image

Miljoen LastPass wachtwoorden gestolen

donderdag 5 mei 2011, 10:28 door Redactie, 8 reacties

Aanvallers zijn erin geslaagd de database van wachtwoordtool LastPass te stelen, waardoor nu meer dan een miljoen gebruikers hun hoofdwachtwoord moeten wijzigen. Lastpass is een "password manager" die inloggegevens voor websites in een versleutelde container bewaart en met een "master" wachtwoord beschermt. De tool kan wachtwoorden tussen verschillende browsers en machines synchroniseren. Exacte details zijn nog niet duidelijk, maar de ontwikkelaar houdt er rekening mee dat de aanvallers e-mailadressen, de server-salt en de gesalte wachtwoord-hashes uit de database hebben buitgemaakt.

Wie een passphrase gebruikt zou volgens de ontwikkelaar geen risico lopen, maar bij een kort wachtwoord zouden aanvallers een brute-force aanval kunnen uitvoeren om zo het wachtwoord te achterhalen. Daarmee zou men vervolgens op LastPass kunnen inloggen en de overige opgeslagen wachtwoorden bemachtigen. "Helaas gebruikt niet iedereen een hoofdwachtwoord dat immuun voor brute-forcing is. Om die potentiële dreiging tegen te gaan, dwingen we iedereen om hun hoofdwachtwoord te wijzigen", zo is op het blog te lezen.

LastPass gebruikt de gelegenheid ook om aanvullende beveiligingsmaatregelen op de servers uit te rollen. Het gaat om PBKDF2 met SHA-256 dat een 256-bit salt gebruikt. Een implementatie hiervan wordt ook in de client verwerkt. Eind februari kwam LastPass ook al in het nieuws, toen vanwege een cross-site scripting-lek waardoor accountgegevens waren te bemachtigen.

Reacties (8)
05-05-2011, 11:25 door Anoniem
LastPass heeft aangegeven dat het enige wat ze hebben waargenomen was:

1. Meer dataverkeer van de database server dan wat er binnen kwam op de webservers
2. Meer dataverkeer op een andere machine.

Ze geven aan dat dit normaal gesproken verklaard kan worden door een medewerker die een script draait op één van de machines maar dat ze dat deze keer niet konden verifiëren.

Iedereen wordt gevraagd om het wachtwoord te wijzigen vanaf een IP adres waarmee voorheen de service bezocht is *of* hun email adres te verifiëren en via daar het wachtwoord te laten resetten.

In dit artikel wordt het geschreven alsof zeker is dat de database is uitgelekt.

Zelfs als dat gebeurt, LastPass slaat alleen een SHA-256 geëncodeerd bestand op, dat bestand kun je downloaden (synchroniseren) door je master password in te vullen. Dit password is echter *niet* het wachtwoord van deze SHA-256 container.
05-05-2011, 13:03 door spatieman
lekker al je paswd's ergens remote opslaan, is altijd not done.
05-05-2011, 15:59 door Anoniem
http://blog.lastpass.com/2011/05/lastpass-security-notification.html

voor het volledige verhaal, want zoals anoniem al aangeeft is het artikel niet helemaal correct.
06-05-2011, 09:57 door Marcel-Jan
Het is nogal ironisch. LastPass besluit vanwege verdacht netwerkverkeer , het zekere voor het onzekere, de gebruikers aan te raden dat ze hun master password aanpassen. Even later staat er een bericht met de kop "Miljoen LastPass wachtwoorden gestolen" op security.nl. Dat is toch nergens gemeld? Ik vraag me af hoe dit soort artikelen ontstaan.
06-05-2011, 10:58 door Anoniem
Het blijkt maar weer: centraal opslaan van begerenswaardige gegevens en spullen (wachtwoorden, wapens, creditcard-data, medische gegevens, ...) is vragen om moeilijkheden. Alleen doen in geval van noodzaak of zeer groot voordeel. Anders juist zo veel mogelijk spreiden.
06-05-2011, 12:34 door fluffyb53
Een export van wachtwoorden naar een csv bestand is altijd goed. Blijkbaar hebben velen dit gewoon niet gedaan als je de LP-forums leest.

Op forums zoals deze log ik in met een dummy-account . Ik bedoel : gewoon fake hotmail account met 0 gebruikers. Identiteitsdiefstal is gewoon onmogelijk.
09-05-2011, 14:18 door Jacob Boersma
Lijkt mij een good security practice van Lastpass om voor de zekerheid gebruikers aan te raden hun wachtwoord te wijzigen. Als die mensen bovendien aangemoedigd worden een sterke passphrase te kiezen in plaats van een zwak wachtwoord is het eigenlijk een geluk bij een ongeluk.
De sensationele kop van dit artikel is zoals al door anderen gezegd behoorlijk incorrect.
Toch blijf ik zelf gewoon lekker Keepass gebruiken, met een sterke passphrase...
09-05-2011, 16:25 door Anoniem
een naar mijn idee zeer veilige manier om Lastpass te gebruiken is een YubiKey. Naast een wachtwoord gebruik je dan ook een eenmalig wachtwoord om toegang tot je wachtwoordkluis te hebben.
Een YubiKey is een klein sleutelvormig stukje plastic die in je USB poort gaat en door de computer als het ware wordt gezien als een keyboard.
Nadat je je normale wachtwoord hebt ingegeven komt er een extra scherm van Lastpass waar je door een touch op de YubiKey een OTP ingeeft.

De YubiKey kun je het goedkoopste bestellen op http://www.yubikey-shop.nl € 15,00 ex BTW en morgen in huis.

Voor het gebruik met Lastpass heb je wel een Premium account nodig, bij aankoop samen met de YubiKey is dat ook nog eens goedkoper.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.