image

LastPass dicht ernstig lek in wachtwoordmanager

maandag 3 april 2017, 09:39 door Redactie, 4 reacties

LastPass heeft een ernstig beveiligingslek in de wachtwoordmanager gedicht waardoor kwaadaardige websites wachtwoorden konden stelen en in het ergste geval ook de systemen van gebruikers konden overnemen. De kwetsbaarheid was door Google-onderzoeker Tavis Ormandy ontdekt.

De onderzoeker had eerder in maart ook al twee kwetsbaarheden in de wachtwoordmanager gevonden waardoor gebruikers konden worden aangevallen. Volgens LastPass zullen de meeste gebruikers de update automatisch ontvangen. Het ontwikkelteam van LastPass heeft een analyse van het lek online gezet. Volgens de ontwikkelaars ging het om een complex probleem dat lastig was te patchen en mogelijk ook in andere extensies aanwezig is. LastPass heeft meer dan 6 miljoen gebruikers.

Reacties (4)
03-04-2017, 11:39 door Anoniem
Te laat. Deze fundamentele bug was de druppel voor mij. Letterlijk net een paar minuten geleden de overstap naar Dashlane afgerond. De enige relevante closed source pwmanagers zijn voor mij 1Password en Dashlane. De enige gratis pwmanager is KeePass. Al deze 3 pwmanagers werken ook fundamenteel anders dan Lastpass. Overigens wat Ormandy over KeePass in het verleden heeft gesteld:

(In chronologische volgorde.)
https://twitter.com/taviso/status/758122674316906496
https://twitter.com/taviso/status/763801055725359104
https://twitter.com/taviso/status/769581755502166017
https://twitter.com/taviso/status/817065731703468032
https://twitter.com/taviso/status/843242496448577536
03-04-2017, 14:00 door SecOff
Door Anoniem:Letterlijk net een paar minuten geleden de overstap naar Dashlane afgerond
Zonder bounty program hebben die in ieder geval wat minder last van die lastige white hat hackers die dingen openbaar maken.
03-04-2017, 16:26 door johanw
Door Anoniem: Te laat. Deze fundamentele bug was de druppel voor mij. Letterlijk net een paar minuten geleden de overstap naar Dashlane afgerond. De enige relevante closed source pwmanagers zijn voor mij 1Password en Dashlane. De enige gratis pwmanager is KeePass. Al deze 3 pwmanagers werken ook fundamenteel anders dan Lastpass. Overigens wat Ormandy over KeePass in het verleden heeft gesteld:
Dan ben ik wel benieuwd waarom je uitgerekend naar een closed source oplossing bent gegaan. Wat kan deze wat KeyPass niet kan?
04-04-2017, 13:45 door Anoniem
Ik ben al lang geleden overgestapt naar 1Password en Keepass op mijn werk.Keepass heeft onlangs een onafhankelijke audit gehad en is daarna nog veiliger geworden na enkele aanpassingen naar aanleiding van de aanbevelingen in het auditrapport.
1Password gaat ook steeds meer richting. een cloud oplossing en het wordt niet helemaal duidelijk of de stand-aloneversies wel blijven worden ondersteund en doorontwikkeld. Verder is e1Password wel mijn. favoriete Passwordmanager.
Ik ben ook van plan om Enpass te onderzoeken, deze heeft ook veel potentie vanwege het grote aantal platformen die ze ondersteunen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.