image

LastPass verplicht master password van minimaal twaalf karakters

woensdag 3 januari 2024, 11:19 door Redactie, 13 reacties

Wachtwoordmanager LastPass verplicht dat alle gebruikers voortaan een master password van minimaal twaalf karakters gebruiken. Gebruikers die nog niet aan de vereiste voldoen moeten hun wachtwoord aanpassen. LastPass adviseert sinds 2018 het gebruik van minimaal twaalf karakters voor het master password, maar dit was niet verplicht. Gebruikers konden daardoor ook een veel korter wachtwoord kiezen.

De nieuwe verplichting vereist dat gebruikers eerst inloggen op hun LastPass-account. Vervolgens moeten ze aangeven of ze een wachtwoord van minimaal twaalf karakters gebruiken. Is dit niet het geval, dan moet er een nieuw master password worden ingesteld. Volgens LastPass moet dit de wachtwoordkluizen van gebruikers beter beschermen. Verder gaat LastPass volgende maand controleren of nieuwe of aangepaste master password in bekende datalekken voorkomen. In het geval dit zo is krijgen gebruikers een melding om een nieuw wachtwoord te kiezen.

Eind 2022 wisten aanvallers op systemen van LastPass in te breken en gingen er vervolgens met de kluisdata van klanten vandoor. LastPass biedt een wachtwoordmanager die in de cloud draait. De aanval was mogelijk doordat een DevOps-engineer van LastPass op zijn thuiscomputer een oude versie van Plex draaide waarin een drie jaar oude kwetsbaarheid zat. Volgens onderzoekers wisten de aanvallers toegang tot de inhoud van de gestolen kluisdata te krijgen en konden zo miljoenen dollars aan cryptovaluta stelen.

Daarnaast kwam LastPass ook onder vuur te liggen. Zo hekelde beveiligingsonderzoeker en Adblock Plus-ontwikkelaar Wladimir Palant de manier waarop LastPass met het datalek is omgegaan. Zo duurde het maanden om gebruikers te waarschuwen, zijn er geen zinvolle oplossingen gegeven, is de ernst van de aanval gebagatelliseerd, zijn technische problemen die al jaren geleden bekend werden genegeerd en is zo het werk van de aanvallers een stuk eenvoudiger gemaakt, aldus de onderzoeker.

Reacties (13)
03-01-2024, 11:46 door Anoniem
1) Lastpass weet hoe lang je master wachtwoord is
2) Lastpass weet of je master wachtwoord ooit gelekt is

Waarom word ik hier achterdochtig van? Hoe weet lastpass dit en waarom wil het dit weten?
03-01-2024, 12:03 door Anoniem
Ugh, lastpass... Die staan bekend om die jarenlange datalekken en gestolen gegevens, zou ik ver weg van blijven, een langer paswiord helpt niet tegen datalekken.
Gebruik KeepassDX/XC, dan heb je de sata in eigen handen offline.
Men kan altijd het versleutelde Keepass bestand in een selfhisted cloudopslag opslaan als men toch een online backup wil, gebruik daarbij cryptomator.
03-01-2024, 12:17 door Anoniem
Lastpass lekt als een Olympisch zwembad zonder bodem.
Ze kunnen beter overgaan op een ander soort dienst/service, hun kredietwaardigheid is allang verdwenen.
Het is misschien geen opzet geweest, maar de schade is al gedaan.
03-01-2024, 12:36 door Anoniem
Door Anoniem: 1) Lastpass weet hoe lang je master wachtwoord is
2) Lastpass weet of je master wachtwoord ooit gelekt is

Waarom word ik hier achterdochtig van? Hoe weet lastpass dit en waarom wil het dit weten?

1) Het is ontzettend complex om met een tellertje bij te houden hoeveel karakters worden ingetypt bij het intypen van je master password,
2) Ooit van Have I been Powned gehoord? Ooit van password hash vergelijking gehoord?

Het is goed om paranoïde te zijn, maar doe dat wel op de juiste gronden.
03-01-2024, 12:53 door Anoniem
Door Anoniem:
Door Anoniem: 1) Lastpass weet hoe lang je master wachtwoord is
2) Lastpass weet of je master wachtwoord ooit gelekt is

Waarom word ik hier achterdochtig van? Hoe weet lastpass dit en waarom wil het dit weten?

1) Het is ontzettend complex om met een tellertje bij te houden hoeveel karakters worden ingetypt bij het intypen van je master password,
2) Ooit van Have I been Powned gehoord? Ooit van password hash vergelijking gehoord?

Het is goed om paranoïde te zijn, maar doe dat wel op de juiste gronden.

Hoe minder kennis, des te meer achterdocht. Pech dat het niet compenseert.
03-01-2024, 13:53 door Anoniem
Door Anoniem: 1) Lastpass weet hoe lang je master wachtwoord is

Nou,

Vervolgens moeten ze aangeven of ze een wachtwoord van minimaal twaalf karakters gebruiken

Het lijkt erop dat LastPass gewoon aan gebruikers gaat vragen hoe lang hun wachtwoord is, wat verder geen hele sterke garantie is, maar wel een manier om een deel van de mensen om te krijgen.


Door Anoniem: 2) Lastpass weet of je master wachtwoord ooit gelekt is

In darknet datasets kan op zijn minst gezocht worden op usernames, want een wachtwoord is redelijk nutteloos zonder username.
In het geval van een gelekt plaintext wachtwoord, kan LastPass een (gesalte) hash berekenen en kijken of die klopt met hun database. In het geval van een gelekte password hash, kan LastPass die direct vergelijken met de hash in hun database.
Daarmee is dus te verifieren of het gelekte wachtwoord ook het correcte wachtwoord is, zonder dat LastPass de wachtwoorden van haar gebruikers kent.
03-01-2024, 14:22 door Robert Elsinga
Elk wachtwoord is een keer plaintext, want wordt ingetypt door een gebruiker. Je moet dus de eigenaar van de omgeving waar je dat wachtwoord intypt vertrouwen dat 'ie niet ondertussen een aparte plaintext database aan het bijhouden is.

Je kunt dat alleen voorkomen door zelf de hash in te (mogen) typen, maar dan is de hash eigenlijk gewoon je plaintext wachtwoord.

Je komt hier alleen onderuit door passwordless in te loggen, bijvoorbeeld met een token (Yubikey, telefoon, et cetera). Maar wellicht kan er dan nog iets met een quantumcomputer gedaan worden.

In elk geval blijft het goed om passwords niet te recyclen en voldoende lang te maken.
03-01-2024, 14:44 door _R0N_
Door Anoniem:
Door Anoniem: 1) Lastpass weet hoe lang je master wachtwoord is
2) Lastpass weet of je master wachtwoord ooit gelekt is

Waarom word ik hier achterdochtig van? Hoe weet lastpass dit en waarom wil het dit weten?

1) Het is ontzettend complex om met een tellertje bij te houden hoeveel karakters worden ingetypt bij het intypen van je master password,
2) Ooit van Have I been Powned gehoord? Ooit van password hash vergelijking gehoord?

Het is goed om paranoïde te zijn, maar doe dat wel op de juiste gronden.

Waarom zouden ze van bestaande master wachtwoorden bijgehouden hebben hoeveel karakters je ingetypt hebt?

Als het eenmaal een hash is is niet meer te achterhalen hoelang de bron van de hash was, tenzij je een omkeerbare hash methode gebruikt.
Hoe je het ook bekijkt, dit komt nooit positief uit voor LP.
03-01-2024, 16:50 door Anoniem
Door _R0N_:
Door Anoniem:
Door Anoniem: 1) Lastpass weet hoe lang je master wachtwoord is
2) Lastpass weet of je master wachtwoord ooit gelekt is

Waarom word ik hier achterdochtig van? Hoe weet lastpass dit en waarom wil het dit weten?

1) Het is ontzettend complex om met een tellertje bij te houden hoeveel karakters worden ingetypt bij het intypen van je master password,
2) Ooit van Have I been Powned gehoord? Ooit van password hash vergelijking gehoord?

Het is goed om paranoïde te zijn, maar doe dat wel op de juiste gronden.

Waarom zouden ze van bestaande master wachtwoorden bijgehouden hebben hoeveel karakters je ingetypt hebt?

Als het eenmaal een hash is is niet meer te achterhalen hoelang de bron van de hash was, tenzij je een omkeerbare hash methode gebruikt.
Hoe je het ook bekijkt, dit komt nooit positief uit voor LP.

Waarom denk je dat het lastpass dit offline moet weten of controleren ?

Ze kunnen het gewoon bij de eerste login controleren en zonodig actie ondernemen .

Ik weet niet of ze de password-hashing aan de serverkant doen of lokaal , maar dat maakt niet uit - als ze lokaal de "client" leveren (of het nu een app is, of javascript) kunnen ze die prima updaten om lengte te tellen en te zeuren voor een langere key en ook een nieuwe key derivation function gebruiken. (meer iteraties van PBKDF2, schrijven ze) .
03-01-2024, 18:53 door waterlelie - Bijgewerkt: 03-01-2024, 18:54
Dus deze e-mails, die ik de laatste tijd van lastpass ontvang zijn dus authentiek en van lastpass afkomstig.
Er word zelfs bijna dwingend een link aangeboden, om accountherstel in te stellen, en een link met Instructies om het hoofdwachtwoord te wijzigen. Hiermee bevestig ik tegenover lastpass, dat alles in orde is.
Is dat niet wat door iedereen ten zeerste wordt afgeraden.
03-01-2024, 20:10 door Anoniem
Door waterlelie: Dus deze e-mails, die ik de laatste tijd van lastpass ontvang zijn dus authentiek en van lastpass afkomstig.

Dat weten we niet. Specifiek niet of de mails die JIJ krijgt authentiek zijn ; Ook als andere mensen authentieke mails krijgen zouden er bij jou nog steeds gespoofde phish-mails tussen kunnen zitten.


Er word zelfs bijna dwingend een link aangeboden, om accountherstel in te stellen, en een link met Instructies om het hoofdwachtwoord te wijzigen. Hiermee bevestig ik tegenover lastpass, dat alles in orde is.
Is dat niet wat door iedereen ten zeerste wordt afgeraden.

Het algemene advies is om _wel_ te gaan kijken (bij je bank, is meestal de context) maar door ZELF de url in te tikken en goed opletten dat je geen fouten maakt.
Niet door het klikken op links.

Nu je dit artikel ook gelezen hebt - lastpass geeft dus inderdaad (dwingend) advies om je password lang genoeg te maken.
Goed mogelijk dat de emails die je kreeg authentiek zijn en de linken erin kloppen, maar dat kunnen we niet weten.
Doe dat maar, als je inderdaad lastpass gebruikt.

maar - zucht - het is toch niet ZO moeilijk om te bedenken dat je zo af en toe zelf direct op de site kan gaan kijken van een bedrijf waar je een service afneemt, als je allerlei berichten krijgt dat er iets relevants is voor je om te doen ?
03-01-2024, 20:59 door Anoniem
Door Anoniem: Het lijkt erop dat LastPass gewoon aan gebruikers gaat vragen hoe lang hun wachtwoord is, wat verder geen hele sterke garantie is, maar wel een manier om een deel van de mensen om te krijgen.

Beetje raar als LastPass deze controle op wachtwoordlengte niet af kan dwingen. Ze zullen het eerst vragen voor de bühne en daarna verplichten via een software update.

Ik weet overigens niet hoe lang mijn wachtwoordzinnen zijn. Veel langer als 12 tekens vermoed ik maar ik zou de zinnen moeten uitschrijven en de tekens moeten tellen om dit te weten te komen. Deze zinnen zijn beter als ze alleen in mijn hoofd blijven.
04-01-2024, 03:39 door Anoniem
Door Anoniem:
Door _R0N_:
Door Anoniem:
Door Anoniem: 1) Lastpass weet hoe lang je master wachtwoord is
2) Lastpass weet of je master wachtwoord ooit gelekt is

Waarom word ik hier achterdochtig van? Hoe weet lastpass dit en waarom wil het dit weten?

1) Het is ontzettend complex om met een tellertje bij te houden hoeveel karakters worden ingetypt bij het intypen van je master password,
2) Ooit van Have I been Powned gehoord? Ooit van password hash vergelijking gehoord?

Het is goed om paranoïde te zijn, maar doe dat wel op de juiste gronden.

Waarom zouden ze van bestaande master wachtwoorden bijgehouden hebben hoeveel karakters je ingetypt hebt?

Als het eenmaal een hash is is niet meer te achterhalen hoelang de bron van de hash was, tenzij je een omkeerbare hash methode gebruikt.
Hoe je het ook bekijkt, dit komt nooit positief uit voor LP.

Waarom denk je dat het lastpass dit offline moet weten of controleren ?

Ze kunnen het gewoon bij de eerste login controleren en zonodig actie ondernemen .

Ik weet niet of ze de password-hashing aan de serverkant doen of lokaal , maar dat maakt niet uit - als ze lokaal de "client" leveren (of het nu een app is, of javascript) kunnen ze die prima updaten om lengte te tellen en te zeuren voor een langere key en ook een nieuwe key derivation function gebruiken. (meer iteraties van PBKDF2, schrijven ze) .

Het gebeurt lokaal (want LastPass kent alleen de hash van het password), en inderdaad bij de eerste login volgens het mailtje van LastPass. Nogmaals, paranoïde zijn is goed, maar alleen op de juiste gronden. Zucht.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.