Een webbased WW manager is m.i. geen goed idee, en ook nooit een goed idee geweest.
Een WW manager moet je lokaal houden en niet uit besteden aan een cloud dienst.

Mijn telefoon is mijn heiligdom, daar staat o.a. mijn master WW kluis (KeePass) op en daar doe ik alle mutaties, andere systemen sync ik daar waar nodig handmatig.

Gut. De kwestie staat goed beschreven, maar Erik moet er weer een verzonnen horror verhaal van maken.

Ben ik het wel mee eens, ik host zelf mijn Passbolt kluis voor mijzelf en m'n familie, het uitbesteden is leuk maar neemt ook risico's met zich mee.

Je moet ook niet verwachten dat de marketinguiting van 100% correct is.
De waarheid zal wel in het midden liggen. Ze gaan vast hun klanten niet bang maken/weg jagen.

Erik komt meestal met goed onderbouwde argumenten waarom iets een risico is en vergis je niet nieuws ontwikkeld zich.

Ga vooral door Erik met je bijdragen. [:thumbs-up:]

Sterker, onder welke omstandigheden zeg je tegen je gebruikers "voer tot nader order je master password niet meer in" en/of trek je de stekker uit de server?

Oftewel, wanneer ga je zeker failliet en wanneer heb je kans dat "het meevalt"? Goed (?) gebruik is eerst zwijgen, dan downplayen.

Ik hoop dat het allemaal minder erg is dan theoretisch mogelijk, maar als de aanvallers dezelfde zijn als op Twilio, CloudFlare en MailChimp, dan gaat het ze niet om source code maar betreft het waarschijnlijk een "supply chain attack".

Erik, ga AUB door met je reactie en opmerkingen. Je bijdrage is van een (erg veel) hoger gehalte dan de meeste commentaren.

In het slechtste scenario worden nu fuzzers op de broncode losgelaten om de zero days eruit te vissen.
Daarna wordt datzelfde gedaan voor de encryptielagen.

Als de klanten pech hebben staat er een static key ergens.

Gezien het closed source is is er nergens een auditrapport en kun je niet weten of er zulke fouten zijn gemaakt.
Nu is het wachten tot het helemaal open gecracked wordt en leeggehaald.

Wat is de kans?

Closed? Ik heb uit https://addons.mozilla.org/en-US/firefox/addon/lastpass-password-manager/ de laatste versie gedownload (Nb. dat bestand zou kwaadaardige code kunnen bevatten), de extensie .xpi gewijzigd in .xpi.zip waarna er heel veel gewoon leesbaar is (je zult waarschijnlijk wel wat moeten "beautifyen", en wellicht "refactoren", om de leesbaarheid te verbeteren).

FWIW, LastPass is op 27 juli nog ISO 27001:2013 gecertificeerd: https://www.lastpass.com/nl/company/newsroom/press-release/lastpass-receives-iso-27001-certification-for-security-management.

Ingedachtig de woorden van Erik van Straten heb ik me nooit laten verleiden tot het gebruik van password managers.

Epic browser met een ingebouwde Digital Ocean VPN is goed genoeg voor mij of ungoogled chromium browser. Wat de browser niet onthoudt, kan je ook niet in de k*nt komen bijten, simpel zat!

#obserwator

Het mooie van de ISO 27001-certificering is dat je niet aan de hele checklist hoeft te voldoen, als je maar duidelijk omschrijft waarom je een bepaald punt niet hebt geïmplementeerd en aangeeft hoe je van plan bent dat op te pakken. Als die certificering pas op 27 juli jl. is ontvangen, kan het best zijn dat een deel van de ISO 27001 nog in de praktijk moet worden gebracht. Los van dat is het op zichzelf positief dat er aandacht voor is voor security.

Het lelijke van een ISO 27001-certificering is dat het ontzettend afhankelijk is van de auditor (hoe goed schat hij/zij de volledigheid van de lijst met geïnventariseerde risico's in, welke steekproeven neemt zij/hij en hoeveel ogen worden daarbij dichtgeknepen).

Bovendien is er "out of the box" helemaal geen "checklist" (de lijst met controls achterin ISO 27001, uitgebreider gedocumenteerd in ISO 27002, is zeer abstract en, zoals je schrijft, je mag zelf kiezen wat je van toepassing vindt waarbij het sterk van de auditor afhangt of deze akkoord gaat met jouw argumenten).

Formeel moet je vooral een ISMS hebben en onderhouden, waar in theorie bijvoorbeeld als patchbeleid in kan staan: "wij patchen niet".

Eventueel aangevuld met "want patches kunnen bijwerkingen hebben, nieuwe kwetsbaarheden introduceren of zelfs een backdoor of andere malware bevatten, en mogelijk wordt de authenticiteit van patches onvoldoende gecontroleerd door de te patchen software" (allemaal geen theoretische risico's, ga daar maar eens tegenin als auditor).

Bovendien hoeft zo'n certificaat niets te zeggen als specifieke issues en/of locaties (thuiswerkplekken voor ontwikkelaars?) buiten de scope worden gehouden (al dan niet bewust).

Ik vermoed dat LastPass haar beveiliging best redelijk op orde heeft, maar mogelijk de risico's van een gecompromitteerd ontwikkelaarsaccount niet of onvolledig heeft ingeschat.

En ik denk dat LastPass allesbehalve het enige bedrijf is dat gapende gaten heeft in de lijst met risico's die zij lopen. Vaak begint men met het in kaart brengen van de meest voor de hand liggende risico's (+ inschatten en mitigeren), en dan zijn tijd en geld op (en het jaar erna gaat alle aandacht naar ISO 9001 o.i.d.). Het is een enorm groot en complex speelveld, dat zelden door één persoon overzien kan worden, laat staan dat deze alle details kan kennen.

Beveiligen is altijd een compromis met restrisico's, waarbij risico's voor stakeholders (zoals klanten) hooguit worden meegewogen indien die óók tot risico's voor de organisatie zelf leiden (zoals inkomstenderving door veel weglopende en/of veel minder nieuwe klanten).

De meeste organisaties vragen veel meer vertrouwen van ons dan zij zeggen te verdienen, al dan niet middels certificaten.

Aanvulling om mijn frustratie met certificaten zoals ISO 27001 te verduidelijken: voor veel organisaties is niet "goede beveiliging" het echte doel, maar "het verkrijgen van meer klantvertrouwen middels een certificaat" en "hoe spenderen we hier zelf zo min mogelijk tijd en geld aan".

Als je op die pagina kijkt welke licentie de add-on heeft dan staat er: "Custom License". Dat is een link en als je die volgt blijkt de licentie te zijn: Copyright LastPass -- "All Rights Reserved".

Dat is geen open source, dat is propriëtaire software waarvan je de broncode kan zien. De term open source slaat op licenties die je als gebruiker recht geven op de broncode en om zowel de originele software als eigen wijzigingen daarop door te geven aan anderen onder dezelfde of compatibele licentievoorwaarden. Daar voldoet dit niet aan.

Ik weet niet waar je op uit bent, maar ik heb geen zin in een discussie over "de" definitie van "open source".

Bovendien beweer ik nergens dat het bij genoemde XPI om "open source" zou gaan, zelfs niet dat je de echte broncode zou kunnen zien (in https://security.nl/posting/765822 noem ik o.a. "beautifyen").

Ik probeerde slechts aan te geven dat het niet zó closed is dat je IDA Pro o.i.d. nodig hebt om te kunnen zien hoe deze plug-in werkt (en bijv. te kunnen fuzzen, of diffen met een andere versie).

ISO27001 is maar de helft, namelijk Test of Design. Het stuk Test of Effectiveness ontbreekt. Het hebben van een ISO27001 certificaat zegt dus helemaal niets.

Voor de goede orde: ik ben auditor en schop wel vaker de dromen rond ISO27001 in de war.

FWIW, LastPass is op 27 juli nog ISO 27001:2013 gecertificeerd: https://www.lastpass.com/nl/company/newsroom/press-release/lastpass-receives-iso-27001-certification-for-security-management.[/quote]
ISO 27001 certificering zegt helemaal niets en is een leuk certificaat aan de muur.
Gaat voornamelijk over organisaties en hoe deze IT security minimaal geborgd hebben binnen de organisatie. Voor technische maatregelen (ook minimaal) kan je kijken naar aanhangsel A van de 27001 maar je hoeft niet alles te implementeren. Kijk dan naar de uitwerkingen in de 27002 welke nog onlangs is geactualiseerd.

Malwarebytes oppert dat het met toegang tot de source code mogelijk zou kunnen zijn om de door LastPass gegenereerde wachtwoorden te raden: https://www.malwarebytes.com/blog/news/2022/08/source-code-of-password-manager-lastpass-stolen-by-attacker
"Depending on the source code that was stolen there could be reason to worry about random generated passwords. Since computer systems are unable to come up with truly random numbers, having access to the source code might make it possible to predict the “random” generated passwords."

Dat klopt deels wel, het certificaat zegt vooral of jij je management systeem op orde hebt en of je serieus je PDCA cyclussen volgt. Met andere woorden; dat je ook opvolging geeft aan wat er gevonden wordt en dat de beslissers weten hoe het er voor staat.

De certificeerder kan in theorie dus een bedrijf met slechte gewoontes certificeren. Maar "Wij patchen niet" zal de certificeerder toch zeker wat van vinden. Want als het goed is, zijn de gebruikers van de applicatie ook stakeholders wiens belang de certificeerder ook moet wegen volgens zijn instructies (Ook voor het certificeren zelf is een ISO-norm waaraan men dient te houden).

Tja, je wachtwoorden in beheer leggen bij een derde partij. Klinkt heel slim.

Daarom is dat ook niet zo… Het is nog altijd beter dan voor iedere site hetzelfde wachtwoord gebruiken.

ISO 27001 certificering zegt helemaal niets en is een leuk certificaat aan de muur.
Gaat voornamelijk over organisaties en hoe deze IT security minimaal geborgd hebben binnen de organisatie. Voor technische maatregelen (ook minimaal) kan je kijken naar aanhangsel A van de 27001 maar je hoeft niet alles te implementeren. Kijk dan naar de uitwerkingen in de 27002 welke nog onlangs is geactualiseerd.[/quote]
Correct confrere want een ISO27001 certificering kent altijd een scope en die zegt meestal niets over de producten die een bedrijf oplevert. Vaak gaat de certificering over de hosting. Kijk dus altijd naar het certificaat en lees goed wat er is onderzocht. Daarnaast moet je ook nog even naar de verklaring van toepasselijkheid kijken.

Ik zie hierboven nog wel een opmerking die niet klopt want ik zou nooit akkoord gaan met de opmerking " Wij patchen niet". Dit is een dermate belangrijk onderwerp dat er altijd gepatched moet worden. Uiteraard hoef je niet iedere patch direct bij hij uitkomen te implementeren want daar zitten ook weer risico's aan.

Volgens mij heeft elk OS tegenwoordig een RNG aan boord die geschikt is voor cryptografische toepassingen, waarin allerlei maatregelen zijn getroffen om de gegenereerde random data in de praktijk onvoorspelbaar te maken. Dat wordt onder meer gedaan door gebruik te maken van verschillende bronnen van entropie binnen het systeem, zoals interrupt timings en disk seek times, en indien aanwezig hardware RNG's.

Voor extra zekerheid is het altijd mogelijk om daarnaast andere bronnen van random data te gebruiken en de verschillende stromen met een XOR-operatie te combineren. Het aardige daarvan is dat het resultaat bij onderling onafhankelijke bronnen nooit zwakker is dan de sterkste bron.

Als kennis van de broncode het mogelijk maakt om gegenereerde wachtwoorden te voorspellen dan laat die broncode zien dat er geen gebruik is gemaakt van sterke voorzieningen die gewoon beschikbaar zijn. Mocht dat zo zijn dan is het simpel genoeg te verhelpen: maak er voortaan wel gebruik van.

Ik zou het bijzonder knullig en ernstig vinden als zou blijken dat LastPass hier kwetsbaar voor is, als je dat soort toepassingen maakt dan heb je echt geen excuus voor dit soort basale blunders.

Dat wel ja. Maar wat nog nooit iemand me goed heeft kunnen uitleggen (niet met wat losse kreten maar met
werkelijk hard te maken claims) is waarom een losse password manager beter is dan de password manager die
de browser al ingebouwd heeft zitten.

Een losse password manager is op meerdere plaatsen te gebruiken en ook voor wachtwoorden die niet web gerelateerd zijn.
Je browser kan het synchroniseren met z'n leveranciers cloud, vertrouw je die wel dan?

"Sla wachtwoorden niet op in browser maar gebruik een wachtwoordmanager"
dinsdag 17 mei 2022, 14:58 door Redactie

https://www.security.nl/posting/753841/%22Sla+wachtwoorden+niet+op+in+browser+maar+gebruik+een+wachtwoordmanager%22


Google: spionagegroep steelt wachtwoorden uit Chrome, Edge en Firefox
woensdag 4 mei 2022, 12:13 door Redactie

https://www.security.nl/posting/752480/Google%3A+spionagegroep+steelt+wachtwoorden+uit+Chrome%2C+Edge+en+Firefox


Een webbrowser "add-on" is in feite ook ingebouwd en kan daarom ook door een exploit worden gecompromitteerd.

Ik ben een nieuwe draad gestart in https://www.security.nl/posting/766428/passwd%3A+brein%2C+browser%2C+manager%3F en probeer daar jouw vraag te beantwoorden.

Er lijkt toch meer aan de hand dan aanvankelijk werd toegegeven. Uit https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/:
Ik ben benieuwd hoeveel klanten dat advies hebben opgevolgd...

Het enige dat klanten kunnen doen is alle wachtwoorden aanpassen.
Gezien nu de backups dus schijnbaar in handen zijn van vreemde.

In hun blog geven ze aan dat de master passwords extra zwaar versleuteld zijn en moeilijk te bruteforcen.
Aan de andere kant kun je tegenwoordig ook gewoon even een paar duizend GPU's huren en 12 characters is dan ineens niet zo veel meer(minimum).
Dat is kostbaar maar gezien de potentiele goudmijn is dat wellicht best de moeite.

Vervelende is dat er achteraf niets aan te doen is omdat de encrypted data al op straat ligt.

Het woord "users" moet in mijn bescheiden opinie worden afgeschaft. Ik ben een social justice warrior op Mastadon en andere sites en strijd voor een eerlijke en inclusievere corporate IT society waar bedrijven zich bedenken over de inzet van bepaalde woorden die gekoppeld kunnen worden aan de slavernij of bijvoorbeeld aan onderdrukking "scrum master".

Het woord "users" of "user" is een directe link naar gedupeerde drugsverslaafden en mensen die zo bejegend worden ook al zijn zij herstellende van hun problematiek. Ik geef met regelmaat consulten aan Nederlandse IT bedrijven (en wij krijgen ook subsidie voor talks ) om discriminatie op de werkvloer te verminderen. Dat wil zeggen man/vrouw relaties, non binaire discriminatie bij intake gesprekken enzovoort.

Er is nog zat weerstand tegen onze boodschap maar die is gebaseerd op haat en vaak ook op onwetendheid. Wij breiden in 2023 uit en huren nieuwe mensen vanwege popular demand en extra toegezegde subsidies vanuit de Europese Unie. Uiteindelijk zullen meer mensen "wakker" worden en zien dat het veranderen van bepaalde woorden in technische documenten (ik noem maar "submit" -> "apply") wel degelijk zal leiden tot een gelijkwaardigere samenleving.

Dit is mijn inbreng op uw forum. Dank u voor uw begrip en tijd

Heb ik niet, uit https://security.nl/rules: "• Blijf bij het onderwerp, reageer niet off-topic"

Ik begreep dat de wachtwoorden wel versleuteld zijn opgeslagen maar de naam van de site waar ze bijhoren NIET.
M.a.w. de aanvallers weten nu precies bij welke sites je allemaal een in LastPass opgeslagen password in gebruik had.
Het is dan ook niet onmogelijk dat er met die gegevens gephished gaat worden, "uw wachtwoord moet veranderd
worden vanwege het lek bij LastPass, klik hier om uw wachtwoord te updaten" waarbij je dan naar een phishing site
gestuurd wordt ipv de originele site.

Werd mij niet geheel duidelijk. Wat in ieder geval zo blijkt te zijn is dat klantengegevens (NAW etc) op straat liggen.
Een doelgerichte phishing campagne is dan vrij eenvoudig op te zetten, zeker als je de users (LOL) doelgericht kunt targeten met hun eigen gegevens. Durf zo wel te stellen dat daar relatief veel mensen voor gaan vallen.

Hoi,

hierbij een begripsvraag van een totale n00b op dit gebied: kan je op basis van een bemachtigd hash van een password afleiden hoe lang het gehashte password is?

Bedankt en groeten Bingeban

Van hoeveel users zijn kluizen bemachtigd?
Worden users op de hoogte gesteld als hun kluis gestolen is?

Anders wordt het, lijkt mij, bijhouden op haveibeenpowned

Hoewel er veel verschillende manieren zijn om een wachtwoord te "hashen", is het antwoord in alle gevallen (die ik ken): nee.

Want dat zou onnodig veel informatie prijsgeven over een wachtwoord (vooral als dat kort is).

Overigens heeft Wladimir Palant in het verleden LastPass gewaarschuwd, en recentelijk heeft hij meerdere blogs met grondige analyses geschreven over de laatste aanval; voor de laatste zie https://palant.info/2022/12/28/lastpass-breach-the-significance-of-these-password-iterations/.

Beide weet ik niet precies, maar als ik een LastPass account zou hebben, of in het verleden ooit gehad zou hebben, zou ik er vanuit gaan dat al mijn gegevens in verkeerde handen zijn gevallen - al eerder dit jaar.

En niet alleen de kluizen zijn bemachtigd, veel persoonsgegevens én veel gegevens per account zaten niet in de kluis maar werden onversleuteld ernaast bewaard, en zijn (als ik het goed begrepen heb) in die staat in verkeerde handen gevallen.

Dan ben je véél te laat. Bij geen enkel lek is het zeker dat haveibeenpowned gegevens krijgt, want op het moment dat dit gebeurt worden die gegevens minder waard. Het is vooral andersom een "graadmeter": als jouw e-mailadres en/of andere gegevens te vinden zijn op haveibeenpowned, weet je zeker dat die gegevens zijn gelekt; anders heb je geen idee.

Hi, dank je vriendelijk voor je antwoorden. Die blog van Palant kwam ik tegen, heel helder en diepgravend. Ook deze van : Jeremi Gosney

https://infosec.exchange/@epixoip/109585049354200263

Je schrijft dat je niet precies weet hoeveel kluizen bemachtigd zijn, las je ergens een getal bij benadering? Ze zullen er toch niet 20 miljoen hebben hoop ik?

Ik ben het helemaal met je eens dat je als user niet op haveibeen moet wachten, ik bedoelde mijn vraag inderdaad zoals je in je laatste zin aangeeft. Ik wil het graag weten (en vind overigens dat ik als user ook recht heb om te worden geïnformeerd, maar ik betwijfel of dat gaat gebeuren).

Zelf heb ik mijn master-ww gewijzigd (dit maakt voor je bemachtigde kluis niks uit, maar is belangrijk omdat er anders ingelogd kan worden op je actuele kluis, niet alleen op die welke nu in handen van hackers is) en 2fa aangezet. Verder ben ik bezig om mijn wachtwoorden in de kluis zelf te verversen, van belangrijk (bank, paypal, mail, calendar, alles waar je aankopen kan doen) naar onbelangrijk. Daarbij zet ik waar mogelijk 2fa aan (dit kan op verbazingwekkend weinig sites trouwens, waar het wel kan gebeurt het vaak met sms wat nogal onveilig is). Als laatste besloot ik over te gaan stappen naar een andere pw-manager. Wel online, maar niet meer bij lastpass vanwege de veelvuldigheid van breaches en hun communicatie erover.

Gegroet, bingeban

Vreemd. Heel veel van dit soort discussies zullen er meer en meer en vaker komen als op de achtergrond zekere partijen een totale controle en surveillance maatschappij blijken nate streven. (Dit vanwege dreigingen, publieke onvrede, angst voor de massa's en via door de voorstanders geopperd misbruik als voorkomen van de laatste online taboes gelegitimeerd).

Dat heeft er alle schijn van en ze zijn al zo zeker van zichzelf en hun succes, dat ze er zelfs niet meer een geheim van willen maken. Zie de opvattingen over encryptie in handen van de gewone eindgebruikers. Steeds meer gejengel die op oneigenlijke gronden te doorbreken.

Heeft iemand zo'n verlichte maar zeker niet onzinnige gedachte nooit in zich laten opkomen?

Tel 1 en 1 bij elkander op en....

#obserwator

Beste obserwator, zou je kunnen verduidelijken waar je precies op reageert?

Ach laten we eerlijk zijn, cloud based is nog nooi echt veilig geweest. Denk bijvoorbeeld aan al die iphones die een sync hadden naar de cloud en daar de foto's van sommige lieden plots voor iedereen te zien viel. En over de jaren heen FB en nog wat grote jongens die gegevens lekken. Het zou ons nu een beetje doordrongen zijn dat alles aan het internet een risico is.

Obserwator hier.

Ik reageer op een algemeen klimaat dat dit in de hand werkt.
Zie de enorme toename van cybercriminaliteit en het laten voortmodderen door 'the forces that be'.

ok, tnx!