1Password verhelpt kwetsbaarheid Mac-versie die gegevensdiefstal mogelijk maakt

Door een kwetsbaarheid in 1Password 8 for Mac kunnen kwaadwillenden toegang krijgen tot inloggegevens en andere opgeslagen data uit de kluizen van de wachtwoordmanager. Moederbedrijf AgileBits heeft een beveiligingsupdate uitgebracht om het probleem te verhelpen.

Via de kwetsbaarheid kunnen de beveiligingsmechanismen van de wachtwoordmanager worden omzeild, waardoor kwaadwillenden in staat zijn om gegevens uit 1Password te filteren. De aanvaller moet hiervoor wel kwaadaardige software uitvoeren op het apparaat, die specifiek is gericht op 1Password for Mac. Volgens 1Password-maker AgileBits zijn er geen aanwijzingen dat de kwetsbaarheid daadwerkelijk is misbruikt.

Het Red Team van Robinhood ontdekte de kwetsbaarheid en meldde dit aan AgileBits. Het probleem wordt aangeduid als CVE-2024-42219 en heeft een CVSS-score van 6,3. Het probleem is van toepassing op alle versies van 1Password 8 for Mac die voor versie 8.10.36 zijn uitgebracht. Vanaf die versie is het probleem verholpen. AgileBits raadt gebruikers dan ook aan om hun wachtwoordmanager te updaten naar de nieuwste versie.

1Password for Mac

Door Sabine Schults

Redacteur

12-08-2024 • 16:18

72

Submitter: wildhagen

Reacties (72)

72
72
29
0
0
27
Wijzig sortering
Dit is de reden waarom ik geen password manager gebruik. Te riskant om alle belangrijke informatie op 1 plek op te slaan. De veiligste manier is nog altijd om een slimme password strategie te bedenken en de passwords op te slaan in je hoofd. Als een hacker echt wil is dat natuurlijk ook re hacken, maar omdat dat per individu gedaan moet worden is dat een stuk minder interessant.
Wat gebruik je dan om overal een ander wachtwoord en je MFA te gebruiken?
Volgnummers natuurlijk! :+
Wat versta je onder een slimme password strategie?

Ik weet niet hoe het met jou en de wildgroei aan account zit overal en nergens maar ik heb inmiddels zo'n 300 accounts in mijn privé manager en nog eens 150 in mijn zakelijke.
Daar ga ik niet allemaal unieke en ook nog sterke wachtwoorden voor kunnen onthouden.

Kom zo vaak op websites waar ik dan opeens een login voor heb waar ik me oprecht helemaal niks van kan herinneren.
"I have no memory of this place."

[Reactie gewijzigd door Polderviking op 12 augustus 2024 17:12]

Een phishing resistant gebruiken in plaats van een wachtwoord. Wachtwoord met MFA is allang achterhaald en is hartstikke onveilig. Helaas heb ik prive nog wel enkele wachtwoorden, maar zakelijk is toch alles Entra en dus phishing resistant.
Kan je uitleggen wat dat is want ik heb geen idee waar je het over hebt :)
CBA, WHFB en FIDO2.
Je hebt een interessante kijk op "uitleggen".
Juist niet.

De crux bij MFA zit hem in het feit dat de eindgebruiker 2 bevestigingen via 2 onafhankelijke kanalen moet doen. Een lek is dus geen directe inbreuk en dit systeem is best elegant te noemen, biometrie was al achterhaald bij de introductie op de pc.

Verder is niets phishing resistant.
Maar hoe beschermt een MFA "eindgebruiker 2 bevestigingen via 2 onafhankelijke kanalen" dan tegen evilginx? In onze organisatie hebben wij MFA er juist uitgegooid omdat het zo vatbaar is voor evilginx. Alle logins zijn verplicht WHFB of FIDO2 en gebruikers krijgen ook geen wachtwoord. Kun je uitleggen hoe de methode die je noemt enige mate van veiligheid biedt?

[Reactie gewijzigd door ibmpc op 13 augustus 2024 02:14]

door je lokale token te encrypten en te binden met die van je IdP
Mee eens. Ik gebruik geen password manager waar mogelijk. Als het mogelijk is stel ik meteen een phishing resistant in. Helaas lopen ze hier in de VS erg achter en gebruikt onze bank bijvoorbeeld nog een wachtwoord met MFA. Jullie hebben in Europa geluk met jullie hoge mate van beveiliging. Wachtwoordloos een mooie tussenstap naar betere beveiliging maar is helaas nog niet overal werkelijkheid.

[Reactie gewijzigd door ibmpc op 12 augustus 2024 17:27]

Wat bedoel je met een “phishing resistant”?

Klinkt alsof je het over phishing resistant MFA hebt, wat ook gewoon MFA is met een extra tijdelijke code.

Normale MFA hoeft niet per see minder veilig te zijn, maar dat hangt af van de eindgebruiker. Zo lang je goed op let wat je doet, is MFA zeer veilig.

Met een password manager is dit overigens nog veiliger, omdat die de domeinnaam / invoerveld controleert alvorens het in te vullen. Met je wachtwoord strategie kan je alsnog fouten maken en je wachtwoord per ongeluk invullen (naast wachtwoorden vergeten).

Passkeys zijn uiteraard nog veiliger.

[Reactie gewijzigd door Coffee op 12 augustus 2024 18:27]

Phishing resistant is bijv. CBA, WHFB of FIDO2.
Normale MFA is hartstikke onveilig en zou zo snel mogelijk moeten worden uitgefaseerd. Het is hartstikke vatbaar voor Evilginx.
En leg het nu ook eens uit ipv met wat standaarden te gooien?
Je geeft linkjes naar microsoft Windows Hello For Business en FIDO2 (oa gebruikt door yubikey). Dit tweakers artikel gaat over een kwetsbaarheid bij MacOS. Hoe zou ik dit als MacOS gebruiker kunnen toepassen zonder microsoft infrastructuur of als consument die geen Entra omgeving heeft.

[Reactie gewijzigd door MarcMK2 op 13 augustus 2024 09:50]

Bor Coördinator Frontpage Admins / FP Powermod @MarcMK213 augustus 2024 21:36
Hoe zou ik dit als MacOS gebruiker kunnen toepassen zonder microsoft infrastructuur of als consument die geen Entra omgeving heeft.
Niet dus maar het klinkt wel interessant. WHFB is Windows only zoals de naam al suggereert. FIDO-2 zelf is wel weer OS onafhankelijk.

[Reactie gewijzigd door Bor op 13 augustus 2024 21:36]

Ben je nou serieus of doe je een 'Rian van Rijbroekje' ?
hahaha daar moest ik ook aan denken.
Is een interessante podcast over gemaakt, trouwens: https://www.ad.nl/podcasts/in-de-ban-van-rian-1292
Ik begrijp niet waar je het over hebt. Mijn fulltime baan is Conditional Access, dus vandaar dat mijn werkzaamheden bestaan uit het uitfaseren van reguliere MFA ten gunste van CBA, WHFB en FIDO2. Ik weet hoe MFA onveilig is omdat ik elke dag met evilginx werk.
Bor Coördinator Frontpage Admins / FP Powermod @ibmpc13 augustus 2024 21:31
Jouw fulltime baan is het werken met conditional acces? Iets wat je doorgaans een keer goed inricht en niet frequent aanpast. En daarvoor werk je op dagelijkse basis met een man-in-the-middle attack framework?
Ik kom bij bedrijven waar vaak al een evilginx heeft plaatsgevonden. Jullie zijn in Europa al behoorlijk ver met beveiliging. Hier in de VS werken we nog met wachtwoorden en MFA. Het kost weken om een organisatie voor te bereiden op WHFB of alternatieve vormen van authenticatie, zoals FIDO2. Dat doe je niet even in een dag. Bovendien zijn de basispolicies in Conditional Access redelijk one size fits all, maar er is veel customization nodig.
De grap is dat je nu net doet of je er veel vanaf weet en ondertussen compleet mist dat CBA, WHFB en FIDO2 ook vormen van MFA zijn...

Vervolgens verkondig je ook nog eens dat je geen wachtwoord manager gebruikt en dus, blijven er als enige mogelijkheden over, dat je of a) overal je eigen wachtwoorden verzint of b) je enkel en alleen sites/accounts gebruikt met Passkeys of een van je andere afkortingen waar je geen wachtwoord voor nodig hebt.

Sorry dat ik het zeg, maar het klinkt een beetje ongeloofwaardig (en vandaar dan ook de andere reacties)

[Reactie gewijzigd door [Yellow] op 14 augustus 2024 09:20]

CBA, FIDO2 en WHFB zijn phishing resistant MFA en dus absoluut geen normale MFA met een TOTP code of pushnotificatie. Waar zeg ik precies dat ik geen wachtwoordmanager gebruik?
Ik gebruik geen password manager waar mogelijk
Al mijn Entra accounts daarvan weet ik mijn wachtwoord niet van en ik wil het ook niet weten. Die staan niet in een passwordmanager (je kunt dus concluderen dat ik voor het overige wel een wachtwoordmanager gebruik).

Verder werk ik dagelijks met de schade die evilginx veroorzaakt. Jullie hebben daar in Europa niet zo'n last van door de hoge mate van beveiliging door GDRP, door NIS2 en dat soort dingen. De wereld bestaat alleen uit meer dan Europa.

[Reactie gewijzigd door ibmpc op 14 augustus 2024 23:36]

Ik heb inmiddels bijna 1000 items in mijn bitwarden database... jij weet niet eens op welke website je een account hebt. Ik wel.
Idd. En zelfgehost op mijn Raspberry Pi in huis. Dit is tot dusverre de beste oplossing die ik tegen ben gekomen nadat ik paar jaar, overigens naaar volle tevredenheid, de familie-editie van LastPass had gebruik.
Ik ben juist heel blij met mijn password manager (1password), ik gebruik geen Mac dus dit probleem is voor mij niet van toepassing. Wat ik niet in de kluis bewaar is het wachtwoord van mijn emailadres en digid.
Mocht er toch een account zijn gehackt en daarop bijvoorbeeld spullen zijn besteld dan krijg ik de notificatie alsnog.

Mochten er nog meer tips zijn dan hoor ik dat uiteraard graag.
Dit vind ik wel een goede tip, thanks
Alles heeft voor- en nadelen (of potentiële risico's), maar om deze reden geen wachtwoordmanager gebruiken is slecht advies.
Gebruik een populaire wachtwoordmanager die bij voorkeur open source is, en de kans dat je op deze manier in de problemen komt is héél erg klein. Dit lek is vermoedelijk niet misbruikt.
Inderdaad. Het gebruik van een wachtwoord manager is, zolang er geen beter alternatief is, altijd een goed idee, mits je goed aan de spelregels houdt.
Dat zou ik niet zo kunnen doen. Ook nog bijhouden dat in sommige gevallen het wachtwoord gewijzigd moet worden, dus daarmee je strategie complexer moet gaan worden; in andere gevallen heb je te maken met limieten op het wachtwoord (lengte, gebruikte karakters, mogen geen 2 karakters achterelkaar hetzelfde zijn, etc.).
Een wachtwoordmanager is wat mij betreft ideaal. Het is trouwens niet alleen voor het wachtwoord bedoeld, maar ook voor diverse andere metadata.
Ik gebruik, vooral op mijn werk, voor websites waar ik niet regelmatig kom ook vaak “wegwerp wachtwoorden”. Die gebruik ik maar één keer en bij een volgend bezoek klik ik gewoon op wachtwoord vergeten. Ja, kost een paar tellen om de mail af te wachten, maar dan hoef ik geen wachtwoord manager te onderhouden. En werkt overal waar ik toegang tot mijn mail heb.
En je email wachtwoord heb je dan op zijn minst toch wel genoteerd in een geheim.txt in je download map? :+
Post-it op de monitor ;)
Een paar 100 wachtwoorden "slim" opslaan in m'n hoofd? Ik zie het me niet doen. Zeker niet als je geavanceerde wachtwoorden wilt gebruiken.

Zelf heb ik eerst jaren met LastPass gewerkt, die het op een gegeven moment volledig af liet weten op mijn Windows PC, zelfs na herinstallatie. Toen overgestapt op 1Password. Was ik redelijk tevreden over, maar niet volledig tevreden. Vulde vaak de logingegevens niet in op sites, zodat ik uit de database van 1Password moest gaan knippen en plakken.

Enkele maanden geleden overgestapt op Bitwarden en daar ben ik toch wel zo blij mee. Werkt zoals het hoort te werken.... vult de passwords netjes in en als dat eens niet werkt, is deze makkelijk op te vragen via het contextmenu. Ook de geïntegreerde dubbele authenticatie en passkeys bevalt me uitstekend.
Tot het gaat om een bitcoin account en iemand een geladen pistool tegen je hoofd zet, dan ben je toch echt de klos. Ik niet want ik weet 0 wachtwoorden uit m’n hoofd, want alles is random.
Ik hoop dat je wel het wachtwoord van je Wachtwoord Manager uit je hoofd weet ;)
(die ze dan ook wel vragen aan je, zodat ze alsnog bij je bitcoin account kunnen)
Zonder MFA ben je dan nog nergens!
Die ze dan ook wel vragen aan je, zodat ze alsnog bij je bitcoin account kunnen.

Het bekende "$5 wrench" verhaal :P
Dus je denkt dat je niet "de klos" bent in dat geval omdat je het wachtwoord niet kent ?

Even voor de goede orde: Het gevaar in die situatie is niet je wachtwoord afgeven, het gevaar is dat geladen pistool tegen je hoofd. Het is niet zo dat omdat je het wachtwoord niet weet je immuun bent voor fysiek geweld.
Daarom zoveel mogelijk travel mode gebruiken. Dan zie je zulke informatie niet staan.
Dat is vrijwel de eerste gedachte die opkomt als er sprake is van een kwetsbaarheid. Ik zou zelf niet willen en kunnen vertrouwen op mijn brein als het op wachtwoorden aankomt.
Dan is een lokale password manager zoals Keepass(xc) nog steeds veiliger. Daarvoor moeten ze ook jou als individu hacken(bij deze hack overigens ook aangezien ze toegang tot een mac nodig hadden). De kans is groter dat jouw zwakke aan elkaar gerelateerde wachtwoorden in een hack komen en ze op die manier je wachtwoord kunnen achterhalen voor andere diensten.

Ik ben trouwens benieuwd of je ze niet stiekem in de ingebakken brakke browser password managers zet?
Deze specifieke kwetsbaarheid gaat er juist over dat de 'lokale' database van 1Password gehackt wordt en ze je dus als individu moeten hacken.

Lost daarvan gebruik ik ook alleen lokale wachtwoord managers! (Niet altijd even handig overigens)
Ik ben wel blij met mijn KeePass database, voordeel is dat je die in eigen beheer kunt hosten zonder aan enig abonnement vast te zitten. Zolang je de MFA keys niet in dezelfde database zet ben je best veilig mocht je database gejat en gekraakt wordt.
Dat is nog leuk als je hooguit 10 accounts hebt, daarna echt niet meer. Even ervan uitgaand dat je wachtwoorden niet voor meerdere accounts wil gebruiken en ze onderling onvoorspelbaar genoeg moeten zijn als er toch eens eentje uitlekt.

Komt ook nog het vraagstuk "digitale nalatenschap" bij. Een hoop dingen mogen mee mijn graf in, maar het maakt het voor de achterblijvers wel een stuk eenvoudiger als er een kluis bestaat waar de dingen in staan waarvan ik wél wil dat ze erbij kunnen als erfgenamen. Al is het maar zodat ze niet door allerlei hoepels moeten springen om bepaalde accounts te kunnen afsluiten, ze hebben het dan al moeilijk genoeg. Toch maar eens een keer nadenken over een of andere multi-factor oplossing hiervoor.
En dan overal hetzelfde wachtwoord, leuk als hij op 1 van de vele lijsten komt, geen app die je dat meldt en je weet nooit meer waar je hem allemaal moet wijzigen.
Nee, geef mij maar 1password, die dat checkt en voor elke site een sterk wachtwoord genereert en opslaat. ;) Stuk veiliger!
Goed dat 1passwoord deze kwetsbaarheid voor MAC verhelpt. Maar het is nog een grotere kwetsbaarheid CWE-316, de masterwachtwoord uit geheugen uit te lezen is. Het betreft niet alleen 1passwoord, ook Bitwaarden, HeyLogin en diverse VPN diensten.
https://www.secuvera.de/b...ter-in-passwortspeichern/
Is dit ook van toepassing op MacOS? Mijn aanname was dat dit meer gehardened zou zijn bij de desktop app icm secure element.

Het is wel een intrinsiek nadeel van een wachtwoordmanager. Het is code die draait op een device, code execution => 🪦
Je kan bij bijv 1Password ook MFA verplichten voor het registreren van nieuwe apparaten. Zelfs als je dan het hoofd wachtwoord + de secret key hebt kan je dan nog niet bij de kluis. Als je de kluis wel al lokaal hebt is er volgens mij wel een probleem, omdat MFA alleen het downloaden van de kluis van 1P online blokkeert.
Ik heb toevallig van de week een hardware key aan 1Password toegevoegd. Ik kon op al mn apparaten 1Password niet meer gebruiken tot ik de hardware key had gebruikt voor authenticatie. Dus waarschijnlijk geen updates meer van data maar de data die er nog stond "onveilig"
Dat is wel wat kort door de bocht. Ik heb niet alles gelezen, maar bijvoorbeeld de "kwetsbaarheid" van BitWarden valt echt reuze mee.
In de volgende versie van MacOS (Sequioa) en iOS 18 zit een ingebouwde password app dus voor veel mensen zijn dit soort apps straks (gelukkig) overbodig.
Voor mij werkt Apple’s Keychain goed genoeg!
Het wordt er alleen maar beter op. zo kan je straks ook gemakkelijk delen met vrienden/familie etc voor o.a. Support ;)
Zoals gezegd wordt het een aparte app, met wat meer functies.
Je kan ook je wifi wachtwoord delen met een QR code enzo ermee, en je Apple Keychain van je Safari etc wachtwoorden staan er ook in.

Dus niet alleen vanuit settings menu, maar ook beschikbaar als losse app met wat meer functies.
Op MacOs is het al een aparte app namelijk “KeyChain” in de map Utilities. En de WiFi wachtwoorden zijn er ook terug te vinden. In iOS loopt het inderdaad via settings en zijn de WiFi wachtwoorden onzichtbaar.
Dit is alleen wel een stuk ingewikkelder als ik logingegevens wil delen met mijn gezin (accounts van kids, delen met een van de kids + vrouw), die niet allemaal gebruik maken van iOS of macOs. Schoollaptops zijn zga altijd Windows-gebaseerd, wat dit een stuk ingewikkelder maakt als je alleen af gaat op de wachtwoordmanager die Apple in z'n producten meelevert.
Ik vraag me af hoe een degelijke kwetsbaarheid zich verhoud met lokale oplossingen (bv keepass), is dit nu een extra kwetsbaarheid of toch niet. Lijkt van niet, aangezien de kwetsbaarheid lokaal tot uiting komt. Maar misschien zijn 1password gebruikers beter te achterhalen door het centraal gebruik van een server. Dan kan gerichter gebruikers worden aangevallen.
Huidige MacOS versie van 1Password is 8.10.39; met .38 ben je ook safe overigens.
Releasenotes: https://releases.1password.com/mac/8.10/#changelog
Het blijven toch enorme honeypots, die password managers. Ik gebruik 1password met veel plezier, echter ik vraag me af of Keepass / KeepassXC op een cloud drive tegenwoordig een beter alternatief is.
Je kunt gebruik maken van een “extra” deel van het wachtwoord dat opgelsagen wordt in een keyx bestand en deze wel op je device zetten, maar niet in de cloud. Dan is een eventuele compromise van je cloud wachtwoord database niet meteen een ramp, daar is nog steeds dat extra keyx bestand voor nodig, die je hopelijk dan wel zorgvuldig beschermt.
Zowieso altijd een sleutel bestand (Key file) gebruiken. Niet allen versterkt dat het master password aanzienlijk maar het is ook een extra bestand dat een hacker moet bemachtigen (niet onmogelijk maar toch weer een extra stap)
Voor de komende OS release heeft Apple een eigen Password manager.
En is Apple’s Keychain dan geen wachtwoordmanager?
Die hebben ze al Apple Keychain, alleen in de volgende release van Apple is het een aparte app.
Het zal dan ook je wifi wachtwoorden bevatten, het delen van bijv je wifi wachtwoord via QR code enzo mogelijk maken.

Dus Apples wachtwoord manager wordt uitgebreider.
Voor werk gebruik ik 1Password en omdat we ISO27001 compliant moeten zijn zit de security officer hier bovenop bij ons. We hebben dus direct allemaal de nieuwste versie geïnstalleerd.

Het werkt allemaal best goed, maar elke grote online wachtwoordmanager blijft de veiligheid tegen gegevensdiefstal levensgroot. We hebben bij Lastpass gezien hoe het niet moet. Het liefst heb ik het gemak van 1Password, maar dan offline. En dat bestaat gewoon niet.

Ik heb privé geen Mac en gebruik KeePass als wachtwoordmanager. Ik hoef nog maar 1 wachtwoord te onthouden, en de unlock-code van mijn telefoon. Ideaal. Ik vertrouw op de veiligheid van KeePass vanwege de open source aard en doordat er vaak wordt gecheckt op beveiligingsissues. Altijd bijblijven met de laatste versie is toch wel onhandig, dat moet handmatig op alle apparaten. Een voordeel is wel dat KeePass gratis is, al die online aanbieders zijn dat niet.
Sorry, maar met een lokale aanval als deze met 1password, is KeePass net zo vulnerable. Het is wachten op iemand die het gaat uitzoeken. Wellicht is er al eentje (open source, wel zo makkelijk researchen)...

Zoals anderen al melden in deze draad is het gebruik van software (een password manager) nu eenmaal een risico. Voor mij en de overgrote meerderheid een acceptabel risico.

[Reactie gewijzigd door nassau op 13 augustus 2024 11:33]

Niet helemaal. Quote van 1Password zelf:
To exploit the issue, an attacker must run malicious software on a computer specifically targeting 1Password for Mac. An attacker is able to misuse missing macOS specific inter-process validations to hijack or impersonate a trusted 1Password integration such as the 1Password browser extension or CLI.
Hier wordt gesproken over specifiek de Mac-versie, met macOS specifieke processen. Keepass is Windows only.

Los daarvan: voor KeePass zijn in het verleden ook genoeg vulnerabilities geweest, en die werden (en worden) altijd netjes tijdig opgelost. Voor grote online aanbieders is het risico groter, omdat het publiek groter is. Je kunt niet anders dan dat risico accepteren. Ik heb het risico op wachtwoorden uitlekken na diefstal van de kluis verkleind door een wachtwoord en een key file te gebruiken, maar een risico op een exploit in een browserextensie verklein je alleen door de extensie niet te gebruiken.
Volgens mij zijn wij het helemaal eens met elkaar
1password zijn ook wel echt de grote jongens in de passwordvault wereld. Niet stuk te krijgen

Op dit item kan niet meer gereageerd worden.