Androidversie wachtwoordmanager LastPass bevat allerlei trackers
De Androidversie van wachtwoordmanager LastPass bevat alle trackers, waaronder meerdere van Google. Dat ontdekte beveiligingsonderzoeker Mike Kuketz nadat hij de app door het Exodus-platform liet controleren. Exodus is een "privacy-auditplatform" voor Android-applicaties. De controle leverde in totaal zeven trackers op: AppsFlyer, Google Analytics, Google CrashLytics, Google Firebase Analytics, Google Tag Manager, MixPanel en segment.
Volgens Kuketz horen dergelijk trackers niet thuis in een wachtwoordmanager die zeer gevoelige informatie verwerkt. "Welke gegevens deze modules verzamelen en naar derde partijen versturen zijn soms voor zelfs de app-ontwikkelaars, die de modules aan hun apps toevoegen, niet duidelijk", aldus de onderzoeker over de aanwezige trackers.
Kuketz stelt dat de trackers data versturen zonder dat gebruikers om toestemming wordt gevraagd. Het tracken vindt ook tijdens het gebruik van de app plaats. "Zelfs als de trackers geen contentdata ontvangen, volgen ze de gebruiker nog steeds overal wanneer die LastPass gebruikt en ontvangen daarbij metadata." Het gaat dan bijvoorbeeld om informatie over een nieuw wachtwoord, adres of bankrekening, verschillende user-ID's en informatie over het gebruikte apparaat.
De onderzoeker concludeert dat de huidige Androidversie van LastPass waarschijnlijk in strijd met de AVG is. Daarnaast noemt hij de aanpak van het bedrijf wat security betreft "zeer twijfelachtig". Andere wachtwoordmanagers zoals 1Password en KeePass bevatten volgens de scan van Exodus geen trackers. In wachtwoordmanager Bitwarden worden twee trackers gevonden, terwijl wachtwoordkluis Dashlane er vier telt.
In een reactie tegenover The Register laat LastPass weten dat er geen gevoelige persoonlijke identificeerbare data of gegevens van de wachtwoordkluis naar de trackers worden verstuurd. De trackers verzamelen alleen "beperkte statistische data" over het gebruik van LastPass wat het bedrijf gebruikt om het product te verbeteren, aldus een woordvoerder. LastPass kwam onlangs nog in het nieuws omdat het het gebruik van de gratis versie gaat beperken tot één type apparaat.
Klinkt als een goed plan toch?
Is het ook. Het toevoegen van trackers staat daar volledig buiten.
- Rexodus
Wordt wel een beetje stil van deze uitkomst, ik heb een hoop gebruikers op lastpass gezet met onder andere het argument dat deze bedrijven begrijpen dan zij alleen kunnen bestaan met het vertrouwen van de gebruikers. Gratis zijn zou vooral een model zijn om te kunnen groeien en mensen aan de functie te kunnen laten wennen. :(
Iemand goede suggesties voor een password manager? Flexibel, multi platform, gebruikersvriendelijk, samenwerk mogelijkheden en last but not least: het vertrouwen waard.
Paar willekeurige bedrijven waar ik klant ben:
Rabobank 3 trackers https://reports.exodus-privacy.eu.org/en/reports/nl.rabomobiel/latest/
CZ 4 trackers https://reports.exodus-privacy.eu.org/en/reports/nl.cz.app/latest/
Ziggo 4 trackers https://reports.exodus-privacy.eu.org/en/reports/com.lgi.ziggotv/latest/ Ziggo heeft blijkbaar ondertussen toch besloten dat die trackers van Facebook niet zo'n heel goed idee waren. Terwijl de 'klantenservice' mij toch duikelijk te kennen gaf dat ze privacy heel serieus namen.
Firefox 3 trackers https://reports.exodus-privacy.eu.org/en/reports/org.mozilla.firefox/latest/ absurd! Sowieso het eerste wat Firefox tegenwoordig doet bij opstarten is data delen met Google.
PostNL 4 trackers https://reports.exodus-privacy.eu.org/en/reports/nl.tpp.mobile.android/latest/
Als bonus DigiD 3 trackers https://reports.exodus-privacy.eu.org/en/reports/nl.rijksoverheid.digid.pub/latest/
Labels van Mediahuis en DPG Media mag je zelf opzoeken, die hebben blijkbaar echt helemaal niets op met privacy.
Uiteraard gebruik ik geen één van bovenstaande apps, op Firefox na. Nog steeds kijken mensen mij raar aan dat ik privacy belangrijk vind (of zou dat ergens anders aan liggen?) en dit soort applicaties niet adviseer.
Wordt wel een beetje stil van deze uitkomst, ik heb een hoop gebruikers op lastpass gezet met onder andere het argument dat deze bedrijven begrijpen dan zij alleen kunnen bestaan met het vertrouwen van de gebruikers. Gratis zijn zou vooral een model zijn om te kunnen groeien en mensen aan de functie te kunnen laten wennen. :(
Iemand goede suggesties voor een password manager? Flexibel, multi platform, gebruikersvriendelijk, samenwerk mogelijkheden en last but not least: het vertrouwen waard.
Ikzelf ben recent naar volle tevredenheid overgestapt naar Bitwarden!
Iemand goede suggesties voor een password manager? Flexibel, multi platform, gebruikersvriendelijk, samenwerk mogelijkheden en last but not least: het vertrouwen waard.
Bij mijn werkgever gebruiken we Keeper als password manager. Zover ik kan zien/horen/lezen voldoet die aan al jouw punten. Zijn ook erg serieus als het gaat om hun beveiliging, al was Lastpass dat ook..
Zonder trackers zijn: 1password, keepass2 android, msecure, saferpass, securesafe
https://www.heise.de/select/ct/2021/5/2101810342869734016
Een offline passwordmanager is wat mij betreft de beste keus. Misschien niet heel handig om uit te wisselen tussen je devices, maar een stukje extra veiligheid is dat wel waard.
KeePassXC (keepassxc.org) is een gratis en open source wachtwoordmanager (met een GNU GPL 2.0 licentie), uitgevoerd als Qt5 multiplatform applicatie voor Windows, macOS en Linux. Het kan worden gebruikt in combinatie met een YubiKey en het heeft de zegen van de Electronic Frontier Foundation en Tails gekregen.
https://en.wikipedia.org/wiki/KeePassXC
Het enige nadeel is dat er geen Google Android versie van KeePassXC beschikbaar is, en dat het ooit verschijnen van een Apple iOS versie niet waarschijnlijk is. Wel bestaat er hiervan weer onafhankelijke doorontwikkelde forks van KeePass op F-Droid.org (zie daar, onder verschillende namen), dus dat zou een serieuze optie kunnen zijn.
Dan blijft over: de keuze voor Bitwarden (bitwarden.com), al eerder genoemd, dat naast de stand alone versie voor Windows, macOS en Linux (met GNU GPLv3 and AGPLv3 licenties), ook een versie voor Android en iOS en browser extensies voor Brave, Chrome, Firefox en Opera heeft uitgebracht.
https://en.wikipedia.org/wiki/Bitwarden
Bitwarden zou dus een serieuze open source vervanger voor LastPass kunnen zijn, en KeePassXC een goed alternatief.
Het standaard antwoord voor alle trackers, cookies, onnodige rotzooi en wat er al niet in een applicatie of app wordt verwerkt: "we verbeteren het product" of "we verbeteren de gebruikerservaring". En dan boos worden wanneer je die rotzooi blokkeert.
Hoezo gratis? Ik betaal er voor...
https://community.bitwarden.com/t/remove-embedded-trackers-from-bitwarden/18925
Slechts met het opstarten 1x firebaselogging-pa.googleapis.com /v1firelog/legacy/batchlog
Niks herleidbaars naar mijn device (op een VPN IP na). Altijd al voorstander geweest van OFFLINE password managers en wederom bevestigd.
KeePassXC (keepassxc.org) is een gratis en open source wachtwoordmanager (met een GNU GPL 2.0 licentie), uitgevoerd als Qt5 multiplatform applicatie voor Windows, macOS en Linux. Het kan worden gebruikt in combinatie met een YubiKey en het heeft de zegen van de Electronic Frontier Foundation en Tails gekregen.
https://en.wikipedia.org/wiki/KeePassXC
Het enige nadeel is dat er geen Google Android versie van KeePassXC beschikbaar is, en dat het ooit verschijnen van een Apple iOS versie niet waarschijnlijk is. Wel bestaat er hiervan weer onafhankelijke doorontwikkelde forks van KeePass op F-Droid.org (zie daar, onder verschillende namen), dus dat zou een serieuze optie kunnen zijn.
Keepass2Android Offline
Philipp Crocoll (Croco Apps)
https://play.google.com/store/apps/details?id=keepass2android.keepass2android_nonet
Werkt uitstekend!
Ja dat kan. Je kunt ook een LUKS-container maken met daarin .txt bestanden met je geheimen en die op je server zetten zodat je er overal vanaf bij kan. Online wachtwoordmanagers maken dat alleen een stuk makkelijker voor je met een mooie frontend en apps voor je telefoon en browser.
Het enige nadeel is dat er geen Google Android versie van KeePassXC beschikbaar is, en dat het ooit verschijnen van een Apple iOS versie niet waarschijnlijk is. Wel bestaat er hiervan weer onafhankelijke doorontwikkelde forks van KeePass op F-Droid.org (zie daar, onder verschillende namen), dus dat zou een serieuze optie kunnen zijn.
Daarvoor heb je https://www.keepassdx.com/, werkt goed en is open source.
Als je een Yubikey wilt gebruiken moet je voor Bitwarden betalen (al is €10,- per jaar niet veel), KeepassXC ondersteunt dit standaard.
https://community.bitwarden.com/t/remove-embedded-trackers-from-bitwarden/18925
En daaronder staat een post met uitleg om de F-Droid repository-versie te gebruiken die de twee trackers niet bevat.
Directe link naar de FAQ met uitleg betreffende trackers:
https://bitwarden.com/help/article/security-faqs/#q-what-third-party-services-libraries-or-trackers-are-used
Een offline passwordmanager is wat mij betreft de beste keus. Misschien niet heel handig om uit te wisselen tussen je devices, maar een stukje extra veiligheid is dat wel waard.
HEAR HEAR, je maaide het gras voor me weg :). het idee dat een grote DB online veiliger is dan post-its in elke cubicle in elk kantoor verspreid over de wereld is op zijn minst aanvechtbaar!
Wachtwoordmanagers: welke moet je hebben?
uitzending Kassa, item vanaf: 24m:20s
https://www.npostart.nl/kassa/13-02-2021/BV_101404358
met Daniël Verlaan (RTL Nieuws), techjournalist,
en bekend van https://laatjeniethackmaken.nl
In de Kassa uitzending worden door Daniël deze genoemd: LastPass (ook in het Nederlands en "gratis"), 1PassWord (alleen Engelstalig en vanaf €3,= per maand), Bitwarden (heus niet alleen voor nerds), KeePass (de beste keuze, maar dit vergt aardig wat expertise) en Dashlane (ook populair, een redelijk goede keuze).
Stappenplan: zó zorg je voor een goed systeem
https://www.bnnvara.nl/kassa/artikelen/wachtwoordmanager-wat-is-het-en-welke-moet-je-hebben
De top 3
Bitwarden
KeePassXC
LessPass
https://www.privacytools.io/software/passwords/
LessPass is een woordspeling op "LastPass", maar LessPass werkt anders, is veiliger en eenvoudiger. Geen gedoe meer met synchroniseren en een derde partij is overbodig. Het zal wel even wennen zijn, het idee dat al je wachtwoorden nergens meer zijn opgeslagen, afgezien van die ene in je hoofd.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
