Google vindt ernstig lek in wachtwoordmanager LastPass
Google-onderzoeker Tavis Ormandy heeft een ernstig beveiligingslek in de wachtwoordmanager LastPass ontdekt waardoor een aanvaller systemen in het ergste geval kan overnemen en anders wachtwoorden kan stelen. LastPass is een clouddienst waar gebruikers hun wachtwoorden voor allerlei websites in een 'kluis' kunnen opslaan. De gebruiker hoeft alleen een hoofdwachtwoord te onthouden om de opgeslagen wachtwoorden te gebruiken.
Ormandy ontdekte dat de Chrome- en Firefox-versie van LastPass-extensie een kwetsbaarheid bevat waardoor het mogelijk is om op afstand willekeurige code uit te voeren en wachtwoorden te stelen. Details zal de onderzoeker later bekend maken. De exploit die hij ontwikkelde om de aanval op het lek te demonstreren werkt op Windows, maar kan ook voor andere platformen worden aangepast.
LastPass laat weten dat het na te zijn ingelicht een tijdelijke oplossing heeft uitgerold en aan een permanente fix werkt. Vorig jaar ontdekte Ormandy ook al een ernstige kwetsbaarheid in LastPass waardoor het systeem van gebruikers op afstand volledig kon worden overgenomen. Kort na de aankondiging van Ormandy op Twitter over dat lek kwam LastPass met een update om het probleem te verhelpen.
Een passwordmanager heeft altijd een risico. Two factor authentication waar nodig is een must.
GEEN passwordmanager is in mijn ogen een groter risico.
Nu kan je beargumenteren dat Lastpass eerder in het nieuws is geweest, maar ze zijn meestal behoorlijk snel in het oplossen en open in hun communicatie. Ze zijn dan ook de grootste
We moeten in mijn ogen sowieso toe naar een methode waarin een password alleen niet meer voldoende is .
plain text je wachtwoorden opslaan... briljant... *not!*
Programma's als Lastpass hebben te veel toeters en bellen waardoor ze extra kwetsbaar zijn.
Lastpass gebruik zelf alleen voor onbelangrijke fora e.d. en voor password generatie.
@15:12 Notepad lijkt me niet verstandig. Als je PC wordt gejat of je krijgt brand of een andere calamiteit dan heb je een probleem!
plain text je wachtwoorden opslaan... briljant... *not!*
Bewaard op aparte fysieke plaats. Te koop in elke betere boekwinkel
plain text je wachtwoorden opslaan... briljant... *not!*
Bewaard op aparte fysieke plaats. Te koop in elke betere boekwinkel
Het gebruik van een wachtwoordmanager biedt de mogelijkheid om lange wachtwoorden te gebruiken. Ik heb op enkele sites wachtwoorden van 32 tekens, volkomen random. Dat ga ik niet opschrijven of overtikken. Al helemaal niet op mijn telefoon.
Ik gebruik Safe in Cloud. Die biedt de mogelijkheid om de database op willekeurige cloud storage neer te zetten. Inclusief je eigen Webdav server.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
