image

Weer ernstig lek in wachtwoordmanager LastPass - update

maandag 27 maart 2017, 11:08 door Redactie, 11 reacties
Laatst bijgewerkt: 27-03-2017, 14:55

Google-onderzoeker Tavis Ormandy heeft weer een ernstig beveiligingslek in de wachtwoordmanager LastPass gevonden waardoor kwaadaardige websites de systemen van gebruikers kunnen overnemen. Vorige week ontdekte Ormandy ook al twee kwetsbaarheden die vervolgens werden gepatcht.

"Ik had een openbaring in de douche deze ochtend en besefte hoe ik in LastPass 4.1.43 code kon uitvoeren", aldus Ormandy op Twitter. Hij waarschuwde vervolgens LastPass, dat op de eigen website bevestigt dat het de melding heeft ontvangen en aan het onderzoeken is. LastPass 4.1.43 is de laatste versie van de wachtwoordmanager voor Google Chrome, die zo'n 5,7 miljoen gebruikers heeft. LastPass is een clouddienst waar gebruikers hun wachtwoorden voor allerlei websites in een 'kluis' kunnen opslaan. De gebruiker hoeft alleen een hoofdwachtwoord te onthouden om de opgeslagen wachtwoorden te gebruiken.

Update

LastPass heeft een reactie online gezet. Volgens de ontwikkelaars gaat het om een unieke en geraffineerde aanval. Er zal echter geen informatie over het probleem worden gedeeld totdat de patch beschikbaar is. Daarnaast bedanken de ontwikkelaars van LastPass Ormandy voor zijn werk om de wachtwoordmanager veiliger te maken. Afsluitend krijgen gebruikers het advies om websites direct vanuit LastPass te starten en waar mogelijk tweefactorauthenticatie in te schakelen.

Reacties (11)
27-03-2017, 11:51 door Anoniem
Daarom gebruik ik sinds een korte tijd passman (https://demo.passman.cc) erg fijne software.
Heeft ook mobile apps en extensies!
27-03-2017, 11:57 door Anoniem
When does the hurting ever stop...
27-03-2017, 13:43 door Anoniem
Nou, ik moet bekennen dat ik steeds meer begin te twijfelen aan of ik Lastpass, Dashlane en gelijkwaardige password managers moet blijven gebruiken. Lastpass krijgt de meeste aandacht omdat het de grootste is. Ik zou willen dat 1Password ook meer aandacht krijgt. 1Password heeft tenminste een aanzienlijk hogere bug bounty, dus dat is al een onderscheidende factor t.o.v. Lastpass. En Dashlane heeft als het goed is zelfs geen dergelijk programma. Als 1Password ook bewezen zo lijk te zijn als Lastpass, dan resteert wat mij betreft alleen nog KeePass. Al gebruik ik die liever niet, puur vanwege dat de UX zo bagger is.
27-03-2017, 15:16 door Anoniem
ik gebruik post-it's... zijn nog nooit op afstand gehackt.
27-03-2017, 15:58 door Anoniem
Lekker veilig! zo´n password manager,ben blij dat mijn wachtwoorden in mij hoofd zitten.
27-03-2017, 16:00 door Anoniem
Door Anoniem: ik gebruik post-it's... zijn nog nooit op afstand gehackt.

;p

Helaas is ook dat historie.
https://www.security.nl/posting/424717/Franse+tv-zender+TV5+erkent+blunder+met+wachtwoorden
27-03-2017, 17:29 door karma4
Door Anoniem:
Door Anoniem: ik gebruik post-it's... zijn nog nooit op afstand gehackt.

;p

Helaas is ook dat historie.
https://www.security.nl/posting/424717/Franse+tv-zender+TV5+erkent+blunder+met+wachtwoorden

Ho ho de cameraman was we degelijk binnen. Dat je het filmt en uitzend... tja. Biij de betere boekhandel een boekje met slot dicht apart te bewaren.
27-03-2017, 23:24 door Anoniem
Keepass, passwordsafe, ... ofwel kluis zonder cloud... Als je wil kan je zelf nog altijd je kluis bestand in cloud zetten...
28-03-2017, 07:35 door Anoniem
Door Anoniem: Lekker veilig! zo´n password manager,ben blij dat mijn wachtwoorden in mij hoofd zitten.

Dus jij hebt 100-150 verschillende wachtwoorden in je hoofd zitten? Dan zullen ze niet heel complex zijn.
Hergebruik van wachtwoorden is in ieder geval niet het slimste wat je kunt doen. (en dan zeg ik het netjes ;))
Er zijn al veel databases gehackt en mocht daarin 1 van jouw opnieuw gebruikte wachtwoorden inzitten dan is het een kwestie van tijd voordat je wachtwoord bekend is ook al is die gehasht en kan die heel snel misbruikt worden bij een nieuw gehackte database waar jouwzelfde wachtwoord in gehashte vorm ook in staat.
28-03-2017, 09:25 door Anoniem
Door Anoniem: ik gebruik post-it's... zijn nog nooit op afstand gehackt.

Is alleen zo lastig om steeds mee te nemen. Vooral als je, zoals ik, zo'n 150 post-it's mee zou moeten slepen. De kans dat je er eentje ergens laat liggen, is ook groot.

Door Anoniem:Als 1Password ook bewezen zo lijk te zijn als Lastpass, dan resteert wat mij betreft alleen nog KeePass. Al gebruik ik die liever niet, puur vanwege dat de UX zo bagger is.

Ik gebruik Safe in Cloud. Grote voordeel vind ik dat je zelf de storage kan aangeven waar de database kolmt te staan. Dat kan dus ook je eigen storage zijn, zolang die maar via webdav benaderbaar is. En ja, je moet voor de app betalen.

Peter
31-03-2017, 15:07 door Bram005 - Bijgewerkt: 31-03-2017, 15:10
Onlangs zijn we begonnen met een wachtwoordmanager beoordelingssite, aangezien er al ontzettend veel gezegd is over verschillende wachtwoordmanagers. Willen we toch graag wat input van echte experts hebben van Security.nl, om een zo waarheidsgetrouw mogelijke website te maken. Wij hebben op dit moment Dashlane op 1 gezet als beste wachtwoordmanager. Keepass zie ik ook ontzettend vaak langs komen. Welke gebruiken jullie en waarom?

Lastpass vond ik erg goed, maar doordat er zo vaak lekken zijn geweest ben ik er niet erg te spreken over.
http://www.password-manager.nl/wachtwoordmanager/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.