Wachtwoordhash gebruikers wachtwoordmanager Blur gelekt
Online privacybedrijf Abine heeft gebruikers van de wachtwoordmanager Blur gewaarschuwd voor een datalek met gevoelige gegevens, waaronder de wachtwoordhashes van gebruikers. Blur is een wachtwoordmanager die gebruikers lokaal en in de cloud hun wachtwoorden laat opslaan.
Volgens Abine maken bijna 24 miljoen mensen er gebruik van. Op donderdag 13 december ontdekte het bedrijf een bestand met informatie van Blur-gebruikers dat voor derden toegankelijk was. Dit bestand bevatte informatie van Blur-gebruikers die voor 6 januari 2018 hun account hadden geregistreerd. Het gaat om e-mailadressen, voor- en achternaam, in sommige gevallen wachtwoordhints van een ander product van Abine genaamd MaskMe, de laatste twee ip-adressen van de gebruiker en de gehashte wachtwoorden van gebruikers. Met het wachtwoord kan toegang tot de wachtwoordmanager worden verkregen.
Hashes worden gebruikt om wachtwoorden gecodeerd in een database op te slaan. Dit voorkomt dat als bijvoorbeeld een website wordt gehackt en de database gestolen, de aanvaller meteen toegang tot de wachtwoorden van gebruikers heeft, aangezien die gehasht zijn. Voor het hashen van de wachtwoorden maakt Blur gebruik van het Bcrypt-algoritme. Daarnaast wordt er voor elke gebruiker een unieke "salt" gebruikt. Een salt is een waarde die aan het wachtwoord van de gebruiker wordt toegevoegd, waarna er een hash van wordt gemaakt. Dit maakt het lastiger voor een aanvaller om het daadwerkelijke wachtwoord te achterhalen, maar niet onmogelijk.
Blur-gebruikers krijgen het advies om hun wachtwoord te wijzigen. Gebruikers die dit wachtwoord ook op andere websites gebruiken wordt aangeraden daar een uniek wachtwoord in te stellen. Abine stelt verder dat het een vooraanstaand securitybedrijf heeft ingeschakeld om het incident te onderzoeken en de autoriteiten zijn ingelicht.
Ik bewaar trouwens helemaal niks online wat ook maar enigszins delicaat is. Geen wachtwoorden, maar ook niet mijn bestanden. Ik leg niet graag mijn lot in de handen van anderen. Alles lekker bij jezelf houden, dat is nog steeds het beste.
Je loopt dit risico met alle online wachtwoordmanagers. Een tijd terug was het een andere die problemen had.
Voor jou misschien perfect haalbaar. Voor synchronisatie is het echter niet zo handig. Dan kies je bewust voor een systeem wat daar beter mee omgaat dan Blur en LastPass.
Ik gebruik er eentje waar je de opslag kunt kiezen. En de leverancier heeft geen eigen opslag. Naast standaard cloud providers, zoals OneDrive, Dropbox en Google Drive, kun je zelf ook een WebDav omgeving opzetten op een eigen systeem. Dan ben je zelf verantwoordelijk voor de beveiliging daarvan.
Ik heb nog geen einde gezien aan LastPass.
Peter
Peter
'LastPass'? Nomen est omen...
Ofwel: de kluis is niet gekraakt, maar iemand heeft 'onderdelen' van de sleutel te pakken en moet nu proberen de sleutel samen te stellen uit die onderdelen. Maar het veranderen van de sleutel zou sneller moeten kunnen dan dat. Toch?
Klaas Jan
Dat is een illusie. Een goede password manager is veilig schijnbaar is Blur dat niet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
