LastPass dicht lek in IE-client dat toegang gaf tot wachtwoorden

Wachtwoordmanager LastPass heeft afgelopen weekeinde een nieuwe versie van zijn software vrijgegeven. Versie 2.5.0 dicht onder meer een lek dat in theorie toegang zou kunnen geven tot de wachtwoorden van Internet Explorer-gebruikers.

Het lek in de online-wachtwoordmanager, dat overigens alleen IE-gebruikers met LastPass-versie 2.0.20 treft, bleek de wachtwoorden in plain text vrij te geven als er een geheugendump werd gemaakt. Volgens LastPass was het lek in de software niet eenvoudig te misbruiken.

Afgezien van het feit dat iemand IE moest gebruiken, moest de gebruiker ook zijn ingelogd met LastPass. Bovendien konden alleen de wachtwoorden worden achterhaald die tijdens de bewuste browsersessie daadwerkelijk waren gebruikt om ergens in te loggen. De aanvaller zou er tot slot nog in moeten slagen een geheugendump te maken, wat doorgaans alleen lukt als er fysieke toegang tot een pc is of een aanvaller al manieren heeft gevonden om malware op de computer te installeren.

Hoewel een geheugendump dus niet zomaar kan worden gemaakt door aanvallers, is het de afgelopen jaren wel een beproefde methode gebleken, die onder meer wordt toegepast door banking malware om creditcardgegevens van geïnfecteerde systemen te ontfutselen. Regelgeving vereist veelal dat financiële dienstverleners creditcardgegevens en andere financiële informatie versleutelen als het op de harde schijf wordt bewaard, waardoor aanvallers het via het geheugen proberen.

LastPass heeft voor IE-gebruikers met een Windows-machine versie 2.5.0 klaargezet. Voor andere browsers en besturingssystemen zijn ook versies 2.5.1, 2.5.2 en 2.5.3 beschikbaar gekomen. Naast het bovengenoemde lek, voorziet de nieuwe versie onder meer in verbeterde manier waarin de software omgaat met logmein.com-url's en wordt de mogelijkheid om veranderingen direct te synchroniseren met andere devices nu voor alle users gefaseerd uitgerold.

Door Wilbert de Vries

Feedback • 19-08-2013 08:02 34

19-08-2013 • 08:02

34

Lees meer

Onderzoeker toont gerichte phishingaanval op LastPass
Onderzoeker toont gerichte phishingaanval op LastPass Nieuws van 18 januari 2016
LogMeIn neemt LastPass over
LogMeIn neemt LastPass over Nieuws van 9 oktober 2015
LastPass: gebruik wachtwoordmanager is nu gratis op mobiel
LastPass: gebruik wachtwoordmanager is nu gratis op mobiel Nieuws van 11 augustus 2015
Hackers bemachtigen persoonsgegevens van servers LastPass
Hackers bemachtigen persoonsgegevens van servers LastPass Nieuws van 16 juni 2015
LastPass laat gebruikers automatisch wachtwoorden veranderen
LastPass laat gebruikers automatisch wachtwoorden veranderen Nieuws van 10 december 2014
Start-up wil wachtwoorden vervangen door armband
Start-up wil wachtwoorden vervangen door armband Nieuws van 9 november 2014
LastPass forceert nieuwe wachtwoordaanmaak na mogelijke hack
LastPass forceert nieuwe wachtwoordaanmaak na mogelijke hack Nieuws van 5 mei 2011
Lastpass neemt XMarks over
Lastpass neemt XMarks over Nieuws van 3 december 2010
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (34)

-Moderatie-faq
34
34
26
2
0
3
Wijzig sortering
The Zep Man
19 augustus 2013 08:12
De aanvaller zou er tot slot nog in moeten slagen een geheugendump te maken, wat doorgaans alleen lukt als er fysieke toegang tot een pc is of een aanvaller al manieren heeft gevonden om malware op de computer te installeren.
Als een aanvaller al fysiek toegang heeft tot een PC of op het niveau zit dat geheugendumps gemaakt kunnen worden, dan helpt een software-only oplossing als LastPass ook niet meer. Hierom is deze kwetsbaarheid niet heel erg schokkend.

Wachtwoordmanagers vallen onder gereedschap. Net als ander gereedschap moet er goed mee omgaan worden om het effectief te gebruiken. Als een PC in redelijkheid is beveiligd tegen externe aanvallen (laatste updates, virus scanner, standaard het laden van plugins niet toestaan bij het bezoeken van websites...), dan voegt een wachtwoordmanager veel toe. Een lang wachtwoord met willekeurige inhoud kan gebruikt worden voor een enkele site. Als dit wachtwoord uitlekt omdat de site was aangevallen of omdat een overheid het opvraagt, dan heeft het geen gevolgen voor andere diensten die gekoppeld zijn aan de gebruiker omdat daarvoor andere (niet-gerelateerde) wachtwoorden zijn aangemaakt. Hiermee wordt de schade aanzienlijk beperkt wanneer een wachtwoord wordt uitgelekt. En natuurlijk helpt zo'n wachtwoord tegen dictionary en brute-force aanvallen.

Al kan je niet vertrouwen op de beveiliging van anderen, dan moet je mitigeren en zelf het heft in handen nemen. Een wachtwoordmanager staat dit voor logingegevens toe, maar vereist wel dat je basis van vertrouwen (je eigen apparatuur) veilig is.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 21:23]

Pepsichoco 19 augustus 2013 10:07
Ik gebruik al enkele jaren Keepass en het wachtwoordenbestand staat op m'n NAS. Van de vele sites heb ik geen enkel zelfde paswoord want dat is op de duur niet meer te onthouden. Ik had enkele paswoordmanagers geprobeerd, ook die van Kaspersky maar die gaf problemen bij Opera.
Ik had over Keepass goede reviews gelezen en daar moet ik dan maar op vertrouwen, ben zelf geen programmeur dus ik kan niet in de motor kijken of alles wel goed geprogrammeerd en betrouwbaar is.
Bij de aanmaak van een nieuw paswoord, laat ik dit door Keepass doen, alle karakters door elkaar. Het enige nadeel dat ik heb is dat als er ooit iets fout gaat, ik geen idee heb wat een paswoord kan zijn.
Teijgetje @Pepsichoco19 augustus 2013 11:34
Het enige nadeel dat ik heb is dat als er ooit iets fout gaat, ik geen idee heb wat een paswoord kan zijn.

Waarschijnlijk kan je met Keepass, net zo als bij LastPass, al je gegevens (ww,usernames, codes, rekeningnummers etc) laten exporteren naar een tekstbestand.
Dit zou je af kunnen drukken en ergens goed opbergen (in een bankkluis bv) en het tekstbestand deleten natuurlijk....

Maar wat als de bankkluis gekraakt wordt natuurlijk.......? :9~

[Reactie gewijzigd door Teijgetje op 23 juli 2024 21:23]

Redje @Pepsichoco19 augustus 2013 14:17
Je kan in Keepass je wachtwoord gewoon inzien.
Standaard zie je bolletjes maar als op het icoon ernaast (met de 3 bolletjes) klikt zie je je wachtwoord in plane tekst.

Maar ik gebruik liever Keepass, iets waarbij de database in mijn eigen beheer is, dan dat ik mijn data online zet zoals LastPass.
Daarom gebruik ik ook Owncloud ipv Dropbox.
Teijgetje @Redje20 augustus 2013 14:09
Maar als er dus wat fout gaat, uitgaande van het ergste; bv nergens ter wereld meer stroom al je backupfiles en geheugens vernietigd door brand, dan kan je ook die bolletjes niet meer inzien.
Dan heb je toch een hardcopie, een printje, nodig als je je wachtwoorden lokaal host.

Dat is bij LastPass dus niet van orde, daar staan de wachtwoorden versleuteld in de cloud.
robinverl 19 augustus 2013 08:21
Regelgeving vereist veelal dat inanciële dienstverleners creditcardgegevens en andere financiële informatie versleutelen als het op de harde schijf wordt bewaard, waardoor aanvallers het via het geheugen proberen.
Is het zo'n vreemd idee om ook data in het geheugen te encrypten? Dat lijkt me vrij simpel toe te passen. Uiteraard heeft het enige performance impact, maar tegenwoordig is die dusdanig minimaal dat het voor gevoelige gegevens zeker een must is.
Eagle Creek @robinverl19 augustus 2013 09:26
IE kent de optie "versleutelde pagina's niet op schijf opslaan" (zie http://support.microsoft.com/kb/815313/en-us) maar ik weet niet of dat over dezelfde data gesproken wordt.

Dat is voor de discussie overigens sowieso relevant: heb je het over de data die de browser/user genereert/invoert (zoals wachtwoorden, tokencodes) of over de data die van de webserver jouw kant op komt?

[Reactie gewijzigd door Eagle Creek op 23 juli 2024 21:23]

Bor Coördinator Frontpage Admins / FP Powermod @Eagle Creek19 augustus 2013 09:32
AFAIK betreft dat alleen het niet opslaan van data welke via bv een SSL is aangeboden. Deze data is dan al niet meer versleuteld nadat het is ontvangen en gedecodeerd (ook niet in het geheugen).
Joop @Eagle Creek19 augustus 2013 09:47
Wat Bor hierboven zegt klopt. Het gaat hier om pagina's die je op haalt via HTTPS, deze worden, als deze instelling aan staat, niet opgeslagen in de cache (Temporary Internet Files) van Internet Explorer.

De gegevens die je submit in een formulier op een website (zoals bijv. een wachtwoord) zijn hier geen onderdeel van. (Tenzij de ingevulde gegevens op de volgende pagina op de site worden getoond. Dan is het natuurlijk weer onderdeel geworden van de pgaina.)
Tribits @robinverl20 augustus 2013 02:52
[...]

Is het zo'n vreemd idee om ook data in het geheugen te encrypten? Dat lijkt me vrij simpel toe te passen. Uiteraard heeft het enige performance impact, maar tegenwoordig is die dusdanig minimaal dat het voor gevoelige gegevens zeker een must is.
Het probleem is alleen dat de sleutel om dat geheugen te decrypten ook ergens in datzelfde geheugen aanwezig moet zijn aangezien de applicatie (plugin, whatever) de informatie in gedecrypte vorm op het scherm zal moeten zetten of moeten doorsturen naar een website om in te loggen. Je kan het risico beperken door iedere keer als er informatie uit een encrypted bestand nodig is om de sleutel te vragen, nooit meer te decrypten als strikt noodzakelijk en die informatie uit het geheugen te wissen op het moment dat het niet meer nodig is, maar op een bepaald moment staat die informatie toch ongecodeerd in het geheugen.

Hoe dan ook blijft het probleem dat iemand die voldoende toegang heeft tot een systeem om geheugendumps te maken waarschijnlijk alsnog wel een manier weet te bedenken (de binaries van de target applicatie aanpassen bijvoorbeeld, al dan niet on-the-fly). Het enige verschil dat ik me in kan denken is dat er voor een memory dump van een user mode process waarschijnlijk geen admin rechten nodig zijn en voor het installeren van een API hook of modificeren van binaries waarschijnlijk wel.

Overigens heb je dit probleem in principe ook gewoon voor https pagina's. Die zullen ook op een bepaald moment ook in ongecodeerde vorm in het geheugen staan. Mogelijk bevatten browser wel al functionaliteit om er voor te zorgen dat er geen sporen van een pagina in het geheugen achterblijven zodra die niet meer op het scherm staat.
freaq 19 augustus 2013 08:23
dit is dus typisch de reden dat ik dit soort applicaties nooit zal vertrouwen,
handig 1 plek voor al mijn wachtwoorden, NOT ideaal doelwit zullen ze bedoelen -__-
MAX3400 @freaq19 augustus 2013 08:41
Wat is een alternatief dan? Voor al je 100, 200 of 500 sites allemaal dezelfde wachtwoorden gebruiken? Of ouderwets een Post-It op je monitor met je wachtwoorden, al dan niet serieel oplopend?

Je hebt natuurlijk gelijk dat het opslaan van passwords links of rechts altijd een "enkel doelwit" zal vormen maar een handig alternatief kan ik zo snel niet verzinnen.
Douweegbertje @MAX340019 augustus 2013 09:36
Een alternatief is om gewoon handig om te gaan met je gegevens.
Tools zoals LastPass lijkt leuk en handig, wellicht zul je never nooit problemen gaan ondervinden en zullen er nooit kwetsbaarheden komen echter heb jij wel alles ergens 'staan'. Of dit nu met een post-it op je monitor is, of in een digitale container op je PC maakt dan in feite niets uit.

Het grootste probleem is gemakszucht, heel weinig mensen beheren accounts. "Oh een .live account? Even mijn gegevens invullen en hoppa klaar". Uiteindelijk hebben ze door allerlei accounts de moeite om het te beheren en pleuren ze het letterlijk in een container zodat ze er nooit meer naar hoeven te kijken. Dat is gewoon het ontwijken van het probleem.

Een redelijke oplossing is om een fatsoenlijk mail account te hebben. Denk hierbij aan site.username@gmail of je eigen domein met of sub-domeins of meerdere mail accounts zoals site@jedomein waarbij je dan alles nog gescheiden kan houden of een mail direct inschakelt.

Vervolgens pak je gewoon een simpel algorithm voor je wachtwoorden. Stel dat je een standaard password hebt van WiskeyRedbull1337, dan gebruikt je bijvoorbeeld de eerste 3 letters van een website als wachtwoord "WiskeyRedbull1337twe" (voor tweakers).

Goed nu zitten er nog haken en ogen aan, omdat mening site wilt dat jij begint met een hoofdletter, en dat er een vreemd teken in zit etc. Maar bovenstaande is een voorbeeld wat je ook zelf kunt aanpassen naar je eigen wens waardoor je toch alles in eigen beheer hebt, en een redelijke veiligheid hebt.
Yggdrasil @Douweegbertje19 augustus 2013 10:46
Ik zie het onthouden van wachtwoorden, ook al is dit met een algoritme als geheugensteuntje, tegenwoordig niet meer als een bruikbaar alternatief. Ik heb momenteel 334 wachtwoorden in mijn LastPass vault staan, zowel zakelijke als persoonlijke. Sommigen zijn van websites, anderen van applicaties, API's, crypto-sleutels, credit-cards, etc. Naast wachtwoorden moet je ook gebruikersnamen onthouden omdat je favoriete naam niet overal beschikbaar is, of omdat de ene plek een e-mailadres vereist, de ander een nickname en weer een ander een klantnummer. Daarnaast kies ik ervoor om de zogenaamde 'security-questions', zoals "hoe heet je moeder?", met een willekeurig gegenereerd antwoord te beantwoorden, waarna ik dat ook opsla in LastPass. De meeste van die vragen zijn immers te voorspelbaar.

Met een relatief eenvoudig algoritme zou je techniek al snel tegen identieke wachtwoorden aanlopen. Een complex algoritme kent weer andere beperkingen. Dan hou je nog veel sites over waar het algoritmisch bepaalde wachtwoord niet mag omdat het niet aan de 'eisen' voldoet: te kort, te lang, niet de juiste soort tekens. Sommige sites accepteren alleen een door hen gegenereerd wachtwoord, etc. Wat als je je wachtwoord moet/wilt wijzigen? Zet je er dan een 2 achter? Mijn brein kan geen 334 gebruikersnaam/wachtwoordvariaties incl. uitzonderingen onthouden.

Er zijn teveel edge-cases waarbij je techniek niet bruikbaar is of tot afgezwakte beveiliging leidt. Ik vind ontwijken van het probleem helemaal geen slechte keuze, aangezien het een probleem is zonder goede oplossing. Je doet alsof het gebruik van een password-manager een teken van luiheid is. Onzin! Laat de computer doen waar ie goed in is, het onthouden en verwerken van willekeurige data, en geef mij de sleutel.

Het gebruik van LastPass, een dienst die zich inmiddels bewezen heeft, in combinatie met toegangsbeheer via twee-factor authenticatie (bijv. een YubiKey), is een veilige en praktische manier om te kunnen werken op het huidige internet. Zolang onze authenticatiemethodes zo'n mengelmoes zijn als nu het geval is zijn er weinig praktische alternatieven. Onthouden door middel van een truukje is er volgens mij géén.
Freekers @Douweegbertje19 augustus 2013 09:39
"Vervolgens pak je gewoon een simpel algorithm voor je wachtwoorden."
Denk je niet dat een hacker dit simpel algorithme ook zo doorheeft nadat hij 2 van jouw wachtwoorden gekraakt heeft?
Adion @Freekers19 augustus 2013 10:05
Teznij jij belangrijk genoeg bent opdat men een aanval specifiek op jou gericht wil uitvoeren waarschijnlijk niet.
Maar als een hacker een lijst van duizenden wachtwoorden van 2 verschillende sites heeft buitgemaakt, en zelfs als hij dan wist te linken dat 1 account van de ene site van dezelfde persoon is als een account bij de andere site, dan is het nog steeds niet evident om daaruit geautomatiseerd dit soort gebruikte algoritmes te achterhalen.
Teijgetje @Douweegbertje19 augustus 2013 10:45
Je stelt het wat makkelijker voor dan het is, afgezien van overal unieke wachtwoorden voor te maken, moet je overal ook inloggen.
Een wachtwoordbeheerder neemt dit (gratis) allemaal van je over.
Ik gebruik LP al jaren (betaald met nog meer opties) en heb nog nooit problemen gehad, deze update kreeg ik dan ook gewoon de 16e.

Persoonlijk voel ik me daar veiliger bij dan bij de door jou omschreven handigheid.
Wachtwoorden zullen toch kort worden gezien je dat altijd maar weer in moet typen.
Keyloggers even buiten beschouwing gelaten.
Ook je usernaam zal vaker zo gelijksoortig en korter zijn........want ook die moet je telkens intypen.
Je onderschat het gemak van automatisch veilig inloggen op je accounts als je dat zo instelt.
Imo overschat je ook de veiligheid van een simpel algoritme, degenen die bezig zijn met hacken en identiteitsdiefstal hebben geen W8RT staan maar iets met brute rekenkracht en alle mogelijke hacktools. Je zult verbaast zijn hoe simpel je dingen uit gewone communicatie kan halen, (gezien bij Android en iOS), geloof me dat dat ook geldt voor andere OS-en. :'(

Inderdaad dus heel gemakzuchtig van mij om veel invulwerk met onmogelijke wachtwoorden en aparte usernames versleuteld te laten doen door LastPass en daar verder niet over na te hoeven denken, behalve dan bij een account aanmaken iets onmogelijks te laten genereren en LP regelmatig te laten checken of alles nog veilig is en of er dubbele wachtwoorden zijn.

Het is overigens opvallend dat wanneer een wachtwoordmanager een update uitbrengt die een lek, dat eigenlijk niet bekend is en heel moeilijk toegepast kan worden, oplost, sommigen moeten wijzen op dat het veel makkelijker en veiliger kan in eigen beheer, zonder ergens ook maar iets op te slaan dan in je hoofd.
Ik meen dat studies, elk jaar weer, uitwijzen dat het meest gebruikte wachtwoord "wachtwoord" is. ;)

Ondanks alle waarschuwingen en goede tips.

Denk je zeker te weten dat alles veilig is?
Doe dan de LastPass veiligheidscheck en ontdek of jij 100% veilig haalt.... en of geen van je gebruikersnamen betrokken zijn geweest tussen alle bekende veiligheidsinbreuken. ;)

[Reactie gewijzigd door Teijgetje op 23 juli 2024 21:23]

Verwijderd @MAX340019 augustus 2013 09:01
Keepass is een alternatief, maar niet een van de handigste, vooral niet als je op meerdere locaties inlogt.

De update stond hier al klaar, ik hoefde alleen de browser te herstarten.
_Peter2_ @Verwijderd19 augustus 2013 09:11
Welke browser? Met Firefox zie ik nog geen updates klaarstaan (en zit dus nog op 2.0.20)
Freekers @_Peter2_19 augustus 2013 09:12
Zoals in het artikel vermeld staat: Internet Explorer.
dcl! @Freekers19 augustus 2013 09:34
Er staat ook in het artikel dat voor andere browsers+besturingssystemen er ook updates zijn gekomen.
Teijgetje @_Peter2_19 augustus 2013 10:18
LastPass update zichzelf, daar hoef je niets voor te doen.
Klaarstaan betekent min of meer dat als jij een browser opent waar een update voor is, je die update geïnstalleerd krijgt vóórdat desbetreffende browser geopend wordt.
Na installeren en opstarten krijg je dan de wijzigingen te zien zoals in de link in het artikel.
_Peter2_ @Teijgetje19 augustus 2013 13:20
In de default Firefox repo is hij nog niet bijgewerkt. Daar staat nog versie 2.0.20.

Zie: http://tweakers.net/ext/f/y0lMoIY5FRPNQoiFwX4smm5F/full.png
Verwijderd @_Peter2_19 augustus 2013 10:49
Welke browser? Met Firefox zie ik nog geen updates klaarstaan (en zit dus nog op 2.0.20)
Ik gebruik Pale Moon.

Edit 2: eerste edit is overbodig geworden.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 21:23]

Verwijderd @MAX340019 augustus 2013 09:33
Mijn lieve Allah, 100 tot 500 sites, daar kom ik aan met Tweakersnet, Fok, HWI en Webwereld :) daar heb ik al jaren 1 simpel wachtwoord, als ik het ooit kwijtraak, moet ik allemaal nieuwe accounts aanmaken want het e-mail adres wat eraan hangt bestaat al een jaar of 3 niet meer. :)
antiekeradio @Verwijderd19 augustus 2013 11:15
en je email heeft ook een wachtwoord, en de login van je computer/laptop als het goed is óók... en als je een eigen website hebt krijg je nog de inlogpagina van je account bij de webhost, de wachtwoorden voor databases, FTP, eventuele mailaccounts, subdomeinen en dan ben ik nog niet eens begonnen over zaken als je internet- / telefonie providers, etc.

Zelf heb ik ook een wachtwoorden app in gebruik, omdat het zo handig is ga je op een gegeven moment inderdaad gewoon alles met een wachtwoord daarin opslaan. Er staan dus ook op dit moment al 103 inlogcombinaties in opgeslagen. 1 groot voordeel is dat je overal een ander wachtwoord + ingewikkelde cijfer/teken combinaties kunt gebruiken. Als 1 site gehackt wordt en het blijkt dat de wachtwoorden achterhaald kunnen worden (zoals een tijdje terug bij linkedin) hoef je je geen zorgen te maken over andere accounts. Dit geeft mij in ieder geval qua veiligheidsgevoel een grotere verbetering dan dat het bij elkaar plaatsen van de wachtwoorden in 1 cryptografisch versleuteld bestand aan verslechtering / verhoogd risico oplevert.
Verwijderd @antiekeradio19 augustus 2013 11:59
E-mail is van de provider, typ ik altijd even in, want log hoogstens 1x per dag in. Computers hebben geen wachtwoord, maar daar staat ook niets interessants op. Al de dingen die echt wachtwoord gevoelig zijn, staan op de hoofdcomputer en die zit niet op het internet, staat helemaal onafhankelijk van de andere computers, dat is de computer waar ik mijn werk op doe en uiteraard de licenties van programma's op staan. Er is geen hacker die daar op komt, van zijn leven niet, tenzij hij fysiek toegang heeft, maar dan helpt er toch niets meer aan. HIj of zij kan hoogstens een dreun met een honkbalknuppel verwachten als hij/zij in breekt in mijn huis :) Ftp en noem maar op heb ik niet, nog mobiele apparatuur of WiFi. ;) Ik ben nu eenmaal een oude zak en ga nog steeds voor de vaste PTT telefoonaansluiting die er al 40 jaar is :)

[Reactie gewijzigd door Verwijderd op 23 juli 2024 21:23]

Verwijderd @Verwijderd19 augustus 2013 12:11
Jij voert ook nooit updates uit of plaats geen bestanden op je losstaande computers? Als je die dingen vanaf je internetcomputer haalt dan zit je kans op besmetting dus daar. Als je dan met een usbstick of iets dergelijks bestanden overzet kun je zo maar het haasje zijn.
EchoWhiskey 19 augustus 2013 16:14
Ik gebruik nu een jaar LastPass in combi met een Yubikey. Werkt prima.
Gebruik de key generator om 20-char passwords te genereren.
Dat het in de cloud staat boeit mij niet, het wordt namelijk lokal ge-encrypt met AES256.
Pepsichoco @EchoWhiskey21 augustus 2013 17:31
Ik gebruik ook altijd de keygenerator bij Keepass, maar er zijn nochtans sites waar je slechts 8 karakters mag gebruiken.
Verwijderd 19 augustus 2013 13:21
Ik gebruik LastPass al jaren en het is één van de handigste tools icm een browser.

Nochtans gebruik ik een hoofdletter, 4 cijfers en wat andere tekens in m'n wachtwoorden maar ik gebruik altijd het zelfde bij verschillende services. Mijn hoofdwachtwoord is ook het zelfde... Ben ik nu kwetsbaarder voor aanvallen?

De gedachte om voor elke website een volledig random wachtwoord te generen zie ik niet zitten, want soms log ik op m'n werk, via Android of op eender welke website en daar staat LastPass niet geïnstalleerd. En op Android moet je zelfs betalen voor de app. Dus als ik het zelf weet uit mijn hoofd dan is het veel makkelijker, maar ook onveiliger?
ILUsion @Verwijderd19 augustus 2013 16:25
Als je LastPass gebruikt met allemaal identieke wachtwoorden, gaat dat zijn doel voorbij: je kan het anders toch ook wel gewoon onthouden en de wachtwoordbeheerder van je browser gebruiken (bv. Chrome en dan kan je die, volgens mij, ook direct op Android gebruiken zonder bij te betalen).

Afhankelijk van de browser op je werk (en de policies daarrond), kan je gewoon ook LastPass installeren. Als dat niet gaat, log je toch gewoon online in op je Vault? Je klikt op de juiste site en in heel wat gevallen ben je direct ingelogd. Indien niet is het gewoon een kwestie van copy-pasten van je wachtwoord en dat lukt ook best. Toegegeven, het is niet 100% veilig, maar je geniet in ieder geval wel van de veiligheid van meerdere wachtwoorden.

De grootste kans is immers dat je wachtwoord bij een van die websites slecht opgeslagen is en je dus bij een hack van die site, eigenlijk overal je wachtwoord moet gaan veranderen. Ik heb daar indertijd een middag aan gespendeerd en daarbij valt het eigenlijk al op hoe veel sites bij een vergeten wachtwoord gewoon je wachtwoord terugmailen of zelfs geen functie voorzien om je wachtwoord te wijzigen.

Een aanrader om een beetje op de hoogte te zijn van de gevaren is door regelmatig de security challenge te doorlopen. Die kijkt in je LastPass vault naar alle dubbel gebruikte wachtwoorden, te simpele wachtwoorden en kijkt ook gepubliceerde lijsten van e-mails met wachtwoord na op jouw gegevens.
Verwijderd @ILUsion19 augustus 2013 20:11
Bedankt voor die security tip. Mijn score is 21%... Hmm

Denk dat het ook wel verstandig is voor verschillende wachtwoorden maar wees nu eerlijk de grens tussen veilige wachtwoorden en paranoïde is splinterdun aan het worden tegenwoordig.
EchoWhiskey @Verwijderd19 augustus 2013 16:21
"De gedachte om voor elke website een volledig random wachtwoord te generen zie ik niet zitten, want soms log ik op m'n werk, via Android of op eender welke website en daar staat LastPass niet geïnstalleerd"

Dan kan je via je browser naar je vault in de cloud gaan, die is er specifiek voor die reden...
Moet je volgens mij wel een premium account voor hebben en dat kost slechts 1 euri per maand.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq