image

Google vindt ernstig lek in wachtwoordmanager LastPass

dinsdag 21 maart 2017, 14:15 door Redactie, 8 reacties

Google-onderzoeker Tavis Ormandy heeft een ernstig beveiligingslek in de wachtwoordmanager LastPass ontdekt waardoor een aanvaller systemen in het ergste geval kan overnemen en anders wachtwoorden kan stelen. LastPass is een clouddienst waar gebruikers hun wachtwoorden voor allerlei websites in een 'kluis' kunnen opslaan. De gebruiker hoeft alleen een hoofdwachtwoord te onthouden om de opgeslagen wachtwoorden te gebruiken.

Ormandy ontdekte dat de Chrome- en Firefox-versie van LastPass-extensie een kwetsbaarheid bevat waardoor het mogelijk is om op afstand willekeurige code uit te voeren en wachtwoorden te stelen. Details zal de onderzoeker later bekend maken. De exploit die hij ontwikkelde om de aanval op het lek te demonstreren werkt op Windows, maar kan ook voor andere platformen worden aangepast.

LastPass laat weten dat het na te zijn ingelicht een tijdelijke oplossing heeft uitgerold en aan een permanente fix werkt. Vorig jaar ontdekte Ormandy ook al een ernstige kwetsbaarheid in LastPass waardoor het systeem van gebruikers op afstand volledig kon worden overgenomen. Kort na de aankondiging van Ormandy op Twitter over dat lek kwam LastPass met een update om het probleem te verhelpen.

Reacties (8)
21-03-2017, 14:38 door [Account Verwijderd]
[Verwijderd]
21-03-2017, 15:08 door Anoniem
Dus zet je het op een lokale computer waar de risico's net zo groot of zelfs groter zijn.

Een passwordmanager heeft altijd een risico. Two factor authentication waar nodig is een must.
GEEN passwordmanager is in mijn ogen een groter risico.

Nu kan je beargumenteren dat Lastpass eerder in het nieuws is geweest, maar ze zijn meestal behoorlijk snel in het oplossen en open in hun communicatie. Ze zijn dan ook de grootste
We moeten in mijn ogen sowieso toe naar een methode waarin een password alleen niet meer voldoende is .
21-03-2017, 15:12 door Anoniem
password managers... pfff... er is een hele simpele, en die heet notepad.
21-03-2017, 16:22 door Anoniem
Door Anoniem: password managers... pfff... er is een hele simpele, en die heet notepad.

plain text je wachtwoorden opslaan... briljant... *not!*
21-03-2017, 16:26 door Anoniem
Gewoon zoiets als E-Wallet gebruiken om echt belangrijke passwords e.d. in op te slaan. E-Wallet draait gewoon lokaal maar kan net als Lastpass automatisch op websites inloggen. Ze hebben ook een smartphone app(met sync functie) De database is encrypted en daar maak je gewoon een offsite kopietje van. Het gemak van lastpass maar dan lokaal.

Programma's als Lastpass hebben te veel toeters en bellen waardoor ze extra kwetsbaar zijn.
Lastpass gebruik zelf alleen voor onbelangrijke fora e.d. en voor password generatie.

@15:12 Notepad lijkt me niet verstandig. Als je PC wordt gejat of je krijgt brand of een andere calamiteit dan heb je een probleem!
22-03-2017, 06:34 door karma4
Door Anoniem: ...
plain text je wachtwoorden opslaan... briljant... *not!*
Hanndgeschreven (opzettelijk slecht handschrift) op fysiek papier met een hint waar het bijhoort geen volledige tekst.
Bewaard op aparte fysieke plaats. Te koop in elke betere boekwinkel
22-03-2017, 10:19 door Anoniem
Welke versie van LastPass is kwetsbaar?
22-03-2017, 10:47 door Anoniem
Door karma4:
Door Anoniem: ...
plain text je wachtwoorden opslaan... briljant... *not!*
Hanndgeschreven (opzettelijk slecht handschrift) op fysiek papier met een hint waar het bijhoort geen volledige tekst.
Bewaard op aparte fysieke plaats. Te koop in elke betere boekwinkel

Het gebruik van een wachtwoordmanager biedt de mogelijkheid om lange wachtwoorden te gebruiken. Ik heb op enkele sites wachtwoorden van 32 tekens, volkomen random. Dat ga ik niet opschrijven of overtikken. Al helemaal niet op mijn telefoon.

Door Anoniem: Gewoon zoiets als E-Wallet gebruiken om echt belangrijke passwords e.d. in op te slaan. E-Wallet draait gewoon lokaal maar kan net als Lastpass automatisch op websites inloggen. Ze hebben ook een smartphone app(met sync functie) De database is encrypted en daar maak je gewoon een offsite kopietje van. Het gemak van lastpass maar dan lokaal.

Ik gebruik Safe in Cloud. Die biedt de mogelijkheid om de database op willekeurige cloud storage neer te zetten. Inclusief je eigen Webdav server.

Peter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.