LastPass forceert nieuwe wachtwoordaanmaak na mogelijke hack

Wachtwoordmanager LastPass dwingt gebruikers een nieuw masterwachtwoord aan te maken, omdat de dienst mogelijk te maken heeft gehad met een hack. Ook sluit het gebruikers die vanaf een afwijkend ip-adres inloggen buiten.

LastPass zegt niet zeker te weten of er sprake was van een hack, maar heeft een anomalie geconstateerd bij het bekijken van de netwerklogs van een van de databases. "Omdat we de anomalie niet kunnen verklaren, doen we paranoïde en gaan we uit van het slechtste scenario: dat de data in de database op een of andere manier benaderd is", meldt het bedrijf in een verklaring.

De hoeveelheid data die vanaf de machine getrokken werd, zou groot genoeg zijn om mailadressen, de server-salt en de hashes van wachtwoord-salts van de database te bevatten. Salts worden gebruikt om het kraken van versleutelde bestanden te bemoeilijken. Ze worden samen met het te versleutelen bestand, bijvoorbeeld een wachtwoord, via een eenweg-hashfunctie bewerkt. Het resultaat maakt dat een aanvaller minder succes zal hebben met bijvoorbeeld rainbowtables bij het kraken van wachtwoorden. Over die resultaten beschikt de mogelijke aanvaller dus.

Eenvoudige wachtwoorden die met brute force, zoals een dictionary-aanval, te kraken zijn, blijven wel kwetsbaar als de aanvaller over de hashes van wachtwoorden beschikt, ook al zijn die salted. Omdat veel gebruikers nog altijd normale woorden gebruiken als wachtwoord, gaat LastPass iedere gebruiker dwingen zijn hoofdwachtwoord te wijzigen. "Daarnaast willen we een indicatie dat jij ook daadwerkelijk jij bent", schrijven de mensen achter de dienst. "Dat doen we door ons ervan te verzekeren dat je komt vanaf een ip-adresreeks die je eerder hebt gebruikt of door je mailadres te verifiëren." Veel gebruikers reageren geïrriteerd op de verklaring. Ze worden buitengesloten omdat hun browser als mobiel apparaat buiten de ip-reeks valt of kunnen hun mail niet bereiken omdat dit onderdeel is van de LastPass-locker.

IT-banen

Reacties (70)

Muta 5 mei 2011 14:56

Ehm, ik weet niet wie denk dat het handig/veilig is om op een site al je wachtwoorden te zetten... maar volgens mij is het veiliger om het op een papiertje te zetten en thuis te bewaren..... waar gaat het heen met de wereld. Op internet is NIKS veilig, daar hou ik altijd rekening mee.

RobIII @Muta • 5 mei 2011 15:00

Ehm, ik weet niet wie denk dat het handig/veilig is om op een site al je wachtwoorden te zetten...

Moet je even dit lezen en dan je reply nog eens

Het principe is goed, en niet (veel) veiliger dan je wachtwoorden thuis opslaan bijvoorbeeld (en dan ga ik er nog van uit dat je KeePass oid. gebruikt; sla je 't in een tekstbestand op dan vraag je er juist om).

Ja, je loopt een klein beetje meer risico als hun servers compromised zijn, maar heel veel meer is 't niet. Dat je er geen wachtwoorden voor het lanceren van nucleaire raketten in moet zetten of voor, bijvoorbeeld, je telebankieren lijkt me wiedes. Maar als je, net zoals ik, voor alle sites unieke, degelijke (zoiets), wachtwoorden gebruikt wordt het nogal lastig om die allemaal te onthouden en dan juist biedt een tool als LastPass een degelijke oplossing. Zeker als je dan ook nog eens alles cross-browser (Chrome, IE, FireFox etc.) en cross-device (thuis, werk, laptop, iPhone) kunt syncen.

[Reactie gewijzigd door RobIII op 23 juli 2024 01:29]

Verwijderd @RobIII • 5 mei 2011 15:06

Mijn paswoorden zitten allemaal in een txt file hernoemt naar "funnyicon.gif" (andere naam in realiteit, het is wel een gif). Die file staat niet in een password folder, gewoon in een "brol" folder. Het is een kwestie van "in plain sight niet de aandacht te trekken".

Die .gif (die uiteraard niet werkt) zit ook in mijn mailbox, een attachment van wat op een totaal onbelangrijke mail lijkt. Een eenvoudige manier om altijd aan al uw paswoorden te geraken.

Vroeger zat die .txt in een beveiligd rar bestand (hernoemt naar gif), maar daar ben ik vanaf gestapt, was te omslachtig om die te editen + niet iedereen heeft winrar/7zip op z'n pc...

Bij Lastpass is het net omgekeerd, daar weten hackers gewoon dat er info te rapen valt.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 01:29]

killercow @Verwijderd • 5 mei 2011 15:24

Je begrijpt dat tootljes als Magic precies vertellen wat voor filetype het zou moeten zijn/
En dat plain/text nogal opvalt met de .gif extensie?

Iemand die 2 minuutjes doorkijkt vindt je file dus vrij gemakkelijk geautomatiseerd.

Wat je eventueel kunt doen is je passwords in een comment veld van een image stoppen al is gewoon een encrypted file waarvan jij alleen de passphrase weet gewoon t nuttigst.

Limaad @Verwijderd • 5 mei 2011 15:15

Je weet dat je nooit en NERGENS moet vertellen waar je je wachtwoord opslaat?
En al helemaal niet als je je echte naam gebruikt ipv een nickname.

Je bent zo op te sporen (bijvoorbeeld via je linkedin, staat alles wat je doet en waar mogelijk informatie over jou te vinden is) en mailboxen zijn te hacken.

oja btw:
je kan de .gif zo maken dat het alsnog gewoon werkt.

[Reactie gewijzigd door Limaad op 23 juli 2024 01:29]

Verwijderd @Limaad • 5 mei 2011 15:17

Limaad is toch ook uw echte naam niet??? Jan Van Akkere is een nickname, mijn echte naam trekt er langs geen kanten op + ik heb geen LinkedIn account.. Een nickname die lijkt op een echte naam is me al heel goed van pas gekomen.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 01:29]

Limaad @Verwijderd • 5 mei 2011 15:27

Dan neem ik een deel van mijn woorden terug. Een fake-name is natuurlijk ook nice

maar dan nog. Vertellen waar je wachtwoorden zijn, of opslaan in je mail = dom
+ zoals hieronder wordt gezegd, inhoud wordt bekeken, vaak niet de extensie.

je zou ook de afweging kunnen maken om wachtwoorden gewoon op te schrijven op papier. Welke kans is groter, een inbreker in je huis die niet je tv jat maar op zoek is naar een wachtwoord van bijvoorbeeld paypal? of een hacker op zoek naar paypal accounts?

[Reactie gewijzigd door Limaad op 23 juli 2024 01:29]

kmf @Verwijderd • 5 mei 2011 15:14

Juist...

en als je het helemaal met veel omwegen wilt gaan doen, dan kan je ook even je password in een keepass-database zetten welke ook geencrypt wordt, deze in een truecrypt container zetten, en deze container in de hidden partition van een andere container zetten welke je weer weer embed in een videobestand genaamd vakantie2009.avi.

Verwijderd @kmf • 5 mei 2011 15:24

kmf je gaat me toch niet zeggen dat een gif hernoemen naar een txt omslachtig is? Dat hernoemen neemt misschien 2 seconden in beslag, het hernoemen naar gif weer 2 seconden...

[Reactie gewijzigd door Verwijderd op 23 juli 2024 01:29]

Verwijderd @Verwijderd • 5 mei 2011 15:58

In principe slaat het 'gif' maken van een text bestand ook daadwerkelijk nergens op.
Misschien leuk om iets voor je vrouw of vriendin te verbergen, maar als een hacker eenmaal een copy heeft van jouw HD of mailbox kan hij er natuurlijk zo achterkomen dat die gif geen echte gif is maar een text bestand. Het wordt mischien wat lastiger als het een echte gif is waarin je iets inzit.

Maar gewoon de extensie aanpassen is gewoon flauwekul kwa beveiliging.

Wolfos @Verwijderd • 5 mei 2011 17:10

Maar een hacker zal niet in ieder .gif bestandje gaan kijjken hoor.
Ik heb mijn wachtwoorden wel in Apple's keychain staan, maar belangrijke wachtwoorden (voor services die me geld kunnen kosten) die staan allemaal op de veiligste plek: in mijn hoofd.

Precision @Wolfos • 5 mei 2011 19:34

Maar een hacker zal niet in ieder .gif bestandje gaan kijjken hoor.

Nee daar heeft hij een script voor dat hij laat lopen en terwijl koffie gaat drinken.

IStealYourGun @Wolfos • 5 mei 2011 21:20

Onder *nix (en dus OSX) is het zelfs een stuk makkelijker.

~$ file funnyicon.gif
funnyicon.gif: UTF-8 Unicode text

Verwijderd @IStealYourGun • 6 mei 2011 10:49

Inderdaad, combinatie van 2 posts hierboven + conditionele scan van het document. Als je bestand dan nog toevallig in een cluster(ketting) zit, die zich bevindt aan het begin van de harde schijf, staat de hacker waarschijnlijk net recht van zijn stoel om koffie te halen.
Ik trek er mij niet veel van aan, maar het is opvallend dat mensen die zich bewust zijn van het bestaan van de manieren om hun privacy en beveiliging (zelf) te garanderen, het risico gewoon verkleinen. Terwijl de overgrote meerderheid het zelfs niet door heeft dat hun PC deel uitmaakt van een botnet. Tot de computer nog maar op 10% van z'n rekenkracht alle zaken moet uitvoeren en het neefje erbij geroepen wordt, die z'n ogen niet kan geloven.

Ignorance is bliss, alhoewel...

Balachmar @Verwijderd • 5 mei 2011 15:15

Je weet zeker nog niet dat er ook besturingssystemen zijn die zich helemaal niets aantrekken van de extensie en naar de inhoud (header) kijken om wat voor file het gaat.
Deze zal meteen zien dat jouw gif geen plaatje is maar tekst.
Als jij de e-mail met gif opent over een onveilig netwerk kan het dus nog steeds erg makkelijk opgepikt worden.

RobIII @Verwijderd • 5 mei 2011 15:15

Security through Obscurity

Nee, dat is een goed idee

[Reactie gewijzigd door RobIII op 23 juli 2024 01:29]

thefal @Verwijderd • 5 mei 2011 21:32

Mijn wachtwoorden staan ook in een textfile. Deze heb ik echter geRARt, met wachtwoordprotectie. Deze rar staat in een andere rar, met nog een wachtwoord. DEZE rar staat in een 3e rar, met nog een wachtwoord. Vervolgens heb ik deze rar hernoemt naar een plaatje, Gameboy Advance save (sav) of zoiets obscuurs. En dit natuurlijk ook in een map die hoort bij de bijbehorende extensie.

Iemand had me ooit verteld hiet op t.net dat een rar in een rar geen goed idee was, omdat dat makkelijk was te kraken. Iemand een idee hoe dat werkt dan, want mij leek dit aardig veilig

RobIII @thefal • 5 mei 2011 21:59

RobIII in 'nieuws: LastPass forceert nieuwe wachtwoordaanmaak na mogelijke hack'
En RAR-wachtwoorden zijn, AFAIK althans, relatief makkelijk te kraken/bruteforcen.

Eonfge @Verwijderd • 5 mei 2011 22:57

Er is zelfs een kant en klaar programma* voor om gifjes te scannen op verborgen containers, geheime patronen en plainheaders: http://www.darkside.com.au/gifshuffle/

Tegen je eigen vrouw zal jouw beveiliging wel werken, maar ik raad het eerder aan om post-its te gebruiken en die onder je stoel te plakken.

*Linux stijl... dus waarschijnlijk heb je alleen de source en moet je zelf nog compilen

YopY @RobIII • 5 mei 2011 22:00

Het principe is goed, en niet (veel) veiliger dan je wachtwoorden thuis opslaan bijvoorbeeld (en dan ga ik er nog van uit dat je KeePass oid. gebruikt; sla je 't in een tekstbestand op dan vraag je er juist om).

Je moet ook het grote plaatje bekijken. Als iemand dat briefje van jou jat, is het jammer - voor jou. Maar als de password databases van miljoenen gebruikers gekraakt worden is het een wereldwijd probleem. Decentralisatie = veiliger.

Wim-Bart @RobIII • 6 mei 2011 04:02

Niks is zo veilig als in je hoofd

Muta @RobIII • 5 mei 2011 15:02

Ik geloof in "alles valt te hacken".
Ze kunnen zeggen wat ze willen, de Titanic was ook onzinkbaar....

RobIII @Muta • 5 mei 2011 15:07

Ik geloof in "alles valt te hacken".

Ik ook, maar niet alles is de moeite waard om te hacken. Een beetje AES256 encrypted bestand duurt (met de huidige stand van zaken en een non-dictionary wachtwoord) duizenden jaren om te kraken. Als je dan honderden van die bestanden moet decrypten geef ik het je te doen

En dan moet 't ook nog maar net wat opleveren.

[Reactie gewijzigd door RobIII op 23 juli 2024 01:29]

VNA9216 @RobIII • 6 mei 2011 08:59

Wellicht zijn er al hackers die een manier hebben gevonden om AES256 snel te hacken.
Dat is een beetje het probleem met beveiliging van dit soort dingen, we gaan er altijd maar vanuit dat het veilig is, maar je weet nooit hoe ver hackers zijn met het kraken van een techniek. Het feit dat nergens gepubliceerd is dat het gehack is betekent niet automatisch dat het niet al gekraakt is.

Ghost Dog @VNA9216 • 6 mei 2011 14:11

Het encryptie-algoritme van AES256 is Open Source, en kan dus door iedereen ingezien worden. Dit is al jaren zo, dus eventuele kwetsbaarheden en backdoors zouden al lang ontdekt moeten zijn.

Verwijderd @RobIII • 5 mei 2011 22:10

Dit is niet encrypted, het is een hash (je login ww dan). Die zijn zeer gemakkelijk te kraken als je eenmaal de rainbowtable hebt gemaakt.

Je hoofdwachtwoord is dus makkelijk te kraken als je de salt alvast weet.

Als je het hoofdwachtwoord eenmaal te pakken hebt zijn die AES256 encrypted bestandjes peanuts...

rvl1980 @Verwijderd • 6 mei 2011 08:58

Yes... en inderdaad zijn dat dus drie als-en in je betoog. Zo ken ik er nog een paar:

Als je hoofdwachtwoord "password" is....
Als je hoofdwachtwoord op een post-it op je monitor zit....
Als... enz.

Bacchus @Verwijderd • 6 mei 2011 09:01

Een salt maakt het gebruik van rainbowtables juist (op het moment) onhaalbaar: rainbowtables van alle mogelijke wachtwoorden x alle mogelijke salts zouden idioot groot zijn (mits de salt een beetje zinnig lang is).

Verwijderd @RobIII • 6 mei 2011 10:35

duizenden jaren om te kraken.

Hangt van je beschikbare rekenkracht af: jij gaat waarschijnlijk uit van jouw PC. Mits een beetje botnet of cluster farm kan dat proces tig keer versneld worden.

NitroX infinity @Muta • 5 mei 2011 15:01

Ik denk dat jij het bericht nog eens moet lezen. Het gaat om wachtwoorden die ge-encrypt in een database stonden. Die wachtwoorden staan daar in om te vergelijken met de wachtwoorden die gebruikers invoeren, hoe wil je dat anders doen?

RobIII @NitroX infinity • 5 mei 2011 15:10

De wachtwoord databases van de users zijn encrypted; zonder masterpassword kun je er geen kont mee. En iedereen heeft natuurlijk z'n eigen masterpassword. Als je toegang wil tot je DB wordt 'ie als "BLOB" gedownload en client-side decrypted voor gebruik. Het wachtwoord gaat dus niet naar LP toe*

* Hoewel ik niet 100% zeker ben van de web-interface; die wordt echter middels SSL verstuurd, een MitM attack is zo al aardig goed (niet 100%) uitgesloten; enige risico dat er zou zijn is als de server dusdanig compromised was dat die masterpasses verstuurd zouden worden bij ontvangst (dus server-side) naar een attacker; daar hebben ze echter geen bewijs voor gevonden.

Lees het originele bericht er ook even op na en concludeer met mij dat 't allemaal (vooralsnog) wel meevalt en waarschijnlijk een storm in een glas water is.

[Reactie gewijzigd door RobIII op 23 juli 2024 01:29]

IStealYourGun @Muta • 5 mei 2011 15:02

Persoonlijk lijkt mij het papiertje thuis veiliger omdat er dan al fysieke toegang nodig is.

De regel is eigenlijk doodsimpel, vertrouw nooit iemand met je paswoorden, niet je moeder/vriendin/hond en zeker geen webdienst. Als je ze al online wil houden (in the cloud) maak dan gebruik van een geëncrypteerde container zoals keepass of truecrypt.

Edit: en natuurlijk met een zéér sterk wachtwoord.

[Reactie gewijzigd door IStealYourGun op 23 juli 2024 01:29]

Verwijderd @IStealYourGun • 5 mei 2011 15:09

KeePass stuk veilger dan een papiertje.

RobIII @IStealYourGun • 5 mei 2011 15:27

maak dan gebruik van een geëncrypteerde container zoals keepass of truecrypt

Of LastPass dus. De crux is namelijk dat LP een encrypted container ("blob") gebruikt

Wafje @IStealYourGun • 5 mei 2011 15:40

of je onthoudt gewoon je wachtwoorden?

planB @IStealYourGun • 7 mei 2011 00:13

Equivalent van een verstopt papiertje (op een windows bak):

notepad bla.txt:hidden.txt

(hidden.txt is dan wel gemaakt, maar niet zichtbaar)
zet met

notepad bla.txt

wat onzin in bla.txt , en je hebt ze verborgen :-)

Om ze te lezen doe je gewoon weer: notepad bla.txt:hidden.txt

[Reactie gewijzigd door planB op 23 juli 2024 01:29]

freeco

@Muta • 5 mei 2011 15:00

op de duur zou je inderdaad wel teruggrijpen naar de oldie technieken. Papiertje met passwords bewaren tussen wat DVD's of zo...

Eonfge @freeco • 5 mei 2011 17:07

Hoe vreemd het ook klinkt, het is wel erg veilig. De kans op een inbraak is klein in Nederland en de buit is meestal geld, juwelen, gadgets of computers. Als jouw wachtwoord is 'opgeslagen' aan de onderkant van je stoel, maakt het de kans of diefstal erg klein.

Verwijderd @Eonfge • 5 mei 2011 22:15

Je wachtwoord opschrijven is inderdaad een verdraaid goede beveiliging.

Veel security experts gaan huilen als je het zegt, maar er zijn ook veel die het juist een goed idee vinden. Wat op je computer staat, kan gehacked worden. Wat op de onderkant van jouw stoel staat blijft geheim.

De vraag is natuurlijk wel waar je je wachtwoord voor bedoeld. Als jij 500 GB KP hebt versleuteld en de rijksrecherche komt een kijkje nemen in jouw huis, dan vinden ze het wel.
Als jij een eerzaam burger bent, en je vreest er niet voor dat familie je wachtwoord gaat opsporen, dan zit je er best veilig mee.

kmf @Muta • 5 mei 2011 15:00

tja... in principe doet xmarks en andere syncservices ook hetzelfde. En dan is het wel wat begrijpelijker dat mensen dat dan wel doen.

Frostbite 5 mei 2011 15:29

Ik werk prive en op het werk nu met Keepass Safe.

Makkelijk zeker voor de afdeling. 1 wachtwoord en dan kun je makkelijk alles bijhouden.
Zeker als je dat wachtwoord redelijk eenvoudig houdt (ezelsbruggetje of zoiets) is het altijd handig.

Maar ja volgens mij gebruikt iedereen wel overal eenzelfde soort wachtwoord.

Limaad @Frostbite • 5 mei 2011 15:33

$_/-\o_$ een eenvoudig wachtwoord gebruiken om AL je wachtwoorden te ontsluiten $_/-\o_$

DFyNt2U @Frostbite • 5 mei 2011 15:54

Ik ben het met Limaad eens dat het niet zo slim is om de KeePass Master pass simpel te houden. Persoonlijk gebruik ik ook KeePass, maar met een 15 character password (@1Le categorieën natuurlijk). Aangezien ik heb vaak genoeg nodig heb, is het eenvoudig te onthouden.

Maar ik vermoed dat je hetzelfde in gedachte had gezien je zei 'redelijk eenvoudig met ezelsbruggetje'. Zolang het maar niet zoiets is als de eerste letters van de woorden in een zin

[Reactie gewijzigd door DFyNt2U op 23 juli 2024 01:29]

Yezpahr 5 mei 2011 14:58

Uit artikel: "Ook sluit het gebruikers die vanaf een afwijkend ip-adres inloggen buiten."

Dat is toch 1 van snuggerste acties after-hacking die een bedrijf ooit heeft aangekondigd.
Ik vroeg me al af of dat mogelijk zou zijn op grote schaal toe te passen in je database.

Dit zouden ze bij bijvoorbeeld WoW moeten proberen, dan is er gelijk een stuk minder animo voor de hackers om goldbots te maken

.

@Muta
Inderdaad, waar gaat het heen met deze wereld?
Vandaag bij de super de boer in de buurt een brandje met een gigantische groep ramp-toeristen die me de weg blokkeerden en doorgang expliciet weigerden. Tot ik een agent op hun afstuurde, die mij eerst vertelde niet op de stoep te fietsen.

Dus àls er een explosie of brand aan de gang is, gewoon blijven kijken ja, nìet weglopen/rennen.

[Reactie gewijzigd door Yezpahr op 23 juli 2024 01:29]

BramT @Yezpahr • 5 mei 2011 16:07

Blizzard doet dat al met battle.net. Als je vanaf een ander IP probeert in te loggen (wat geografisch gezien een onwaarschijnlijke ligging heeft t.o.v. je originele IP) mag je dat eerst even valideren (per mail geloof ik).

Yezpahr @BramT • 5 mei 2011 17:42

Hmm, dat is een zeer goede ontwikkeling, vind je niet?
Hier zouden meer bedrijven aan mee moeten doen. Maakt het een stuk moeilijker om dingen te ontfutselen van gebruikers.

Naja, de true no-life-hackers weten dan nog steeds wel hoe het moet

.
PC-tje hacken en er een proxy van maken, klaar is kees *. (extra simplistisch uitgelegd met korreltje zout bijgevoegd)

Bzzje 5 mei 2011 15:39

http://www.passwordcard.org/nl

superhandig; je kan gewoon je wachtwoorden opschrijven (hartje;geel)
zolang jij de enige bent die vervolgens de weg naar de volgende letters weet zit je gebakken.
(paardesprong, diagonaal, 2links->5omhoog, whatever)

Limaad @Bzzje • 5 mei 2011 15:52

Grappig idee, maar nu moet je EN een kleur EN een symbool onthouden om 1 karakter weer te geven. Je moet dus 2 keer zoveel onthouden!

En dat ook nog is met alle wachtwoorden die je hebt (want nee, je gebruikt niet overal hetzelfde wachtwoord!) Ik wens je veel succes daarmee.

RobIII @Limaad • 5 mei 2011 16:01

Grappig idee, maar nu moet je EN een kleur EN een symbool onthouden om 1 karakter weer te geven. Je moet dus 2 keer zoveel onthouden!

Nee, je hebt genoeg aan één kleur + karakter onthouden; dat is 't "begin" van je wachtwoord (eerste teken). De rest van 't wachtwoord lees je door (bijv.) 8 tekens horizontaal, verticaal, diagonaal, 'paardensprong' of whatever je verzint te lezen op de kaart. Elke kaar is "uniek" (in hoeverre dat statistisch waar is is een tweede, maar het zal niet heel veel slechter zijn dat de PRNG en seed die gebruikt wordt). De kaart kun je opnieuw genereren door de code die onderop staat (ik vermoed dat die code == de seed) in te voeren.

Maar dat had je ook zelf even kunnen lezen als je op de gelinkte pagina even het "Hoe werkt het" had gelezen. Dat was zeker teveel moeite?

[Reactie gewijzigd door RobIII op 23 juli 2024 01:29]

compufreak88 5 mei 2011 15:01

Ze worden buitengesloten omdat hun browser als mobiel apparaat buiten de ip-reeks valt of kunnen hun mail niet bereiken omdat dit onderdeel is van de LastPass-locker.

Een e-mail wachtwoord is toch wel een wachtwoord waarvan ik zeker zou weten dat ik die uit mijn hoofd ken, juist om dit soort dingen te voorkomen.

Hann1BaL @compufreak88 • 5 mei 2011 15:16

Mee eens. Email is tegenwoordig zeer belangrijk. Ook omdat andere accounts vaak aan je email account zijn gerelateerd. Deze moet je eigenlijk weten en moet misschien wel je meest moeilijke wachtwoord zijn. Dit is helaas maar bij weinig mensen het geval..

Lekker simpel, want ik moet het zovaak typen..

WhiteDog 5 mei 2011 15:14

Ik heb niet zozeer een probleem met het feit dat ze iedereen vragen om een nieuw wachtwoord te kiezen. ook het feit dat je dit even doet vanaf een eerder gebruikte IP range kan niet zo'n probleem zijn (als het daarna weer van overal bereikbaar is).

Wat ik wel absurd vind:
- Er is een mogelijke hack.
- Ze kennen de oorzaak niet.
- Ze hebben dus ook geen oplossing - en mag je volgdende week misschien weer je wachtwoord gaan resetten...

RobIII @WhiteDog • 5 mei 2011 15:18

Er is een mogelijke hack.

En zelfs dat is helemaal niet zeker. Ze zagen "...a network traffic anomaly for a few minutes..." en nemen gewoon 't zekere voor 't onzekere (waarvoor ik niets anders dan hulde heb).

Because we can't account for this anomaly either, we're going to be paranoid and assume the worst: that the data we stored in the database was somehow accessed.

...

If you have a strong, non-dictionary based password or pass phrase, this shouldn't impact you - the potential threat here is brute forcing your master password using dictionary words, then going to LastPass with that password to get your data. Unfortunately not everyone picks a master password that's immune to brute forcing.

...

We realize this may be an overreaction

...

but it's prudent to assume where there's smoke there could be fire

[Reactie gewijzigd door RobIII op 23 juli 2024 01:29]

Hann1BaL 5 mei 2011 15:12

Ik heb een paar keer gecheckt of ik opnieuw mijn wachtwoord in moest stellen, maar ik kan gewoon mijn oude ww gebruiken. En met een dictionary attack gaat deze niet ten onder. Toch maar zelf wijzigen dan. Alleen wel vreemd dat het nieuwsbericht dit aangeeft terwijl er dus minimaal 1 account is die niet vraagt om een wijziging.

Het geldt dus niet voor alle accounts, zo lijkt het.

Pete @Hann1BaL • 5 mei 2011 15:32

Inderdaad. Ik heb ook even mijn browser opnieuw opgestart en het werkt allemaal nog steeds, zonder dat ik mijn wachtwoord gewijzigd heb.

Jorvs 5 mei 2011 16:04

Hmm bij mij vraagt lastpass nergens om, alleen de firefox plugin geeft een msgbox tijdens het opstarten dat er niet ingelogd kan worden. Als ik dan opnieuw inlog werkt het gewoon weer.
Het is wel raar omdat je nu "Het allerlaatste password wat je ooit nog hoeft te onthouden!" moet veranderen.

Maarja alles is beter dan overal op elke site dezelfde passwords gebruiken omdat je niet weet hoe het met de security zit.
Ik vind dat je met lastpass flink wat beveiliging hebt voor de moeite die het kost. passwordcards en andere obscure oplossingen zijn leuk, maar ik heb meer dan 80 entries in mijn lastpass kluis, hebben jullie ook zo veel verschillende passwords?

Als je wilt kun je ook de yubikey gebruiken als premium member http://www.youtube.com/wa...Y&feature=player_embedded Dan kan je zelfs met het masterpassword niet zomaar in de kluis.

smeedy 5 mei 2011 19:00

Lastpass biedt ook two-factor authentication aan met Sesame (premium member). Deze extra stap maakt het ook met een bekend masterpassword wel vrij moeilijk om de vault te openen.

GebakkePizza 5 mei 2011 21:22

Ik gebruik Lastpass in combinatie met hun Grid Multifactor Authentication (gratis). Dit komt er op neer dat je naast je wachtwoord van LastPass ook nog een andere code moet invoeren, wanneer je voor het eerst inlogt vanuit een andere PC.

Je krijgt namelijk - eenmalig - een unieke tabel/grid die allemaal letters en cijfers bevat. Dit tabelletje moet je dan uitprinten (eventueel kan je er een foto van maken). Als je vervolgens inlogt vanaf een andere PC, wordt er ter bevestiging gevraagd naar 4 verschillende karakters van jou tabel.

Uitleg is hier te vinden: http://www.youtube.com/watch?v=jcgzf1KvZlg

Ik ben blij dat LastPass bestaat, al die wachtwoorden onthouden is voor mij echt niet meer te doen.

[Reactie gewijzigd door GebakkePizza op 23 juli 2024 01:29]

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (70)

Sorteer op:

Weergave: