijk wanneer de investment om in bulk kluizen te kraken het waard word. En gegarandeerd dat er talloze end users zijn die in die tijd geen reset hebben gedaan.

moonlander @wica • 23 december 2022 09:33

Sterker nog, het kan binnen 1 seconde gekraakt worden. Het is net een stapel papier, als je wat moet zoeken is het vaak het laatste vel, maar je kan geluk hebben dat het op de eerste staat.

beerse @moonlander • 23 december 2022 10:00

Als je iets zoekt loop je alles door tot het laatste vel...

Vind je het dan vind je het op het laatste vel waar je op kijkt, dat kan elk vel zijn.
Vind je het niet dan heb je alles doorlopen.

Voor de vindtocht is het statistisch gezien gemiddeld de helft van de tijd met een redelijke kans dat je het op de eerste pagina vind waar je kijkt.

Scriptkid @beerse • 23 december 2022 10:52

dat klop niet helemaal,

er zijn een aantal algorithmes die dat heefl veel hoger 70-80% kunnen halen,

zie prison break problem

beerse @Scriptkid • 23 december 2022 19:12

Natuurlijk, er zijn altijd gefundeerde zoek methoden die sneller lijken de vinden dan je op het eerste gezicht zou denken. Maar als je een gefundeerde zoekmethode gebruikt, dan moet je daar ook je statistiek op aanpassen.

En dat is het leuke van statistieken: gemiddeld genomen kloppen die altijd maar meestal zijn ze ook niet juist.

Mathijs22 @moonlander • 23 december 2022 19:47

Sterker nog, het kan binnen 1 seconde gekraakt worden. Het is net een stapel papier, als je wat moet zoeken is het vaak het laatste vel, maar je kan geluk hebben dat het op de eerste staat.

Dat is waar. Maar als je 200 miljoen A4's hebt neem jij en ik dat risico. Zo wekt encryptie.

dakka @wica • 23 december 2022 11:43

Voorlopig kan je proberen tot het einde van het universum om een AES-256 kluis open te kraken, zelfs met de huidige kennis die we van quantum computers hebben (en die resources zullen criminelen niet hebben, zelfs al komt er een doorbraak).

Verder is het wel handig je password te veranderen ja.

Coolstart @wica • 23 december 2022 12:16

Ik vind miljoenen jaren echt wel overdreven. Dat het op dit moment lang duurt, kan best kloppen.
Maar is ook afhankelijk van hoeveel resources je wilt besteden, om een wachtwoord van een account te achter halen.

Miljoenen jaren is net overdreven laag. De AES256 wachtwoorden die bij deze hack zijn vrijgekomen zijn virtueel onkraakbaar. Zelfs al zou je beschikken over de rekenkracht van alle computers op aarde, dan nog spreek ja van honderden miljarden jaren voor AES128. AES256 doet er nog een schepje bovenop.

AES256 kraken duurt in ieder geval langer dan universum oud is.

Mathijs22 @Coolstart • 23 december 2022 19:48

Dat vraagt on een bron.

Scooby Doo @Coolstart • 24 december 2022 01:13

https://www.csa.gov.sg/go...esources/password-checker

Hier voer je niet een bestaand password in, natuurlijk, maar het aantal tekens dat je voor je master gebruikt. Kan je kijken hoeveel tijd het zou kosten.

blk @wica • 23 december 2022 14:47

edit: Verkeerd gelezen

[Reactie gewijzigd door blk op 22 juli 2024 14:25]

Dix0r 23 december 2022 08:05

Dit kan in de toekomst voor alle gebruikers nog een naar staartje krijgen. Met quantum computing is het aannemelijk dat AES-256 veel sneller gekraakt is middels bruteforce.

Kortom: dit is dus echt wel een groot probleem voor Lastpass klanten.

Zelf altijd een slecht gevoel gehad om mijn wachtwoorden in de Cloud te hosten. Geluk bij ongeluk ben ik daarvan afgestapt toen men het licentiemodel omgooide bij Lastpass. Heb toen ook al mijn gegevens daar weggehaald.

Anoniem: 1576590 @Dix0r • 23 december 2022 10:47

Dix0r schreef:

Dit kan in de toekomst voor alle gebruikers nog een naar staartje krijgen. Met quantum computing is het aannemelijk dat AES-256 veel sneller gekraakt is middels bruteforce.

Dat is niet de voorspelling. Verwacht wordt dat quantum computers symmetrische cryptografie (waarbij je versleutelt en ontsleutelt met één sleutel, zoals je voordeur) hooguit twee keer zo snel kunnen kraken.

Het probleem zit hem in de meestgebruikte soort asymmetrische cryptografie (uitleg - in relatie tot passkeys) gebaseerd op de vermenigvuldiging van twee zeer grote getallen, waarbij de aanvaller op basis van dat resultaat die twee getallen moet terugzoeken, ook bekend als "ontbinden in factoren".

Omdat voor die twee grote getallen priemgetallen (alleen deelbaar door 1 en zichzelf, uitgaande van een geheel getal als resultaat, dus bijv. 2, 3, 5, 7, 11 etc.) worden gebruikt, moet een aanvaller ontbinden in factoren waarbij het enige resultaat die twee (geheim gehouden) priemgetallen zal zijn.

Dit werkt nu prima omdat conventionele computers veel sneller zijn in vermenigvuldigen dan ontbinden in factoren. En dat laatste is iets dat juist quantum computers waarschijnlijk zéér veel sneller kunnen.

Dus "gewone" symmetrische crypto is niet zo'n probleem (de sleutel 1 bit langer maken volstaat) maar het huidige internet en digitale handtekeningen zijn t.z.t. het haasje.

maevian @Dix0r • 23 december 2022 08:12

Quantum computing is nog ver en als dat er is, is geen enkel wachtwoord nergens nog veilig

Dix0r @maevian • 23 december 2022 08:16

Uiteraard. Maar dan moet je uiteraard de versleutelde wachtwoorden wel in bezit hebben. En dat is nu hier precies het probleem. Een grote set van gebruikers en wachtwoorden is gestolen en wordt ongetwijfeld (tegen betaling) op het net aangeboden.

mvds @maevian • 23 december 2022 09:00

Tegen de tijd dat quantum computing op grote schaal beschikbaar is, dan is er ook een nieuwe vorm van beveiliging beschikbaar. Denken dat dan wachtwoorden nog _de_ vorm van beveiliging is, is als denken dat nu encryptie nog gedaan wordt met een techniek uit 1900

maevian @mvds • 23 december 2022 09:38

Daar ben ik me van bewust, bedoelde met mijn reactie dan ook dat het niet relevant is dat men deze wachtwoorden tegen dan kan kraken aangezien we dan toch al iets anders gebruiken.

Zyphrax @Dix0r • 23 december 2022 08:31

Met de huidige technologie zitten we daar nog een behoorlijk eind vanaf. Daarnaast lopen daarmee alle vormen van encryptie een risico. Ook de SSL connectie waarmee de site zelf beveiligd is. Je kunt nog zo’n moeilijk wachtwoord kiezen, maar als het dan af te luisteren is dan maakt het nog niet uit.

En dit is niet eens de vorm van hacken waar je je het meest zorgen over moet maken. Brute-force is erg inefficiënt. Vaak een groter probleem zijn sociale hacks. Toegang tot backend systemen, slecht beveiligde omgevingen, social engineering.

Mathijs22 @Dix0r • 23 december 2022 19:49

Heb toen ook al mijn gegevens daar weggehaald.

En hoe doe je het nu? Lokaal? En je denkt dat dat minder veilig is dan LastPass die zonder twijfel een kapitaal uitgaven aan beveiliging?

Dragnix 23 december 2022 08:22

Zelf gebruik ik lastpass met meervoudige verificatie icm YubiKey. Kan zo snel niet vinden of dat een positief effect heeft op de versleuteling van al mijn wachtwoorden.

DennusB @Dragnix • 23 december 2022 08:30

Dat maakt niets uit, die MFA (want dat is Yubikey) is alleen om in te loggen op je account, het heeft geen invloed op de encryptie.

3raser @Dragnix • 23 december 2022 09:33

Dit is wat mij betreft de grootste valkuil van Two Factor Authentication. Het maakt het inloggen via de gebruikelijke wijze wel veiliger maar doet op de achtergrond niets om je data beter te beveiligen. In dit geval is de data gestolen en biedt die meervoudige verificatie dus geen enkele bescherming. Dus stel, je gebruikt een eenvoudig wachtwoord omdat je dacht dat je gegevens veilig waren dankzij meervoudige verificatie dan ben je nu dus de pineut. Want dat zwakke wachtwoord kan nu waarschijnlijk eenvoudig worden "gekraakt" waardoor al je andere wachtwoorden uitlekken.

pbruins84 @Dragnix • 23 december 2022 12:24

Een YubiKey i.c.m. Lastpass is sowieso 1 grote grap. Lastpass heeft geen ondersteuning voor U2F or FIDO2. YubiKeys kunnen bij Lastpass alleen gebruikt worden als TOTP generator.

Meer informatie:
https://pberba.github.io/.../05/28/lastpass-phishing/

Alles wat Lastpass zegt over Yubikeys op hun website is pure misleiding.

[Reactie gewijzigd door pbruins84 op 22 juli 2024 14:25]

Anoniem: 58485 23 december 2022 07:57

Het bedrijf zegt dat als gebruikers de aanbevelingen van LastPass hebben gevolgd, zoals een master wachtwoord van twaalf tekens, dat het dan miljoenen jaren zou moeten duren voor het wachtwoord gebruteforced is 'op basis van huidige gangbare bruteforce-technieken'.

En dat baseren ze op, gebruik van een Pentium 4 ofzo? Er zijn GPU's in omloop die zo snel hashes kunnen uitkakken dat het miljoen aantal jaren terug naar enkele weken kan tegenwoordig. Je kunt ook gewoon een eigen cluster opzetten (ipv Eth mining) van GPU's en versneld hashes kraken tegen betaling (aanbieden).

Zyphrax @Anoniem: 58485 • 23 december 2022 08:05

Nee nog steeds miljoenen jaren. Complexiteit van het password is niet zo relevant, lengte wel. Met ieder extra character gaat het in extreme stappen omhoog.

Je master password kun je het beste zo lang mogelijk maken. Vaak kun je het tegenwoordig toch unlocken met Face ID of vingerafdruk. 5 of 6 woorden met - of # als scheidingsteken bijv. is goed te onthouden en vrijwel onmogelijk te kraken.

Vervolgens gebruik ik voor de meeste sites 20 random letters/cijfers tenzij de site speciale eisen heeft.

Edit: deze tabel geeft wel een leuk beeld van hoe hard de complexiteit oploopt: https://www.hivesystems.i...ur-passwords-in-the-green

(de kleuren zijn wat misleidend, want ook al niet groen, iets als 200 jaar is niet de moeite waard voor een hacker

)

[Reactie gewijzigd door Zyphrax op 22 juli 2024 14:25]

chippie777 @Zyphrax • 23 december 2022 09:00

Als gewone it gebruiker weet ik dat ik langere passwords moet gebruiken. Wat ik niet begrijp is hoe zo’n password hack ongeveer werkt. Als ik nu 3 keer een verkeerd wachtwoord in tik wordt ik meestal geblokt hoe zit dat met zo’n brute force attack dan? Die zou daar dan toch ook last van moeten hebben?

Sjnieboon @chippie777 • 23 december 2022 09:08

Als een hacker de data zelf in handen heeft (dus de geëncrypte gegevens) is er geen blokkade meer na 3 pogingen. Die zit namelijk in de backend van in dit geval LastPass. De hacker hoeft deze dus niet meer aan te spreken en kan direct met de data werken.

Edit:
Om het nog simpeler te maken:
LastPass (en veel webapplicaties) bestaan vaak uit een front-end, een back-end en een database.
Frontend: mooie opmaak waar de gebruiker mee interacteert
Backend: de 'logica' van de applicatie waar ook de meeste beveiliging in zit gebouwd
Database: de gegevens, zoals encrypte data, maar ook je account/emailadres, etc.

De hacker slaat dus het stukje frontend en backend over en heeft direct toegang tot het stuk in de database, waarvan hij een kopie op zijn PC/Laptop heeft staan.

[Reactie gewijzigd door Sjnieboon op 22 juli 2024 14:25]

chippie777 @Sjnieboon • 23 december 2022 09:52

@Sjnieboon Dank voor de heldere uitleg (Was min of meer bekend met de termen Frontend, Backend en database, jouw uitleg maakt het nog duidelijker)

Alerdene @chippie777 • 23 december 2022 14:53

Een andere manier om het te bekijken is het volgende:

Een wachtwoord is meestal opgeslagen als een hash: dit is een functie die slechts in een richting werkt: De hash van ABCD is misschien 1234, maar er is geen manier om van 1234 terug ABCD te maken.

Als ik de hash van een wachtwoord buitmaak, kan ik dus niet gaan herberekenen wat het wachtwoord erachter was.

Wat ik wel kan doen, is opties aflopen.
Je gaat dan op je eigen infrastructuur het algoritme laten lopen dat gebruikt wordt voor de hashing (vaak publieke informatie). Wanneer je dan na miljoenen pogingen op je eigen infrastructuur "toevallig" ABCD probeert, ga je zien dat die 1234 als hash geeft. Dit is het resultaat dat je zocht, want je weet dat de hash van het wachtwoord 1234 is.

Dan moet je enkel nog ABCD ingeven op je target. Die ziet maar 1 inlogpoging en die is meteen correct.

Zyphrax @Alerdene • 25 december 2022 10:55

Zelfs dat is bij veel websites een kleiner probleem dan dat je het nu omschrijft.

Je beschrijft de zogenaamde rainbow table attack. En met relatief simpele aanpassingen kun je het de hacker een stuk moeilijker maken om de weg van 1234 naar ABCD te maken.

Je kunt voordat je het wachtwoord hashed er een lange, per record unieke, code aan vast plakken. Dit wordt ook wel een “salt” genoemd. Dit betekent dat de hacker over een extra stuk informatie moet beschikken en maakt van te voren gegenereerde tabellen nutteloos.

Ook nu dat hashen voor processoren simpele operaties zijn, kun je ook ervoor kiezen om niet 1x maar bijv. 4000x te hashen. Dit verhoogt de complexiteit en het is wederom een stuk informatie dat de hacker moet hebben.

Alerdene @Zyphrax • 27 december 2022 16:15

Klopt volledig. Dit is voornamelijk (nog steeds) een groot risico in Active Directory contexten, waarbij de hashes unsalted opgeslagen worden.

Aardwolf

@Sjnieboon • 23 december 2022 14:33

En 2FA zal neem ik aan geen enkele invloed hebben op encrypted data in die database, maar slechts tbv inlog op de site (?). Ofwel een brak wachtwoord en denken dat je middels met 2FA veilig zit is een wassen neus zodra er 1:1 toegang is tot de database. Of heeft het wel invloed?

Sjnieboon @Aardwolf • 23 december 2022 16:32

Correct. Zodra de 'ruwe' data beschikbaar is staat elke vorm van authenticatie (want daar hebben we het met 2FA over) buitenspel. De hacker hoeft zich namelijk niet meer te authenticeren, hij heeft de data al.

Het enige dat echt helpt is een goed encryptie algoritme dat op de juiste manier is toegepast.

Aardwolf

@Sjnieboon • 27 december 2022 17:25

Toch ergens jammer dat er dan niet nog een encryptie extra over heen gaat, als gevolg van je unieke 2FA key. Of bij zodra die is aangezet standaard een vinkje wordt getriggerd voor een hogere encryptiehash op de data. Bijv. bij iedereen standaard SHA256 middels master wachtwoord en dan bij 2FA aan triggert de software op die data te encrypten naar SHA512. (gewoon een voorbeeld, weet niet of ik onzin praat)
Immers zal het zo zijn dat mensen die bewust 2FA gebruiken onderliggende data ook belangrijker voor ze is. Ofwel een hoger beveiligingsniveau gewenst, een betere zekering/beveiliging bij opslag van die data.

Sjnieboon @Aardwolf • 27 december 2022 17:53

Voor zover ik weet (en het snap...) is een extra encryptie laag bovenop een bestaande encryptie laag niet per se veiliger (schijnt nogal wat discussie over te zijn onder de slimmeriken).
Je tweede voorstel zou theoretisch moeten kunnen, maar met het verhogen van het encryptie algoritme is ook meer rekenkracht nodig om gegevens te kunnen decrypten (ook al heb je de juiste sleutel). Er moet dus een afweging worden gemaakt tussen 'veilig genoeg' en wat qua rekenkracht (en dus kostenplaatje) haalbaar is.
Alleen extra encrypten als iemand 2FA aan heeft staan zorgt daarnaast voor extra complexiteit in de software (die moet dus uitzonderingen snappen). Over het algemeen is een goed geïmplementeerd encryptie algoritme voldoende veilig. Met de nadruk op: goed geïmplementeerd.

Deleon78 @Zyphrax • 23 december 2022 08:08

Je hebt nu al een belangrijke hint (aantal char) gegeven om de oplostijd enorm te verlagen van brute-force.

DataGhost

@Deleon78 • 23 december 2022 10:08

Hahaha, "enorm te verlagen", zo lijkt het misschien als je er niet over nadenkt. Je vergeet alleen hoe achterlijk groot de search space is en hoe snel exponentiële groei gaat. Als het alfabet waarin je gaat zoeken 64 tekens is (26 hoofdletters, 26 kleine letters, 10 cijfers, een spatie en een speciaal teken) dan is het aantal wachtwoorden wat je moet proberen:
Σ_i=1..20 64ⁱ = 1.35*10³⁶ mogelijkheden.
Voor alleen wachtwoorden van precies 20 tekens is het gewoon
64²⁰ = 1.33*10³⁶ mogelijkheden.
Procentueel gezien kost het kraken van wachtwoorden van maximaal 20 tekens ten opzichte van het kraken van wachtwoorden van precies 20 tekens 1.35 / 1.33 * 100% = 101.5% oftewel 1.5% langer. Andersom, de besparing door de informatie dat het wachtwoord 20 tekens lang is is ongeveer 1.5%. Dat vind ik persoonlijk niet enorm als je kijkt naar het totaal, maar het is maar net hoe je het bekijkt, het is namelijk alsnog een besparing van 2.11*10³⁴ mogelijke wachtwoorden die je niet meer hoeft te proberen.
Sterker nog, dit is bij elke stap zo want Σ_i=1..(n+1) 64ⁱ = 64 + 64 * Σ_i=1..n 64ⁱ. Elk teken extra vergroot de search space met iets meer dan een factor 64 en 1/64 is ongeveer 1.5%. Dus zelfs als iemand weet dat jouw wachtwoord 4 tekens lang is en dus alleen maar wachtwoorden van lengte 4 hoeft te proberen, is dat slechts een besparing van 1.5% ten opzichte van het proberen van alle wachtwoorden van lengte 1, 2, 3 en 4.

[Reactie gewijzigd door DataGhost op 22 juli 2024 14:25]

Scooby Doo @DataGhost • 24 december 2022 01:35

Mag ik hier wat over vragen? Want in de reacties (hier en elders op deze breach) lijken sommigen ervan uit te gaan dat aanvallers kunnen inschatten hoe zinvol het is om aan een brute force op een specifieke dataset met masterkey te beginnen. Dan kunnen ze kijken naar metadata (gaan ze de kluis van Biden kraken of die van Scooby Doo) of de omvang van de kluis (meer passwords, meer potentiële waarde), maar ze weten toch nooit wat de lengte is van mijn master-password? Die kan 4, 10, 12, 24, 32 enz enz tekens lang zijn. Dat maakt dus voor de zin van de onderneming heel veel uit, maar als kraker kan je dit nooit weten.Klopt mijn idee?

DataGhost

@Scooby Doo • 25 december 2022 11:21

Dat geeft inderdaad geen indicatie van de lengte van het (master-)wachtwoord nee en dat kan je dus ook niet weten of inschatten. Maar een paar comments naar boven terug zei Zyphrax in bijna alle gevallen 20 tekens te gebruiken, dus daarom ging de berekening over een concrete lengte.

Zyphrax @Deleon78 • 23 december 2022 08:25

Ja het verlaagt de oplostijd want je hoeft voor sites dan alleen 20 characters te checken. Maar je wint er weinig mee.

Het is alsof ik je vraag zelf te tellen uit hoeveel scheppen water alle oceanen bij elkaar bestaan. En je eerst een theelepel geef en nu een gewone lepel.

Het is vaak moeilijk te bevatten hoeveel combinaties je kunt maken met zoveel characters.

Deleon78 @Zyphrax • 23 december 2022 11:32

Nu hetzelfde maar dan alle lengtes tussen 8 en 64 lang ooook nog

Cergorach

Beveiliging en antivirus

@Zyphrax • 23 december 2022 12:00

Dat is alleen als je daadwerkelijk per characterspace alle characters gaat checken, je kan ook wat onderzoek doen naar de persoon in kwestie. Heeft die ooit wat gezegd over ww (ja), welke taal zal die primair voeren, etc. op die basis kan je een veel kleinere hoeveelheid passwords genereren. Zeker als je taalgebruik bij online activiteit analyseert zou je flink kunnen hakken in de bruikbare woorden combinaties...

Waar woont deze, wat voor hobbiesheeft deze, wat voor producten worden er gebruikt, etc. En ja je bent vrij makkelijk te vinden.. Hoeveel ~2 meter lange slungels die in Utrecht, Leidsche Rijn, Melissekade wonen/woonde zijn er?

Een wachtwoord, MFA, etc. zijn slechts individuele items in een stukje beveiliging, maar zouden absoluut niet de enige oplossingen moeten zijn.

Zyphrax @Cergorach • 25 december 2022 11:11

Daarom raad ik ook zeker aan om voor je master wachtwoord een zin te gebruiken. Lekker lang, met iets er in dat een simpel patroon doorbreekt. Al is het maar een $ hier of een nep woord daar.

De random 20 characters voor sites kun je verder niet ontcijferen door social engineering.

Ah en al die info is oud nieuws. Wellicht is “ja-ik-ben-1-98-lang-Remy-Vampire-Slayer” helemaal niet zo’n gek master password.

Blokker_1999

Hackers
Datalek
Hack
Beveiliging en antivirus
Wachtwoord

@Zyphrax • 23 december 2022 10:09

Een reden waarom 200 jaar als niet goed wordt aanzien is omdat dat vandaag de moeite niet is, maar volgend jaar, met een nieuwe generatie hardware, ineens wel binnen handbereik kan liggen.

Anoniem: 1576590 @Zyphrax • 23 december 2022 09:44

Zyphrax schreef:

Nee nog steeds miljoenen jaren. Complexiteit van het password is niet zo relevant, lengte wel. Met ieder extra character gaat het in extreme stappen omhoog.

Dat klopt voor een klassieke brute-force aanval waarbij je alle mogelijke combinaties van karakters uitprobeert.

Maar daar begint geen weldenkende aanvaller mee: die gaat uit van bestaande lijsten met veelgebruikte wachtwoorden. Daarin komt de zwakte van de mens naar voren, nl. dat het lastig is om een zo willekeurig mogelijk wachtwoord te bedenken dat je kunt onthouden en eenvoudig in te voeren is.

Dus hoewel "asdf1234qwer" een lang wachtwoord is, is dit waarschijnlijk snel gevonden.

Bijkomende issue hier is dat allerlei persoonsgegevens van de accounthouders niet versleuteld waren. Aanvallers kunnen dus gericht zoeken naar "high profile" slachtoffers, of naar records van wat oudere mensen (denk aan e-mail accounts bij planet.nl of hotmail.com).

Dat e-mailadressen en telefoonnummers zijn gelekt maakt bovendien allerlei phishing-aanvallen mogelijk.

Helaas zijn dit soort lekken heel slecht voor het vertrouwen in wachtwoordmanagers, die juist zo belangrijk zijn om accounts te beschermen.

Blokker_1999

Hackers
Datalek
Hack
Beveiliging en antivirus
Wachtwoord

@Anoniem: 1576590 • 23 december 2022 10:17

Daarom dat we afmoeten van de term password/wachtwoord en als het dan toch textuele input moet blijven moeten we overstappen op passphrase/wachtzin. Een zin kan iedereen eenvoudig onthouden, hoe je de woorden van elkaar gaat scheiden ook. Met een zin zit je zo aan 30 tekens. De zin moet zelfs niet betekenisvol zijn, iets als "Jos_ging_vissen_in_het_oerwoud_naar_konijnen" is met 44 tekens enorm lang en amper te bruteforcen maar wel relatief eenvoudig te onthouden. Alsnog te moeilijk om te onthouden? Wat dacht je van "de kat krabt de krullen van de trap"? Nog altijd 35 tekens.

Een tweede, niet onbelangrijk punt is dat je mensen NIET gaat verplichten om bepaalde tekens te gebruiken. Je moet ze de mogelijkheid aanbieden, maar nooit verplichten. Door die verplichting ga je vaak net weerstand krijgen en gaan mensen voorspelbare acties nemen, net zoals met de verplichting regelmatig je wachtwoord te veranderen.

Anoniem: 1576590 @Blokker_1999 • 23 december 2022 12:25

Blokker_1999 schreef:

De zin moet zelfs niet betekenisvol zijn, iets als "Jos_ging_vissen_in_het_oerwoud_naar_konijnen" is met 44 tekens enorm lang en amper te bruteforcen maar wel relatief eenvoudig te onthouden.

Maar bijna niemand wil zo'n lang wachtwoord, want vooral op smartphones is dat veel te lastig in te voeren.

Alsnog te moeilijk om te onthouden? Wat dacht je van "de kat krabt de krullen van de trap"?

Daarvan denk ik dat het ontzettend stom is om een veelgebruikte zin te kiezen. De kans dat zo'n zin al in woordenlijsten vóórkomt, of dat dit binnenkort gebeurt na jouw suggestie, is veel te groot.

Mijn advies is om van een zin zoals in jouw eerste voorstel, telkens de eerste of laatste 1, 2 of 3 letters van een woord te kiezen. Je kunt bij de zin iets willekeurigs uit een boek, tijdschrift of evt. online kiezen.

Bijvoorbeeld "De wachtwoorden kunnen wel gebruteforced worden." kan dan worden:

"Dewakuwegewo."

Je zult meestal met wat zinnen moeten experimenteren om er iets "handigs" uit te halen.

Als niet iedereen het volgende advies overneemt, kan het verstandig zijn om al jouw zelf te onthouden wachtwoorden met een minder gebruikelijk karakter te laten beginnen, dus uit de reeks "#@$_&-+(){}[]^=|~/\<>%". Niet alle sites accepteren overigens alle karakters, vooral unicode ("€©®") wordt zelden geaccepteerd.

Edit 12:45: typo

[Reactie gewijzigd door Anoniem: 1576590 op 22 juli 2024 14:25]

Zyphrax @Anoniem: 1576590 • 25 december 2022 11:18

Uiteindelijk is het probleem altijd gemak in gebruik versus veiligheid. Des te makkelijker het te onthouden of in te typen is, des te onveiliger.

Bij veel password managers hoef je niet telkens je master password in te vullen, maar bijv. 1x in de twee weken of als je je telefoon herstart. In de tussentijd voldoet FaceID.

Het blijft zeker niet ideaal. We moeten langzaam van wachtwoorden af. Ik ben daarom erg geïnteresseerd in de PassKeys ontwikkeling.

Anoniem: 1576590 @Zyphrax • 25 december 2022 22:45

Sorry ik zie dat ik, per ongeluk, op een andere post van jou gereageerd heb.

Komt mogelijk door de iets te zware kerstlunch die ik had

3raser @Zyphrax • 23 december 2022 09:46

De lengte is minder van belang als de complexiteit afneemt. Met een dictionary attack kun je enorme lange wachtwoorden eenvoudig kraken. Bekende trucjes zoals de "a" verwisselen door een "@" kun je daarin ook nog redelijk eenvoudig meenemen. Een woord beginnen met een hoofdletter is ook geen enkel probleem voor een dictionary attack. Er zitten natuurlijk heel veel haken en ogen aan maar als de aanvaller gericht in de aanval gaat dan gaat een lang wachtwoord zoals "Corr3ctHorseB@tteryStaple" het echt niet lang uithouden.

Mathijs22 @3raser • 23 december 2022 20:11

Met een dictionary attack kun je enorme lange wachtwoorden eenvoudig kraken.

Dat is een simplificatie.

Als je password in het Fries is hoef je je vrijwel geen zorgen te maken over een bestaand woord. Als het Nederlands is iets meer, als het Spaans is nog meer en als het Engels of Chinees is moet je je heel veel zorgen maken.

"tongersdei" of "wâldpyk"is een woord dat in woordenboeken staat maar toch behoorlijk veilig is.

Zyphrax @3raser • 25 december 2022 11:24

Random characters is complex genoeg. Zeker bij 20 characters. En juist daar heb je de password manager voor. Niemand gaat 20 random characters onthouden, zeker niet een verschillende reeks voor iedere site.

Je hoeft alleen een langer master password te onthouden. Een simpel “-“ tussen de woorden en bijv. 1 nep woord is al praktisch onmogelijk te hacken.

Maar uiteindelijk moeten we vooral van wachtwoorden af, want de gemiddelde gebruiker gaat er niet goed mee om. Zoiets als PassKeys is een goede ontwikkeling

Anoniem: 1576590 @Zyphrax • 25 december 2022 19:57

Door Zyphrax:

Uiteindelijk is het probleem altijd gemak in gebruik versus veiligheid. Des te makkelijker het te onthouden of in te typen is, des te onveiliger.

Dat is niet altijd waar. Bijvoorbeeld:

!)!@carelesswhisper!(&*
en
redan-niet-meer-welkom-bij-willem-ii

De eerste is niet eenvoudig te onthouden en beiden zijn lastig in te voeren op een smartphone, maar ze zijn vooral onveilig want ze komen voor in de "Smaller Wordlist (Human Passwords Only)" (uit 2010!) op crackstation.net).

Voor wachtwoorden zonder account-lockout (zoals een KeePass of LastPass database, indien daar offline attacks op mogelijk zijn), die klassieke brute force bemoeilijken met (voldoende cycles) PBKDF2, of beter, scrypt of Argon2, is het vooral van belang dat jouw wachtwoord niet in een dictionary met bekende wachtwoorden voorkomt.

Nb. in de grote woordenlijst van crackstation staan bijna 1,5 miljoen wachtwoorden, maar laten we er veiligheidshalve vanuit gaan dat er (binnen afzienbare tijd) een woordenlijst van 10^9 woorden bestaat. Nb. veel langere woordenlijsten worden steeds minder effectief bij "probeer-vertragers", vooral bij Argon2.

Probleem: mensen zijn totaal niet creatief als het gaat om het bedenken van een wachtwoord dat -hoogstwaarschijnlijk- nog nooit eerder door wie dan ook gebruikt is. Daar hebben we simpelweg hulp bij nodig; ik geef een voorbeeld hoe je dat zou kunnen doen.

Als je een "echt" random wachtwoord van 12 kleine letter medeklinkers laat genereren, geeft dat 20^12 = ruim 10^15 mogelijkheden.

De kans dat zo'n woord in de lijst van 10^9 woorden voorkomt, is dus minder dan 1 : 10^6.

Als je tussen die 12 medeklinkers zelf klinkers (naar keuze kleine- of hoofdletters) naar believen tussenvoegt, verkleint dat de kans mogelijk niet enorm, maar wel wat (alhoewel je verzwakking niet kunt uitsluiten). Wel kan zo'n wachtwoord daardoor eenvoudiger te onthouden zijn. Het wordt nog veiliger als je, in dat woord, 1 of 2 kleine letters door leestekens vervangt. En je kunt, naar keuze, kleine letters door grote vervangen. Vermijd echter zoveel mogelijk het wijzigen van letters (anders dan klein -> hoofdletter) in de gegenereerde reeks "om menselijke verzwakking" te voorkomen.

Voorbeeld: ik heb random.org één string van 20 kleine letters laten genereren (veiligheidshalve kun je hier beter KeePass voor gebruiken dan een online dienst).

Daar kwam toevallig uit:
bdkthjrsmumhbhtthbxq

Na verwijderen van klinkers en inkorten tot 12 karakters:
bdkthjrsmmhb

Na tussenvoegen van klinkers en leestekens, en enkele letters omzetten in hoofdletters:
Bedkat&Hijros=Mamheb

Aanvulling 22:09: {
De letter 'a' komt iets vaker voor dan de 'e' in de file met ca. 64M wachtwoorden, de a' echter meer dan 3x zo veel als de 'y'. Je kunt de kans op "hits" in zo'n dictionary verkleinen door bij voorkeur zoveel mogelijk klinkers links uit de reeks "yuoiea" te kiezen. Een mogelijk veiliger wachtwoord zou dan bijvoorbeeld kunnen zijn:
Bidkyt&Hijros=Mumhub

Probeer te voorkomen dat drieletterige groepjes veelgebruikte en/of in wachtwoorden te verwachten Engelstalige woorden worden (ik heb dus een beetje "gezondigd" met "hub"). Vermijd in elk geval woorden waar "sex", "lov", "pas" of "wel" in voorkomen.
}

Resultaat: een wachtwoord van 20 karakters waarvan de kans zeer klein is dat een ander het ooit gebruikt heeft (en gelekt is en in een dictionary met wachtwoorden terechtgekomen is), en wellicht redelijk te onthouden valt (mits je het frequent genoeg invoert).

Het is natuurlijk altijd een goed idee om te checken of jouw wachtwoord niet voorkomt in een grote dictionary.

Een 'grep' van "Bedkat" in de korte lijst (ruim 64M wachtwoorden) leverde in dit geval 0 hits op, en ook "Hijros" en "Mamheb" kwamen er niet in voor (laat staan combinaties daarvan).

Ter vergelijking: het woord "welkom" komt er 168x in voor, "geheim" 610x en "sesam" 815x. DO-NOT-USE! Vermijd gangbare termen ook als onderdeel van jouw wachtwoord. Genereer desnoods een nieuwe reeks tekens.

Ik ben daarom erg geïnteresseerd in de PassKeys ontwikkeling.

Dat ben ik ook en ik heb er veel over gelezen, maar vind het nog niet erg opschieten.

Vervelend van passkeys is o.a. de vendor lock-in (dat en andere overwegingen schreef ik eerder hier en hier).

Microsoft lijkt er nog weinig zin in te hebben, en server-side moet er best veel gebeuren - waarbij kinderziektes allerlei risico's kunnen geven. Account-lockout als na verlies van (toegang tot) een smartphone blijkt dat er geen back-ups gemaakt zijn, is ook "een dingetje" (dat is ook een onderschat probleem bij hardware keys en bij TOTP apps).

[Reactie gewijzigd door Anoniem: 1576590 op 22 juli 2024 14:25]

gpglang @Zyphrax • 23 december 2022 10:26

Juist!! Lengte doet er toe!!! ;-)

Mathijs22 @gpglang • 23 december 2022 20:12

"11111111111111111111111111111111"
Is heel lang en super onveilig. Ik denk niet dat je encryptie snapt.

gpglang @Mathijs22 • 24 december 2022 12:19

Mwa, denk eerder dat je mijn grapje niet begrijpt. Ben geen expert/afgestudeerd maar denk dat ik best op niveau mee kan kletsen. Ik begrijp wel wat je bedoelt vanuit het perspectief dat mijn grapje niet overkomt. En dan heb je een punt.

Centurion183 @Anoniem: 58485 • 23 december 2022 08:12

https://www.techrepublic....ked-in-less-than-an-hour/
Deze website zegt wat anders, een standaard wachtwoord van 12 karakters, hoofdletters, kleine letters en cijfers duurt 200 jaar om te kraken.

Hier kun je ook checken hoe lang het duurt:
https://www.security.org/how-secure-is-my-password/

LurkZ @Centurion183 • 23 december 2022 08:25

200 jaar is alleen als er geen patroon in zit.

MyPasswords1 is niet erg sterk maar die website geeft 2000 jaar.

Centurion183 @LurkZ • 23 december 2022 08:44

Ja dat klopt natuurlijk en ze zullen wellicht ook eerst het woordenboek checken in een wachtwoord.
Als ze de namen van je familie weten kunnen ze dat ook eerst proberen uiteraard.

Voordeel is dat men niet weet hoe lang je wachtwoord is en of je cijfers en speciale tekens gebruikt.
Darum kende het beste dialect gebroiken als ge woorden in oe wachtwoord zet.

Bijvoorbeeld bij ons in Helmond het wachtwoord:
PetassieMiScrauwSaus12@
(Stampot met uiensaus)

[Reactie gewijzigd door Centurion183 op 22 juli 2024 14:25]

Triblade_8472 @Centurion183 • 23 december 2022 08:30

Als je de aanval volledig laat uitlopen.

Als je eerste brute force 'gok' juist is ben je in 1 seconde klaar.

En dan nog, wie weet hebben ze een heel interessant bedrijf te pakken en zetten ze distributed (zombie/hacked) nodes in om te brute forcen, dan gaat het nog veeeel sneller.

Mathijs22 @Triblade_8472 • 23 december 2022 20:17

Als je eerste brute force 'gok' juist is ben je in 1 seconde klaar.

Nee dan ben je in een fractie van een seconde klaar. Kansberekening gaat over de kans dat iets gebeurt, niet over het feit dat de eerste gok correct kan zijn.

Triblade_8472 @Mathijs22 • 23 december 2022 20:51

Ik zei ook 'in' een seconde, in betekend soms ook 'binnen' ofwel minder dan is een mogelijkheid.

Maar er "duurt 200 jaar" en dat klopt niet. Er zou sowieso "maximaal" bij moeten staan.

Maar goed, beide comments zijn 'semantics'.

fluffy1 @Centurion183 • 23 december 2022 10:25

De tijd om te bruteforcen hangt sterk af van het gebruikte hashingalgoritme en hoeveel rounds hier gebruikt worden. Ik weet niet welk algoritme LastPass gebruikt, maar ik ga er vanuit dat het een relatief zware berekening is waardoor het vrij lang duurt (relatief gesproken) om een hash te berekenen.

Op de website die je link word op geen enkele wijze aangegeven welk algoritme en hoeveel rounds ze gebruiken voor hun berekening. Dus eigenlijk zegt die helemaal niets.

Cergorach

Beveiliging en antivirus

@Centurion183 • 23 december 2022 11:43

Dat gelinkte techrepublic artikel is leuk maar eigenlijk heel slecht. Men vergeet parallelle processen en het gebruik van iets meer dan simpele alle letter/cijfer combinaties. Er zijn ook andere aanbieders van password crackers dan alleen Hive Systems...

Gebruik 200 systemen en dat password is gekraakt binnen een jaar (op die methode). Gebruik 2400 systemen en het password is binnen een maand gekraakt. Een criminele organisatie in deze branch zal zeker toegang hebben tot een grote server/GPU farm, gehacked of gekocht, zeker in deze tijd na de crypto hype is de kans groot dat criminelen op grote GPU crypto farms zitten die niet zo winstgevend meer zijn. Dan kan een maandje 'stampen' een prima investering zijn als je de Keepass database te pakken hebt van bv. een ITer van een grotere Enterprise, zeker als je wat inside knowledge hebt...

Sharky @Anoniem: 58485 • 23 december 2022 08:07

Ik weet niet wat de schrijver bedoelt met '100. 100' iteraties. Maar met 1.000 iteraties, een reguliere desktop pc, 52 tekens en 12 karakters duurt het 2.000 jaar om een wachtwoord te kraken.

edit:
Op https://support.lastpass....sword-iterations-lp030027 staat ook '100.100'. Snap nog steeds niet wat ze bedoelen.

edit2:
@CyBeR is wel wakker gelukkig.

[Reactie gewijzigd door Sharky op 22 juli 2024 14:25]

CyBeR @Sharky • 23 december 2022 08:17

100100 iteraties. Honderduizend en honderd. Oftewel in goed Nederlands met een duizendtallenscheidingsteken geschreven, 100.100.

3raser @Sharky • 23 december 2022 09:48

Er staat geen spatie achter de punt dus het is een duizendtal scheidingsteken.
Ik ben eigenlijk wel benieuwd hoeveel iteraties ze voor die tijd gebruikten.

MerijnB @Anoniem: 58485 • 23 december 2022 07:59

Bron?

joost00719 @Anoniem: 58485 • 23 december 2022 08:05

Je kunt ook een giga zwaar algoritme implementeren. Dan kan je GPU wel 9001 miljoen gigafarts/s uitpoepen, maar als het 9001 miljoen gigafarts kost om één keer te decrypten, kost het je alsnog 1 seconde per attempt per videokaart.

Retrojunk 23 december 2022 07:58

Als ik dit lees, ben ik blij dat ik vroegtijdig ben overgestapt naar wat anders. Lastpass heeft de laatste tijd iets teveel negatief in het daglicht gestaan. Voor mij was de trigger om over te stappen dat lastpass allerlei hooks zou hebben met adverteerders.

HunterPro @Retrojunk • 23 december 2022 08:07

Aangezien het om oude backups gaat is er een fikse kans dat jouw data er ook tussen zit. Niet meer in gebruik betekent dus niet ‘geen risico’!

Retrojunk @HunterPro • 23 december 2022 08:18

Ik heb mijn account laten sluiten. Ik hoop dat ze daar op de juiste manier gehoor aan hebben gegeven. Helaas kan ik dat niet controleren.

Marzman @Retrojunk • 23 december 2022 08:24

Je weet niet wat ze precies doen met sluiten. Misschien dat ze de data verwijderen, maar zelfs dan zit je nog in oude backups die zijn gemaakt voor je het hebt laten sluiten.

FLA NL @Marzman • 23 december 2022 08:55

Je weet idd niet wat hun backup beleid is, maar vraag mij wel af of oude backups nodig zijn met data waar je niks mee kan. Ik hoop wel dat hun beleid zo is dat de backups alleen gebruikt worden om bij een incident alles weer up en running te krijgen en niet om de password kluisjes jaren te bewaren. Zou ook wel een verspilling aan opslag zijn met data waar je niks mee kunt en een beveiligings risico.

[Reactie gewijzigd door FLA NL op 22 juli 2024 14:25]

Barsonax @Retrojunk • 23 december 2022 08:43

Je kan je wachtwoorden veranderen dan weet je zeker dat je hier geen gedoe mee gaat krijgen.

Nu zal dat voor al je accounts wel heel veel werk zijn maar je zou het kunnen doen voor belangrijke accounts.

Gunneh @Retrojunk • 23 december 2022 17:10

Tenzij je een Recht op Vergetelheid hebt verstuurd, grote kans dat ze die dingen nog hebben

Jerie

@Retrojunk • 23 december 2022 08:43

Toen ik ben overgestapt heb ik overal meteen ook een ander wachtwoord aangemaakt (voor zover mogelijk

morphje 23 december 2022 08:08

We slaan het masterpassword niet op. Dat geloof ik direct.

En waar slaan jullie de combinatie van authenticatie algortimen en/of data (ook wel bekend als keypair en/of wachtwoord) op waarmee jullie een nieuw masterpassword kunnen aanmaken voor de klant? Want met die set aan algortimen zijn jullie in staat een dataset te decrypten en met een nieuw wachtwoord te encrypten.

Jullie noemen het alleen anders zodat er geclaimed kan worden dat het masterpassword in bezit is van de klant. En hoewel technisch correct, betekend het in de praktijk toch iets anders.Net zoals Twitter dat claimed geen shadowbanning te doen, maar visibility filtering. Andere naam, zelfde uitwerking.

Zyphrax @morphje • 23 december 2022 08:55

Deze link geeft wat antwoorden op je vragen: https://blog.lastpass.com...ass-account-recovery/amp/

Blokker_1999

Hackers
Datalek
Hack
Beveiliging en antivirus
Wachtwoord

@morphje • 23 december 2022 10:03

Nergens, als jij je masterpassword vergeet, dan is er geen enkele manier om ooit nog de inhoud van je account te achterhalen, behalve een bruteforce dan.

Op dit item kan niet meer gereageerd worden.

LastPass: hackers hebben versleutelde wachtwoorden van klanten gestolen

Lees meer

Wachtwoordmanagers in je browser

Vijf wachtwoordmanagers onder de loep

Reacties (328)

Sorteer op:

Weergave: