image

Wachtwoordhash gebruikers wachtwoordmanager Blur gelekt

woensdag 2 januari 2019, 16:56 door Redactie, 11 reacties

Online privacybedrijf Abine heeft gebruikers van de wachtwoordmanager Blur gewaarschuwd voor een datalek met gevoelige gegevens, waaronder de wachtwoordhashes van gebruikers. Blur is een wachtwoordmanager die gebruikers lokaal en in de cloud hun wachtwoorden laat opslaan.

Volgens Abine maken bijna 24 miljoen mensen er gebruik van. Op donderdag 13 december ontdekte het bedrijf een bestand met informatie van Blur-gebruikers dat voor derden toegankelijk was. Dit bestand bevatte informatie van Blur-gebruikers die voor 6 januari 2018 hun account hadden geregistreerd. Het gaat om e-mailadressen, voor- en achternaam, in sommige gevallen wachtwoordhints van een ander product van Abine genaamd MaskMe, de laatste twee ip-adressen van de gebruiker en de gehashte wachtwoorden van gebruikers. Met het wachtwoord kan toegang tot de wachtwoordmanager worden verkregen.

Hashes worden gebruikt om wachtwoorden gecodeerd in een database op te slaan. Dit voorkomt dat als bijvoorbeeld een website wordt gehackt en de database gestolen, de aanvaller meteen toegang tot de wachtwoorden van gebruikers heeft, aangezien die gehasht zijn. Voor het hashen van de wachtwoorden maakt Blur gebruik van het Bcrypt-algoritme. Daarnaast wordt er voor elke gebruiker een unieke "salt" gebruikt. Een salt is een waarde die aan het wachtwoord van de gebruiker wordt toegevoegd, waarna er een hash van wordt gemaakt. Dit maakt het lastiger voor een aanvaller om het daadwerkelijke wachtwoord te achterhalen, maar niet onmogelijk.

Blur-gebruikers krijgen het advies om hun wachtwoord te wijzigen. Gebruikers die dit wachtwoord ook op andere websites gebruiken wordt aangeraden daar een uniek wachtwoord in te stellen. Abine stelt verder dat het een vooraanstaand securitybedrijf heeft ingeschakeld om het incident te onderzoeken en de autoriteiten zijn ingelicht.

Reacties (11)
03-01-2019, 00:46 door Anoniem
Dit is dus dé reden waarom ik géén online wachtwoordenbeheerders gebruik, maar puur en alleen KeepassX(C) lokaal geïnstalleerd. Dat is de veiligste manier om je wachtwoorden te beheren.

Ik bewaar trouwens helemaal niks online wat ook maar enigszins delicaat is. Geen wachtwoorden, maar ook niet mijn bestanden. Ik leg niet graag mijn lot in de handen van anderen. Alles lekker bij jezelf houden, dat is nog steeds het beste.
03-01-2019, 08:09 door Anoniem
Einde voor Blur denk ik. Reputatie naar de maan voor een wachtwoordmanager....
03-01-2019, 10:02 door -karma4
Door Anoniem: Einde voor Blur denk ik. Reputatie naar de maan voor een wachtwoordmanager....

Je loopt dit risico met alle online wachtwoordmanagers. Een tijd terug was het een andere die problemen had.
03-01-2019, 10:16 door Anoniem
Door Anoniem: Dit is dus dé reden waarom ik géén online wachtwoordenbeheerders gebruik, maar puur en alleen KeepassX(C) lokaal geïnstalleerd. Dat is de veiligste manier om je wachtwoorden te beheren.

Voor jou misschien perfect haalbaar. Voor synchronisatie is het echter niet zo handig. Dan kies je bewust voor een systeem wat daar beter mee omgaat dan Blur en LastPass.

Ik gebruik er eentje waar je de opslag kunt kiezen. En de leverancier heeft geen eigen opslag. Naast standaard cloud providers, zoals OneDrive, Dropbox en Google Drive, kun je zelf ook een WebDav omgeving opzetten op een eigen systeem. Dan ben je zelf verantwoordelijk voor de beveiliging daarvan.

Door Anoniem: Einde voor Blur denk ik. Reputatie naar de maan voor een wachtwoordmanager....

Ik heb nog geen einde gezien aan LastPass.

Peter
03-01-2019, 11:42 door -karma4
Door Anoniem: Ik heb nog geen einde gezien aan LastPass.

Peter

'LastPass'? Nomen est omen...
03-01-2019, 16:32 door Anoniem
Ik gebruik een versie van 1Password die de vault deelt met al mijn devices via een dropbox. Mijn theorie is dat dit redelijke zekerheid biedt. Zou ook zelf wel willen hosten thuis maar dan moet ik ook elke dag mijn beveiliging thuis op orde houden
04-01-2019, 18:31 door Anoniem
Een wachtwoord wijziging heeft weinig zin als ze de hele hash database binnen kunnen halen. Zou heel snel alle wachtwoorden veranderen die je daar opgeslagen hebt en heel snel niet meer dit soort onzin gebruiken.
05-01-2019, 16:04 door Anoniem
Daar zal ik met het briefje in mijn bureaulade nou niet snel last van hebben.
07-01-2019, 09:40 door Anoniem
Ik lees dat er wachtwoord hashes zijn buitgemaakt. Dat zijn toch niet de hashes van de opgeslagen wachtwoorden? Want op het moment dat ik als gebruiker zo'n wachtwoord nodig heb, dan moet de wachtwoord manager dat in 'clear text' ophoesten - niet als hash. Echte hashes gaan maar 1 kant op, niet terug, dus deze wachtwoorden zijn van iets anders... Wellicht het master-password voor toegang tot het tool/de website? Dan nog lijkt me niet echt een man overboord: reset de wachtwoorden, mail naar je gebruikers en vooral doorgaan...

Ofwel: de kluis is niet gekraakt, maar iemand heeft 'onderdelen' van de sleutel te pakken en moet nu proberen de sleutel samen te stellen uit die onderdelen. Maar het veranderen van de sleutel zou sneller moeten kunnen dan dat. Toch?

Klaas Jan
07-01-2019, 12:20 door hanspaint
Door Anoniem: Dit is dus dé reden waarom ik géén online wachtwoordenbeheerders gebruik, maar puur en alleen KeepassX(C) lokaal geïnstalleerd. Dat is de veiligste manier om je wachtwoorden te beheren

Dat is een illusie. Een goede password manager is veilig schijnbaar is Blur dat niet.
07-01-2019, 15:55 door Anoniem
KeepAss... ;-) al jaren!

wachtwoorden opslaan on-line/cloud heb ik nooit een zinnig idee gevonden
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.