1. Laagste prijs
    Niet beschikbaar
    Prijsalert ontvangen zodra er een prijs is?
  2. Kenmerken | Gebruikersreviews
  3. Willen (2) Hebben (8)

Bekijk alle reviews

LastPass Review

Verwijderd
28 november 2018, laatste update op 1 december 2018, 1.174 views Rapporteer
Hands-on 0

Wij menen dat LastPass een oplossing is met een beduidend hoger risico profiel dan het aanvankelijke probleem.

Pluspunten

  • Op het oog goed doorontwikkeld
  • Veel mogelijkheden
  • cross platform

Minpunten

  • potentieel risico van misbruik van gegevens
  • mogelijkheid tot meekijken door leverancier
  • niet-transparante methodieken
Het afdoende authentiseren van gebruikers van informatiediensten is een grote uitdaging.
Vooral omdat hack-bots geduldig zijn en enkelvoudige bescherming (alleen met een wachtwoord) niet echt een grote uitdaging is om te trotseren. Nog daar gelaten de vaak kinderlijk simpele wachtwoorden en de problematiek van het vergeten van die enorme hoeveelheid aan wachtwoorden.

Wachtwoordmanagers kunnen helpen de kwaliteit van beveiliging te verhogen, maar introduceren tegelijk vaag grote additionele beveiligingslekken.

LastPass is professioneel vormgegeven en komt aan veel wensen t.a.v. wachtwoordbeheer tegemoet. Voor vele gebruikers en bedrijven een ware verlichting.
Het aantal door de uitbater van LastPass geclaimde gebruikers liegt er dan ook niet om. Opmerkelijk zijn de op de website geclaimde getuigenissen van gezaghebbende functionarissen van gerenommeerde bedrijven. Dat moet dan toch goed spul zijn ?

De geclaimde sterke encryptie geloven we wel. Minder verwachten we ook niet.
Op de website wordt echter ook geclaimd dat zelfs LogMeIn Inc (het bedrijf achter LastPass) geen toegang heeft tot de opgeslagen wachtwoorden (en gezien de tip van LastPass: overige zaken die u veilig wil opslaan). Er wordt evenwel niet uitgelegd hoe ze dat voor elkaar hebben gekregen.

Wij menen dan ook dat dit niet helemaal waar is. LastPass functioneert middels een ad-in voor uw browser. Deze ad-in is afkomstig van LastPass, en derhalve onder volledige controle van LastPass.
Het lijkt ons een koud kunstje voor LastPass om uw hoofdwachtwoord in onversleutelde vorm te achterhalen. Let wel: We zien geen indicatie dat dat praktijk is, maar onderkennen hier een mogelijkheid.

Ad-ins hebben defacto een hoge mate van toegang tot de browser. De mechanismen (Javascript) waarmee invulvelden in de gaten worden gehouden om mogelijk een passend wachtwoord in te vullen, kunnen ook aangewend worden om zo'n beetje alles wat u doet met uw browser te volgen.
Nogmaals: We stellen niet dat dit gebeurt, maar enkel dat de mogelijkheid er is.

Trekken we dit nog verder, dan zouden we moeten kijken naar de gevoeligheid voor hacks van het systeem. Er ligt hier een schat aan, voor de minder wetsgetrouwen, zeer bruikbare informatie. LastPass lijkt ons een onmiskenbaar interessante prooi voor hackers. Is hun bescherming daar tegen bestand? LastPass wil er niets over vertellen.

Veiligheids specialisten stellen: Als het kan, gebeurt het een keer.

Vertrouwd u alles wat u doet met uw browser, toe aan een bedrijf welke u, vanwege vestiging buiten de Europeesche Unie, nauwelijks kunt aanspreken op malversaties?

Wij menen dat LastPass een oplossing is met een beduidend hoger risico profiel dan van het aanvankelijke probleem.
Beoordeel deze review: 0 +1 +2 +3

Heb jij ook een LastPass?

Deel je ervaringen en help andere tweakers!

Schrijf review

Reacties (8)

Sorteer op:

Weergave:

Had je (jullie?) dit niet beter als blog kunnen schrijven... Dit heeft in mijn ogen weinig weg van een review maar meer een verhaal gebaseerd op onderbuikgevoel
We hebben beschreven wat we hebben vastgesteld. Dat is feitelijk, geen onderbuikgevoel.
We geven aan op welke wijze het systeem ondermijnd en misbruikt zou kunnen worden. Geen onderbuik, maar een analyse.
Ik citeer: 'geloven we wel', 'lijkt ons', 'wij menen (2x)'
Sorry, maar een analyse hoor je feitelijk te onderbouwen.
Sorry hoor, maar behalve dan dat je vindt dat LastPass professioneel vormgegeven is en LogMeIn aangeeft dat ze geen toegang hebben tot de data van LastPass zoals op de website staat, is er helemaal niets vastgesteld.

maar introduceren tegelijk vaagk grote additionele beveiligingslekken
Welke dan?
Wij menen dan ook dat dit niet helemaal waar is
Bedankt voor de mening
Het lijkt ons een koud kunstje voor LastPass om uw hoofdwachtwoord in onversleutelde vorm te achterhalen
Nogmaals dank voor de totaal ongefundeerde mening
Wij menen dat LastPass een oplossing is met een beduidend hoger risico profiel dan van het aanvankelijke probleem
Leg deze eens uit. Maar doe eens gek, kom met een bron :)
Vind het persoonlijk echt heerlijk nu ik er 1 gebruik. 1 wachtwoord voor alles, nieuwe wachtwoorden lekker automagisch genereren.

Ik doe nog wel eens onderhoud/reparaties bij mensen thuis(of brengen het) en dan staan daar gewoon tekst bestanden met wachtwoorden op de computer.. OMDAT er word gezegd 'ja je moet nooit hetzelfde wachtwoord gebruiken'.. Kunnen dus 20 verschillende wachtwoorden niet onthouden (raar!) en dan is LastPass gewoon een uitkomst.
Wat een ontzettend slecht en ongefundeerd stukje dit. Alleen meningen en geen feiten of werkelijk onderzoek.
Je hoeft het natuurlijk niet te geloven maar lees even de FAQ van LastPass. Hierin staat bijvoorbeeld dit over de encryptie: https://lastpass.com/support.php?cmd=showfaq&id=6926

[Reactie gewijzigd door flix1 op 25 juli 2024 06:29]

De essentie van het probleem waar we op wijzen betreft de kwetsbaarheid van het gebruik van een browser-plugin. We hebben mogelijke scenario's toegelicht. Verder kunnen we geen bewijs aanleveren anders dan: Leer hoe browser-ad-ins werken, of vraag een Javascript-programmeur ons verhaal te toetsen.

De door flix1 gerefereerde bron is een goed voorbeeld van het zand dat in de ogen wordt gestrooid. De beschreven methodiek is vrij gebruikelijk en is op zich prima, alleen niet vanuit een browser-plugin.
Er zijn muren van staal en beton opgetrokken en er zitten dubbele sloten op alle deuren en ramen, behalve de dienstingang. Voor een ieder die daar geen bedenkingen bij heeft, is dit een geweldig product. :)

Oproep:
Wij, programmeurs, snappen dat wat voor ons evident is, voor anderen niet direct vanzelfsprekend hoeft te zijn. We trekken de problematiek (kenniskloof) nu door en starten binnenkort een forum op www.passwordmanagers.eu.
Ben jij, of ken jij, een relevant kundige ICT-er of communicatie deskundige met een affiniteit met internet-veiligheid: wiebr@passwordmanagers.eu
is dit nu een verkapte reclame voor je eigen website? Dat lijkt me toch niet de bedoeling. Simpelweg verwijzen naar kwetsbaarheden in browsers zonder het echt noemen van bronnen en daarmee lastpass ongefundeerd te kenmerken (en nu vat ik het vrij simpel samen) als onveilig en onbetrouwbaar is erg kort door de bocht. Reviews plaats je op basis van je eigen ervaringen en leg je in de regel uit hoe je tot een ervaring komt. Vooral als deze afwijkt van het normale. Daarnaast is het goed om bronnen weer te geven als je iets stelt dat niet zo eenvoudig voor de gemiddelde lezer beaamt kan worden. Met andere woorden. Helemaal prima als je een stekker wilt reviewen en daar je mening over geeft, maar ga je een product reviewen en geeft hierbij technische mankementen, dan is het goed om die wel goed toe te lichten. Als je een stekker reviewt en die past niet normaal in je stopcontact, dan geef je toch ook aan dat het onveilig is omdat je het metaal met je vingers kunt aanraken?

Dat browser plugins onveilig kunnen zijn door browser beperkingen geloof ik graag, maar deze review lijkt meer op clickbait als je het mij vraagt en vraagt juist om extra toelichting.

[Reactie gewijzigd door mmniet op 25 juli 2024 06:29]


Om te kunnen reageren moet je ingelogd zijn