image

NortonLifeLock waarschuwt klanten voor inbraak op online wachtwoordmanager

zaterdag 14 januari 2023, 07:51 door Redactie, 13 reacties

Securitybedrijf NortonLifeLock heeft een onbekend aantal klanten gewaarschuwd dat criminelen hebben ingebroken op hun Norton Password Manager, een online wachtwoordmanager, en adviseert alle opgeslagen inloggegevens direct te wijzigen. De wachtwoordmanager is te gebruiken via een Norton-account en kan wachtwoorden genereren en opslaan in een "online kluis". De wachtwoordmanager is beschikbaar als browser-extensie en app voor Android en iOS.

Volgens NortonLifeLock heeft een "ongeautoriseerde derde partij", met inloggegevens die via andere bronnen zijn verkregen, op het Norton-account van getroffen klanten ingelogd en kon zo ook toegang tot opgeslagen wachtwoorden krijgen. Dat blijkt uit een datalekmelding die het securitybedrijf bij de procureur-generaal van de Amerikaanse staat Vermont heeft gedaan (pdf).

Het gaat hier om een credential stuffing-aanval. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen niet detecteren en blokkeren.

Door op het Norton-account in te loggen heeft de aanvaller naam, telefoonnummer en adresgegevens in handen buitgemaakt. "We kunnen niet uitsluiten dat de ongeautoriseerde derde partij de gegevens in de wachtwoordmanager heeft verkregen, met name als je Password Manager key gelijk is, of erg lijkt, op die van je Norton-account", aldus de brief. De aanvaller kan de inloggegevens in de kluis vervolgens zelf gebruiken of delen met anderen, zo stelt NortonLifeLock verder.

Het securitybedrijf heeft het wachtwoord van getroffen klanten gereset en adviseert, als klanten hetzelfde wachtwoord op ander websites gebruiken, het daar ook te wijzigen. Verder stelt NortonLifeLock dat klanten alle in de online wachtwoordmanager opgeslagen wachtwoorden direct moeten wijzigen. Tevens stelt het securitybedrijf dat klanten geregeld hun wachtwoorden zouden moeten wijzigen. Het periodiek wijzigen van wachtwoorden, tenzij er een datalek heeft plaatsgevonden, wordt door beveiligingsexperts en overheidsinstanties juist afgeraden omdat mensen dan vaak een zwakker wachtwoord kiezen.

Reacties (13)
14-01-2023, 08:44 door Anoniem
Dit is wel beangstigend,

Het gebeurt ook vaker volgens mij...

Ikzelf heb nog steeds een offline sheet met voor ieder account een ander complex wachtwoord, wel wat inspanning maar voorlopig de moeite waard.
14-01-2023, 09:29 door Anoniem
Password Managers gebruiken is verstandig, maar niet online. "Gemak" is niet gratis.
14-01-2023, 09:52 door Anoniem
Ja online kluis…. De cloud…. Gewoon iemand anders zijn computer. En daar slaat men wachtwoorden op want het is zo handig….
Maar niet verder denken dan de neus lang is. Deze dingen zijn natuurlijk een mooi doelwit voor een aanvaller.
14-01-2023, 13:00 door Anoniem
Overheid adviseert gebruikers offline wachtwoordmanager
dinsdag 24 maart 2015, 12:18 door Redactie

https://www.security.nl/posting/422845/Overheid+adviseert+gebruikers+offline+wachtwoordmanager


Sla de wachtwoorden ook niet op in de browser zelf, maar gebruik een offline wachtwoordmanager met 2FA token.
14-01-2023, 14:02 door Anoniem
Password managers zijn beter dan een sheet, en je moet je minimaal bedenken dat je ook bij je wachtwoorden moet kunnen in geval van zwaar weer, bijvoorbeeld als je machine(s) tegen bijvoorbeeld een ransomware zijn aangelopen. Niet alle online enabled wachtwoord managers zijn slecht, net als niet alle offline wachtwoord managers goed zijn. Het advies van het ncsc waar indirect via het security.nl artikel uit 2015 naar verwezen wordt bestaat inmiddels niet meer. Dat is omdat er nu een ander advies is. Tijden veranderen, wachtwoord managers hebben dat ook gedaan. Er bestaan wachtwoord managers met zero knowledge encryption, zowel on als offline, met en zonder multifactor, met en zonder failed/succeeded attempt notification, met en zonder tamper detection. Maakt on of offline het je veiliger of onveiliger? Dat is een keuze welke je zelf moet maken, welke risico's accepteer je, want elke keuze heeft zijn risico's en sommige zijn beheer(s)baar en andere niet of minder, en daar bereid je je dan op voor, maak ze zichtbaar voor jezelf en evalueer.
14-01-2023, 20:10 door Anoniem
you had one job.....
14-01-2023, 21:53 door Anoniem
Door Anoniem: Password Managers gebruiken is verstandig, maar niet online. "Gemak" is niet gratis.

Eens, Dit is ook precies de reden dat ik geen online password manager gebruik.
16-01-2023, 08:16 door Anoniem
Door Anoniem: Password managers zijn beter dan een sheet, en je moet je minimaal bedenken dat je ook bij je wachtwoorden moet kunnen in geval van zwaar weer, bijvoorbeeld als je machine(s) tegen bijvoorbeeld een ransomware zijn aangelopen. Niet alle online enabled wachtwoord managers zijn slecht, net als niet alle offline wachtwoord managers goed zijn. Het advies van het ncsc waar indirect via het security.nl artikel uit 2015 naar verwezen wordt bestaat inmiddels niet meer. Dat is omdat er nu een ander advies is. Tijden veranderen, wachtwoord managers hebben dat ook gedaan. Er bestaan wachtwoord managers met zero knowledge encryption, zowel on als offline, met en zonder multifactor, met en zonder failed/succeeded attempt notification, met en zonder tamper detection. Maakt on of offline het je veiliger of onveiliger? Dat is een keuze welke je zelf moet maken, welke risico's accepteer je, want elke keuze heeft zijn risico's en sommige zijn beheer(s)baar en andere niet of minder, en daar bereid je je dan op voor, maak ze zichtbaar voor jezelf en evalueer.

Dit. Ik zelf werk al jaren in Security en heb dan ook certificaten als CEH en CISSP, daarvoor was ik altijd technisch specialist en beheerde grote complexe (Microsoft/VMware/Cisco) omgevingen. Maar dan nog denk ik niet dat ik zelf beter zal zijn in het hosten / managen van mijn eigen wachtwoord kluis. Daar zijn dit soort bedrijven veel beter in denk ik. Daarbij geldt inderdaad dat gemak belangrijk is maar ook features als 'altijd beschikbaar', 'niet op papier', 'online checks tegen wachtwoord dumps' etc. Dat lukt mij zelf allemaal niet en al helemaal niet als ik wachtwoorden op papier bewaar of in een eigen offline database. Daarnaast heb ik een gezin waarin we wachtwoorden onderling moeten kunnen delen, dat is met KeePass etc. ook een uitdaging.

Daarom leg ik persoonlijk mijn vertrouwen in een online password manager en zorg ik voor 2FA op belangrijke accounts en een sterk hoofdwachtwoord. En ik kan altijd wachtwoorden wijzigen mocht blijken dat mijn vertrouwen in een wachtwoord manager leverancier misplaatst blijkt te zijn. Als er een breach is en miljoenen wachtwoorden liggen op straat hoop ik dat mijn wachtwoorden niet bovenaan de lijst staan van de criminelen en ik tijd heb om deze te wijzigen. Maar goed dit is mijn persoonlijk standpunt.
16-01-2023, 08:35 door Anoniem
Ik ben benieuwd hoeveel mensen hier nog van volhouden dat een cloud-based wachtwoord manager het betere alternatief is.
16-01-2023, 09:33 door _R0N_
Door Anoniem: Dit is wel beangstigend,

Het gebeurt ook vaker volgens mij...

Ikzelf heb nog steeds een offline sheet met voor ieder account een ander complex wachtwoord, wel wat inspanning maar voorlopig de moeite waard.

Ik host zelf mijn Passbolt community edition wachtwoordkluis voor mijzelf en m'n gezinsleden.
Beperkt toegankelijk maar erg handig.
16-01-2023, 09:38 door Anoniem
Door Anoniem: Ik ben benieuwd hoeveel mensen hier nog van volhouden dat een cloud-based wachtwoord manager het betere alternatief is.

Dat is in mijn ogen een verkeerde vraag. Het gebruik van cloud-based wachtwoord managers is niet per definitie fout en is een prima alternatief. Er is voor beide een use-case en het hangt allemaal af van je persoonlijke situatie. De één heeft een andere risk-appetite dan de ander. Voor mij persoonlijk is het gebruik van een cloud-based wachtwoord manager prima. Ik accepteer dat risico en weeg dat ook af tegen het gemak. Punt is ook dat veel mensen vinden dat ze het zelf moeten doen, want dat is veiliger, maar dit wellicht helemaal niet zelf kunnen en zo bijv. Bitwarden zelf hosten op een, onveilige?, aan het internet hangende NAS gebruiken. Dat is misschien een vals gevoel van veiligheid en persoonlijk heb ik het liefst thuis niks openstaan vanaf het internet. Ik leg mijn vertrouwen dus in een leverancier in de hoop dat mijn vertrouwen niet misplaatst is.
16-01-2023, 10:16 door User2048
Het probleem is hier niet dat online wachtwoordmanagers niet veilig zouden zijn. Het probleem is dat gebruikers hetzelfde wachtwoord gebruikten voor meerdere accounts, waaronder hun account voor de wachtwoordmanager. Iets wat je door de wachtwoordmanager goed te gebruiken juist kunt voorkomen. Menselijke fout van de gebruiker dus.
16-01-2023, 12:47 door Anoniem
Door Anoniem: Dit is wel beangstigend,

Het gebeurt ook vaker volgens mij...

Ikzelf heb nog steeds een offline sheet met voor ieder account een ander complex wachtwoord, wel wat inspanning maar voorlopig de moeite waard.

sheet? keepass ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.