Androidversie wachtwoordmanager LastPass bevat allerlei trackers
De Androidversie van wachtwoordmanager LastPass bevat alle trackers, waaronder meerdere van Google. Dat ontdekte beveiligingsonderzoeker Mike Kuketz nadat hij de app door het Exodus-platform liet controleren. Exodus is een "privacy-auditplatform" voor Android-applicaties. De controle leverde in totaal zeven trackers op: AppsFlyer, Google Analytics, Google CrashLytics, Google Firebase Analytics, Google Tag Manager, MixPanel en segment.
Volgens Kuketz horen dergelijk trackers niet thuis in een wachtwoordmanager die zeer gevoelige informatie verwerkt. "Welke gegevens deze modules verzamelen en naar derde partijen versturen zijn soms voor zelfs de app-ontwikkelaars, die de modules aan hun apps toevoegen, niet duidelijk", aldus de onderzoeker over de aanwezige trackers.
Kuketz stelt dat de trackers data versturen zonder dat gebruikers om toestemming wordt gevraagd. Het tracken vindt ook tijdens het gebruik van de app plaats. "Zelfs als de trackers geen contentdata ontvangen, volgen ze de gebruiker nog steeds overal wanneer die LastPass gebruikt en ontvangen daarbij metadata." Het gaat dan bijvoorbeeld om informatie over een nieuw wachtwoord, adres of bankrekening, verschillende user-ID's en informatie over het gebruikte apparaat.
De onderzoeker concludeert dat de huidige Androidversie van LastPass waarschijnlijk in strijd met de AVG is. Daarnaast noemt hij de aanpak van het bedrijf wat security betreft "zeer twijfelachtig". Andere wachtwoordmanagers zoals 1Password en KeePass bevatten volgens de scan van Exodus geen trackers. In wachtwoordmanager Bitwarden worden twee trackers gevonden, terwijl wachtwoordkluis Dashlane er vier telt.
In een reactie tegenover The Register laat LastPass weten dat er geen gevoelige persoonlijke identificeerbare data of gegevens van de wachtwoordkluis naar de trackers worden verstuurd. De trackers verzamelen alleen "beperkte statistische data" over het gebruik van LastPass wat het bedrijf gebruikt om het product te verbeteren, aldus een woordvoerder. LastPass kwam onlangs nog in het nieuws omdat het het gebruik van de gratis versie gaat beperken tot één type apparaat.
Klinkt als een goed plan toch?
Is het ook. Het toevoegen van trackers staat daar volledig buiten.
- Rexodus
Wordt wel een beetje stil van deze uitkomst, ik heb een hoop gebruikers op lastpass gezet met onder andere het argument dat deze bedrijven begrijpen dan zij alleen kunnen bestaan met het vertrouwen van de gebruikers. Gratis zijn zou vooral een model zijn om te kunnen groeien en mensen aan de functie te kunnen laten wennen. :(
Iemand goede suggesties voor een password manager? Flexibel, multi platform, gebruikersvriendelijk, samenwerk mogelijkheden en last but not least: het vertrouwen waard.
Paar willekeurige bedrijven waar ik klant ben:
Rabobank 3 trackers https://reports.exodus-privacy.eu.org/en/reports/nl.rabomobiel/latest/
CZ 4 trackers https://reports.exodus-privacy.eu.org/en/reports/nl.cz.app/latest/
Ziggo 4 trackers https://reports.exodus-privacy.eu.org/en/reports/com.lgi.ziggotv/latest/ Ziggo heeft blijkbaar ondertussen toch besloten dat die trackers van Facebook niet zo'n heel goed idee waren. Terwijl de 'klantenservice' mij toch duikelijk te kennen gaf dat ze privacy heel serieus namen.
Firefox 3 trackers https://reports.exodus-privacy.eu.org/en/reports/org.mozilla.firefox/latest/ absurd! Sowieso het eerste wat Firefox tegenwoordig doet bij opstarten is data delen met Google.
PostNL 4 trackers https://reports.exodus-privacy.eu.org/en/reports/nl.tpp.mobile.android/latest/
Als bonus DigiD 3 trackers https://reports.exodus-privacy.eu.org/en/reports/nl.rijksoverheid.digid.pub/latest/
Labels van Mediahuis en DPG Media mag je zelf opzoeken, die hebben blijkbaar echt helemaal niets op met privacy.
Uiteraard gebruik ik geen één van bovenstaande apps, op Firefox na. Nog steeds kijken mensen mij raar aan dat ik privacy belangrijk vind (of zou dat ergens anders aan liggen?) en dit soort applicaties niet adviseer.
Wordt wel een beetje stil van deze uitkomst, ik heb een hoop gebruikers op lastpass gezet met onder andere het argument dat deze bedrijven begrijpen dan zij alleen kunnen bestaan met het vertrouwen van de gebruikers. Gratis zijn zou vooral een model zijn om te kunnen groeien en mensen aan de functie te kunnen laten wennen. :(
Iemand goede suggesties voor een password manager? Flexibel, multi platform, gebruikersvriendelijk, samenwerk mogelijkheden en last but not least: het vertrouwen waard.
Ikzelf ben recent naar volle tevredenheid overgestapt naar Bitwarden!
Iemand goede suggesties voor een password manager? Flexibel, multi platform, gebruikersvriendelijk, samenwerk mogelijkheden en last but not least: het vertrouwen waard.
Bij mijn werkgever gebruiken we Keeper als password manager. Zover ik kan zien/horen/lezen voldoet die aan al jouw punten. Zijn ook erg serieus als het gaat om hun beveiliging, al was Lastpass dat ook..
Zonder trackers zijn: 1password, keepass2 android, msecure, saferpass, securesafe
https://www.heise.de/select/ct/2021/5/2101810342869734016
Een offline passwordmanager is wat mij betreft de beste keus. Misschien niet heel handig om uit te wisselen tussen je devices, maar een stukje extra veiligheid is dat wel waard.
KeePassXC (keepassxc.org) is een gratis en open source wachtwoordmanager (met een GNU GPL 2.0 licentie), uitgevoerd als Qt5 multiplatform applicatie voor Windows, macOS en Linux. Het kan worden gebruikt in combinatie met een YubiKey en het heeft de zegen van de Electronic Frontier Foundation en Tails gekregen.
https://en.wikipedia.org/wiki/KeePassXC
Het enige nadeel is dat er geen Google Android versie van KeePassXC beschikbaar is, en dat het ooit verschijnen van een Apple iOS versie niet waarschijnlijk is. Wel bestaat er hiervan weer onafhankelijke doorontwikkelde forks van KeePass op F-Droid.org (zie daar, onder verschillende namen), dus dat zou een serieuze optie kunnen zijn.
Dan blijft over: de keuze voor Bitwarden (bitwarden.com), al eerder genoemd, dat naast de stand alone versie voor Windows, macOS en Linux (met GNU GPLv3 and AGPLv3 licenties), ook een versie voor Android en iOS en browser extensies voor Brave, Chrome, Firefox en Opera heeft uitgebracht.
https://en.wikipedia.org/wiki/Bitwarden
Bitwarden zou dus een serieuze open source vervanger voor LastPass kunnen zijn, en KeePassXC een goed alternatief.
Het standaard antwoord voor alle trackers, cookies, onnodige rotzooi en wat er al niet in een applicatie of app wordt verwerkt: "we verbeteren het product" of "we verbeteren de gebruikerservaring". En dan boos worden wanneer je die rotzooi blokkeert.
Hoezo gratis? Ik betaal er voor...
https://community.bitwarden.com/t/remove-embedded-trackers-from-bitwarden/18925
Slechts met het opstarten 1x firebaselogging-pa.googleapis.com /v1firelog/legacy/batchlog
Niks herleidbaars naar mijn device (op een VPN IP na). Altijd al voorstander geweest van OFFLINE password managers en wederom bevestigd.
KeePassXC (keepassxc.org) is een gratis en open source wachtwoordmanager (met een GNU GPL 2.0 licentie), uitgevoerd als Qt5 multiplatform applicatie voor Windows, macOS en Linux. Het kan worden gebruikt in combinatie met een YubiKey en het heeft de zegen van de Electronic Frontier Foundation en Tails gekregen.
https://en.wikipedia.org/wiki/KeePassXC
Het enige nadeel is dat er geen Google Android versie van KeePassXC beschikbaar is, en dat het ooit verschijnen van een Apple iOS versie niet waarschijnlijk is. Wel bestaat er hiervan weer onafhankelijke doorontwikkelde forks van KeePass op F-Droid.org (zie daar, onder verschillende namen), dus dat zou een serieuze optie kunnen zijn.
Keepass2Android Offline
Philipp Crocoll (Croco Apps)
https://play.google.com/store/apps/details?id=keepass2android.keepass2android_nonet
Werkt uitstekend!
Ja dat kan. Je kunt ook een LUKS-container maken met daarin .txt bestanden met je geheimen en die op je server zetten zodat je er overal vanaf bij kan. Online wachtwoordmanagers maken dat alleen een stuk makkelijker voor je met een mooie frontend en apps voor je telefoon en browser.
Het enige nadeel is dat er geen Google Android versie van KeePassXC beschikbaar is, en dat het ooit verschijnen van een Apple iOS versie niet waarschijnlijk is. Wel bestaat er hiervan weer onafhankelijke doorontwikkelde forks van KeePass op F-Droid.org (zie daar, onder verschillende namen), dus dat zou een serieuze optie kunnen zijn.
Daarvoor heb je https://www.keepassdx.com/, werkt goed en is open source.
Als je een Yubikey wilt gebruiken moet je voor Bitwarden betalen (al is €10,- per jaar niet veel), KeepassXC ondersteunt dit standaard.
https://community.bitwarden.com/t/remove-embedded-trackers-from-bitwarden/18925
En daaronder staat een post met uitleg om de F-Droid repository-versie te gebruiken die de twee trackers niet bevat.
Directe link naar de FAQ met uitleg betreffende trackers:
https://bitwarden.com/help/article/security-faqs/#q-what-third-party-services-libraries-or-trackers-are-used
Een offline passwordmanager is wat mij betreft de beste keus. Misschien niet heel handig om uit te wisselen tussen je devices, maar een stukje extra veiligheid is dat wel waard.
HEAR HEAR, je maaide het gras voor me weg :). het idee dat een grote DB online veiliger is dan post-its in elke cubicle in elk kantoor verspreid over de wereld is op zijn minst aanvechtbaar!
Wachtwoordmanagers: welke moet je hebben?
uitzending Kassa, item vanaf: 24m:20s
https://www.npostart.nl/kassa/13-02-2021/BV_101404358
met Daniël Verlaan (RTL Nieuws), techjournalist,
en bekend van https://laatjeniethackmaken.nl
In de Kassa uitzending worden door Daniël deze genoemd: LastPass (ook in het Nederlands en "gratis"), 1PassWord (alleen Engelstalig en vanaf €3,= per maand), Bitwarden (heus niet alleen voor nerds), KeePass (de beste keuze, maar dit vergt aardig wat expertise) en Dashlane (ook populair, een redelijk goede keuze).
Stappenplan: zó zorg je voor een goed systeem
https://www.bnnvara.nl/kassa/artikelen/wachtwoordmanager-wat-is-het-en-welke-moet-je-hebben
De top 3
Bitwarden
KeePassXC
LessPass
https://www.privacytools.io/software/passwords/
LessPass is een woordspeling op "LastPass", maar LessPass werkt anders, is veiliger en eenvoudiger. Geen gedoe meer met synchroniseren en een derde partij is overbodig. Het zal wel even wennen zijn, het idee dat al je wachtwoorden nergens meer zijn opgeslagen, afgezien van die ene in je hoofd.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.