image

Google vindt weer ernstig lek in wachtwoordmanager LastPass

woensdag 22 maart 2017, 11:16 door Redactie, 5 reacties

Een aantal uren na het uitkomen van een beveiligingsupdate voor de wachtwoordmanager LastPass heeft Google-onderzoeker Tavis Ormandy opnieuw een kwetsbaarheid in de software gevonden waardoor kwaadaardige websites wachtwoorden van gebruikers kunnen stelen.

Gisteren werd bekend dat er een ernstig beveiligingslek in LastPass zat waardoor aanvallers kwetsbare systemen konden overnemen en wachtwoorden konden stelen. De kwetsbaarheid was aanwezig in de browserextensie voor Google Chrome en Firefox met versienummer 4.1.42. LastPass kwam met een update om het probleem te verhelpen. Een aantal uren na het verschijnen van de update maakte Ormandy via Twitter bekend dat hij wederom een beveiligingslek in de extensie had gevonden waardoor een website wachtwoorden van gebruikers kon stelen. LastPass laat weten dat het probleem zich in de Firefox-extensie bevindt en er aan een update wordt gewerkt.

Zo'n 750.000 Firefox-gebruikers hebben LastPass geïnstalleerd, terwijl 5,7 miljoen Chrome-gebruikers met de wachtwoordmanager werken. LastPass is een clouddienst waar gebruikers hun wachtwoorden voor allerlei websites in een 'kluis' kunnen opslaan. De gebruiker hoeft alleen een hoofdwachtwoord te onthouden om de opgeslagen wachtwoorden te gebruiken. Vorig jaar ontdekte Ormandy ook al een ernstige kwetsbaarheid in LastPass waardoor het systeem van gebruikers op afstand volledig kon worden overgenomen.

Reacties (5)
22-03-2017, 11:18 door [Account Verwijderd]
Lastpass heeft nooit een update uitgebracht. Ze hebben een domein uit de dns gehaald, zonder dat iemand weet of ze het daadwerkelijke probleem uberhaupt hebben aangepakt. (terwijl die nog op een heleboel plekken gecached is op dit moment, waardoor heel veel menesen nog steeds kwetsbaar zijn voor de vuln. op chrome)
22-03-2017, 11:52 door Anoniem
Zelf maak ik gebruik van Roboform. Een separaat systeempje. Dus geen integratie in een browser. En heb dit geïnstalleerd op een USB-stick. Dit doe ik op deze wijze al jaren en ben er zeer content mee.
22-03-2017, 11:55 door Anoniem
Al mijn wachtwoorden zitten in mijn hoofd opgeslagen, niet te hacken. En ja, ik heb een systeem voor mijzelf waardoor ik toch voor iedere site een ander wachtwoord heb. Voor alle belangrijke logins ook nog 2FA.

Password managers overbodig...
22-03-2017, 16:24 door Anoniem
Door Anoniem: Al mijn wachtwoorden zitten in mijn hoofd opgeslagen, niet te hacken. En ja, ik heb een systeem voor mijzelf waardoor ik toch voor iedere site een ander wachtwoord heb. Voor alle belangrijke logins ook nog 2FA.

Password managers overbodig...

De kracht van niet te raden wachtwoorden is juist een hoge mate van onvoorspelbaarheid. Een systeem achter wachtwoord genereren betekent voorspelbaarheid.
22-03-2017, 22:21 door Anoniem
password manager is ok omdat je dan lange random passwords kan maken, deze dan vervolgens in je browser of zelfs online opslaan is natuurlijk onzin. Voorts is het verstandig om een open source manager als KeePassX oid te gebruiken omdat een community checked of er geen crap in de code zit. Van de database maak je natuurlijk op verschillende plekken een backup.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.