Miljoen LastPass wachtwoorden gestolen
Aanvallers zijn erin geslaagd de database van wachtwoordtool LastPass te stelen, waardoor nu meer dan een miljoen gebruikers hun hoofdwachtwoord moeten wijzigen. Lastpass is een "password manager" die inloggegevens voor websites in een versleutelde container bewaart en met een "master" wachtwoord beschermt. De tool kan wachtwoorden tussen verschillende browsers en machines synchroniseren. Exacte details zijn nog niet duidelijk, maar de ontwikkelaar houdt er rekening mee dat de aanvallers e-mailadressen, de server-salt en de gesalte wachtwoord-hashes uit de database hebben buitgemaakt.
Wie een passphrase gebruikt zou volgens de ontwikkelaar geen risico lopen, maar bij een kort wachtwoord zouden aanvallers een brute-force aanval kunnen uitvoeren om zo het wachtwoord te achterhalen. Daarmee zou men vervolgens op LastPass kunnen inloggen en de overige opgeslagen wachtwoorden bemachtigen. "Helaas gebruikt niet iedereen een hoofdwachtwoord dat immuun voor brute-forcing is. Om die potentiële dreiging tegen te gaan, dwingen we iedereen om hun hoofdwachtwoord te wijzigen", zo is op het blog te lezen.
LastPass gebruikt de gelegenheid ook om aanvullende beveiligingsmaatregelen op de servers uit te rollen. Het gaat om PBKDF2 met SHA-256 dat een 256-bit salt gebruikt. Een implementatie hiervan wordt ook in de client verwerkt. Eind februari kwam LastPass ook al in het nieuws, toen vanwege een cross-site scripting-lek waardoor accountgegevens waren te bemachtigen.
1. Meer dataverkeer van de database server dan wat er binnen kwam op de webservers
2. Meer dataverkeer op een andere machine.
Ze geven aan dat dit normaal gesproken verklaard kan worden door een medewerker die een script draait op één van de machines maar dat ze dat deze keer niet konden verifiëren.
Iedereen wordt gevraagd om het wachtwoord te wijzigen vanaf een IP adres waarmee voorheen de service bezocht is *of* hun email adres te verifiëren en via daar het wachtwoord te laten resetten.
In dit artikel wordt het geschreven alsof zeker is dat de database is uitgelekt.
Zelfs als dat gebeurt, LastPass slaat alleen een SHA-256 geëncodeerd bestand op, dat bestand kun je downloaden (synchroniseren) door je master password in te vullen. Dit password is echter *niet* het wachtwoord van deze SHA-256 container.
voor het volledige verhaal, want zoals anoniem al aangeeft is het artikel niet helemaal correct.
Op forums zoals deze log ik in met een dummy-account . Ik bedoel : gewoon fake hotmail account met 0 gebruikers. Identiteitsdiefstal is gewoon onmogelijk.
De sensationele kop van dit artikel is zoals al door anderen gezegd behoorlijk incorrect.
Toch blijf ik zelf gewoon lekker Keepass gebruiken, met een sterke passphrase...
Een YubiKey is een klein sleutelvormig stukje plastic die in je USB poort gaat en door de computer als het ware wordt gezien als een keyboard.
Nadat je je normale wachtwoord hebt ingegeven komt er een extra scherm van Lastpass waar je door een touch op de YubiKey een OTP ingeeft.
De YubiKey kun je het goedkoopste bestellen op http://www.yubikey-shop.nl € 15,00 ex BTW en morgen in huis.
Voor het gebruik met Lastpass heb je wel een Premium account nodig, bij aankoop samen met de YubiKey is dat ook nog eens goedkoper.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
