NortonLifeLock: kwaadwillenden probeerden 925.000 accounts binnen te dringen

Gen Digital, ook bekend als NortonLifeLock en voorheen Symantec, zegt dat kwaadwillenden hebben geprobeerd om 925.000 accounts binnen te dringen. Bij een onbekend aantal is dat ook gelukt. Aanvallers konden mogelijk bij gebruikers naar binnen in de Norton Password Manager.

De aanvallers gebruikten de aangekochte wachtwoorden om accounts binnen te dringen en bij een onbekend aantal gebruikers gebeurde dat ook, schrijft BleepingComputer. Bij gebruikers van wie het account is aangevallen, heeft Gen Digital het wachtwoord gereset. Het bedrijf zegt zelf niet getroffen te zijn door een hack.

De aanval leek te beginnen op 12 december, toen er veel pogingen waren om in te loggen. Daarop stelde Gen Digital een onderzoek in, waarbij naar boven kwam dat aanvallers bezig waren geweest om in te loggen met vermoedelijk gekochte wachtwoorden. Die wachtwoorden kwamen waarschijnlijk uit eerdere hacks en uitgelekte databases.

Sommige gebruikers hebben ook de Norton Password Manager in gebruik voor het bewaren van wachtwoorden. Als het uitgelekte wachtwoord hetzelfde was als het 'master password' voor de wachtwoordmanager of er sterk op leek, dan konden aanvallers mogelijk ook daarin. Gen Digital heeft getroffen gebruikers met een brief op de hoogte gesteld.

NortonLifeLock security breach, januari 2023

Reacties (45)

Luchtbakker 16 januari 2023 12:41

Een beetje serieuze password manager zou eigenlijk ook 2FA moeten verplichten. Dan ben je in dit soort gevallen gewoon nooit de sjaak.

Ray_ @Luchtbakker • 16 januari 2023 12:51

2FA of niet, wellicht is het verstandiger om een uniek wachtwoord af te dwingen. Iemand die z'n wachtwoord van de plaatselijke visvereniging recycled voor z'n password vault ga je niet helpen door een 2fa inclusief alle bijkomende stappen op te dringen. Zo'n persoon haakt dan gewoon af.

Anoniem: 1832746 @Ray_ • 16 januari 2023 13:20

Maar dan bedoel je uniek op gebruikersniveau?

Want dan krijg je heel snel het probleem wat iedere IT-afdeling heeft veroorzaakt binnen grote bedrijven natuurlijk. Door de eisen die worden gesteld (je wachtwoord mag niet gelijk zijn aan je 5 laatste wachtwoorden, de namen van je ongeboren kinderen en moet minstens 45 leestekens hebben die niet aaneengeschakeld zitten met klinkers, behalve als er 2 medeklinkers voor die klinkers staan en het een dinsdag in oktober is) gaan mensen hun wachtwoorden gewoon hergebruiken maar dan met een getal er achter.

Tassadar32 @Anoniem: 1832746 • 16 januari 2023 14:32

Ook op te lossen door te checken of passwords meer dan X% overeenkomen met eerder gebruikte wachtwoorden of wachtwoorden van items in de vault.

Anoniem: 1832746 @Tassadar32 • 16 januari 2023 14:58

Ja natuurlijk kun je alles overkomen, maar dat is juist het probleem. Al die regels zijn ook opgelegd om hergebruik te voorkomen, maar stimuleren alleen maar het tegenovergestelde omdat iedere 2 maanden weer een compleet nieuw wachtwoord moeten verzinnen met zoveel regels gewoon niet te doen is.

Er zijn 2 aspecten hierin: vanuit de beheerder (van een bedrijf, of in deze thread de password manager) en vanuit de gebruiker. De beheerder wil 100% veilig, wachtwoorden die op geen enkele manier met elkaar gelinkt zijn en het liefst niet terug te leiden zijn naar 1 persoon. Gebruikers willen vooral gemak. Uiteindelijk moet je een middenweg zien te vinden.

Want hoe goed password managers ook zijn, ik begin soms ook wat frustraties te krijgen. Van die complexe wachtwoorden zijn leuk, totdat je een veld hebt wat geen copy-paste ondersteunt en je het vaagste wachtwoord over moet tikken en moet gokken of iets een l of een I is.
Mensen zoeken van nature naar gemak, dat geldt voor alles en dus ook voor wachtwoorden.

Volgens mij moeten we afstappen van ieder jaar weer een nieuwe regel bedenken om wachtwoorden nog moeilijker te onthouden te maken, en moeten we gaan naar systemen zoals passkeys waar wachtwoorden überhaupt helemaal niet meer bestaan. Met de beperkte software ondersteuning tot nu toe (volgens mij alleen Apple en Google die het ondersteunen) lijkt dat me de eerste focus, zorg dat er een grote userbase is die passkeys kunnen gebruiken zodat de vraag óm ze te gebruiken ook groter wordt. Zodra gebruikers het gemak inzien van het niet hoeven in te vullen van een wachtwoord, dan wordt de druk richting websites om dat gemak te voorzien ook groter. Je wilt niet die ene webshop zijn die een wachtwoord nodig heeft, terwijl je bij bol gewoon met passkey inlogt, want dat kost je omzet.

Patoer @Anoniem: 1832746 • 17 januari 2023 13:10

Niets aan toe te voegen.👍

.MaT @Tassadar32 • 16 januari 2023 17:55

Ook op te lossen door te checken of passwords meer dan X% overeenkomen met eerder gebruikte wachtwoorden of wachtwoorden van items in de vault.

En daar zijn ook weer oplossingen voor.
Men gaat simpelweg zo ver tot wanneer men hun wachtwoord terug opschrijft in een boekje in de schuif (waar iedereen in het team het bestaan van afweet) of erger nog, op een postit op de bureau of monitor zodat zelfs het kuispersoneel vrolijk kan inloggen als ze dat willen.

Polderviking

@Luchtbakker • 16 januari 2023 13:16

Je zegt dat.
Maar ik zet er best wat vraagtekens bij om je wachtwoorden EN TOTP tokens in dezelfde vault te hebben.

Doe dit zelf ook hoor, met 1Password, want het is veel gemakkelijker dan een losse app hebben en in die inmiddels oprechte zee van TOTP tokens de juiste site terug te vinden. (ben er zo één die dat overal aanzet waar het aan kan)

Maar in zo'n Lastpass datalek gevalletje hebben ze dan dus evengoed nog weer alles om overal binnen te komen.
In theorie.
En dat gaat mijns inziens een beetje tegen het hele idee van 2FA in.

[Reactie gewijzigd door Polderviking op 23 juli 2024 23:30]

ultimasnake @Polderviking • 16 januari 2023 13:38

Nu weet ik niet hoe het zit met andere faults maar zelfs al zouden ze Lastpass zelf hacken zou er geen grote issues moeten zijn. Je wachtwoorden, notities etc, zijn immers beveiligd met jouw master password als encryptie.

Komen ze in je account omdat je wachtwoord, elders dus, is uitgelekt dan heb je gewoon de fout gemaakt om een wachtwoord dubbel te gebruiken en heb je ook geen 2FA aanstaan wat ook al discutabel is.

Polderviking

@ultimasnake • 16 januari 2023 13:47

Ja, maar je vertrouwd daarmee dus expliciet de encryptie en het bedrijf.

De Lastpass hack leert dat die zero knowledge waar ze mee adverteerden toch niet helemaal zero was (onversleutelde velden) en de encryptie zelf in de praktijk ook wel wat op aan te merken is.

Zo riepen ze dat als je je aan hun wachtwoord beleid hield, waar ze in 2018 mee op de proppen kwamen, er niet zo veel aan de hand is voor de eerstvolgende miljoenen jaren.
Ten eerste is dat gewoon statistisch onjuist. Al is het alleen maar omdat computers sneller worden.
Maar ten tweede hebben ze er zelf ook niets aan gedaan om de accounts van voor die tijd compliant te maken aan hun nieuwe standaarden dus bestaan er gewoon bakken accounts met minder dan die 12 karakters waarmee ze hun klanten "geruststellen".
Zelfde geld voor de manier waarop het master password in technische zin je kluis versleuteld. (iteraties)

[Reactie gewijzigd door Polderviking op 23 juli 2024 23:30]

Baardmeester @Polderviking • 16 januari 2023 15:57

Bij elke cloud wachtwoordmanager service moet je het vertrouwen. Er zijn natuurlijk wel bedrijven die zich meerdere keren per jaar laten auditen en/of open source zijn. Maar als je het in de cloud niet vertrouw is er Keepass.

Polderviking

@Baardmeester • 16 januari 2023 16:10

Betoog gaat meer over veiligheidsimplicatie van wachtwoord en TOTP tokens in dezelfde vault, dan de vault op zich.

Keepass verandert die discussie in principe niet want want je kan je USB stick met keepass vault ook gewoon verliezen en dan treed in principe dezelfde procedure in werking: je zal al je wachtwoorden moeten aanpassen om zeker te weten dat dat op een later moment niet gaat bijten.

En tenzij je echt weet hoe Keepass onder de motorkap werkt is het natuurlijk ook daar een kwestie van programmeur vertrouwen.
Open Source is daar ook niet zaligmakend in, getuige bugs als Heartbleed.

Baardmeester @Polderviking • 16 januari 2023 16:52

De veiligheidsimplicaties van wachtwoorden en totp in dezelfde kluis stoppen hoeft ook niet alleen negatief te zijn. Je surface of attack wordt wel weer kleiner met alle eieren in een mandje. Als de partij die je het vertrouwen geeft over je mandje het heel goed beschermen kan het wel voordeliger zijn dan twee partijen waarvan misschien een die het minder goed beschermt. Uiteindelijk zal per persoon aan de situatie liggen of het voordelig of nadelig is.

Met open source doelde ik overigens niet zozeer tegen bugs, maar meer dat iemand ook bepaalde claims kan controleren. Zoals bijvoorbeeld dat de gehele vault is geëncrypt en niet zoals bij Lastpass dat de urls niet encrypted zijn.

Zer0 @ultimasnake • 16 januari 2023 14:06

Tot er een bug in de inlog oid blijkt te zitten, en men gewoon op je account kunt inloggen. Dan liggen dus je wachtwoorden en 2FA op straat.
Daarom, geen 2FA in mijn wachtwoordmanager, en ook geen wachtwoorden voor toegang tot email ivm password recovery.

Baardmeester @Zer0 • 16 januari 2023 15:50

Ligt er aan voor welke account die 2FA is. Voor zoiets als bankzaken en email kun je ervoor kiezen om die er buiten te doen. Maar onbelangrijkere accounts zoals Tweakers hebben ook 2FA en dan is het wel verdomd handig om die als totp nummer 50 lekker bij het wachtwoord in de kluis te stoppen. Ik denk dat veel mensen geen 2FA op accounts zetten als ze die allemaal in een aparte authenticater app moeten stoppen. En met de totp in de wachtwoord kluis heb je toch de extra beveiliging als een aanvaller direct Tweakers aanvalt.

kaaas @ultimasnake • 16 januari 2023 19:35

https://palant.info/2022/...astpass-breach-explained/

san070 @Polderviking • 16 januari 2023 14:05

Drie vaults bij verschillende partijen. Één voor de wachtwoorden, één voor de TOTP en één voor backup-notities. Daarnaast per login een uniek anoniem email-adres. Het is even werk om in te regelen na de LastPass-hack, maar dan heb je ook wat.

SunnieNL

@Polderviking • 16 januari 2023 15:47

Maar als de password manager 2FA nodig heeft, dan kun je beter niet de TOTP van de password manager gebruiken. Want als het mis gaat en je bent het wachtwoord vergeten, dan kom je er nooit meer in. Want je kan pas bij de TOTP als je ook je wachtwoord invult

Ik heb ze gescheiden en alleen de TOTP wachtwoord ligt op een papier in "kluis" (want als die alleen in mijn password manager stond had ik alsnog hetzelfde probleem kunnen hebben

)

Sluuut @Luchtbakker • 16 januari 2023 15:00

Hangt er vanaf wat je als 2e factor neemt. Hedendaagse hackers zijn meer op zoek naar het stelen van MFA tokens en gaan daarna pas verder met wat ze dan voor data kunnen bemachtigen met die tokens.

Natuurlijk is het een stuk veiliger om het wel te doen, maar zeker niet waterdicht. Biometrisch zou nog een stap veiliger zijn - als die tokens niet tijdelijk ergens opgeslagen worden maar gelijk na de succesvolle login verwijderd worden.

Anoniem: 1301524 @Luchtbakker • 16 januari 2023 16:12

Neem altijd wachtwoorden en 2FA codes in 2 aparte apps. Ook al stellen de password managers het voor uit convenience. Authy heeft ook een desktop app die synct met je mobiel toestel.

Martijntjeh 16 januari 2023 12:30

Tja en daarom moet je ook altijd 2fa gebruiken. Maar goed dat weet iedereen die op tweakers kijkt.

Hopelijk wordt het wat met dat passkeys gebeuren. Dan zijn de accounts van minder tech geavanceerde mensen ook goed beveiligd

MrMonkE @Martijntjeh • 16 januari 2023 12:32

Hahaha had ik ook gedaan met iets dat ik niet zo vaak bekijk. (Werkt gewoon altijd)
Maar toen mijn eigen site om OTP vroeg moest ik wel even achter mijn oren krabben.

iAR @Martijntjeh • 16 januari 2023 13:13

Ik vraag me dat af. Ik gebruik iCloud Keychain. Maar er zijn nog altijd sites die sms willen voor 2fa. Waarom niet gewoon de authenticator apps (zoals Keychain, etc).

Daarnaast, er bestaan nog steeds sites waar automatisch genegereerde (veilige; want lang en verschillende tekens) niet mogen. Voor de “veiligheid” moet een wachtwoord dan maximaal 8 characters zijn

Dus passkeys. Ik vraag het me af… gaat nog echt decennia duren.

Auredium 16 januari 2023 12:46

In principe dus weer een vault die wordt aangevallen (Initieel Lastpass nu dus Norton LifeLock). Dit is ook wel een te verwachten trend. Hackers stelen e-mail adressen en wachtwoorden van sites dus mensen gaan complexere wachtwoorden voor alles maken. Steeds vaker doen mensen dit bijhouden via wachtwoord managers dus gaan criminelen proberen de wachtwoord managers te kraken. Het is de aloude wapenrace.

Zoals ik het hier lees lijkt het erop dat sommige mensen wellicht toch nog een wachtwoord hebben gereceycled ergens en er dus zo toegang tot sommige accounts is verkregen. Alternatief kan het natuurlijk ergens gelekt zijn zoals bij phisingsites e.d.

goed dat er op wordt gereageerd. Ik verwacht echter meer aanvallen op wachtwoord managers. (Zegt overigens niets over het wel of niet veilig zijn ervan)

R4gnax @Auredium • 16 januari 2023 12:50

Ik ben het met je eens. Dit zal een trend worden die door zet, ben ik bang.
Goede reden om password managers gebaseerd op online services, links te laten liggen.

Want het zal niet blijven bij aangekochte wachtwoorden proberen te brute-forcen.
Als die mogelijkheid uitgeput raakt, zul je zien dat er supply-chain aanvallen op de infrastructuur van die diensten gaat komen om zo binnen te geraken. Puur een cost of opportunity dingetje of dat uit gaat komen of niet. Maar ik denk: ja. Wel met de hoeveelheid mensen die van dit soort diensten gebruik maken en al hun hebben en houden er in hebben hangen. Te grote vis.

[Reactie gewijzigd door R4gnax op 23 juli 2024 23:30]

rubenf @R4gnax • 16 januari 2023 13:27

Dat ligt maar net aan de implementatie. Diensten zoals Bitwarden kunnen niet bij jouw wachtwoordgegevens omdat het versleuteld is. De methode van versleuteling van een kluis is na te kijken: https://bitwarden.com/crypto.html. Natuurlijk kunnen hackers met veel moeite wel bij de hashes, maar omdat dit versleuteld is met een resource hungry hash functie is het niet snel een probleem voor offline attacks. Daarbij wil ik wel zeggen dat online diensten het moeten aanmoedigen om unieke wachtwoorden te gebruiken als master keys met voldoende entropie. Na een aanval gewoon de wachtwoorden vervangen, en je kunt weer door.

svane @rubenf • 16 januari 2023 13:43

Diensten zoals Bitwarden kunnen niet bij jouw wachtwoordgegevens omdat het versleuteld is.

Bitwarden (en anderen) zou wel bij de data kunnen als ze het juiste wachtwoord voor een account hebben.

Dat was het probleem bij NortonLifeLock. Kwaadwillenden probeerden in te loggen met (soms) correcte wachtwoorden.

Hier helpt geen enkele versleuteling tegen

Dit had ook bij Bitwarden kunnen gebeuren

rubenf @svane • 16 januari 2023 14:23

Dat klopt. Hackers kopen op het dark web email:wachtwoord combinaties die bij andere datalekken zijn vrijgekomen. Daarom gaf ik ook aan dat een unieke hoofdwachtwoord belangrijk is bij gebruik van wachtwoordmanagers.

MrRobot

16 januari 2023 12:28

Dus de conclusie is, goed opgemerkt van Norton, je master wachtwoord uniek en zeer complex maken, MFA activeren. Ook altijd even kijken of je account bij een lek betrokken was op https://haveibeenpwned.com/ natuurlijk.
En door.

[Reactie gewijzigd door MrRobot op 23 juli 2024 23:30]

CaptainCapslock 16 januari 2023 12:59

Dit betekent dus dat Norton het toestaat om alleen een gebruikersnaam en wachtwoord te gebruiken.

Dat vind ik heel slecht. 1Password pakt dat duidelijk beter aan door een Secret key voor je te genereren.

Zonder die secret key komt niemand in je account, ook 1Password niet.

Anoniem: 1576590 @CaptainCapslock • 16 januari 2023 14:06

Zonder die secret key komt niemand in je account, ook 1Password niet.

Da's mooi, maar als jij die secret key kwijtraakt, kom ook jij niet meer in jouw accounts.

Oftewel, waar staat die secret key, hoe is deze beveiligd, worden er back-ups van gemaakt, en hoe zijn die beveiligd?

CaptainCapslock @Anoniem: 1576590 • 16 januari 2023 14:17

Dat klopt en zo hoort het

Bij een family account kan je familielid een reset voor je doen, als je nog bij je e-mail kan.

Anoniem: 1576590 @CaptainCapslock • 16 januari 2023 14:36

Maar als ik gebruikmaak van méér dan 1 device, hoe zet ik die secret key dan over?

En wat als ik mijn smartphone kwijtraak of deze ineens hopeloos defect raakt en ik géén family account heb?

Spikeey @Anoniem: 1576590 • 16 januari 2023 14:56

1Password heeft hier goed aan gedacht en legt uit dat je een “emergency kit” moet maken en afdrukken als je een account aanmaakt. Deze bevat je key en eventueel je wachtwoord als je deze er zelf bij opzet. Aan de gebruiker de keuze hoe en waar je deze bewaart.

Zie ook https://support.1password.com/emergency-kit/

Anoniem: 1576590 @Spikeey • 16 januari 2023 15:01

1Password heeft hier goed aan gedacht en legt uit dat je een “emergency kit” moet maken en afdrukken als je een account aanmaakt. Deze bevat je key en eventueel je wachtwoord als je deze er zelf bij opzet. Aan de gebruiker de keuze hoe en waar je deze bewaart.

Zie ook https://support.1password.com/emergency-kit/

Ah, dank voor jouw antwoord!

Weet je of je die methode ook kunt gebruiken om vanaf een tweede device gebruik te kunnen maken van 1Password, of wordt er dan een nieuwe secret key gegenereerd waardoor 1P niet meer werkt op jouw eerste device?

Aanvulling 16:11: hoezo worden de de bijdrage van Spikeey hierboven en mijn post (door 6 mensen) als irrelevant beoordeeld?

Ik wil graag mensen kunnen adviseren over een wel veilige online wachtwoordmanager is (zelf gebruik ik Keepass). Zo'n extra secret klinkt mooi, maar er zijn m.i. veel te veel beveiligings-"oplossingen" die aanvankelijk prima lijken te werken - totdat mensen hun smartphone kwijtraken en "dankzij" 2FA nergens meer in kunnen loggen.

[Reactie gewijzigd door Anoniem: 1576590 op 23 juli 2024 23:30]

Baardmeester @Anoniem: 1576590 • 16 januari 2023 17:39

De secret van 1password is geen 2fa, maar wordt ook gebruikt om extra de vault te encrypten. Als aanvallers dan zoals bij lastpass de authentication omzeilen dan hebben ze meer nodig dan alleen het masterpassword om de vault te kraken. Ook al werkt het zo dat ze de secret key gebruiken om je masterpassword te verlengen en het tegenargument is dat het niet nodig is als je een goed masterpassword hebt.

De meeste sites geven overigens bij totp keys backup codes. Ook al kunnen ze gewoon de seed geven. Natuurlijk kun je die zelf uit een goede authenticator app halen of bij het instellen de handmatig optie gebruiken naast de QR code te scannen. Met een slechte backup strategie zal een gebruiker altijd in de problemen kunnen komen.

Anoniem: 1576590 @Baardmeester • 16 januari 2023 21:58

Door Baardmeester:

De secret van 1password is geen 2fa, maar wordt ook gebruikt om extra de vault te encrypten.

Dank voor jouw reactie, maar dat was niet wat ik onderin mijn bovenstaande post bedoelde met 2FA.

Overigens is het 1P secret effectief wel een soort van 2FA, want je moet, naast jouw wachtwoord, ook beschikken over een apparaat met dat geheim erop.

Door Baardmeester:

Als aanvallers dan zoals bij lastpass de authentication omzeilen dan hebben ze meer nodig dan alleen het masterpassword om de vault te kraken. Ook al werkt het zo dat ze de secret key gebruiken om je masterpassword te verlengen en het tegenargument is dat het niet nodig is als je een goed masterpassword hebt.

Ik vind het aanvullen van het gebruikerwachtwoord met een device-based secret een uitstekend idee, want mensen zijn slecht in het verzinnen én intikken van sterke wachtwoorden. Dit maakt de bescherming van een vault veel beter dan je met Argon2, scrypt of PBKDF2 kunt bereiken.

Waar ik mij zorgen over maak is dat gebruikers er onvoldoende op gewezen worden dat zij zelf voor een back-up van dat secret moeten zorgen, of daar wél op gewezen worden maar het allemaal te ingewikkeld vinden, of er de noodzaak niet (meteen) van inzien.

Door Baardmeester:

De meeste sites geven overigens bij totp keys backup codes. Ook al kunnen ze gewoon de seed geven. Natuurlijk kun je die zelf uit een goede authenticator app halen of bij het instellen de handmatig optie gebruiken naast de QR code te scannen. Met een slechte backup strategie zal een gebruiker altijd in de problemen kunnen komen.

Klopt, maar ik zie (ook op deze pagina) veel Tweakers roepen dat je "natuurlijk" MFA moet gebruiken, zonder er daarbij op te wijzen dat, ook als er van je smartphone automatisch back-ups worden gemaakt, dat niet geldt voor de secrets in Google Authenticator. Natuurlijk zou iedereen back-ups moeten maken, maar ook bij mensen die dit wel doen, blijken TOTP secrets niet te worden geback-upped.

En als TOTP-secrets wel gebackupped worden - maar ergens in een cloud, hoor ik op Tweakers niemand over de risico's daarvan. 2FA is bull shit als een aanvaller jouw 2FA secrets via 1FA kan bemachtigen. Bovendien heb je een lockout als je toegang tot het cloud-account met de backups van jouw 2FA secrets hebt beveiligd met een van die secrets en daar zelf de toegang tot verliest.

Ook vertelt niemand erbij dat OTP en TOTP niet helpen bij een "evil proxy" aanval (en ook niet bij session cookie diefstal).

En ook niet dat je een probleem hebt als je jouw smartphone vergeten bent of als de accu leeg is.

En ook niet dat een tweede factor geen alternatief is voor sterke unieke wachtwoorden (sterker, ik lees regelmatig dat gesteld wordt dat een sterk wachtwoord niet meer boeit als je 2FA gebruikt).

En al helemaal niet dat aanvallers het inloggen bij veel accounts, waarvoor 2FA is ingeschakeld, vaak kunnen "downgraden" naar SMS of voice verificatie of via 1FA e-mail het wachtwoord kunnen resetten.

Ik zeg niet dat OTP/TOTP niet kunnen helpen (in een deel van de gevallen), maar er kleven ook nadelen en risico's aan die zelden worden benoemd - laat staan meegewogen, en criminelen zoeken voortdurend naar bypasses.

Een laatste risico dat ik wil noemen is beveiligingsmoeheid bij internetters. Ze moeten steeds nieuwe dingen leren die binnen de kortste keren toch niet zo veilig blijken te zijn als beloofd.

We moeten het in elk geval niet mooier maken dan het is, en terughoudend zijn met methodes of producten adviseren waarvan we zelf geen goed overzicht hebben van de risico's en nadelen (waaronder vendor lock-in en stijgende prijzen als er genoeg gelokt is).

[Reactie gewijzigd door Anoniem: 1576590 op 23 juli 2024 23:30]

Spikeey @Anoniem: 1576590 • 18 januari 2023 09:49

Weet je of je die methode ook kunt gebruiken om vanaf een tweede device gebruik te kunnen maken van 1Password, of wordt er dan een nieuwe secret key gegenereerd waardoor 1P niet meer werkt op jouw eerste device?

Ik weet niet of het al duidelijk was, maar de secret key is per account, dus is hetzelfde voor alle devices. Je kunt wel een nieuwe laten genereren als je de backups ongeldig wil verklaren. Dan verandert de encryptie van de kluis en moet je de secret op alle apparaten opnieuw invoeren om te blijven syncen.

Anoniem: 1576590 @Spikeey • 18 januari 2023 10:36

Door Spikeey:

Ik weet niet of het al duidelijk was, maar de secret key is per account, dus is hetzelfde voor alle devices.

Dat begrijp ik ondertussen.

(Alhoewel mijn voorkeur uitgaat naar een systeem waarbij je voor elk website-account dat je hebt, zoals bij Tweakers, inlogt met een per device secret - zodat je bij verlies of compromise van één device, het inloggen met alleen dat device kunt blokkeren. Vergelijkbaar met het verlies van jouw bankpas als jouw partner een pas heeft voor dezelfde rekening).

Mijn vraag was hoe het secret van het ene device op het andere komt; als dat automatisch gebeurt, is het risico groter dat een aanvaller jou misleidt en zo jouw secret op zijn toestel krijgt.

Door Spikeey:

Je kunt wel een nieuwe laten genereren als je de backups ongeldig wil verklaren. Dan verandert de encryptie van de kluis en moet je de secret op alle apparaten opnieuw invoeren om te blijven syncen.

Invoeren dus, niet automatisch.
Helder, thanks!

CaptainCapslock @Anoniem: 1576590 • 16 januari 2023 20:01

Maar als ik gebruikmaak van méér dan 1 device, hoe zet ik die secret key dan over?

Dat kan met QR of gewoon zelf de key overtypen.

En wat als ik mijn smartphone kwijtraak of deze ineens hopeloos defect raakt en ik géén family account heb?

Dan moet je je key ergens anders, bijvoorbeeld offline bewaard hebben. Anders kan je er niet meer in.

Anoniem: 1576590 @CaptainCapslock • 16 januari 2023 20:58

Door ErikvanStraten:

Maar als ik gebruikmaak van méér dan 1 device, hoe zet ik die secret key dan over?

Door CaptainCapslock:

Dat kan met QR of gewoon zelf de key overtypen.

Dank voor jouw antwoord, dat klinkt goed (ik kon dit niet vinden op de site, maar heb vast niet alle pagina's gezien).

Ik neem aan dat de app op je eerste device dan die QR-code kunt laten genereren, die je vervolgens met je tweede device kunt scannen?

Diman

16 januari 2023 14:14

Ik begrijp niet dat dit soort diensten niet via de APi van ihavebeenpwnd kijken of het masterwachtwoord uniek is. gewoon forceren dat de gebruiiker een veiliger masterwachtwoord gebruikt als deze op de ihavebeenpwnd-lijsten staat.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Diman • 16 januari 2023 18:37

Op haveibeenpowned staan gelekte credentials, dwz je kan checken of ze in een bekende dump aanwezig zijn. Dat zegt op zich weinig over de vraag of een wachtwoord uniek is. Een gelekt wachtwoord kan nog steeds uniek zijn evenals een niet uniek wachtwoord.

Renard 16 januari 2023 21:06

Ik vraag me af of Avira en Avast ook getroffen zijn.
Maken zij gebruik van dezelfde servers, databases?

UraniumBullet 18 januari 2023 15:30

wat ben ik blij dat ik geen Norton product heb.

Op dit item kan niet meer gereageerd worden.

NortonLifeLock: kwaadwillenden probeerden 925.000 accounts binnen te dringen

Lees meer

Reacties (45)

Sorteer op:

Weergave: