Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
LastPass zonder wachtwoord inloggen.
Onlangs kreeg ik een e-mail van LastPass met een uitnodiging om de mogelijkheid om zonder wachtwoord te kunnen inloggen uit te proberen: Fysieke beveiligingssleutels – Gebruik een USB-beveiligingssleutel zoals YubiKey of Feitian, waar u alleen zelf bij kunt. In de Accountinstellingen van LastPass staat o.a. de optie wachtwoordloze aanmelding en Opties voor meervoudige verificatie.
In deze tweede optie staat de mogelijkheid om met een Yubikey te verificeren, maar die is alleen voor betalende gebruikers.
Maar in de eerste optie optie wachtwoordloze aanmelding heb ik zonder één probleem mijn Yubikey om wachtwoordloos in te kunnen loggen geïnstalleerd.
Mij viel het wel direct op, dat de geinstalleerde hardware sleutel niet in de betreffende sectie (bibliotheek) werd opgenomen. U heeft geen apparaten waarop wachtwoordloze aanmelding is ingeschakeld.
Geen probleem, het werkte prima, maar ieder keer als ik in de browser LastPass activeerde kreeg ik niet alleen de gebruikersnaam te zien, maar ook het hoofdwachtwoord. In het wachtwoordsectie is echter een mogelijkheid om de tekst van het wachtwoord zichtbaar te maken (oogje met een streepje erdoor). Ik kon daardoor het hoofdwachtwoord gewoon kopieren.
Door in de geavanceerde opties de knop: Wachtwoord onthouden uit te schakelen, dacht ik de oplossing te hebben gevonden, maar er werd steeds weer om het wachtwoord gevraagd. Daarna getracht het wachtwoord weer permanent op te nemen, met het risico dat het kan worden gekopieerd, ging niet want na het herstarten bleek die optie in gewoon weer ongedaan gemaakt.
Ik heb veel opties geprobeerd, om het hoofdwachtwoord weer permanent zichtbaar te maken, zonder resultaat.
In de praktijk komt het er nu op neer, dat ik zowel het hoofdwachtwoord moet invoeren, als de pincode van de Fidokey. En de hardware sleutel verwijderen gaat niet, want die staat niet in de sectie (bibliotheek) optie wachtwoordloze aanmelding vermeld. Hij werkt wel, maar bestaat officieel niet, dus ben ik er voorlopig permanent aan gebonden.
In deze tweede optie staat de mogelijkheid om met een Yubikey te verificeren, maar die is alleen voor betalende gebruikers.
Maar in de eerste optie optie wachtwoordloze aanmelding heb ik zonder één probleem mijn Yubikey om wachtwoordloos in te kunnen loggen geïnstalleerd.
Mij viel het wel direct op, dat de geinstalleerde hardware sleutel niet in de betreffende sectie (bibliotheek) werd opgenomen. U heeft geen apparaten waarop wachtwoordloze aanmelding is ingeschakeld.
Geen probleem, het werkte prima, maar ieder keer als ik in de browser LastPass activeerde kreeg ik niet alleen de gebruikersnaam te zien, maar ook het hoofdwachtwoord. In het wachtwoordsectie is echter een mogelijkheid om de tekst van het wachtwoord zichtbaar te maken (oogje met een streepje erdoor). Ik kon daardoor het hoofdwachtwoord gewoon kopieren.
Door in de geavanceerde opties de knop: Wachtwoord onthouden uit te schakelen, dacht ik de oplossing te hebben gevonden, maar er werd steeds weer om het wachtwoord gevraagd. Daarna getracht het wachtwoord weer permanent op te nemen, met het risico dat het kan worden gekopieerd, ging niet want na het herstarten bleek die optie in gewoon weer ongedaan gemaakt.
Ik heb veel opties geprobeerd, om het hoofdwachtwoord weer permanent zichtbaar te maken, zonder resultaat.
In de praktijk komt het er nu op neer, dat ik zowel het hoofdwachtwoord moet invoeren, als de pincode van de Fidokey. En de hardware sleutel verwijderen gaat niet, want die staat niet in de sectie (bibliotheek) optie wachtwoordloze aanmelding vermeld. Hij werkt wel, maar bestaat officieel niet, dus ben ik er voorlopig permanent aan gebonden.
Reacties (11)
Je geeft zelf al je antwoord betaalde optie.
Dat je vervolgens probeert daar om heen te werken en het half bakken werkt tja.
Neem contact met ze op voor handleiding hoe je het handmatig geheel kunt verwijderen.
Dat je vervolgens probeert daar om heen te werken en het half bakken werkt tja.
Neem contact met ze op voor handleiding hoe je het handmatig geheel kunt verwijderen.
In 2020 heeft Pepe Berba (https://pberba.github.io/about) ook een betaald LastPass account genomen om een Yubikey te kunnen gebruiken. Wat bleek: Lastpass ondersteunde Yubikeys alleen in (T)OTP modus (niet in de toen nog gangbare U2F modus, ondertussen vervangen door FIDO2/WebAuthn). Pepe heeft binnen 24 uur na betalen zijn LastPass account opgedoekt, mede omdat LastPass URL's niet versleutelt en liegt dat LastPass-medewerkers daar niet bij zouden kunnen.
Lange technische write-up (maar m.i. zeer interessant, niet alleen voor (potentiële) LastPass addicts):
https://pberba.github.io/security/2020/05/28/lastpass-phishing/
Gezien de geschiedenis van LastPass (misleiding, hacks, leugens en niet nagekomen belofte) is LastPass de LastParty die ik mijn Passwords zou toevertrouwen.
Lange technische write-up (maar m.i. zeer interessant, niet alleen voor (potentiële) LastPass addicts):
https://pberba.github.io/security/2020/05/28/lastpass-phishing/
Gezien de geschiedenis van LastPass (misleiding, hacks, leugens en niet nagekomen belofte) is LastPass de LastParty die ik mijn Passwords zou toevertrouwen.
12-08-2023, 17:45 door
waterlelie
Door Anoniem: Je geeft zelf al je antwoord betaalde optie.
Dat je vervolgens probeert daar om heen te werken en het half bakken werkt tja.
Neem contact met ze op voor handleiding hoe je het handmatig geheel kunt verwijderen.
Dat je vervolgens probeert daar om heen te werken en het half bakken werkt tja.
Neem contact met ze op voor handleiding hoe je het handmatig geheel kunt verwijderen.
Je leest het verkeerd, in de sectie " optie wachtwoordloze aanmelding" kan nu iedere gebruiker een hardware sleutel voor verificatie instellen, en er word geen onderscheid gemaakt welk merk sleutel. Maar voorheen was dat niet mogelijk, omdat LastPass dit ook had voorbehouden aan betalende gebruikers. Maar in de sectie "Opties voor meervoudige verificatie" wordt nog steeds dat voorbehoud gemaakt. LastPass is gewoon aan het knoeien.
Er wordt dus nergens om heen gewerkt, het is software waar elementen in zitten die elkaar tegenwerken, bekijk de instructie video maar eens.
https://support.lastpass.com/s/document-item?language=en_US&bundleId=lastpass&topicId=LastPass/passwordless_login_desktop_security_keys_enable_use.html&_LANG=enus
Maar omdat er geen mogelijkheid voor mij bestaat om de sleutel te verwijderen, immers er woord aangegeven dat er geen hardware sleutel is geïnstalleerd valt er niks te verwijderen. Ik heb dus geen enkel optie anders dan de sleutel te gebruiken. Natuurlijk kan ik zonder sleutel door middel van authenticatie ook inloggen, maar dat is niet waar het hier om gaat.
12-08-2023, 17:51 door
waterlelie
Door Erik van Straten: In 2020 heeft Pepe Berba (https://pberba.github.io/about) ook een betaald LastPass account genomen om een Yubikey te kunnen gebruiken. Wat bleek: Lastpass ondersteunde Yubikeys alleen in (T)OTP modus (niet in de toen nog gangbare U2F modus, ondertussen vervangen door FIDO2/WebAuthn). Pepe heeft binnen 24 uur na betalen zijn LastPass account opgedoekt, mede omdat LastPass URL's niet versleutelt en liegt dat LastPass-medewerkers daar niet bij zouden kunnen.
Lange technische write-up (maar m.i. zeer interessant, niet alleen voor (potentiële) LastPass addicts):
https://pberba.github.io/security/2020/05/28/lastpass-phishing/
Gezien de geschiedenis van LastPass (misleiding, hacks, leugens en niet nagekomen belofte) is LastPass de LastParty die ik mijn Passwords zou toevertrouwen.
Lange technische write-up (maar m.i. zeer interessant, niet alleen voor (potentiële) LastPass addicts):
https://pberba.github.io/security/2020/05/28/lastpass-phishing/
Gezien de geschiedenis van LastPass (misleiding, hacks, leugens en niet nagekomen belofte) is LastPass de LastParty die ik mijn Passwords zou toevertrouwen.
Dit is mijn probleem geweest met Google, daar kon ik onder Windows 7 met de sleutel zonder pincode inloggen (OTP) en niet lang daarna moet dat door Google zijn omgezet in FIDO2, waardoor ik niet meer kon inloggen in mijn nieuwe pc Windows 10 zonder pincode. Dat was mijn teleurstellende ervaring met de Yubikey.
Gebruikers lopen weer te klooien en als het fout gaat ligt de fout niet gij hun, maar bij iemand/wat anders.
Door Anoniem: Gebruikers lopen weer te klooien en als het fout gaat ligt de fout niet gij hun, maar bij iemand/wat anders.
LastPass biedt een mogelijkheid om een YubiKey te koppelen waarbij die vervolgens niet weer ontkoppeld kan worden, in de overzichten van wat je hebt ingesteld niet verschijnt maar op de een of andere manier wel werkt. Het kan niet anders dan dat de koppeling op meerdere plaatsen in de systemen van LastPass wordt vastgelegd en dat die vastleggingen uit de pas kunnen lopen zonder dat LastPass dat zelf signaleert en (al dan niet volautomatisch) corrigeert.Ook als een gebruiker heeft geklooid duidt dit op een fout in de systemen van LastPass.
Door Anoniem:
Ook als een gebruiker heeft geklooid duidt dit op een fout in de systemen van LastPass.
Door Anoniem: Gebruikers lopen weer te klooien en als het fout gaat ligt de fout niet gij hun, maar bij iemand/wat anders.
LastPass biedt een mogelijkheid om een YubiKey te koppelen waarbij die vervolgens niet weer ontkoppeld kan worden, in de overzichten van wat je hebt ingesteld niet verschijnt maar op de een of andere manier wel werkt. Het kan niet anders dan dat de koppeling op meerdere plaatsen in de systemen van LastPass wordt vastgelegd en dat die vastleggingen uit de pas kunnen lopen zonder dat LastPass dat zelf signaleert en (al dan niet volautomatisch) corrigeert.Ook als een gebruiker heeft geklooid duidt dit op een fout in de systemen van LastPass.
Juiste samenvatting van wat er gebeurt is en helaas niet meer ongedaan kan worden gemaakt.
Door Anoniem:
Ook als een gebruiker heeft geklooid duidt dit op een fout in de systemen van LastPass.
Door Anoniem: Gebruikers lopen weer te klooien en als het fout gaat ligt de fout niet gij hun, maar bij iemand/wat anders.
LastPass biedt een mogelijkheid om een YubiKey te koppelen waarbij die vervolgens niet weer ontkoppeld kan worden, in de overzichten van wat je hebt ingesteld niet verschijnt maar op de een of andere manier wel werkt. Het kan niet anders dan dat de koppeling op meerdere plaatsen in de systemen van LastPass wordt vastgelegd en dat die vastleggingen uit de pas kunnen lopen zonder dat LastPass dat zelf signaleert en (al dan niet volautomatisch) corrigeert.Ook als een gebruiker heeft geklooid duidt dit op een fout in de systemen van LastPass.
Je kunt prima de Ybikey ontkoppelen bij LastPass. Laatst nog gedaan en op andere manier van MFA overgegaan. Het lijkt dus steeds meer en meer een gebruikersfout van iemand die niet snapt dat de handleiding volgen belangrijk is.
13-08-2023, 18:34 door
waterlelie
Door Anoniem:
Je kunt prima de Ybikey ontkoppelen bij LastPass. Laatst nog gedaan en op andere manier van MFA overgegaan. Het lijkt dus steeds meer en meer een gebruikersfout van iemand die niet snapt dat de handleiding volgen belangrijk is.
Door Anoniem:
Ook als een gebruiker heeft geklooid duidt dit op een fout in de systemen van LastPass.
Door Anoniem: Gebruikers lopen weer te klooien en als het fout gaat ligt de fout niet gij hun, maar bij iemand/wat anders.
LastPass biedt een mogelijkheid om een YubiKey te koppelen waarbij die vervolgens niet weer ontkoppeld kan worden, in de overzichten van wat je hebt ingesteld niet verschijnt maar op de een of andere manier wel werkt. Het kan niet anders dan dat de koppeling op meerdere plaatsen in de systemen van LastPass wordt vastgelegd en dat die vastleggingen uit de pas kunnen lopen zonder dat LastPass dat zelf signaleert en (al dan niet volautomatisch) corrigeert.Ook als een gebruiker heeft geklooid duidt dit op een fout in de systemen van LastPass.
Je kunt prima de Ybikey ontkoppelen bij LastPass. Laatst nog gedaan en op andere manier van MFA overgegaan. Het lijkt dus steeds meer en meer een gebruikersfout van iemand die niet snapt dat de handleiding volgen belangrijk is.
Ik mis 2 details in dit verhaal.
1. Waarom staat de sleutel niet in de bibliotheek vermeld.
2. En waarom verhindert Lastpass niet dat iemand een verkeerde volgorde volgt. Je verwacht toch anno 2023 dat de software dan de gebruiker stopt.
Door Anoniem: Je kunt prima de Ybikey ontkoppelen bij LastPass. Laatst nog gedaan en op andere manier van MFA overgegaan. Het lijkt dus steeds meer en meer een gebruikersfout van iemand die niet snapt dat de handleiding volgen belangrijk is.
Geweldig. Als het voor jou zo duidelijk is, kan jij waterlelie er dan even doorheen praten hoe hij die YubiKey weer ontkoppelt? Dan ben je constructiever bezig dan wanneer je een ander van een gebruikersfout beschuldigt zonder hem verder te helpen.Of, als waterlelie zo heeft geklooid dat het op zijn account werkelijk niet meer te ontkoppelen valt, ben je het er dan mee eens dat de systemen van LastPass zich daardoor in een onlogische staat bevinden waarin ze zich niet zouden moeten kunnen bevinden? En kan je het ermee eens zijn dat dat per definitie een bug is?
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
