LastPass verplicht masterwachtwoord van minstens twaalf tekens na hack

LastPass verplicht klanten voortaan om een masterwachtwoord van minimaal twaalf tekens te gebruiken. Gebruikers die al een account hebben en een wachtwoord met minder tekens gebruiken, moeten het aanpassen. In 2022 vond er een hack plaats waarbij versleutelde inloggegevens van klanten waren gestolen.

Hoewel het voor nieuwe accounts vorig jaar al werd verplicht om een masterwachtwoord van minimaal twaalf tekens te gebruiken, was dat nog niet verplicht voor al bestaande accounts. LastPass laat nu echter weten dat het deze vereiste voor alle accounts gaat handhaven. Klanten die een wachtwoord van minder dan twaalf tekens gebruiken, kunnen in de komende dagen een mail verwachten waarin wordt medegedeeld dat ze hun wachtwoord moeten veranderen.

Het bedrijf gaat vanaf volgende maand ook de nieuw ingestelde wachtwoorden vergelijken met een database van bekende, uitgelekte wachtwoorden. Als de wachtwoorden overeenkomen, wordt de gebruiker daarvan op de hoogte gesteld en moet deze een ander wachtwoord kiezen.

In 2022 werd LastPass gehackt, waardoor de gebruikersnamen en wachtwoorden van klanten werden gestolen. Deze gegevens waren echter wel allemaal versleuteld. Alleen met het masterwachtwoord was het mogelijk om deze gegevens te ontsleutelen. Dit wachtwoord wordt niet door LastPass opgeslagen en kan door een dergelijke hack dus niet in handen vallen van kwaadwillenden, al was het wel mogelijk om het met bruteforcetechnieken te achterhalen. LastPass stelde toen dat als klanten een wachtwoord van minimaal twaalf tekens hebben ingesteld, het miljoenen jaren zou moeten duren voordat het gebruteforcet is.

Announcement: In January 2024, LastPass will require all existing customers to use a master password with at least 12 characters. This policy will be implemented via a phased rollout. More: https://t.co/KjzpBC6l7Z pic.twitter.com/W64Hrb58bB
— LastPass (@LastPass) 3 januari 2024

Reacties (193)

Anoniem: 1576590 4 januari 2024 15:09

Ook ik heb er eigenlijk nooit zin in, maar het is verstandig om na te denken over de risico's die je loopt en dat af en toe te herhalen.

Alle risico's kunnen overzien is maar voor weinigen weggelegd, een alternatief is zoeken naar logisch klinkende opsommingen van risico's.

In het geval van wachtwoorden ken ik de volgende overwegingen (vul mij svp aan als je aanvullende info hebt):

1) Zelfverdediging?
Gaat het bij een wachtwoord om de beveiliging van iets dat "zichzelf kan verdedigen", meestal met een (tijdelijke) account lockout, en eventueel wissen na x aantal mislukte pogingen? De reden dat een pincode volstaat voor bijvoorbeeld een bankpas, is dat deze na een klein aantal foute pogingen geblokkeerd wordt. Bij een wachtwoorddatabase moet je er echter van uitgaan dat dit niet het geval is.

Indien een aanvaller straffeloos een groot of zelfs ongelimiteerd aantal pogingen kan doen en de verwachte waarde van de buit na het kraken hoog genoeg is, zul je extra hard je best moeten doen om het aanvallers zo moeilijk mogelijk te maken.

Nb. het komt zelden voor dat een aanvaller ergens (bijv. een gekopiejatte wachtwoorddatabase) aan kan zien hoe lang jouw wachtwoord is. Ook is er bijna nooit een indicatie "je bent warm" als een wachtwoord bijna goed is; in nagenoeg alle gevallen moet een wachtwoord exact kloppen, zo niet dan krijgt de aanvaller dezelfde foutmelding ongeacht hoever hij/zij "ernaast" zit.

2) Zwak wachtwoord
Hoe sneller een aanvaller een wachtwoord kan "achterhalen", hoe zwakker dat wachtwoord is. Meestal bestaan daar verschillende "aanvliegroutes" voor:

Jijzelf gebruikt hetzelfde wachtwoord voor méér dan één toepassing, en van één daarvan is jouw wachtwoord (in combinatie met identificerende gegevens, zoals een e-mailadres) in verkeerde handen gevallen (je hoeft zelf niet te weten dat dit is gebeurd). In zo'n geval maakt het niet uit hoe lang en complex dat wachtwoord is. Mogelijk is dit het eerste dat een aanvaller probeert, of maakt hij/zij een lijstje met kleine variaties op dat wachtwoord en probeert die allemaal.
De aanvaller probeert te achterhalen wie jij bent; bij een Lastpass database is dat een eitje want daarin zijn, naar verluidt, alleen de wachtwoorden versleuteld. Daarna kan de aanvaller online zoeken naar gegevens over jou, zoals adres, postcode, namen van partner en kinderen, geboortedata en dergelijke: veel mensen gebruiken dat soort gegevens in hun wachtwoorden. Ook allerlei "slimme" combinaties daarvan kan de aanvaller toegoegen aan diens "probeerlijstje".
Als de aanvaller jouw e-mailadres of telefoonnummer kent (grote kans bij LastPass), kan zij/hij jou een phishingbericht sturen met een link naar een site die als twee druppels op Lastpass lijkt. Eigenlijk is er geen sprake van een zwak wachtwoord als je daar intrapt, maar in de praktijk blijkt dit vaak erg effectief te zijn.
De aanvaller gaat aan de slag met een "dictionary", een lijst met eerder gelekte wachtwoorden. Een bekende lijst is RockYou2021 (daarop klikken downloadt die lijst nog niet) met daarin 8,4 miljard wachtwoorden. De vraag hierbij is hoeveel tijd het kost om één wachtwoord uit die lijst te proberen (indien het juiste wachtwoord voorkomt in die lijst, zul je gemiddeld genomen de halve lijst moeten proberen). Zie verderop.
De aanvaller start een brute force aanval (al dan niet geoptimaliseerd op bijv. veel gebruikte letters en cijfers of combinaties daarvan). Hoe langer het wachtwoord en hoe meer karakters er mogelijk zijn, hoe langer zo'n aanval duurt.

Details over LastPass
Wladimir Palant heeft al jaren stevig onderbouwde kritiek op LastPass. Al in 2018 schreef hij dat LastPass PBKDF2 gebruikt als "hash" functie.

Nb. Gewone cryptografische hashfuncties zijn geen goed idee om wachtwoorden mee te hashen, omdat ze ontworpen zijn om snel te zijn. Moderne grafische kaarten kunnen zó snel hashen, dat ook het tig keer "nesten" (herhalen) te weinig vertraagt (PBKDF2 is ook alweer achterhaald, variaties van Argon2 worden sterker geacht).

Probleem bij LastPass: standaard werd er van een relatief klein aantal PBKDF2 iteraties gebruik gemaakt. Wladimir Palant schreef daarover in 2018:

So, what kind of protection do 5,000 PBKDF2 iterations offer? Judging by these numbers, a single GeForce GTX 1080 Ti graphics card (cost factor: less than $1000) can be used to test 346,000 guesses per second. That’s enough to go through the database with over a billion passwords known from various website leaks in barely more than one hour.

Eind 2022 schreef Wladimir Palant:

Update (2022-12-23): While LastPass changed the default in 2018, it seems that they never bothered changing the settings for existing accounts like I suggested. So there are still LastPass accounts around configured with 5,000 PBKDF2 iterations.

Overigens schreef Wladimir Palant al in sept. 2023, onder de tweede "Update (2023-09-26)", dat LastPass wachtwoorden van minstens 12 karakters gaat eisen.

Elke keer dat je jouw wachtwoord invoert hebben bedrijven zoals LastPass de mogelijkheid om over te stappen op een andere "KDF" (Key Derivation Function) en/of de instellingen daarvan aan te passen aan de snelheid van actuele hardware. Als zij dat niet doen zegt dat m.i. iets over zo'n bedrijf.

Conclusie
Feit blijft wel dat trucs als PBKDF2 en Argon2 een zwak wachtwoord niet gegarandeerd sterker maken (zie de eerste bullets onder punt 2 hierboven), en vaak heb je geen idee hoe sterk het gebuikte "één-weg afgeleide" algoritme is.

Voldoende wachtwoordlengte heb je nodig als wapen tegen brute force aanvallen, maar een voldoende lang wachtwoord biedt an sich nog geen enkele garantie.

Essentieel is dat aanvallers jouw (master) wachtwoord niet kunnen "raden" op basis van wat zij over jou kunnen vinden op Internet (of door jou of jouw familieleden/bekenden te misleiden en/of informatie af te troggelen). Steeds meer browsers kunnen checken of door jou gebruikte wachtwoorden vóórkomen in dictionaries: sla dat soort waarschuwingen niet in de wind.

Aanvulling 5 jan. 11:55, na de berichtgeving op Tweakers van vanochtend en op ARS Technica gisteravond: "ripeadmin" is natuurlijk een zwak wachtwoord omdat dit geraden kan worden, maar in dit geval had het niets uitgemaakt als het iets als "&Z4f*9'sRb$#3fL+x@" geweest was; het was gelekt in combinatie met het e-mailadres. Zie dit plaatje in het ARS artikel. Een wachtwoord is pas sterk als het op géén enkele manier zwak is.

[Reactie gewijzigd door Anoniem: 1576590 op 22 juli 2024 13:56]

The Zep Man

Beveiliging en antivirus

4 januari 2024 09:54

Klanten die een wachtwoord van minder dan twaalf tekens gebruiken, kunnen in de komende dagen een mail verwachten waarin wordt medegedeeld dat ze hun wachtwoord moeten veranderen.

Hoe weet LastPass hoe lang het wachtwoord van de gebruiker is wanneer de gebruiker in de komende dagen niet inlogt? Lijkt mij te gevoelige informatie om te verwerken en op te slaan.

Een eigen wachtwoordbeheerder achter een web proxy frontend met aparte authenticatie of een VPN is een stuk veiliger omdat het simpelweg geen groot, sappig doelwit is.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 13:56]

MrMonkE @The Zep Man • 4 januari 2024 09:57

Dit vroeg ik me ook af.

En nu maak ik me dus ook zorgen of de hacker of lastpass al mijn wachtwoorden weten.

edit:
Als ze in 2022 al die data hebben geplukt dan kunnen ze dus alle wachtwoorden die ik toen er in had staan inzien? Of wat?
Moet ik alle wachtwoorden gaan wijzigen die er in staan?

[Reactie gewijzigd door MrMonkE op 22 juli 2024 13:56]

phizzie @MrMonkE • 4 januari 2024 10:26

LastPass geeft altijd al het advies om periodiek, minimaal jaarlijks vrijwel automatisch wachtwoorden te verversen. Mocht je daar niet aan meegedaan hebben, zit je minder veilig.
Hackers hebben wachtwoord collecties kunnen bemachtigen. Elke collectie heeft een eigen Master password. Het artikel geeft aan dat Master passwords niet en nooit kunnen zijn buitgemaakt via deze route.
Het enige wat nog rest is iedereen die een relatief kort wachtwoord als Master password gebruikt te waarschuwen. 12 karakters schijnt al voldoende te zijn, maar een wachtwoord zin(!) is wellicht handiger want meer entropie. Voor de goede orde, de XKCD meme https://xkcd.com/936/

XephireUK @phizzie • 4 januari 2024 11:05

Ik gebruik zelf een wachtwoord zin. Het is voor mij makkelijker om "Tweakers.net is mijn favoriete internet site voor 2024!!!" te onthouden dan "correct horse battery staple". Je zou "favoriete" door "vaforiete" kunnen vervangen om een dictionary attack iets moeilijker te maken. Bedenk wel dat de meeste rainbow tables de "slimme" letter substituties er ook al standaard in hebben staan (bijv. "password" door "p255w0rd" (en alle mogelijke variaties zoals "P2ssW0rd" etc.)

StefanJanssen @XephireUK • 4 januari 2024 11:44

Combinaties van Nederlandse en Engelse woorden zouden die letter substituties ook kunnen tegengaan. Zeker als de krakers niet ook weten welke talen jij spreekt waardoor ze dus meteen alle talen toe moeten voegen in het kraken, wat het weer erg lang laat duren.

phizzie @StefanJanssen • 4 januari 2024 18:42

Zinnen, buitenlandse woorden, speciale karakters anders dan de generieke letters zijn heel handig. Leer enkele ASCII codes uit je hoofd of Alt+(code) varianten voor UTF en je zit al in de moeilijk te kraken hoek.
Iets beter wordt het nog met verzonnen woorden, zo lang het maar weer niet de standaard Lipsum of wel Lorem Ipsum is. Dode talen zijn ook wel handig.

Toepassing #1 is wel 2 factor authenticatie.

Dit alles valt weg wanneer quantum computing bereikbaar wordt.

dev-random @phizzie • 4 januari 2024 19:30

Symmetrische encryptie heeft i.t.t. asymmetrische encryptie vrij weinig last van quantum computing.

Zeker de modernere algoritmes niet.

Blizz @XephireUK • 4 januari 2024 14:13

En daarom hebben we dus passwordless, zodat het menselijk geheugen geen factor meer is. Nou ja, we hebben nog een lange weg te gaan voor we ooit overwegen volledig van wachtwoorden afstappen.

[Reactie gewijzigd door Blizz op 22 juli 2024 13:56]

JEightyFive @MrMonkE • 4 januari 2024 10:22

Ik ben na al het gedoe van LastPass inderdaad overgestapt naar een andere kluis en heb al mijn wachtwoorden gereset. Het was even een flink gedoe maar ik vertrouwde de boel echt niet meer.
Terug naar KeePass. Hoef geen cloud service meer wat juist een aantrekkelijk doelwit is.
Lekker lokaal en gebruik het toch alleen op m'n laptop. Apps op de telefoon vragen doorgaans pincodes i.p.v. wachtwoorden dus daar heb ik het niet zo hard nodig.

[Reactie gewijzigd door JEightyFive op 22 juli 2024 13:56]

MrMonkE @JEightyFive • 4 januari 2024 10:23

Ja, ik keek net even.
Bij mij 190 wachtwoorden.

JEightyFive @MrMonkE • 4 januari 2024 10:26

Goeie genade. Zo veel had ik er gelukkig niet

Iedere dag een paar dan maar?

Gubbel @JEightyFive • 4 januari 2024 11:40

Ouch.. Ik heb 1288 items in m'n Bitwarden kluis staan...

telenut @Gubbel • 4 januari 2024 12:52

1460 :-/ Ben je wel even bezig om die te veranderen...

MrMonkE @JEightyFive • 4 januari 2024 11:59

KLAAR! (Wegens epische faal mijnerzijds)
Ik zit met iemand te praten en die zegt ik heb XXXXX.
En ik denk.. verrek ik ook.

Ik heb helemaal geen LastPass.
Lastpass had ik jaren geleden maar was over gestapt.

PrettigGestoord @JEightyFive • 4 januari 2024 15:08

Idem hier, voor mijn iPhone heb ik het kunnen oplossen met Keepassium, kan je toch nog auto fill gebruiken met een lokaal keepass bestand op je smartphone.

Polderviking

@MrMonkE • 4 januari 2024 10:02

Moet ik alle wachtwoorden gaan wijzigen die er in staan?

Ja dat is sterk aan te bevelen.
Maar er zijn naar mijn weten nog geen concrete aanwijzingen dat ze makkelijk kluizen kunnen kraken buiten wat vage berichten over cryptowallets.

[Reactie gewijzigd door Polderviking op 22 juli 2024 13:56]

telenut @Polderviking • 4 januari 2024 12:50

je moet wel echt dom bezig zijn om een cryptowallet in een passwoordkluis te stoppen...

versc049 @telenut • 5 januari 2024 09:26

Want?
(vraag ik voor een vriend...)

telenut @versc049 • 5 januari 2024 15:15

omdat iemand al uw crypto kan stelen als ze in uw kluis raken dus.
Nu zou je zeggen: dat is bij elke kluis zo, klopt. Maar de kluis waar uw wachtwoorden in zitten doe je dagelijks open, die waar uw crypto in zit hopelijk enkel wanneer je er mee wil handelen...

Grrrrrene

@Polderviking • 4 januari 2024 23:40

Even een domme vraag van een leek, maar als ze je kluis hebben bemachtigd en je had er een eenvoudig wachtwoord op zitten, heeft het wijzigen van je masterwachtwoord dan nog wel zin? Als ze je makkelijke wachtwoord hebben geraden, hebben ze ook al je wachtwoorden toch?

Dus als dit het geval is, moet je alle wachtwoorden EN je masterwachtwoord wijzigen, pas dan zit je veilig. Gelukkig heb je een lijst van al die wachtwoorden. Helaas zijn het er tegenwoordig zo ont-zet-tend veel, dat je echt wel even bezig bent om ze allemaal te wijzigen. Ik ben daar ongetwijfeld een weekend mee bezig.

Gelukkig heb ik Lastpass jaren geleden al achter me gelaten. Ik heb het gevoel (maar dat kan aan de media liggen natuurlijk) dat LP echt continu de sjaak is. Het zou ook zomaar kunnen dat LP makkelijker in gebruik is en daardoor een zeker publiek trekt dat niet zoveel van veiligheid snapt, maar denkt met LP veilig te zitten. En steeds zo'n lange wachtwoordzin invoeren is natuurlijk irritant, dus dat doen we lekker niet.

Polderviking

@Grrrrrene • 5 januari 2024 12:25

Je moet sowieso al je wachtwoorden wijzigen. Zowel van je kluis zelf als alles wat er in zit. Ook met een sterk masterwachtwoord.
Ook als je er al tijden weg bent. Je weet namelijk niet of jou account bij Lastpass ook daadwerkelijk is verwijderd en of dat niet stiekem toch in die backup zat die ze te pakken hebben gekregen.

Voorop gesteld, de kans dat iemand specifiek de moeite neemt om jou kluis te kraken is natuurlijk erg klein.

Maar even platgeslagen naar de basis, wat we nu goed vinden qua versleuteling hoeft dat over 5~10 jaar niet meer te zijn.
Je moet die encryptie van de database van Lastpass en consorten meer zien als een kluisdeur of een brandvertrager.
Als iemand tijd en middelen heeft komen ze er wel een keer doorheen.
Maar dus niet zomaar even arbitrair wat jou tijd geeft om die data achterhaald te maken. In dit geval door je wachtwoorden aan te passen waardoor de data in die kluis sterk verminderd in waarde.

[Reactie gewijzigd door Polderviking op 22 juli 2024 13:56]

demonite @MrMonkE • 4 januari 2024 14:11

Als ze in 2022 al die data hebben geplukt dan kunnen ze dus alle wachtwoorden die ik toen er in had staan inzien? Of wat?

Ja.. en ook de mensen die al geen LastPass meer gebruikten moeten zich afvragen of hun data wel bij LastPass was verwijderd.

Zolang je dus een lang master password hebt zou je volgens LastPass redelijk veilig moeten zijn. Tenzij je natuurlijk een password had die al in 1 of andere dictionary stond.

Oftewel, als je echt veilig wilt zijn zou ik zeker de belangrijke wachtwoorden aanpassen.

Blizz @demonite • 4 januari 2024 14:16

Toegang krijgen tot mijn -alshetgoedis- lege vault blijkt ook problematisch (ik heb nog wel het e.e.a. in de MFA app namelijk) en hun langzame gratis support kwam er maar niet uit. Ik weet niet meer hoe het wel is gelukt, maar dat was bizar.

Polderviking

@demonite • 5 januari 2024 12:34

Als je echt veilig wil zijn moet je gewoon al je wachtwoorden aanpassen.
Dat is minder werk dan het lijkt, roep ik als iemand die ruim 200 wachtwoorden in de kluis had.

Lastpass roept dat omdat er met een x wachtwoord lengte een y kraak periode aan hangt wat dan in de duizenden jaren loopt maar dat is allemaal theorie, en over een paar jaar tevens al weer achterhaald.

Als je de data in die kluis gewoon even ongeldig maakt door alles aan te passen heeft een kwaadwillende er sowieso niks aan en kan je dit hele verhaal gewoon weer vergeten.

[Reactie gewijzigd door Polderviking op 22 juli 2024 13:56]

frankivo @MrMonkE • 4 januari 2024 10:02

n0mn0m @MrMonkE • 4 januari 2024 14:24

Elke wachtwoordmanager geeft weer of een wachtwoord veilig is of mogelijk gebreached is. Hoe weten ze of een wachtwoord voorkomt in een HaveIBeenPowned database zonder dat ze het wachwtoord kunnen lezen?

MrMonkE @n0mn0m • 4 januari 2024 14:26

Door de login naam en site te gebruiken. Niet het wachtwoord. (Denk ik)

Terrestrial @n0mn0m • 4 januari 2024 15:04

Ze hebben de hash van het wachtwoord toch en die kunnen ze vergelijken, maar dat zou volgens mij niet meer werken als men salting gebruikt. Blijkbaar doen ze dat dus niet en dat is al een kwetsbaarheid op zich.

https://en.wikipedia.org/wiki/Salt_(cryptography)

[Reactie gewijzigd door Terrestrial op 22 juli 2024 13:56]

Vaevictis_ @MrMonkE • 4 januari 2024 15:07

Kansloos bedrijf, gelukkig al jaren geen klant meer. Vele security incidenten later krijg ik nog regelmatig een mail over inbreuk op mijn gegevens. Nu paar jaar over op self hosted vaultwarden.

Kerfuffle @The Zep Man • 4 januari 2024 10:01

Als ik het gelinkte artikel van LastPass lees, kunnen ze het niet afleiden uit opgeslagen wachtwoorden, zoals je inderdaad mag verwachten. Maar als je inlogt met je huidige wachtwoord, zien ze hoeveel karakters je invoert, en op dat moment geven ze je een waarschuwing en vragen ze je het aan te passen.

sOid @The Zep Man • 4 januari 2024 10:03

Een eigen wachtwoordbeheerder achter een web proxy frontend met aparte authenticatie of een VPN is een stuk veiliger omdat het simpelweg geen groot, sappig doelwit is.

Ja en nee. Het kan wel veilig gemaakt worden (reverse proxy, docker, fail2ban, geoblock, IP-whitelisting Cloudflare DNS ervoor etc). Maar het kan ook heel onverstandig zijn om dat te doen. Op het moment dat er een serieuze kwetsbaarheid beschikbaar is, is het aan jou om zsm te updaten.

Als ik bijvoorbeeld bij Shodan op Bitwarden zoek, kom ik op de eerste pagina al eea tegen waar ik m'n bedenkingen bij heb. Een http-only versie van Vaultwarden, met een versie uit december 2022. Dat wil je echt niet met zo'n essentieel stukje software.

The Zep Man

Beveiliging en antivirus

@sOid • 4 januari 2024 10:53

Als ik bijvoorbeeld bij Shodan op Bitwarden zoek, kom ik op de eerste pagina al eea tegen waar ik m'n bedenkingen bij heb. Een http-only versie van Vaultwarden, met een versie uit december 2022. Dat wil je echt niet met zo'n essentieel stukje software.

Dus die mist een web proxy frontend/VPN, want met dat komt het nooit in Shodan. Buiten dat je uiteraard een sane, secure config moet gebruiken (wat niet moeilijk is met alle hulpmiddelen die beschikbaar zijn voor admins).

[Reactie gewijzigd door The Zep Man op 22 juli 2024 13:56]

krosis @sOid • 4 januari 2024 11:19

Mensen moeten echt stoppen met alles maar te exposen naar het internet. Moet toegeven dat ik dat ook deed toen ik begon met selfhosten maar het is *zoveel* fijner om al je diensten in Tailscale te hebben.

Je hoeft tegenwoordig ook niks meer te missen als je Tailscale oid gebruikt want je kan redelijk simpel TLS acmes via DNS doen door CNAME te gebruiken. Ik heb zelf bv https://bitwarden.krosis.nl die alleen bereikbaar is via mn tailscale netwerk omdat die naar een tailscale host point. Caddy kan prima een certificaat regelen via DNS.

sOid @krosis • 4 januari 2024 12:08

Hoe heb je dat geregeld als je buitenshuis bent? Maakt je telefoon dan automatisch verbinding met tailscale oid?

Ik heb nog 1 service exposed namelijk. Home Assistant. Anders werkt een deel van m’n automations niet.

Heb een tijdje geprobeerd om het via VPN te doen, maar dat vrat accugebruik van telefoon dus was onpraktisch.

sjorsjuhmaniac @sOid • 4 januari 2024 17:03

Ik gebruik daar de ‘on demand’ VPN functie voor van iOS. Geen apps voor nodig. Moet een klein beetje tweaker zijn omdat je dat alleen dmv een vpn config file kan instellen, kan niet ingesteld worden via het standaard menu.
Je vult je domein in welke via vpn benaderd moet worden en eventueel wlans waarop er geen vpn gebruikt moet worden.

Werkt top met de HA app.

De invloed op het batterij gebruik zou ik niet weten; gebruik dit al jaren dus ben er helemaal aan gewend.

sOid @sjorsjuhmaniac • 4 januari 2024 21:29

Ga ik me eens in verdiepen. Heb ik niet eerder van gehoord. Dank!

krosis @sOid • 4 januari 2024 18:34

Ben altijd verbonden met tailscale op m'n telefoon. De app is zo slim om alleen requests die voor t tailscale netwerk bedoeld zijn zo te routen. Bij mij heeft 't nog geen 3% van m'n batterij gekost afgelopen 24h en ik doe zelfs m'n dns requests (adguard home) via tailscale.

Pas als je een exit node gaat instellen gaat 't veel batterij kosten denk ik.

sOid @krosis • 4 januari 2024 21:31

Die 3% is verwaarloosbaar dan. Met gewone VPN wordt alles via de VPN gerouteerd en dat slurpte vermoedelijk m’n accu leeg. Dit is dan een veel elegantere oplossing. Dank voor de inspiratie!

Marctraider @sOid • 4 januari 2024 22:33

Um.. wireguard?

sOid @Marctraider • 4 januari 2024 22:50

Wat wil je precies zeggen? Ik heb een tijdje een continue verbinding met Wireguard gebruikt. Maar dat vond de accu van m’n iPhone dus niet zo leuk.

Marctraider @sOid • 4 januari 2024 22:51

Vreemd, zo zwaar is dat niet. Misschien verkeerd ingesteld qua MTU etc? IIg vele malen minder cpu heavy dan openvpn (udp)

[Reactie gewijzigd door Marctraider op 22 juli 2024 13:56]

laptopleon @krosis • 4 januari 2024 13:32

Voor 99% van de mensen is een eigen server draaien geen optie, al was het maar omdat ze dan eerst op cursus moeten voordat ze überhaupt een beetje begrijpen hoe of wat er bij komt kijken.

Voor de meeste wachtwoorden is het ook minder spannend wat je er mee kunt. Ga je bijvoorbeeld veel tijd investeren in een social media account, dan is er, net zoals bij je bankzaken, zoiets als mfa.

Maar goed, zelf hou ik ook niet van ww-managers in de cloud zetten, want waarom zou je meer risico nemen dan nodig is? Dus ik heb bewust een ww-manager uitgezocht die je lokaal je kluis kunt laten bewaren en delen met je eigen hardware.

McBurger @The Zep Man • 4 januari 2024 10:08

"If your master password is less than 12-characters, you’ll see an in-product message with instructions to update your master password. "

je krijgt dus een in-product melding, en de lengte wordt waarschijnlijk helemaal niet opgeslagen

bartje @McBurger • 4 januari 2024 14:31

In bovenstaand bericht staat mail.
Dat is compleet iets anders.
Ik snap dat er soms dingen verkeerd geïnterpreteerd worden. Maar zou fijn zijn als dit in het artikel wordt aangepast. Dat zou veel verontwaardiging bij lezers wegnemen denk ik.

lenwar

Beveiliging en antivirus

@The Zep Man • 4 januari 2024 11:09

Een eigen wachtwoordbeheerder achter een web proxy frontend met aparte authenticatie of een VPN is een stuk veiliger omdat het simpelweg geen groot, sappig doelwit is.

Mits je weet waar je mee bezig bent. Als Jan en alleman dit maar gaat doen, ben je echt niet veiliger in de praktijk. Zeker wanneer kwaadwillenden doorhebben als veel mensen dit doen.

Danny @The Zep Man • 4 januari 2024 13:03

gewoon de lengte van het invoerveld meten. als die kleiner is dan 12 tekens dan wordt het wachtwoord niet goedgekeurd. Als het hashen op hun servers gebeurt (wat volgens mij gebruikelijk is) dan kan de lengte worden gemeten voordat het wachtwoord gehashed wordt en wordt opgeslagen.

DennusB @The Zep Man • 4 januari 2024 09:55

Ja was ook het eerste wat ik me afvroeg, het is wel echt fout op fout bij LastPass inmiddels. Zinkend schip, snel verlaten zou ik zeggen.

rnark @DennusB • 4 januari 2024 09:57

Wellicht slaan ze de lengte van het password op op het moment dat de gebruiker zijn wachtwoord kiest. Of bij inloggen controleren ze het plaintext wachtwoord op lengte, is dat niet conform dan zetten ze een flag die aangeeft dat ze het wachtwoord opnieuw moeten instellen.

[Reactie gewijzigd door rnark op 22 juli 2024 13:56]

The Zep Man

Beveiliging en antivirus

@rnark • 4 januari 2024 09:58

Wellicht slaan ze de lengte van het password op op het moment dat de gebruiker zijn wachtwoord kiest.

Dus met een dump van de database weet een aanvaller welke wachtwoorden die mee moet beginnen om te bruteforcen. Handig!

rnark @The Zep Man • 4 januari 2024 10:00

Dat is inderdaad niet zo handig, ik hoop ook niet dat ze het doen. Dan toch bij inloggen?

hottestbrain

@The Zep Man • 4 januari 2024 10:17

Je kunt dit zonder database afhandelen. Simpele validatie van de input voordat die geprocessed wordt. Zou zelfs volledig client side kunnen.

Edit: nvm, gaat dus om bestaande wachtwoorden. Ik ga vast over op bitwarden geloof ik maar.

[Reactie gewijzigd door hottestbrain op 22 juli 2024 13:56]

witchdoc @hottestbrain • 4 januari 2024 11:17

Die valadatie -ook van besrtaande paswoorden- kan nog steeds makkelijk client side he.
Lastpass heeft aardig wat steken laten vallen maar zo idioot zijn ze er ook weer niet he.

The Zep Man

Beveiliging en antivirus

@witchdoc • 4 januari 2024 12:00

Die valadatie -ook van besrtaande paswoorden- kan nog steeds makkelijk client side he.

Client-side kan je niet vertrouwen met dergelijke validatie, zeker niet als je third-party clients toestaat.

TheAcentra @DennusB • 4 januari 2024 09:59

IK heb na de laatse Hack Lastpass gedag gezegd. Nu over naar Bitwarden werkt helemaal prima.

ASx2608 @TheAcentra • 4 januari 2024 10:51

Bitwarden is ook te hosten op je huisserver, dus tenzij je gehackt wordt, zal je niet of nauwelijks iets merken van een hack bij bitwarden. Ik zelf was overgestapt na Bitwarden toen Lastpass hun gratis accounts wat minder goed hadden gemaakt.

The Zep Man

Beveiliging en antivirus

@ASx2608 • 4 januari 2024 12:01

Bitwarden is ook te hosten op je huisserver,

Vaultwarden als Bitwarden-compatibel server ook.

TheAcentra @ASx2608 • 4 januari 2024 11:13

En op een gegeven moment wilde ze bijna alle velden van een invoerscherm op slaan. Het scherm zat vol met rode lastpass blokjes. Heb we direct opgezegd en mijn bitwarden draait nu lokaal in een docker container zonder een enkel probleem.

JeroenED @The Zep Man • 4 januari 2024 10:05

Een goede manier die ik zie is dat ze tussen de eerste aanpassing en nu hebben ingebouwd dat een true of false indien het masterwachtwoord korter is dan 12 tekens. Een andere mogelijk is om de lengte van de hash te bekijken. Een langere hash betekend een langer wachtwoord (dus iedereen met een hash van minder dan 30 tekens lang vb.). Of je stuurt gewoon naar iedereen een mail. Dus legio manieren om dit te gaan afdwingen.

pbruins84 @JeroenED • 4 januari 2024 11:37

Een hash is altijd even lang, ongeacht de input.

JeroenED @pbruins84 • 4 januari 2024 11:42

En jij weet welk soort hash gebruikt word? Kan evengoed plaintext opgeslagen zijn of een zelf ontwikkelde hash of algorithme

pbruins84 @JeroenED • 4 januari 2024 11:45

Ja, ze gebruiken PBKDF2-SHA256.

https://www.lastpass.com/security/zero-knowledge-security

The Zep Man

Beveiliging en antivirus

@JeroenED • 4 januari 2024 10:55

Een langere hash betekend een langer wachtwoord (dus iedereen met een hash van minder dan 30 tekens lang vb.).

Zo werkt secure hashing niet.

JeroenED @The Zep Man • 4 januari 2024 11:47

Wie zegt dat ze secure hashing gebruiken. Ik ga er van uit van wel, maar het is niet mogelijk (tenzij je zelf voor lastpass werkt misschien) om mogelijkheden uit te sluiten. We hebben geen kennis van de systemen. Ik geef hier enkel wat mogelijkheden op de stelling dat ze niet kunnen weten wie minimaal 12 tekens als wachtwoord heeft.

The Zep Man

Beveiliging en antivirus

@JeroenED • 4 januari 2024 11:57

Wie zegt dat ze secure hashing gebruiken.

Laat ik het zo stellen:

Zo werkt hashing niet (met algoritmes die geoormerkt worden als veilig voor gebruik in secure hashing).

Verder:

Een goede manier die ik zie is dat ze tussen de eerste aanpassing en nu hebben ingebouwd dat een true of false indien het masterwachtwoord korter is dan 12 tekens

Met een databasedump weet een aanvaller dan wie een wachtwoord korter heeft dan 12 karakters, en waar die kan beginnen met brute-forcing. Slecht idee.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 13:56]

phizzie @JeroenED • 4 januari 2024 10:32

Iedereen heeft een mail gehad.

XephireUK @JeroenED • 4 januari 2024 11:08

Een langere hash betekend een langer wachtwoord (dus iedereen met een hash van minder dan 30 tekens lang vb.).

Zoals eerder aangegeven is dit niet voor alle hashes het geval. Meestal (weet niet of het voor ALLE hashes geldt) is de gehashde value een vaste lengte (altijd 256 char, of het nou 1 character is of de complete bijbel).

JeroenED @XephireUK • 4 januari 2024 11:43

Je zegt zelf "zoals eerder aangegeven". Betekent dus dat het niet meer nodig is om nogmaals te vermelden!

Keypunchie @The Zep Man • 4 januari 2024 10:01

Je kan toch best het aantal bits van een string weten, ook als die gehashed is? (Dan tel je het aantal bits van de hash, hoewel je hem altijd zou moeten padden)

/geen cryptograaf

[Reactie gewijzigd door Keypunchie op 22 juli 2024 13:56]

Goderic @Keypunchie • 4 januari 2024 10:09

Nee, hashes hebben een vaste lengte ongeacht de lengte van de input.

Boele009 @Keypunchie • 4 januari 2024 10:10

Dat zou niet zo moeten werken, een hash zou altijd even lang moeten zijn ongeacht de lengte van de input. Mocht dit niet het geval zijn, kun je namelijk aan de hand van de hash afleiden hoe lang het wachtwoord is, wat voor hackers alsnog nuttige informatie is (korte wachtwoorden zijn immers te bruteforcen).

Groentjuh @Keypunchie • 4 januari 2024 10:12

De opgeslagen hash is met alle lengtes wachtwoorden bij veel hash algoritmes hetzelfde.

Een mooi voorbeeld is bijvoorbeeld file-hashes (CRC, MD5, SHA1, SHA-256, SHA-512). Die zijn ook gewoon een bepaalde lengte onafhankelijk van de lengte van het bestand. Uiteraard worden (hopelijk) andere algoritmes gebruikt voor wachtwoord hashen, want die genoemde algoritmes dien je zeker niet (meer) voor het hashen van wachtwoorden gebruiken.

[Reactie gewijzigd door Groentjuh op 22 juli 2024 13:56]

Bosjabouter @Keypunchie • 4 januari 2024 10:30

Mijn reactie was mosterd na de maaltijd:

Nee, een hash heeft een vaste lengte. Bijvoorbeeld SHA256 bestaat altijd uit 256 bits, of er nu één teken gehasht is of een heel boek van een paar miljoen tekens.

Om een of andere reden had ik de eerdere reacties gemist, sorry.

[Reactie gewijzigd door Bosjabouter op 22 juli 2024 13:56]

Dorank @Bosjabouter • 4 januari 2024 10:56

Of er 1 of veel! Het is zelf geen of willekeurig veel.

MerijnB @The Zep Man • 4 januari 2024 09:57

Rainbow tables misschien? Wel bijzonder dat er geen salt wordt gebruikt dan.

Polderviking

@The Zep Man • 4 januari 2024 09:57

Ze kunnen natuurlijk gewoon je sessie laten verlopen en zo een logon forceren op welk moment je gewoon een input check kan doen.
Je moet jezelf sowieso periodiek opnieuw aanmelden dus dat lost zichzelf op.

[Reactie gewijzigd door Polderviking op 22 juli 2024 13:56]

Rouwette @Polderviking • 4 januari 2024 10:46

Hoop het niet, ik ben de master password kwijt, ja ik weet het

Herstel gaat niet door een instelling van een vorige werkgever waaraan het account gekoppeld is. Ik ben op de iPhone (app) nog ingelogd. Als die eruit ligt ben ik het kwijt, toch maar eens een backupje maken.

Edit
Ik moest met het openen van de app geforceerd een nieuw masterpassword maken, nu heb ik dus weer volledige toegang $_/-\o_$

[Reactie gewijzigd door Rouwette op 22 juli 2024 13:56]

laptopleon @Rouwette • 4 januari 2024 13:39

OK, dus je app ging nog open met je iPhone gezichtsherkenning / wachtwoord / vingerafdruk.

Maar vraagt de app dan niet alsnog het oude wachtwoord, als je een nieuw wachtwoord instelt? Dat zou je wel verwachten bij zo’n belangrijke inlog..

Rouwette @laptopleon • 4 januari 2024 13:55

Wel touch-ID maar geen oud wachtwoord, wel nog de Auth code.
Ook moest ik na het opnieuw inloggen met nieuw paswoord opnieuw instellen dat ik met vingerafdruk kan inloggen etc

[Reactie gewijzigd door Rouwette op 22 juli 2024 13:56]

The-Source @The Zep Man • 4 januari 2024 09:58

Als je een client update forceert kan je die controle dus daar laten uitvoeren.
Lijkt mij dat de hash qua lengte niet zal wijzigen.

The Zep Man

Beveiliging en antivirus

@The-Source • 4 januari 2024 09:59

Als je een client update forceert kan je die controle dus daar laten uitvoeren.

Dan zou je het probleem houden met een third-party client.

Polderviking

@The Zep Man • 4 januari 2024 10:04

Het is dan ook aan die client beheerder/ontwikkelaar om voor deftige wachtwoord eisen te zorgen, want dat is het enige punt waarop je het kan controleren.

Ik wist overigens niet dat dat een ding was bij lastpass.

[Reactie gewijzigd door Polderviking op 22 juli 2024 13:56]

Argantonis @Polderviking • 4 januari 2024 12:38

[Reactie gewijzigd door Argantonis op 22 juli 2024 13:56]

GamesMaxed @The Zep Man • 4 januari 2024 10:00

Hashing gebeurt meestal op de server. Als je wilt inloggen gebeuren (ongeveer, dit is een oversimplificatie om het begrijpbaar te houden) volgende stappen:
1. Haal het gehashte wachtwoord op uit de database.
2. Hash het plain-text wachtwoord dat de gebruiker heeft doorgestuurd met zijn inlog poging.
3. Indien het gehashte waardes uit stap 1 en 2 overeenkomen, is de gebruiker successvol ingelogt.

Je zou dus een stap kunnen toevoegen die checkt of het plain-text wachtwoord langer dan 12 tekens is.

The-Source @GamesMaxed • 4 januari 2024 10:19

Denk zelf dat het iets anders werkt in werkelijkheid.
Gebruiker voert master ww in, > client side hashing.
Hash wordt verstuurd > deze wordt direct of wellicht via extra hash geverifieerd met opgeslagen hash.
Bij correct verificatie krijgt gebruiker encrypted DB/data retour. Of dit een single record is of alles weet ik niet.
Maar deze ecrypted data is te decrypted met ingevoerde master ww.

Dorank @GamesMaxed • 4 januari 2024 10:49

Hashing gebeurt meestal op de server.

Dat is iets wat je voor een secure password manager absoluut niet wilt!

cablegunmaster @The Zep Man • 4 januari 2024 10:04

Het zal mij niks verbazen als dit om een online dienst van Lastpass gaat en dat ze de hash opslaan, en dat ze door middel van de lengte van de hash kunnen achterhalen hoelang de tekens zijn. Als ze het niet aan de lengte van de hash achterhalen dan heb je gelijk en is het zeer kwalijk dat ze het bijhouden hoe lang een wachtwoord is voordat ze het ge-encrypt opslaan, mogen ze het al ge-encrypt opslaan. Of dat ze de lengte van het wachtwoord checken bij de input form nadat de hash gelijk is.

[Reactie gewijzigd door cablegunmaster op 22 juli 2024 13:56]

phizzie @cablegunmaster • 4 januari 2024 10:31

Als je het originele artikel leest kom je er achter dat er niks wordt opgeslagen.
Wachtwoord verwerking gebeurt clientside, geen opslag.
Op mobiel heb je een tijdgebonden lokale kopie, waarvan het bestand wegvalt en/of de token tijd verloopt. Daarnaast is er als ik het goed begrepen heb ook een device lock toegepast. (Het bestand is alleen te openen met 5 eigenschappen correct: hardware, software versie, tijdvenster, passvault bestand en wachtwoord.)

Hydranet @The Zep Man • 4 januari 2024 10:04

Ik gebruik zelf Vaultwarden met auto-update aan, om de precies de reden die jij noemt.
https://github.com/dani-garcia/vaultwarden

[Reactie gewijzigd door Hydranet op 22 juli 2024 13:56]

lolgast @The Zep Man • 4 januari 2024 10:10

Daarom heb ik al een tijd (sinds de bekendmaking van de hack) een Vaultwarden container draaien achter een reverse proxy. De enige manier om dat te bereiken is met kennis van de URL naam, op alleen poort 443 kom je helemaal nergens. Icm Yubikey inlog voel ik me nu een stuk prettiger

krosis @lolgast • 4 januari 2024 11:22

Als je wil kan je nog een stapje verder gaan en alleen via Tailscale laten benaderen.

ACME DNS server
https://github.com/joohoi/acme-dns

Caddy module
https://github.com/caddy-dns/acmedns

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Wachtwoord

@The Zep Man • 4 januari 2024 10:24

Een eigen wachtwoordbeheerder achter een web proxy frontend met aparte authenticatie of een VPN is een stuk veiliger omdat het simpelweg geen groot, sappig doelwit is.

Veel te kort door de bocht om deze mening als feit te brengen. Immers bij een eigen oplossing doorgaans geen batterij aan security experts, penetratietesten, onafhankelijke audits, incident responce team etc.

The Zep Man

Beveiliging en antivirus

@Bor • 4 januari 2024 10:56

Immers bij een eigen oplossing doorgaans geen batterij aan security experts, penetratietesten, onafhankelijke audits, incident responce team etc.

En bij een eigen oplossing geen grote schijnwerpers, business die roet in het eten kan gooien, belangenverstrengeling (financieel, gebruikersvriendelijkheid, concurrentie, ...), ...

[Reactie gewijzigd door The Zep Man op 22 juli 2024 13:56]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Wachtwoord

@The Zep Man • 4 januari 2024 11:09

Kortom, beide oplossingen hebben voor- en nadelen en het is geen feit dat het een altijd veiliger is dan het ander zoals je dat hiervoor bracht. Je dient per geval te bekijken wat de beste toepassing is.

[Reactie gewijzigd door Bor op 22 juli 2024 13:56]

The Zep Man

Beveiliging en antivirus

@Bor • 4 januari 2024 15:05

Kortom, beide oplossingen hebben voor- en nadelen en het is geen feit dat het een altijd veiliger is dan het ander zoals je dat hiervoor bracht.

Wat een feit is, is dat mijn oplossing overall veiliger is dan LastPass: een kleiner doelwit, minder gehackt, minder schade bij een hack, een afgedicht voorportaal voor de applicatie (VPN/web proxy)...

[Reactie gewijzigd door The Zep Man op 22 juli 2024 13:56]

GeroldM @The Zep Man • 5 januari 2024 04:06

Ben het helemaal met je eens. Begrijp zelf niet goed dat er zovelen zijn die door alles de cloud in te jassen, niet in willen/kunnen zien dat zij daardoor de cloud een groot doelwit maken. Want als er bij een cloud-boer een steek valt in de beveiliging, dan is de buit voor de crackers meteen heel groot.

En ja, deze cloud-boeren hebben beveiligingsdeskundigen in dienst. Of huren deze in voor een wettelijk vastgelegde beveiligings-audit. Inhuur is vaker de regel dan uitzondering want de marge op beheer van datacenters is minder hoog dan je denkt. De hoge electriciteits-, koelings- en onderhoudskosten drukken de winst behoorlijk.

Maar deze kunnen dus net zo goed een steek laten vallen. Of van bepaalde software gebruik (moeten) maken waar een 0-day in zit.

Zet al het bovenstaande tegen een zelfgehoste oplossing, welke eerst gevonden moet worden. En daarna moet er nog steeds een boel moeite worden gedaan om de boel te cracken en het resultaat is de gegevens van 1 of 2 personen.

Bij een cloud-boer is de moeite die gedaan moet worden niet groter of kleiner. Maar de kans dat je gegevens van 10 duizenden of nog meer gebruikers buit kan maken. Voor de cracker is de kans groter dat je in zo'n buit een "whale" aantreft, dan in een buit van 1 a 2 personen.

Martinez- @The Zep Man • 4 januari 2024 11:42

Noem me ouderwets, traditioneel of hoe je het ook noemen wilt: Ik blijf van password-managers weg. Dat zelfs de allergrootste niet vrij blijven van authenticatieproblemen liet Google laatst wel weer zien. Ik laat me overigens wel graag overtuigen waarom ik wel al mijn wachtwoorden op één plaats online moet opslaan.

Hoe ik dan al mijn wachtwoorden complex genoeg houdt? Dat is het geheim van de chef

laptopleon @Martinez- • 4 januari 2024 13:50

Kijk, voor financiën kun je al niet om multifactor authenticatie heen. Ben je professioneel bezig met youtube, facebook, instagram of zo dan is het verstandig om zeg mfa in te stellen, voor zover dat al niet opgedrongen wordt.

Blijft over met name de data op je eigen / bedrijfscomputer. Die synchroniseren mensen toch vaak via bijvoorbeeld iCloud o.i.d.

Dat is een keuze. Natuurlijk kun je dat vermijden, maar de vraag is of dat niet meer kost dan het risico.

Als mijn cloud gehackt wordt, kan niemand mij met die data chanteren. Er staat niets crimineels of gênants in. Qua werk geen info die gevoelig is. Wachtwoorden staan alsnog in een manager. En uiteraard heb ik een backup.

SED @The Zep Man • 4 januari 2024 13:17

Geen idee, ik heb een wachtwoord van 26 karakters maar ontving ook de mail.

Induslogic @The Zep Man • 4 januari 2024 14:37

Ze weten de lengte van je wachtwoord inderdaad niet. Dit is voor mij een foutje in het artikel.

Iedereen krijgt de mail, ook de mensen met een wachtwoord langer dan 12 karakters zoals bij mij het geval is.

GoodspeeD @The Zep Man • 4 januari 2024 15:04

Volgens mij klopt het nieuwsbericht niet. Iedereen krijgt deze mail met als kantekening dat als je wachtwoord al minimaal 12 tekens bevat, je niets hoeft te doen.

CPM @The Zep Man • 4 januari 2024 23:00

[...]
Een eigen wachtwoordbeheerder achter een web proxy frontend met aparte authenticatie of een VPN is een stuk veiliger omdat het simpelweg geen groot, sappig doelwit is.

En dat werkt dan prettig? Lekker knippen/plakken?
En een knutsel web proxy is geen makkelijk te benaderen target?
Of je raakt op een andere manier besmet en stelen ze je koekjes.
Daarnaast is de gemiddelde gebruiker niet in staat om proxy of vpn server op te zetten.
Maar ja, het kan werken ja, want idd geen groot sappig doelwit.

sebastienbo @The Zep Man • 5 januari 2024 08:23

[...]
Hoe weet LastPass hoe lang het wachtwoord van de gebruiker is wanneer de gebruiker in de komende dagen niet inlogt?

Ik denk dat de password hashing oftewel server side gedaan worden, waardoor ze de size zouden kunnen meten.
Oftewel word het lokaal hebben maar meten het wachtwoord voor de hashing en houden ze dit bij en word daar blijkbaar opgeslagen Serverside.
Hopelijk is dat gepseudomiseerd want anders is het voor hackers gemakkelijk om te bruteforcen...(want dan moeten ze niet meer alle combinaties afgaan - possible password domain is veel kleiner)

Pepper92 4 januari 2024 10:01

“Het bedrijf gaat vanaf volgende maand ook de nieuw ingestelde wachtwoorden vergelijken met een database van bekende, gelekte wachtwoorden.”

Dus LastPass heeft ook direct zicht op het ingestelde wachtwoord? Ik dacht dat zij dat ook niet konden zien?

GeleFles @Pepper92 • 4 januari 2024 10:14

Nee, ze forceren gewoon iedereen een nieuw password. Ik heb een password van 18+ karakters en heb ook de mail gekregen dat ik mijn wachtwoord moet wijzigen.

krosis @GeleFles • 4 januari 2024 10:25

Vraag mij echt af waarom mensen nog LastPass enz gebruiken wanneer je Bitwarden hebt

HansRemmerswaal @krosis • 4 januari 2024 10:32

Bij ons werkt LastPass prima, ik en de rest van de familie kan overal zonder problemen inloggen met al onze devices. Dus waarom overstappen?

Is dit niet een beetje een...

iOS vs Android
Apple vs Windows
Home Assistant vs Domotics

... discussie?

kell.nl @HansRemmerswaal • 4 januari 2024 14:21

Het is meer dat Lastpass heeft laten zien dat ze geen goede security practices gebruiken, en dus hun vertrouwen verkwanseld hebben. Je kan lezen hoe de hack gegaan is en Lastpass daar mee om is gegaan (niet mooi is de korste versie, met leugens en informatie achterhouden in het begin, het laten voorkomen dat het niet erg is etc)

En dit is een van de grote leugens die Lastpass heeft gezegd:

LastPass stelde toen dat als klanten een wachtwoord van minimaal twaalf tekens hebben ingesteld, het miljoenen jaren zou moeten duren voordat het gebruteforcet is.

Het grote probleem, en nalatigheid van Lastpass is dat ze van oude accounts nooit de pbkdf2 iteratie count hebben verhoogd. (gemakkelijk gezegd, hoe vaak ze de data hashen achter elkaar). En het ironische is dat dus de mensen die "security conscious" zijn en dus het langst all een Lastpass account hadden, de minste veiligheid hadden, en een iteratie van zelfs maar 1. Door de jaren heen heeft Lastpass de iteratie verhoogd voor nieuwe accounts, maar nooit voor oudere accounts. En ze hebben ook nooit accounts met een lage count gewaarschuwd. De iteratie count is ook mooi opgeslagen in the vault, zo kwaadwillende personen kunnen percies zijn wie ze moeten targeten. (de huidige pbkdf2 iteratie voor Lastpass is 600.000, maar je kan het aanpassen)

Ook nalatigheid. Lastpass encrypt niet alles in the vault. Dingen zoals login URL zijn niet encrypted.

Dat is dan ook de reden waarom een aantal crypto currency hacks zijn toegeschreven aan de Lastpass leak. Data die volgens bronnen alleen in Lastpass zou staan, en overeenkomt met een oud Lastpass account (dus 500, of zelfs maar 1 pbkdf2 iteratie) en een indicatie dat de persoon dingen met crypto currencies doet (crypto-exchange login URL en zo).

Bak met wat flinke GPUs, of even iets huren op AWS en je kan redelijk snel een wachtwoord achterhalen als het maar 12 karakters zijn van een oud account (paar weekjes afhankelijk van welke/hoeveel GPUs je gebruikt, of zelfs maar een aantal uur als het maar 1 iteratie was).

Laatste puntje. Ik was al lang voor de hack afgestapt van Lastpass, en mijn account deleted. Ik heb nooit antwoord gekregen of mijn vault ook daadwerkelijk niet meer bestond en/of dat de hacker mijn vault in handen heeft. Het was een oud account, dus waarschijnlijk 500 iteraties. Uiteraard heb ik mijn belangrijke wachtwoorden geweizigd ook al was mijn wachtwoord 30 karakters lang. Ik heb geen idee of ze andere cruciale fouten hebben gemaakt.

Dus in mijn ogen is Lastpass niet betrouwbaar. Iedereen kan een foutje maken of gehacked worden. Maar hoe de security practices zijn, en hoe de response is zegt veel. En in het geval van Lastpass waren die erg slecht. Niet wat je wil in een password manager.

Ik gebruik nu zelf-hosted Bitwarden

MrMarcie @kell.nl • 5 januari 2024 12:10

Daarom ben ik al heel lang geleden overgestapt van LP naar Bitwarden. Ze hebben teveel gedoe gehad diverse malen.

Sjnieboon @HansRemmerswaal • 4 januari 2024 11:04

Omdat LastPass afgelopen jaren veelvuldig in het nieuws geweest is m.b.t. slechte security. Ze zijn al meerdere keren gehackt. Dus nee, het is niet een iOS vs Android dingetje waar iemand een voorkeur voor zou hebben. Het gaat om veiligheid van gegevens. Het primaire focuspunt van een wachtwoord manager wat mij betreft, en LastPass heeft dus al erg vaak aangetoond hierin incapabel te zijn.

Een willekeurig overzicht: https://www.upguard.com/b...ture-of-password-security

https://www.csoonline.com...stpass-data-breaches.html

[Reactie gewijzigd door Sjnieboon op 22 juli 2024 13:56]

360Degreez @Sjnieboon • 4 januari 2024 13:09

Kunnen ze zelf niet meteen de bedrijfsnaam wijzigen naar Lostpass?

MartijnHavinga @Sjnieboon • 4 januari 2024 22:03

Tja... Ook Bitwarden is niet 100% veilig: https://blog.redteam-pentesting.de/2024/bitwarden-heist/

Sjnieboon @MartijnHavinga • 4 januari 2024 23:51

Zeker, geen enkele zal 100% veilig zijn. Er zit wel een verschil tussen een zeer specifiek scenario om 1 vault te decrypten (waarna adequaat actie is ondernomen) of de inmiddels talloze hacks waarbij telkens "er geen indicatie is dat er iets is buitgemaakt" (wat aantoonbaar onjuist is).
"Vertrouwen" is hier het sleutelwoord.

Bijv:
https://www.techtarget.co...ticism-over-recent-breach

Daarnaast laat Bitwarden pentests op regelmatige basis uitvoeren en deelt de resultaten publiekelijk: https://assets.ctfassets....ity_Assessment_Report.pdf

De vraag was of dit niet een iOS vs Android dingetje is. Het antwoord daarop is nee. Ik toon aan waarom dat "nee" is. Als je LastPass een prettige service vindt om te gebruiken en de beveiligings issues voor lief neemt is dat helemaal prima. Dan maak je in ieder geval met deze kennis zelf een weloverwogen keuze.

lenwar

Beveiliging en antivirus

@HansRemmerswaal • 4 januari 2024 11:24

Lastpass is zonder discussie en mooi systeem. Altijd toegang tot je wachtwoorden. Ook op ‘vreemde apparaten’ enz.

Maar zoals anderen al aangeven heeft een bedrijf dat afhangt van veiligheid te maken met vertrouwen.

Het is niet de discussie, welke heeft een fijnere interface of grotere featureset. Het is in dit geval een vertrouwensding.

Zou jij je geld bij een bank laten, die meermaals in een korte tijd, (je) data heeft laten lekken? (Ik heb het dus niet over verstoringen van beschikbaarheid, maar over datalekken) Het toont gebrek aan controle en onvoldoende beveiligingsmaatregelen aan. Dat voelt minimaal niet goed.

We hebben het hier over wachtwoorden. Dit zijn extreem gevoelige dingen. Wachtwoorden geven toegang tot gigantisch veel van jou als persoon.
Naast je ‘Tweakers-account’ (wat op z’n slechtst alleen onhandig is als iemand namens jou wat berichtjes post/verstuurd) ook eventueel je bank/paypal/digid/werkgegevens/schoolgegevens/clouddata/enz.

Of die supergevoelige accounts in de praktijk mfa gebruiken staat daar los van. Je wachtwoorden moeten gewoon veilig zijn.

sander6 @HansRemmerswaal • 4 januari 2024 13:10

Sinds in ieder geval 2018 is https://lastpass.com/header.php beschikbaar via het wereldwijde web en dat zegt mij eigenlijk genoeg over de development practices daar.

sebastienbo @HansRemmerswaal • 5 januari 2024 08:31

Bij ons werkt LastPass prima, ik en de rest van de familie kan overal zonder problemen inloggen met al onze devices. Dus waarom overstappen?

Is dit niet een beetje een...

iOS vs Android
Apple vs Windows
Home Assistant vs Domotics

... discussie?

Ik denk niet dat het zo een soort discussie is.
Lastpass heeft gewoon al laten zien keer op keer dat er vanalles mis loopt bij hun. En dat ze een interessante prooi zijn om aan te vallen omdat ze alle geheimen van iedereen bijhoud.

Hun algoritmes zijn niet open waardoor niemand kan controleren of het veilig is of niet. Bij bitwarden is het wel open.

Het hele wachtwoorden gedoe zal de mensheid blijven plagen vrees ik. Zelf passkeys zijn blootgesteld aan dit soort hacks

[Reactie gewijzigd door sebastienbo op 22 juli 2024 13:56]

Polderviking

@krosis • 4 januari 2024 10:39

Toch is overstappen wel wat werk, zeker als je meer dan alleen jezelf moet migreren, en weggaan om de hack is platgeslagen ook meer een emotie dan ratio als je slechts de ene cloud provider voor de andere verruild.

krosis @Polderviking • 4 januari 2024 11:11

Bitwarden hoeft niet cloud te zijn. LastPass heeft het ondertussen zo vaak verkloot dat het bijna emotioneel is om wel te blijven

Polderviking

@krosis • 4 januari 2024 11:18

Uiteraard.
Maar voor de meeste mensen zal selfhosting van een BW instance allicht een bruggetje te ver zijn.

Ik zeg overigens ook niet dat je niet weg moet gaan. Je gevoel is ook belangrijk en ze hebben het inderdaad op wel meer fronten verkloot ook qua communicatie van het incident zelf. (melding rond kerst was echt laag)
Maar van Lastpass hangt er nu veel vieze was buiten, je weet van het repetoire andere providers eigenlijk ook niet hoe het er écht aan toe gaat en wat daar sinds dit incident allemaal onder het tapijt geveegd is om mooi weer te spelen.

Uiteindelijk werken al die cloudmanagers een beetje op dezelfde manier en zijn onderworpen aan dezelfde risico's.
En als je daar echt wat aan wil doen kan je beter naar Keepass ofzo kijken, dat was meer de insteek van mijn opmerking.

[Reactie gewijzigd door Polderviking op 22 juli 2024 13:56]

Burning @krosis • 4 januari 2024 10:30

Waarom Bitwarden over LastPass?

krosis @Burning • 4 januari 2024 11:02

Imo belangrijkste punten:

- Geen grote security incidenten gehad
- Open source -> https://github.com/bitwarden/
- Omdat het open source is, zijn er ook alternatieve servers gemaakt die makkelijk te self-hosten zijn en dus ook (!) compatible zijn met de officiele clients (!). Die hebben gewoon configuratie om selfhosted server te kiezen. (https://github.com/dani-garcia/vaultwarden)
- Selfhosten is al helemaal interessant icm Tailscale, zelfs al zijn er issues ben je niet kwetsbaar + je eigen data in eigen handen
- Als je cloud kiest is het volgens mij ook goedkoper dan de rest

[Reactie gewijzigd door krosis op 22 juli 2024 13:56]

moonlander @krosis • 4 januari 2024 13:28

Selfhosten is al helemaal interessant icm Tailscale, zelfs al zijn er issues ben je niet kwetsbaar + je eigen data in eigen handen

Ik denk dat je juist kwetsbaarder bent als je het zelf gaat hosten. Niet iedereen is een systeem beheerder met kennis van security. Je moet dat ding uptodate houden, beveiligen, firewalls, etc..

helldogbe @moonlander • 5 januari 2024 01:55

@Burning's voorbeeld is net dat de Bitwarden instance enkel via VPN (Tailscale) bereikt kan worden, waardoor je NAS niet zichtbaar is vanaf het internet. In combinatie met 2FA en sterk masterwachtwoord zit je dan toch een laag verder dan de officiële Bitwarden servers die vermoedelijk eerst aangevallen zullen worden.

Als er een server exploit bekend raakt kan je dan alsnog je Docker instance afsluiten als je echt paranoïde bent en de Bitwarden-client blijven gebruiken op je smartphone/PC aangezien deze ook een lokale kopie bijhoudt.

MrMarcie @krosis • 5 januari 2024 12:14

Helaas mag ik hier niet modereren. Dus dan maar zo een plusje voor jou: ✅

GG85 @Pepper92 • 4 januari 2024 10:05

Waarsch vergelijken ze de hash van je wachtwoord dus nee, je WW zien ze dan niet.

FLA NL @GG85 • 4 januari 2024 10:29

Vraag mij af af ze hier wel een hash gebruiken. Je wachtwoord is hier een encryptie/decryptie sleutel. Dat doe je niet met een hash.

Dorank @FLA NL • 4 januari 2024 11:08

Het is zeer onverstandig om een wachtwoord direct als sleutel te gebruiken.
Al tig jaren worden er key stretching algoritmes gebruikt om de keyspace op te rekken, veelal door hashing, b.v. bcrypt.
Keepass gebruikt https://en.wikipedia.org/wiki/Argon2
WPA gebruikt https://en.wikipedia.org/wiki/PBKDF2
Lastpass schijnt ook PBKDF2 te gebruiken (met 100,100 iteraties).

FLA NL @Dorank • 4 januari 2024 22:17

Ok dank je voor je uitleg. Ik dacht eerst dat die algoritmes meer met de encryptie zelf te maken hadden. Maar ze worden dus gebruikt om met hash iteraties de encryptie sleutel te creëeren op basis van je wachtwoord.

XephireUK @FLA NL • 4 januari 2024 11:11

De hash van je pw is in de DB opgeslagen. Als je je pw invoert, wordt het opnieuw gehashd (client of server side, weet ik zo niet) en vergeleken met de originele pw hash in de DB. Indien gelijk, dan wordt de data decrypted.

Bedenk wel dat het pw niet 1 keer gehashd is, maar je kan zelf instellen hoe vaak, dus de hash vd hash vd hash etc... 1024 maal is gehashd als je dat wilt.

FLA NL @XephireUK • 4 januari 2024 22:26

Zit hier geen verschil in een hash waarmee je inlogt en de hash waarmee je vault decrypt kan worden?

Ik hoop eigenlijk dat ze kijken of je je vault kan openen op basis van de hash van je wachtwoord en daarmee inlogt en niet nog is los een hash op gaan slaan. Bij nader inzien is dat ook niet logisch want een vault zou alleen lokaal gedecrypt mogen worden.

[Reactie gewijzigd door FLA NL op 22 juli 2024 13:56]

OverSoft @Pepper92 • 4 januari 2024 10:11

Nee, dat hebben ze niet. Ze vergelijken simpelweg de gelekte wachtwoorden na hashen/salten met hashes en salts van hun database.

Ze doen dus feitelijk niets anders als wachtwoorden "proberen" bij ieder account.

Clemens123 @Pepper92 • 4 januari 2024 10:26

Zal direct bij eerste ingave gebeuren neem ik aan, niet achteraf.

Wat me wel zorgen baart: hoe weten ze wie een kort wachtwoord heeft? Dat is meta data die je niet hoort bij te houden. Enige wat wel kan is dat ze gewoon kijken waneer iemand zijn wachtwoord veranderd heeft, en op basis daarvan verplichten wachtwoord opnieuw te zetten indien > 12 tekens of nieuw wachtwoord te kiezen indien niet.

EDIT
@GeleFles bevestigt dit in post hierboven.

[Reactie gewijzigd door Clemens123 op 22 juli 2024 13:56]

MartijnHavinga @Pepper92 • 4 januari 2024 10:26

Het gaat alleen bij NIEUW ingestelde wachtwoorden.
Op het moment dat je je wachtwoord vernieuwd hebben ze tijdelijk de beschikking over je onversleutelde wachtwoord (tenzij de hashing van het wacthwoord clientside gedaan wordt). Deze vergelijken ze op dat moment en als het wachtwoord goedgekeurd wordt slaan ze alleen de hash op, waarna ze dus niet meer weten wat jouw wachtwoord is.

sebastienbo @Pepper92 • 5 januari 2024 08:26

“Het bedrijf gaat vanaf volgende maand ook de nieuw ingestelde wachtwoorden vergelijken met een database van bekende, gelekte wachtwoorden.”

Dus LastPass heeft ook direct zicht op het ingestelde wachtwoord? Ik dacht dat zij dat ook niet konden zien?

Mogelijks doen ze de controle tijdens het instellen , dus word het nergens opgeslagen. En behoorlijk is het de hash die vergeleken word.

Uiteraard geen zekerheid over dat ze het zo veilig gaan doen...

Anoniem: 84997 4 januari 2024 10:02

Maakte 2 jaar geleden op 't werk al een slechte grap mbt lastpass-backups, over een jaar staat de boel toch wel ergens online..

Dat opslaan van wachtwoorden "in de cloud" heeft bij mij een behoorlijk dubbel gevoel. Zelfde geld voor wachtwoorden centraal opslaan met Chrome, keepass, etc..

McBurger @Anoniem: 84997 • 4 januari 2024 10:11

Het is zeker een risico. Maar dat is het hergebruiken van passwords (omdat het anders niet meer bij te houden is zonder centrale password manager) ook. En opschrijven in een boekje, of met gele post-its ook.
Dus in de meeste gevallen is de overstap naar een lastpass of vergelijkbaar product echt en hele stap voorwaards.

Anoniem: 84997 @McBurger • 4 januari 2024 10:13

klopt, daarom ook 't dubbele gevoel. Ben zelf voorstander van dingen in een eigen omgeving houden, maar dat heeft natuurlijk ook weer z'n risico's en vergt extra kennis. Dus snap de keuze ook wel weer

krosis @Anoniem: 84997 • 4 januari 2024 11:14

Tailscale is naar mijn idee wel echt een gamechanger op het gebied van je zaakjes lokaal houden. Is echt nog nooit zo makkelijk geweest.

Anoniem: 91634 @Anoniem: 84997 • 4 januari 2024 15:58

Voor mij is dat ik de rede om geen passwoord managers te gebruiken. Uiteindelijk is alles te kraken alleen niet bij alles is het de moeite waard om het te kraken.

Gezien passwoord managers bijna een letterlijk een kluis is met veel waardevolle informatie zal dit veel eerder een doelwit zijn van hackers.

Anoniem: 84997 @Anoniem: 91634 • 5 januari 2024 09:06

Had ook die filosofie, totdat m'n linkedin wachtwoord een keer via de mail werd opgestuurd. Gelukkig daarvoor al wel verschillende wachtwoorden in gebruik, maar een beperkt aantal. Nu toch maar per dienst/account een wachtwoord, met een lokale keepass.

Enige wat imho goed werkt is 2FA, dan krijg je ook push meldingen bij het aanmelden op diensten. Mocht er misbruik gemaakt worden, kom je er meteen achter.

Nyarlathotep 4 januari 2024 10:15

Je moet als Master password ook een passphrase gebruiken. Twaalf karakters is nog steeds kort. Bovendien is een passphrase moeilijker te kraken, maar (vind ik zelf) wel makkelijker te onthouden.

Aeternum 4 januari 2024 11:37

Vaag, de sterkte van een wachtwoord hangt af van de complexiteit en aantal characters, nu is 12 niet bijzonder maar ik gok dat op het moment dat je dit soort juwelen: ¶ ù ü Ā in een 8 letterig wachtwoord stopt dat het niet in een dictionary attack zit en ook niet bij een eerste brute force poging.

Daslan 4 januari 2024 12:56

Ik heb nooit verder gekeken naar een andere password manager, gezien ik ook diep in de Apple ecosysteem zit vraag ik me af hoe veilig en beveiligd Apple's "wachtwoorden" kluis is.

Iemand hier verstand van?

NotWise @Daslan • 5 januari 2024 11:00

Tip: je kan een 3rd party wachtwoordkluis gebruiken als eWallet op IOS. Die draait op de meeste platforms. Ik gebruik het zelf al vele jaren op Windows en IOS. Het kan onderling syncen.
Over hoe veilig Apple's kluis is, kan niemand hier iets roepen want het betreft geen open-source software (zover ik weet) waarin iedereen kan grasduinen. Daarbij niets is 100% veilig.

MrMonkE 4 januari 2024 10:07

Hoeveel miljoen jaar met 10 tekens?

phizzie @MrMonkE • 4 januari 2024 10:40

Als [a-z] en [A-Z] en [0-9] en speciale karakters: geschat 2 jaar met 'huidige technologie'. Onder andere kun je schattingen daarover verkrijgen via https://www.passwordmonster.com

Mijzelf @phizzie • 4 januari 2024 13:30

Ik heb zeer mijn twijfels over de accuraatheid van die schatting. 'abcdefghij' zou je kunnen kraken in 0 seconden, terwijl 'ABCDEFGHIJ' 0.03 seconden kost. Maar 'abcdxxghi' kost 21.09 seconden. Terwijl ik niet zie waarom die verschillende passwords verschillende moeilijkheid zouden hebben bij brute forcen.

Saiboth @Mijzelf • 4 januari 2024 16:43

Er staat gewoon uitgelegd waarom het een slecht wachtwoord is: het is een logische reeks karakters. De site gaat er dus vanuit dat er ook dictionaries worden gebruikt.

Ter illustratie braadworst = 5 uur, braadworsr = 1 jaar.

phizzie @Mijzelf • 4 januari 2024 18:36

1 woord: Rainbowtables.
Je genoemde voorbeeld "abcdxxghi" is een variant die waarschijnlijk niet in een rainbowtable voorkomt en derhalve, all low caps, redelijk rap gevangen wordt.
All low caps en all full caps zijn complete woordenlijsten voor, met alle letter- en/of cijfercombinaties tot en met 10 karakters. Er zijn vast leuke websites die actuele lijsten aanbieden.

Mijzelf @phizzie • 4 januari 2024 19:45

All low caps en all full caps zijn complete woordenlijsten voor, met alle letter- en/of cijfercombinaties tot en met 10 karakters. Er zijn vast leuke websites die actuele lijsten aanbieden.

Geloof je het zelf? Alle letter- en/of cijfercombinaties tot en met 10 karakters? Als we even vanuit gaan dat het alleen kleine letters zijn, zijn dat 36 mogelijkheden per karakter. Met 10 karakters is dat 36¹⁰ mogelijkheden, dat is 3,65*10¹⁵ stuks. Moet je 1 hash per mogelijkheid opslaan, laten we uitgaan van md5, is dat dus 3*10¹⁶ bytes, ongeveer 30000 terabyte. En compressie kun je vergeten.

Rainbowtables verloren hun relevantie toen het gebruikelijk werd om een salt te gebruiken voor het hashen.

Mijzelf @MrMonkE • 4 januari 2024 12:55

Met hoofdletters, kleine letters, cijfers en een paar speciale karakters heb je ongeveer 64 mogelijkheden per karakter, dat is 6 bits. Dus een password van 10 karakters is 60 bits, dat zijn ongeveer 10^18 mogelijkheden. Als je 1 miljard pogingen per seconde kan doen, ben je dus ongeveer 1 miljard seconden (= 31 jaar) bezig om alle mogelijkheden te bruteforcen. Gemiddeld heb je dus 16 jaar nodig om het password te kraken. (Dan heb je 50% gehad)

OLED 4 januari 2024 10:00

Het lijkt me echt erg om afhankelijk te moeten zijn van een wachtwoordmanager die door een derde partij gemaakt wordt en regelmatig met beveiligingsproblemen in het nieuws is. Dan vraag je er toch echt een beetje om.. hoe vaak moet iemand gewaarschuwd worden?

Polderviking

@OLED • 4 januari 2024 10:25

Volgens mij is er ondanks de herrie nog niet echt concreet wat aan de hand en werkt de encryptie van die opslag in de basis als ontworpen.
Je hebt inmiddels een jaar gehad om je wachtwoorden bij te werken.

Als ik gericht zoek naar gevolgschade vind ik in ieder geval nogsteeds niet veel meer dan wat vage bronnen die het hebben over gestolen cryptovaluta die naar horen zeggen in LP waren opgeslagen.

[Reactie gewijzigd door Polderviking op 22 juli 2024 13:56]

TijntjeB 4 januari 2024 10:01

Voor een bedrijf dat prat gaat op veiligheid vind ik dat het lang duurt voordat dit verplicht wordt.

En daarnaast; het veranderd niets aan het feit dat je wachtwoord altijd gebruteforcet kan worden.
Je gebruikersnaam is gelekt, dus of je wachtwoord nu acht tekens of 12 tekens bevat, je bent een tikje 'bereikbaarder' met je account.

Echter zijn er waarschijnlijk andere plekken op het boze internet waar je je onveiliger zou moeten voelen dan met je account van LastPass met een nieuw 12 tekens lang wachtwoord.

ShadLink @TijntjeB • 4 januari 2024 10:06

Bruteforcen zou je kunnen breken door wacthwoordhashes heel langzaam te maken. Als het bv 10 seconden duurt om een hash te maken dan ben je met 12 karakters (of meer) enkele jaren bezig voordat je het gebruteforced hebt.

TijntjeB @ShadLink • 4 januari 2024 10:33

Ah, that makes sense! Bedankt voor je reactie.

Op dit item kan niet meer gereageerd worden.

LastPass verplicht masterwachtwoord van minstens twaalf tekens na hack

Lees meer

Reacties (193)

Sorteer op:

Weergave: