Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
LastPass zonder wachtwoord inloggen.
Onlangs kreeg ik een e-mail van LastPass met een uitnodiging om de mogelijkheid om zonder wachtwoord te kunnen inloggen uit te proberen: Fysieke beveiligingssleutels – Gebruik een USB-beveiligingssleutel zoals YubiKey of Feitian, waar u alleen zelf bij kunt. In de Accountinstellingen van LastPass staat o.a. de optie wachtwoordloze aanmelding en Opties voor meervoudige verificatie.
In deze tweede optie staat de mogelijkheid om met een Yubikey te verificeren, maar die is alleen voor betalende gebruikers.
Maar in de eerste optie optie wachtwoordloze aanmelding heb ik zonder één probleem mijn Yubikey om wachtwoordloos in te kunnen loggen geïnstalleerd.
Mij viel het wel direct op, dat de geinstalleerde hardware sleutel niet in de betreffende sectie (bibliotheek) werd opgenomen. U heeft geen apparaten waarop wachtwoordloze aanmelding is ingeschakeld.
Geen probleem, het werkte prima, maar ieder keer als ik in de browser LastPass activeerde kreeg ik niet alleen de gebruikersnaam te zien, maar ook het hoofdwachtwoord. In het wachtwoordsectie is echter een mogelijkheid om de tekst van het wachtwoord zichtbaar te maken (oogje met een streepje erdoor). Ik kon daardoor het hoofdwachtwoord gewoon kopieren.
Door in de geavanceerde opties de knop: Wachtwoord onthouden uit te schakelen, dacht ik de oplossing te hebben gevonden, maar er werd steeds weer om het wachtwoord gevraagd. Daarna getracht het wachtwoord weer permanent op te nemen, met het risico dat het kan worden gekopieerd, ging niet want na het herstarten bleek die optie in gewoon weer ongedaan gemaakt.
Ik heb veel opties geprobeerd, om het hoofdwachtwoord weer permanent zichtbaar te maken, zonder resultaat.
In de praktijk komt het er nu op neer, dat ik zowel het hoofdwachtwoord moet invoeren, als de pincode van de Fidokey. En de hardware sleutel verwijderen gaat niet, want die staat niet in de sectie (bibliotheek) optie wachtwoordloze aanmelding vermeld. Hij werkt wel, maar bestaat officieel niet, dus ben ik er voorlopig permanent aan gebonden.
In deze tweede optie staat de mogelijkheid om met een Yubikey te verificeren, maar die is alleen voor betalende gebruikers.
Maar in de eerste optie optie wachtwoordloze aanmelding heb ik zonder één probleem mijn Yubikey om wachtwoordloos in te kunnen loggen geïnstalleerd.
Mij viel het wel direct op, dat de geinstalleerde hardware sleutel niet in de betreffende sectie (bibliotheek) werd opgenomen. U heeft geen apparaten waarop wachtwoordloze aanmelding is ingeschakeld.
Geen probleem, het werkte prima, maar ieder keer als ik in de browser LastPass activeerde kreeg ik niet alleen de gebruikersnaam te zien, maar ook het hoofdwachtwoord. In het wachtwoordsectie is echter een mogelijkheid om de tekst van het wachtwoord zichtbaar te maken (oogje met een streepje erdoor). Ik kon daardoor het hoofdwachtwoord gewoon kopieren.
Door in de geavanceerde opties de knop: Wachtwoord onthouden uit te schakelen, dacht ik de oplossing te hebben gevonden, maar er werd steeds weer om het wachtwoord gevraagd. Daarna getracht het wachtwoord weer permanent op te nemen, met het risico dat het kan worden gekopieerd, ging niet want na het herstarten bleek die optie in gewoon weer ongedaan gemaakt.
Ik heb veel opties geprobeerd, om het hoofdwachtwoord weer permanent zichtbaar te maken, zonder resultaat.
In de praktijk komt het er nu op neer, dat ik zowel het hoofdwachtwoord moet invoeren, als de pincode van de Fidokey. En de hardware sleutel verwijderen gaat niet, want die staat niet in de sectie (bibliotheek) optie wachtwoordloze aanmelding vermeld. Hij werkt wel, maar bestaat officieel niet, dus ben ik er voorlopig permanent aan gebonden.
Reacties (11)
12-08-2023, 15:31 door
Anoniem
Je geeft zelf al je antwoord betaalde optie.
Dat je vervolgens probeert daar om heen te werken en het half bakken werkt tja.
Neem contact met ze op voor handleiding hoe je het handmatig geheel kunt verwijderen.
Dat je vervolgens probeert daar om heen te werken en het half bakken werkt tja.
Neem contact met ze op voor handleiding hoe je het handmatig geheel kunt verwijderen.
In 2020 heeft Pepe Berba (https://pberba.github.io/about) ook een betaald LastPass account genomen om een Yubikey te kunnen gebruiken. Wat bleek: Lastpass ondersteunde Yubikeys alleen in (T)OTP modus (niet in de toen nog gangbare U2F modus, ondertussen vervangen door FIDO2/WebAuthn). Pepe heeft binnen 24 uur na betalen zijn LastPass account opgedoekt, mede omdat LastPass URL's niet versleutelt en liegt dat LastPass-medewerkers daar niet bij zouden kunnen.
Lange technische write-up (maar m.i. zeer interessant, niet alleen voor (potentiële) LastPass addicts):
https://pberba.github.io/security/2020/05/28/lastpass-phishing/
Gezien de geschiedenis van LastPass (misleiding, hacks, leugens en niet nagekomen belofte) is LastPass de LastParty die ik mijn Passwords zou toevertrouwen.
Lange technische write-up (maar m.i. zeer interessant, niet alleen voor (potentiële) LastPass addicts):
https://pberba.github.io/security/2020/05/28/lastpass-phishing/
Gezien de geschiedenis van LastPass (misleiding, hacks, leugens en niet nagekomen belofte) is LastPass de LastParty die ik mijn Passwords zou toevertrouwen.
12-08-2023, 17:45 door
waterlelie
Door Anoniem: Je geeft zelf al je antwoord betaalde optie.
Dat je vervolgens probeert daar om heen te werken en het half bakken werkt tja.
Neem contact met ze op voor handleiding hoe je het handmatig geheel kunt verwijderen.
Dat je vervolgens probeert daar om heen te werken en het half bakken werkt tja.
Neem contact met ze op voor handleiding hoe je het handmatig geheel kunt verwijderen.
Je leest het verkeerd, in de sectie " optie wachtwoordloze aanmelding" kan nu iedere gebruiker een hardware sleutel voor verificatie instellen, en er word geen onderscheid gemaakt welk merk sleutel. Maar voorheen was dat niet mogelijk, omdat LastPass dit ook had voorbehouden aan betalende gebruikers. Maar in de sectie "Opties voor meervoudige verificatie" wordt nog steeds dat voorbehoud gemaakt. LastPass is gewoon aan het knoeien.
Er wordt dus nergens om heen gewerkt, het is software waar elementen in zitten die elkaar tegenwerken, bekijk de instructie video maar eens.
https://support.lastpass.com/s/document-item?language=en_US&bundleId=lastpass&topicId=LastPass/passwordless_login_desktop_security_keys_enable_use.html&_LANG=enus
Maar omdat er geen mogelijkheid voor mij bestaat om de sleutel te verwijderen, immers er woord aangegeven dat er geen hardware sleutel is geïnstalleerd valt er niks te verwijderen. Ik heb dus geen enkel optie anders dan de sleutel te gebruiken. Natuurlijk kan ik zonder sleutel door middel van authenticatie ook inloggen, maar dat is niet waar het hier om gaat.
12-08-2023, 17:51 door
waterlelie
Door Erik van Straten: In 2020 heeft Pepe Berba (https://pberba.github.io/about) ook een betaald LastPass account genomen om een Yubikey te kunnen gebruiken. Wat bleek: Lastpass ondersteunde Yubikeys alleen in (T)OTP modus (niet in de toen nog gangbare U2F modus, ondertussen vervangen door FIDO2/WebAuthn). Pepe heeft binnen 24 uur na betalen zijn LastPass account opgedoekt, mede omdat LastPass URL's niet versleutelt en liegt dat LastPass-medewerkers daar niet bij zouden kunnen.
Lange technische write-up (maar m.i. zeer interessant, niet alleen voor (potentiële) LastPass addicts):
https://pberba.github.io/security/2020/05/28/lastpass-phishing/
Gezien de geschiedenis van LastPass (misleiding, hacks, leugens en niet nagekomen belofte) is LastPass de LastParty die ik mijn Passwords zou toevertrouwen.
Lange technische write-up (maar m.i. zeer interessant, niet alleen voor (potentiële) LastPass addicts):
https://pberba.github.io/security/2020/05/28/lastpass-phishing/
Gezien de geschiedenis van LastPass (misleiding, hacks, leugens en niet nagekomen belofte) is LastPass de LastParty die ik mijn Passwords zou toevertrouwen.
Dit is mijn probleem geweest met Google, daar kon ik onder Windows 7 met de sleutel zonder pincode inloggen (OTP) en niet lang daarna moet dat door Google zijn omgezet in FIDO2, waardoor ik niet meer kon inloggen in mijn nieuwe pc Windows 10 zonder pincode. Dat was mijn teleurstellende ervaring met de Yubikey.
12-08-2023, 17:55 door
Anoniem
Gebruikers lopen weer te klooien en als het fout gaat ligt de fout niet gij hun, maar bij iemand/wat anders.
13-08-2023, 10:28 door
Anoniem
Door Anoniem: Gebruikers lopen weer te klooien en als het fout gaat ligt de fout niet gij hun, maar bij iemand/wat anders.
LastPass biedt een mogelijkheid om een YubiKey te koppelen waarbij die vervolgens niet weer ontkoppeld kan worden, in de overzichten van wat je hebt ingesteld niet verschijnt maar op de een of andere manier wel werkt. Het kan niet anders dan dat de koppeling op meerdere plaatsen in de systemen van LastPass wordt vastgelegd en dat die vastleggingen uit de pas kunnen lopen zonder dat LastPass dat zelf signaleert en (al dan niet volautomatisch) corrigeert.Ook als een gebruiker heeft geklooid duidt dit op een fout in de systemen van LastPass.
Door Anoniem:
Ook als een gebruiker heeft geklooid duidt dit op een fout in de systemen van LastPass.
Door Anoniem: Gebruikers lopen weer te klooien en als het fout gaat ligt de fout niet gij hun, maar bij iemand/wat anders.
LastPass biedt een mogelijkheid om een YubiKey te koppelen waarbij die vervolgens niet weer ontkoppeld kan worden, in de overzichten van wat je hebt ingesteld niet verschijnt maar op de een of andere manier wel werkt. Het kan niet anders dan dat de koppeling op meerdere plaatsen in de systemen van LastPass wordt vastgelegd en dat die vastleggingen uit de pas kunnen lopen zonder dat LastPass dat zelf signaleert en (al dan niet volautomatisch) corrigeert.Ook als een gebruiker heeft geklooid duidt dit op een fout in de systemen van LastPass.
Juiste samenvatting van wat er gebeurt is en helaas niet meer ongedaan kan worden gemaakt.
13-08-2023, 15:41 door
Anoniem
Door Anoniem:
Ook als een gebruiker heeft geklooid duidt dit op een fout in de systemen van LastPass.
Door Anoniem: Gebruikers lopen weer te klooien en als het fout gaat ligt de fout niet gij hun, maar bij iemand/wat anders.
LastPass biedt een mogelijkheid om een YubiKey te koppelen waarbij die vervolgens niet weer ontkoppeld kan worden, in de overzichten van wat je hebt ingesteld niet verschijnt maar op de een of andere manier wel werkt. Het kan niet anders dan dat de koppeling op meerdere plaatsen in de systemen van LastPass wordt vastgelegd en dat die vastleggingen uit de pas kunnen lopen zonder dat LastPass dat zelf signaleert en (al dan niet volautomatisch) corrigeert.Ook als een gebruiker heeft geklooid duidt dit op een fout in de systemen van LastPass.
Je kunt prima de Ybikey ontkoppelen bij LastPass. Laatst nog gedaan en op andere manier van MFA overgegaan. Het lijkt dus steeds meer en meer een gebruikersfout van iemand die niet snapt dat de handleiding volgen belangrijk is.
13-08-2023, 18:34 door
waterlelie
Door Anoniem:
Je kunt prima de Ybikey ontkoppelen bij LastPass. Laatst nog gedaan en op andere manier van MFA overgegaan. Het lijkt dus steeds meer en meer een gebruikersfout van iemand die niet snapt dat de handleiding volgen belangrijk is.
Door Anoniem:
Ook als een gebruiker heeft geklooid duidt dit op een fout in de systemen van LastPass.
Door Anoniem: Gebruikers lopen weer te klooien en als het fout gaat ligt de fout niet gij hun, maar bij iemand/wat anders.
LastPass biedt een mogelijkheid om een YubiKey te koppelen waarbij die vervolgens niet weer ontkoppeld kan worden, in de overzichten van wat je hebt ingesteld niet verschijnt maar op de een of andere manier wel werkt. Het kan niet anders dan dat de koppeling op meerdere plaatsen in de systemen van LastPass wordt vastgelegd en dat die vastleggingen uit de pas kunnen lopen zonder dat LastPass dat zelf signaleert en (al dan niet volautomatisch) corrigeert.Ook als een gebruiker heeft geklooid duidt dit op een fout in de systemen van LastPass.
Je kunt prima de Ybikey ontkoppelen bij LastPass. Laatst nog gedaan en op andere manier van MFA overgegaan. Het lijkt dus steeds meer en meer een gebruikersfout van iemand die niet snapt dat de handleiding volgen belangrijk is.
Ik mis 2 details in dit verhaal.
1. Waarom staat de sleutel niet in de bibliotheek vermeld.
2. En waarom verhindert Lastpass niet dat iemand een verkeerde volgorde volgt. Je verwacht toch anno 2023 dat de software dan de gebruiker stopt.
13-08-2023, 23:19 door
Anoniem
Door Anoniem: Je kunt prima de Ybikey ontkoppelen bij LastPass. Laatst nog gedaan en op andere manier van MFA overgegaan. Het lijkt dus steeds meer en meer een gebruikersfout van iemand die niet snapt dat de handleiding volgen belangrijk is.
Geweldig. Als het voor jou zo duidelijk is, kan jij waterlelie er dan even doorheen praten hoe hij die YubiKey weer ontkoppelt? Dan ben je constructiever bezig dan wanneer je een ander van een gebruikersfout beschuldigt zonder hem verder te helpen.Of, als waterlelie zo heeft geklooid dat het op zijn account werkelijk niet meer te ontkoppelen valt, ben je het er dan mee eens dat de systemen van LastPass zich daardoor in een onlogische staat bevinden waarin ze zich niet zouden moeten kunnen bevinden? En kan je het ermee eens zijn dat dat per definitie een bug is?
13-08-2023, 23:51 door
Anoniem
Inloggen zonder wachtwoord kon eerder ook al :) maar toen was dat een probleem. Lastpass is troep. Wegwezen daar.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.