Onderzoekers vinden beveiligingslekken in wachtwoordmanagers

Onderzoekers van de Berkeley-universiteit hebben kwetsbaarheden in meerdere wachtwoordmanagers gevonden, waaronder het populaire LastPass. In het geval van LastPass was de bookmarklet kwetsbaar; malafide websites konden alle wachtwoorden ontsleutelen.

De onderzoekers hebben hun bevindingen nu pas gepubliceerd, al gaat het om kwetsbaarheden die al in de zomer van vorig jaar zijn ontdekt en voor het overgrote deel destijds al zijn opgelost. De onderzoekers namen vijf wachtwoord-managers onder de loep, waaronder LastPass, maar ook My1login en RoboForm.

Opvallend is dat een van de onderzochte wachtwoord-managers, NeedMyPassword, nooit heeft gereageerd op de bevindingen van de onderzoekers en dus nog steeds kwetsbaar is. De overige bedrijven reageerden binnen een week op mails van de onderzoekers en hebben de meeste beveiligingsproblemen inmiddels opgelost.

Een van de ernstigste problemen bevond zich de bookmarklet in het populaire LastPass. Bookmarklets zijn gewone bookmarks die in plaats van een url javascript bevatten, die wordt uitgevoerd op de website waar de gebruiker zich op dat moment bevindt. Drie van de wachtwoord-managers gebruiken bookmarklets om het automatisch invullen van gebruikersnamen en wachtwoorden mogelijk te maken in browsers waarvoor ze geen extensie hebben, bijvoorbeeld Safari op iOS, dat geen extensies ondersteunt. Alle drie de bookmarklets waren echter kwetsbaar.

In het geval van LastPass kon de bookmarklet eenvoudig worden misbruikt door de website waarop een gebruiker de bookmarklet gebruikte. De website kan de sleutels die worden gebruikt om de wachtwoorden te beschermen uitlezen en vervolgens de hele wachtwoord-database van de gebruiker uitlezen. RoboForm en My1login hadden vergelijkbare kwetsbaarheden.

Bijna alle wachtwoordmanagers waren kwetsbaar voor misbruik van hun websites, bijvoorbeeld voor cross site request forgery. Daarbij wordt vanaf een andere website een http-request naar de wachtwoord-manager gedaan, die door de wachtwoord-manager wordt geïnterpreteerd als een opdracht van de gebruiker. In het geval van LastPass konden daarbij de url's van websites waarvoor wachtwoorden zijn opgeslagen worden uitgelezen, evenals versleutelde wachtwoorden.

De onderzoekers benadrukken dat wachtwoord-managers in potentie nuttig kunnen zijn, maar dat ze in de praktijk er juist voor kunnen zorgen dat gebruikers onveiliger worden: de tools zijn immers een single point of failure. Als een gebruiker toegang krijgt tot een wachtwoord-manager, heeft hij meteen toegang tot alle wachtwoorden, waardoor de impact groter is.

IT-banen

Reacties (80)

Verwijderd 11 juli 2014 11:27

Dit is precies de reden waarom ik liever geen gebruik maak van passwordmanagers die je wachtwoorden ergens opslaan - waar dan ook. Een oplossing als PwdHash is wat dat betreft veel fijner; een uniek wachtwoord per site wordt gemaakt door de hash te nemen van het domein en een 'masterwachtwoord'. Zo is er niks aan de hand wanneer een van die hashes uitlekt, hoef je niks te onthouden en ben je niet afhankelijk van een database met al je wachtwoorden erin

Sundog

@Verwijderd • 11 juli 2014 12:11

Dit is precies de reden waarom ik liever geen gebruik maak van passwordmanagers die je wachtwoorden ergens opslaan - waar dan ook
Een oplossing als PwdHash is wat dat betreft veel fijner; een uniek wachtwoord per site wordt gemaakt door de hash te nemen van het domein en een 'masterwachtwoord'. Zo is er niks aan de hand wanneer een van die hashes uitlekt, hoef je niks te onthouden en ben je niet afhankelijk van een database met al je wachtwoorden erin

Natuurlijk bestaat totale security niet, maar ook PwdHash heeft zijn problemen als het aankomt op "hack gevoeligheid."
En dit is namelijk het uitlekken of raden van je master wachtwoord. Zeker als je kiest voor een niet totaal random wachtwoord (inclusief speciale teken, nummers, nummers met tekens, etc).
En hoe gaat iemand dat totaal random wachtwoord onthouden? Dus grote kans dat de gemiddelde gebruikers toch kiest voor een bepaalde passphrase. En dat is dan net zo moeilijk/makkelijk te kraken als de passphrase van een wachtwoord database.
Maar een goede wachtwoord database kan je ook nog beveiligen met een tweede stap, bijvoorbeeld een keyfile. Dat kan bij PwdHash niet....

Daarnaast zijn er usability nadelen, maar goed, dat is een kwestie van waar leg je de balans tussen security en usability. Daar zal iedereen anders over denken.

Verwijderd @Sundog • 11 juli 2014 21:01

Je hebt helemaal gelijk wat betreft 'totale security', maar op deze manier heb ik veel meer het gevoel dat ik het zelf onder controle heb. Ik snap wat er gebeurt.

Inderdaad is het uitlekken van je masterwachtwoord een groot risico. Natuurlijk kan je overwegen om een aantal verschillende masterwachtwoorden te bedenken, maar dan haal je juist het hele doel onderuit; je moet dan tenslotte alsnog 20 wachtwoorden onthouden. De add-on heeft gelukkig een rigide serie checks die voorkomen dat je per ongeluk een verkeerd veld aanklikt of je wachtwoord in een .value laat belanden, maar je weet maar nooit.

Wat een 'totaal random wachtwoord' betreft; tuurlijk, dat kost tijd en moeite. Maar het is er ten minste maar één, (of een paar, als je dat wilt). In mijn ervaring valt het reuze mee. Bovendien gaat het er natuurlijk om wat je threat model is. Vooralsnog is (m.i.) het grootste risico dat een website (Ebay, Linkedin, de lijst is lang) z'n zaakjes niet op orde heeft en dat daar een lading wachtwoorden uitlekt. Zeker wanneer ze bij de server niet gehasht worden is menig gebruiker in de aap gelogeerd wanneer er een automatisch scriptje overheen wordt gehaald die alle wachtwoorden ook even bij Paypal, Gmail en de ING probeert. Ook wanneer 't zwakke hashes zijn zit je goed, want ookal heb je een (lang maar zwak) masterwachtwoord, het wachtwoord wat uiteindelijk in de database terecht komt is een willekeurige digest.

Ik merk dat inderdaad usability bij veel mensen de limiterende factor is. Dat blijft helaas een trade-off, en die zal iedereen inderdaad voor zichzelf zal moeten maken.

drdelta @Verwijderd • 11 juli 2014 11:56

Zolang die hash van een domein maar flink gesalt wordt, is dit geen slechte manier, natuurlijk. Echter, er gaat niets boven een daadwerkelijk uniek wachtwoord per website (+ extra 2/3e manier om te authenticeren).

Verwijderd @drdelta • 11 juli 2014 20:50

Dat is zeker waar; die salt moet je zelf leveren in de vorm van je masterwachtwoord(en).

King4589 @Verwijderd • 11 juli 2014 12:56

Als je de web pagina maar niet gebruikt als hash methode voor je het weet wordt er op hun server een kopie opgeslagen van wat je invult. weet je natuurlijk bij een extensie ook niet.

bij een lose applicatie kan je nog wat doen door te kijken of het enige vorm van verkeer oplevert wanneer je het opent/gebruikt

[Reactie gewijzigd door King4589 op 22 juli 2024 19:56]

Verwijderd @King4589 • 11 juli 2014 21:04

Op de website van PwdHash wordt expliciet aangeraden vooral een lokale kopie op te slaan. Bij een add-on is dat inderdaad lastiger te controleren. Het is open source, dus je kan 'm in principe wel doorspitten voordat je 'm installeert

Wortelstok 11 juli 2014 12:42

Even terug naar de feitelijkheid. Ik herinner me van een jaar geleden dat Lastpass zelf waarschuwt dat het gebruik van Bookmarklets niet helemaal veilig is. Dat is niets nieuws. Verder gebruikt bijna niemand ze, is Lastpass gewoon veilig, en dan zoekt een onderzoeksclub op zo'n manier de publiciteit

En allemaal Tweakers meteen reageren dat ze een andere passwordmanager gebruiken. Of zie ik iets over het hoofd?

J-P

@Wortelstok • 11 juli 2014 12:51

Klopt, zie ook https://helpdesk.lastpass.com/features/bookmarklets/.
Desalniettemin is het een ernstig beveiligingslek. Bovendien wordt deze als voorbeeld aangekaart en zijn er dus meerdere.
Ik ben zelf ook Lastpass gebruiker (met two way authentication), en juich dit soort onderzoeken alleen maar toe. Ze zorgen ervoor dat de makers van populaire diensten (zoals Lastpass) alert blijven en niet (snel) van hun monopolie positie gaan misbruiken en op hun lauweren gaan rusten.

Update:
Ondertussen via Twitter reactie gehad van Lastpass: https://twitter.com/LastPassHelp/status/487590598090571776
Waarin ze aangeven binnenkort een reactie op het rapport op hun blog te zetten.

[Reactie gewijzigd door J-P op 22 juli 2024 19:56]

twiFight @Wortelstok • 11 juli 2014 14:09

Wat een non-argumenten. Als het niet veilig is, dan moeten ze het niet in een applicatie zoals een wachtwoordmanager stoppen. Dan is er ook geen risico. Breng 'm desnoods uit als betaversie of betaplug-in. Als je een wachtwoordmanager, een tool om te helpen bij veilig gebruik van systemen en internet, uitgeeft dan verwachten mensen toch dat juist zo'n tool veilig is. En niet maar voor een deel veilig.

Ook snap ik niet waarom "gebruikt bijna niemand" een argument is. Is het pas erg als wachtwoorden lekken wanneer er 100.000 slachtoffers zijn? Of een miljoen? Of is het alleen erg als jouw wachtwoord lekt?

Fawn 11 juli 2014 10:39

Jammer dat Keepass niet door de mangel lijkt te zijn gehaald.

King4589 @Fawn • 11 juli 2014 10:49

Ja op zich wel, alleen zijn dit een ander soort programma's

Keepass is een password database en deze tools zijn managers. Het verschil is dat de managers binnen je browser gebruikt worden en per website wachtwoorden opslaat. Keepass zet alles in één database die in principe alleen met het keepass programma geopend kan worden.

Miletos @King4589 • 11 juli 2014 12:34

KeePass heeft standaard Auto-Type op basis van venstertitel. Dit is een form filler functie.

Browsers zetten de <title> tag van een site in de venstertitel. De meeste sites zetten de naam van hun site in de <title>. Door deze combinatie kan je op 90-95% van de sites KeePass auto-type gebruiken om in te loggen. Zet je cursor in het eerste veld, druk ctrl-alt-a en het inlogformulier wordt automatisch ingevuld.

King4589 @Miletos • 11 juli 2014 12:52

ja, maar dat is altijd user-triggered. de gebruiker start dit zelf en dan is keepass al geopend. en daarnaast, niet het punt ter discussie.. en voor sites die niet direct ondersteund worden kan je in je browser op het eerste invoer veld gaan staan en in keepass CTRL+V indrukken, dan worden de tekens als letter verstuurd naar het invulveld met een tab voor het wachtwoord veld.

Je moet wel opletten als je dat doet, zo heb ik al meer dan eens perongelijk op google gezocht naar een wachtwoord.. dan sprong ie naar het verkeerde vakje..

-
ja de gebruiker input kan na gedaan worden, maar voor zover ik weet kan een browser geen sneltoetsen triggeren om er een kwetsbaarheid van te maken
-

[Reactie gewijzigd door King4589 op 22 juli 2024 19:56]

Qunix @King4589 • 11 juli 2014 11:35

Met deze 2 plugins kan je vrijwel hetzelfde voor elkaar krijgen.

KeePassHttp: https://github.com/pfn/keepasshttp
Browser plugins: https://github.com/pfn/passifox/

Ik ben wel benieuwd hoe veilig dit is.

Wody @Fawn • 11 juli 2014 10:54

Komt, omdat zoals in het onderzoek staat, dat alleen web-based password managers onderzocht zijn
Managers trouwens die wat mij betreft nooit veilig kunnen zijn, omdat diverse veiligheidsinstanties altijd af kunnen dwingen om de wachtwoorden af te geven.

Remz @Wody • 11 juli 2014 11:21

Zolang de key niet naar de server wordt verstuurd en dus de decryptie lokaal wordt gedaan, kunnen veiligheidsinstanties er ook niet veel mee. Dus ze kunnen inderdaad wel de databases opvragen, maar zonder key gaat het zeer lastig worden om deze te decrypten(in het geval van goede password managers zoals Lastpass/KeePass).

martijnve @Remz • 11 juli 2014 11:46

En hoe moeilijk is het om in 0,1% van de gevallen iets andere javascript uit te leveren die de key wel naar de server stuurt?

Dit soort diensten vertrouw ik liever niet met mijn wachtwoorden.

Qalo @martijnve • 11 juli 2014 14:15

Nee, klopt! Dat roep ik altijd al. Ik houd mijn privacygevoelige zaken gewoon het liefst bij me. Alles is uiteindelijk te kraken, dus kies ik ervoor om het kwaadwillenden zo lastig mogelijk te maken. Wil iemand mijn gegevens ontfrutselen? Dan zal diegene bij mij moeten inbreken en vervolgens mij onder dwang mijn masterwachtwoord zien te ontfrutselen. En dat wordt een lastig avontuur voor diegene, kan ik je verzekeren.

Maar even alle gekheid op een stokje: mensen reageren op mijn bezwaren altijd met: "Daar heb je hém weer!" Maar je ziet het: online (lees: bij derden) zijn je gevoelige gegevens per definitie minder veilig als dat je het lokaal bij je zou houden.

Cerberus_tm

@Qalo • 11 juli 2014 17:16

Je kunt je allerbelangrijkste websites buiten Lastpass houden, als die geen 2-factor hebben. Maar 95% van de websites die je gebruikt maakt toch niet zo ontzettend veel uit, mochten die gekraakt worden, dus die kun je wel in Lastpass pleuren. Het is niet of-of.

stresstak @Qalo • 11 juli 2014 18:42

En dat wordt een lastig avontuur voor diegene, kan ik je verzekeren.

Woutthere hieronder mag dan -1 krijgen, ergens heeft hij wel gelijk.

Stoer hoor, dat ¨lastig¨.. Afhankelijk van het belang van jouw gegevens en dus de wachtwoorden, mag je hopen dat je alleen thuis bent. In het andere geval kan men beginnen met het beschadigen, danwel demonteren van huisgenoten.
Het welbekende martelen.

Bij de echt kwaadwillenden heb je nu al verloren.

Kain_niaK @Remz • 11 juli 2014 16:37

Volgens mij gaat er juist om
dat een site je browser een pagina kan voorschotelen waarna je password manager auto paswoorden begint in te vullen. Probleem is dat een website dus eventueel kan faken dat het alle andere websites is en zo als je paswoorden heeft. Dit is natuurlijk afhankelijk van gebruiker instellingen. Mijn roboform vraagt mijn master password elke 3 uur of als ik mijn pc lock en terug unlock. Dus dit zijn accack vectors die mij niet zo kunnen boeien. Immers als mijn browser compromissed is dan kan die sowieso via de roboform plug-in roboform aanspreken. Of wanneer je op een draadloos netwerk zit en iemand voert een MITM aanval uit. Wat ik wil weten is hoe veilig zijn de opensource managers in vergelijking met propriatary stuff zoals roboform everywhere dat al je paswoorden sync houdt tussen je apparaten. Zijn er zwaktes in de manier waarom het je paswoorden lijst encrypt met een master passwoord en zijn er attack vectors mogelijk die toch je hele database verstuurd krijgen op het internet op het moment dat deze onversleuteld in het geheugen van je computer zit. Ik heb ook veel paswoorden voor applicaties en normaal zou een request van de roboform plug-in er niet toe mogen leiden dat mijn browser opeens deze paswoorden heeft.

monnick 11 juli 2014 10:40

KeePass met Dropbox sync is superieur ten opzichte van deze commerciële aftreksels.

Patrick_Wolf @monnick • 11 juli 2014 11:04

Alles wat gemaakt wordt kan gekraakt worden. Dropbox is ook meerdere malen in het nieuws geweest met beveilingslekken en daar heb jij dus je key bestand staan voor KeePass. Wanneer iemand bij dit bestand komt kan hij deze ook beginnen te kraken en zit je met hetzelfde probleem als de passwordmanagers namelijk dat alle wachtwoorden op één plek staan. Dus ook KeePass met Dropbox is niet het orakel.

Milmoor

@Patrick_Wolf • 11 juli 2014 12:20

Je Keepass file heeft natuurlijk nog wel zijn eigen encryptie. Ik vertrouw dus niet op de beveiliging van Dropbox (dat is het slot om mijn voordeur), maar op die van het Keepass protocol (het slot van mijn kluis). Uiteindelijk is elk wachtwoord te kraken, maar bij een voldoende lang wachtwoord is het vele malen sneller en makkelijker om of een keylogger te installeren op een van mijn devices, of met een honkbal knuppel langs te komen.

edit:
spelfaudje

[Reactie gewijzigd door Milmoor op 22 juli 2024 19:56]

Patrick_Wolf @Milmoor • 11 juli 2014 12:40

Eens

Xorgye @monnick • 11 juli 2014 10:47

Waar baseer je dit op?
Ik ben namelijk wel benieuwd want ook ik gebruik deze combi van KeePass met Dropbox.
Mijn gevoel zegt dat ze er bij KeePass wel extra aandacht aan besteden, maar of het echt onafhankelijk aangetoond is...

King4589 @Xorgye • 11 juli 2014 10:52

het nadeel van de KeePass - Cloudopslag is de cloudopslag.
Naast opslag heeft de cloud namelijk ook veel rekenkracht en veel tijd en weinig zichtbaarheid.

Je hebt geen idee wat er precies gebeurt met de data die je in de cloud zet, dat is de kracht en zwakte van de cloud. Dus zonder dat je er iets van weet kan de cloud je database proberen te kraken.

Begrijp me niet verkeerd, de kans dat dit gebeurt is minimaal, maar altijd wel groter dan wanneer je het lokaal opslaat en zelf de controle houd.

(ik gebruik het zelf ook)

Remz @King4589 • 11 juli 2014 11:04

Met een goede encryptie en goed master password kan een cloud ook niet simpel een Keepass database kraken. Met de computerkracht die momenteel beschikbaar is over de gehele wereld duurt het nog miljoenen jaren. Zie ook: http://blog.agilebits.com...ving-to-256-bit-aes-keys/
En er zijn nog wel wat andere bronnen die uitleggen dat bruteforcen onmogelijk is.

Mopperman @Remz • 11 juli 2014 11:13

Masterpassword en keyfile zijn eigenlijk wel beide een vereiste. De key file ook niet op je cloud opslaan maak het uiteindelijk ook wel een stukje lastiger.

drdelta @Remz • 11 juli 2014 11:53

Punt is alleen dat de implementatie van 1Password van AES alsnog verkeerd kan zijn, waardoor de encryptie niet op een veilige manier plaatsvind. Het encryptie algoritme kan perfect zijn, maar de implementatie is zeer belangrijk. En dat bewijst dit onderzoek dus ook, dat er makkelijk meerdere manieren kunnen zijn om hele goed encryptie wachtwoorden, toch te onderscheppen.

ajakkes @Remz • 12 juli 2014 01:02

Ja, maar door regelmatig het bestand te wijzigen en opnieuw te versleutelen neemt de veilige encr. af volgens mij.

Daarmaast moet het wachtwoord wel uit een niet te raden combi bestaan. Enige vorm van makkelijk te onthouden wachtwoord maakt het eenvoudiger te kraken.

Maar 90% van mijn wachtwoorden zijn te onbelangrijk om hier te veel moeite voor te doen. Neem het wachtwoord voor tweakers, jammer als deze wordt gestolen. Moet ik in het ergste geval een nieuwe aanmaken en schrijft iemand anders onder mijn naam iets vervelends. Succes ermee.

SidewalkSuper @King4589 • 11 juli 2014 10:59

Daarom ook beter KeePass met Bittorrent Sync gebruiken ipv Dropbox.

King4589 @SidewalkSuper • 11 juli 2014 11:09

[ tikje offtopic]

Je kan beter een USB vinger gebruiken (geamputeerde vinger, usb drive in de prothese) die heb je altijd bij je en leen je niet zomaar uit aan iemand zie:
http://www.engadget.com/2...-to-keep-up-with-reality/

Want bittorrent sync maakt ook gebruik van een stukje cloud, in princiepe enkel om de verbinding tussen host en client op te zetten maar dan toch. En het blijft over internet verstuurd worden

SidewalkSuper @King4589 • 11 juli 2014 11:28

Hahahaha, lol @ die usb.

Bittorrent Sync is inderdaad ook een stukje cloud, maar dan wel cloud die je zelf totaal beheert. Alles wordt compleet versleuteld verstuurd. Veiligste cloudoplossing die er is.

vpm @King4589 • 11 juli 2014 14:39

Dit idee had ik ook ooit, gewoon omdat protheses veel te gelimiteerd gebruikt worden... Fijn om te zien dat er ook andere mensen op hetzelfde spoor zitten.

Ontopic: Hier ook keepass, keyfile op een sdkaartje en klaar is kees. Ik ben altijd sceptisch tegenover cloud based opslag, want dan zij weten net zo goed de ontsleutelde versie. Gaat er iets fout in de schakeling, heeft men de poppen aan het dansen.

C0rnelis @King4589 • 11 juli 2014 18:29

" Want bittorrent sync maakt ook gebruik van een stukje cloud, in princiepe enkel om de verbinding tussen host en client op te zetten maar dan toch. En het blijft over internet verstuurd worden "

Gebeurt dit ook met de opties relay en tracking server uit en door gebruik te maken van predefined hosts ? Dat is namelijk wat ik gebruik.

King4589 @C0rnelis • 11 juli 2014 21:57

Ik ken niet alle details van bittorrent sync. Ik weet alleen dat ze een server voor de verbinding gebruiken als zeg maar tracker zoals bij het downloaden met behulp van torrents. dit is in principe puur voor het vinden van de twee (of meer) systemen die met elkaar willen praten.

Van de officiële site:

De apparaten die je instelt om te synchroniseren worden rechtstreeks met elkaar verbonden via UDP, NAT traversal en UpnP-poortkoppeling. Verder maken we gebruik van aanvullende methoden zoals relais- en trackerservers om de verbindingen te garanderen. Als jouw apparaten zich in hetzelfde lokale netwerk bevinden, maakt BitTorrent Sync gebruik van je LAN zodat de synchronisatie sneller verloopt.

hier geven ze aan dat er een tussen persoon is die de verbinding opzet. Ze gebruiken Perfect Forward Secrecy wat inhoud dat de verbinding van begin punt tot eindpunt versleuteld worden, waarbij ook alleen die twee de sleutel hebben.
Als tracker kan je gebruik maken van DHT of de BitTorrent-tracker, bij DHT weet je niet wie de andere server is bij de tracker is het bittorent.

Een alternatief is owncloud al weet ik daar helemaal niet van hoe die de verbinding tussen twee systemen opzet. https://owncloud.org/

ajakkes @King4589 • 12 juli 2014 00:53

Owncloud synced van client naar eigen server en van server naar andere client zoals ook drive en dropbox dit doen naar niet eigen servers.

Geen idee of deze verbinding versleuteld is maar volgens mij niet tenzij de server https draait.

De bestanden staan ook niet versleuteld opgeslagen.

Omdat je zelf de server in beheer hebt draag je zelf de verantwoordelijkheid.

Veiliger is de methode van mega om de bestanden voor het versturen te encr. En bij de volgende client te decr.

Invoke @King4589 • 11 juli 2014 11:59

Alleen hoe weet een geautomatiseerd systeem bij het bruteforcen van een encrypted password database met zekerheid wanneer een poging succesvol is als niet bekend is hoe de inhoud er uit moet zien.

daarnaast heb je als je het niet in de cloud opslaat nog automatisch draaiende toepassingen zoals smartscreen/defender/antivirus die bestanden voor analyse standaard over het internet sturen.

JohnD1 @Xorgye • 11 juli 2014 17:17

Ik gebruik de standaard trigger functionaliteit van KeePass om per device de password database te syncen met mijn lokale (linux) server.

Zodra ik KeePass start, wijzig, afsluit wordt de KeePass trigger geactiveerd en synchroniseert hij alles op mijn server.
Laptop / desktop gebruiken dus altijd de laatste versie en ik heb dus automatisch 3 backups.

IStealYourGun @monnick • 11 juli 2014 11:35

Op voorwaarde dat versie beheer bij dropbox uitstaat, anders kunnen ze aan de hand van 2 verschillende containers makkelijker een aanval doen. Geëncrypteerde containers mag je in principe nooit 1 op 1 backupen. Je moet de inhoud backupen naar een nieuwe container.

Verwijderd 11 juli 2014 10:55

het nadeel van een wachtwoord manager is niet alleen de single point of failure,
maar je weet ook gelijk de accounts / websites.
als je alleen wachtwoord zou weten dan heb je niet gelijk alle accounts te pakken maar hooguit een aantal.
nu heb je alles gemakkelijk bij elkaar.

OkselFris @Verwijderd • 11 juli 2014 12:13

Wat is het alternatief? Het gaat er uiteindelijk ook om hoe sterk jij je masterwachtwoord maakt. Ik gebruik 1Password en zou er beslist niet zonder willen. Van geen enkele website ken ik mijn password en bij geen 1 is het gelijk. Als ik geen password manager zou gebruiken zou ik beter te onthouden passwords gaan gebruiken en ze vaker op websites herhalen.
Je hebt gelijk dat alle passworden bij elkaar voor het oprapen liggen, dan vertrouw ik maar wat op de veiligheid waar ze bij 1Password flink mee schermen en welke volgens mij ook goed inelkaar zit.

Ik zie geen alternatief zolang er geen veilige technische vervanger komt.

Verwijderd @OkselFris • 11 juli 2014 12:16

uiteraard is er een goede vervanger.
je hebt vroeger de tafels van 1- 10 ook geleerd.

oftewel beter je best doen om alles te onthouden.
ik weet van praktisch alles gebruikersnamen en passwords uit hoofd
inc BSN / digid ook van mn partner.

Akufen @Verwijderd • 11 juli 2014 12:45

Wat een onzin. Deze managers laten je toe paswoorden te gebruiken van misschien wel 64 of meer karakters door elkaar. Enkele tientallen websites voor de doorsnee gebruiker is geen uitzondering.
Nu moet je mij eens vertellen hoe je een enkel wachtwoord van 64 karakters kan onthouden, laat staan tientallen, en in mijn geval 100'en.

Hoe ga je trouwens te werk wanneer je een nieuw wachtwoord nodig hebt? Je hebt maar 2 opties, ofwel kies je voor een gemakkelijk te onthouden paswoord (en dus een onveilig), of je moet het tijdelijk ergens bewaren tot je het van buiten kent.

Dat zijn echt geen veiligere opties, en zeker niet gebruiksvriendelijker.

Qalo @Verwijderd • 11 juli 2014 14:24

Iemand's brein is niet onfeilbaar, heeft ook te kampen met heel veel variabelen waardoor informatie weglekt én dus vergeten wordt, en dus kan het voorkomen dat je ergens weleens een wachtwoord vergeet. Tenzij je overal hetzelfde wachtwoord gebruikt, maar dat is een afrader.

Ik onthoud ook al mijn wachtwoorden, ook inclusief die van mijn partner. Maar ik merk wèl dat ik steeds harder moet nadenken en me regelmatig afvraag: "Wat was het ook alweer?". Dan liever één zeer sterk wachtwoord onthouden met behulp van Keepass(X). Uiteraard houd ik de database wèl offline, want anders doet het afbreuk aan mijn gevoel van veiligheid.

OkselFris @Verwijderd • 11 juli 2014 22:47

Ik weet dan ook dat de wachtwoorden die jij gebruikt never nooit zo sterk zijn als degene die uit een password manager komen rollen.

Best doen om te houden, al die websites? onmogelijk, er is dan maar 1 manier en dat is dat ik toch hetzelfde wachtwoord op vele sites gebruik. Dat is ook niet bepaald veilig

Blinkin

@Verwijderd • 11 juli 2014 19:56

Ik heb ongeveer 150 sites waarbij ik een wachtwoord heb van minimaal 64 tekens (sommige sites ondersteunen dit vreemd genoeg niet, daar zijn t er minder).
Voor elke site gebruik ik een ander wachtwoord.
Je moet over een fotografisch geheugen beschikken wil je die allemaal onthouden en weten bij welke gebruikersnaam en site die horen.

Ik vertrouw ook op de huidige oplossing met KeePass en houd alle wachtwoorden van de databases (meerdere db's maakt t ook veiliger) alleen in mn hoofd. Het overzetten van db's doe ik per usb stick en niet via de cloud.
Dat is misschien omslachtig maar in mijn ogen nog steeds praktischer dan 150 wachtwoorden en bijbehorende gebruikersnamen en sites te onthouden.

Zinop @Verwijderd • 11 juli 2014 16:15

Klopt.

Hoe ik dit zelf doe met keepass is namelijk:

- Maak in keepass alleen nieuwe entry's aan met een cijfer als titel en een gegenereerd wachtwoord.
- Schrijf het cijfer op in een (fysiek) logboek met de betreffende site en gebruikersnaam er achter
- Elke keer als je een wachtwoord nodig hebt pak je logboek erbij en zoek je het het betreffende nummer op in keepass

Op deze manier heb je wachtwoord en gebruikersnaam/ website gescheiden van elkaar. Als je dit ook nog combineert met een usb key en een lang master password zie ik bijna geen mogelijkheid dat iemand je gegevens te pakken krijgt. Het blijft natuurlijk beter om belangrijke gegevens zoals bankgegevens en email gewoon te onthouden. Ik persoonlijk gebruik password managers alleen ter ondersteuning voor minder belangrijke accounts zoals forums, webwinkels en nieuws sites.

Waar ik mij meer druk om maak is de beveiliging van de database waar ik mij registreer, wat onlangs nog het geval was bij eBay. Daarbij is het natuurlijk een kleine moeite om een nieuw wachtwoord te genereren maar het laat meer zien dat als je je gegevens toevertrouwd aan een externe database, dat je van af dat moment afhankelijk bent van de betreffende website. Dit zelfde geldt ook voor cloud opslag waar lastpass dus gebruik van maakt.

drfruit 11 juli 2014 10:56

De gemelde problemen zijn vorig jaar ontdekt en grotendeels opgelost. Welke problemen dan niet zijn opgelost, wordt helaas niet verteld.

In plaats van in het algemeen te stellen dat het gebruik van wachtwoordmanagers onveilig is, waardoor mensen in paniek kunnen raken en naar andere oplossingen grijpen die wellicht nog veel onveiliger zijn, zou het handiger zijn om voor concrete diensten te melden of er op dit moment nog problemen zijn.

Remz @drfruit • 11 juli 2014 11:11

Uit het onderzoek:

Four out of the five vendors responded within a week of our report, while one (NeedMyPassword) still has not responded to our report. Aside from linkability vulnerabilities and those found in NeedMyPassword, all other bugs that we describe in the paper have been fixed by vendors within days after disclosure.

King4589 @drfruit • 11 juli 2014 11:14

Er wordt bewust niet verteld welke problemen er nog zijn omdat dit het probleem alleen maar erger maakt. kwetsbaarheden die niet opgelost worden zijn natuurlijk heel erg, maar als ze er mee bezig zijn heb je er niks aan om het bekend te maken omdat de gebruikers dan alleen maar meer ingevaar komen omdat de aanvals-methoden dan ook snel bekend is.

wica 11 juli 2014 10:43

Sorry, maar hier heb ik dus heel veel lol om.
We adviseren bijna iedereen een wachtwoordmanager te gebruiken, om zo voor elk account een ander wachtwoord te hebben. Maar nu mag je dus elk wachtwoord van elk account aanpassen.

Verwijderd @wica • 11 juli 2014 10:54

Maar nu mag je dus elk wachtwoord van elk account aanpassen.

Waarom?

De onderzoekers hebben hun bevindingen nu pas gepubliceerd, al gaat het om kwetsbaarheden die al in de zomer van vorig jaar zijn ontdekt en voor het overgrote deel destijds al zijn opgelost.

Als er misbruik zou zijn gemaakt had je dat allang ontdekt.

markg85 @Verwijderd • 11 juli 2014 11:56

[...]

Waarom?

Serieus, je vraagt "waarom"...? Je snapt het zeker niet helemaal.
Een behoorlijk aantal wachtwoordmanagers is onveilig.
Er kunnen nu dus een behoorlijk aantal sites zijn die al jouw wachtwoorden hebben. Of ze er iets mee doen is een tweede, maar een veilig gevoel zou dat een gebruiker van zo'n manager niet moeten geven.

Natuurlijk kan je naïef zijn en denken: "ohh, zal mij niet zijn overkomen", maar dat weet je dus simpelweg niet. En daarom zal je als gebruiker zijnde de last hebben om AL je wachtwoorden die in je manager staan aan te passen.

Wel handig die managers, blij dat ik er nog nooit gebruik van heb gemaakt

MBV @markg85 • 11 juli 2014 14:41

Dat is net zo moeilijk als op alle sites dat ene wachtwoord veranderen in een ander wachtwoord zonder password manager. Aangezien dit vorig jaar al is opgelost, ik de bookmarklet nooit heb gebruikt, en er geen melding van misbruik is geweest, blijf ik lastpass gebruiken. De kans dat een willekeurige site wordt gehackt en een van de 4 wachtwoorden die ik kan onthouden dus publiek wordt lijkt me veel groter.

Sinds ik lastpass heb gebruik ik voor elke site een ander random wachtwoord.

drdelta @Verwijderd • 11 juli 2014 11:54

Als er misbruik zou zijn gemaakt had je dat allang ontdekt.

Waarom? Kwaadwillende kunnen toch maanden/jaren wachten voordat ze een account misbruiken?

firecaps30 11 juli 2014 11:42

Zelf gebruik ik Lastpass in combinatie met google authenticator. Ook heb ik ingesteld dat om het wachtwoord plain text in te zien, er nogmaals om het master wachtwoord wordt gevraagd.

Ik denk dat dit wel het risico op een "hack" verkleint. Wellicht zie ik dat verkeerd, maar ik heb het gevoel dat het erg veilig werkt.

B-Bandit

@firecaps30 • 11 juli 2014 11:59

Nee, want de hack zoals uitgelegd in het artikel passeert dat allemaal. Op het moment dat je al ingelogd bent kan hij zo een wachtwoord voor een andere site ontfutselen. Het is me niet duidelijk of je alleen een script verkrijgt waarmee je kan inloggen of ook de daadwerkelijke inloggegevens. Dit laatste lijkt me niet, maar zou kunnen.

Ik gebruik ook Lastpass + authenticator en vertrouw daar op. Mocht het nou mis gaan, sjah...

firecaps30 @B-Bandit • 11 juli 2014 12:51

Je hebt inderdaad gelijk. Ik doelde meer op de discussie die hierboven gaande was!

Winkey 11 juli 2014 10:47

De onderzoekers benadrukken dat wachtwoord-managers in potentie nuttig kunnen zijn, maar dat ze in de praktijk er juist voor kunnen zorgen dat gebruikers onveiliger worden: de tools zijn immers een single point of failure. Als een gebruiker toegang krijgt tot een wachtwoord-manager, heeft hij meteen toegang tot alle wachtwoorden, waardoor de impact groter is.

Overal hetzelfde wachtwoord gebruiken is toch ook een singlepoint of failure. (Aangezien er dan bij een website wat mis hoeft te gaan.) Het verschil is alleen dat we hopen dat wachtwoordmanagers hun beveiliging beter voor elkaar hebben dan websites die vaak geen informatie geven over hoe ze de wachtwoorden opslaan.

[Reactie gewijzigd door Winkey op 22 juli 2024 19:56]

Glodenox

@Winkey • 11 juli 2014 10:54

Inderdaad. Bij een wachtwoordbeheerder gaat het over 1 single point of failure. Bij eenzelfde wachtwoord of zelfs verschillende wachtwoorden met een herkenbare structuur zoals wachtwoord + "naam van de website" heb je meerdere single points of failure, wat nog veel erger is.

Wat dan wel weer in het nadeel van wachtwoordbeheerders valt is dat je meteen een overzicht hebt van de sites waarop er kan ingelogd worden, terwijl ze er anders maar het raden naar hebben.

MPAnnihilator 11 juli 2014 10:50

Zijn offline varianten niet gewoon per definitie minder kwetsbaar ( zoals Passwordsafe bijvoorbeeld ) ?

markg85 @MPAnnihilator • 11 juli 2014 11:59

alles wat geen verbinding maakt met internet is veiliger dan alternatieven die dat wel doen

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (80)

Sorteer op:

Weergave: