LastPass verplicht master password van minimaal twaalf karakters
Wachtwoordmanager LastPass verplicht dat alle gebruikers voortaan een master password van minimaal twaalf karakters gebruiken. Gebruikers die nog niet aan de vereiste voldoen moeten hun wachtwoord aanpassen. LastPass adviseert sinds 2018 het gebruik van minimaal twaalf karakters voor het master password, maar dit was niet verplicht. Gebruikers konden daardoor ook een veel korter wachtwoord kiezen.
De nieuwe verplichting vereist dat gebruikers eerst inloggen op hun LastPass-account. Vervolgens moeten ze aangeven of ze een wachtwoord van minimaal twaalf karakters gebruiken. Is dit niet het geval, dan moet er een nieuw master password worden ingesteld. Volgens LastPass moet dit de wachtwoordkluizen van gebruikers beter beschermen. Verder gaat LastPass volgende maand controleren of nieuwe of aangepaste master password in bekende datalekken voorkomen. In het geval dit zo is krijgen gebruikers een melding om een nieuw wachtwoord te kiezen.
Eind 2022 wisten aanvallers op systemen van LastPass in te breken en gingen er vervolgens met de kluisdata van klanten vandoor. LastPass biedt een wachtwoordmanager die in de cloud draait. De aanval was mogelijk doordat een DevOps-engineer van LastPass op zijn thuiscomputer een oude versie van Plex draaide waarin een drie jaar oude kwetsbaarheid zat. Volgens onderzoekers wisten de aanvallers toegang tot de inhoud van de gestolen kluisdata te krijgen en konden zo miljoenen dollars aan cryptovaluta stelen.
Daarnaast kwam LastPass ook onder vuur te liggen. Zo hekelde beveiligingsonderzoeker en Adblock Plus-ontwikkelaar Wladimir Palant de manier waarop LastPass met het datalek is omgegaan. Zo duurde het maanden om gebruikers te waarschuwen, zijn er geen zinvolle oplossingen gegeven, is de ernst van de aanval gebagatelliseerd, zijn technische problemen die al jaren geleden bekend werden genegeerd en is zo het werk van de aanvallers een stuk eenvoudiger gemaakt, aldus de onderzoeker.
2) Lastpass weet of je master wachtwoord ooit gelekt is
Waarom word ik hier achterdochtig van? Hoe weet lastpass dit en waarom wil het dit weten?
Gebruik KeepassDX/XC, dan heb je de sata in eigen handen offline.
Men kan altijd het versleutelde Keepass bestand in een selfhisted cloudopslag opslaan als men toch een online backup wil, gebruik daarbij cryptomator.
Ze kunnen beter overgaan op een ander soort dienst/service, hun kredietwaardigheid is allang verdwenen.
Het is misschien geen opzet geweest, maar de schade is al gedaan.
2) Lastpass weet of je master wachtwoord ooit gelekt is
Waarom word ik hier achterdochtig van? Hoe weet lastpass dit en waarom wil het dit weten?
1) Het is ontzettend complex om met een tellertje bij te houden hoeveel karakters worden ingetypt bij het intypen van je master password,
2) Ooit van Have I been Powned gehoord? Ooit van password hash vergelijking gehoord?
Het is goed om paranoïde te zijn, maar doe dat wel op de juiste gronden.
2) Lastpass weet of je master wachtwoord ooit gelekt is
Waarom word ik hier achterdochtig van? Hoe weet lastpass dit en waarom wil het dit weten?
1) Het is ontzettend complex om met een tellertje bij te houden hoeveel karakters worden ingetypt bij het intypen van je master password,
2) Ooit van Have I been Powned gehoord? Ooit van password hash vergelijking gehoord?
Het is goed om paranoïde te zijn, maar doe dat wel op de juiste gronden.
Hoe minder kennis, des te meer achterdocht. Pech dat het niet compenseert.
Nou,
Het lijkt erop dat LastPass gewoon aan gebruikers gaat vragen hoe lang hun wachtwoord is, wat verder geen hele sterke garantie is, maar wel een manier om een deel van de mensen om te krijgen.
In darknet datasets kan op zijn minst gezocht worden op usernames, want een wachtwoord is redelijk nutteloos zonder username.
In het geval van een gelekt plaintext wachtwoord, kan LastPass een (gesalte) hash berekenen en kijken of die klopt met hun database. In het geval van een gelekte password hash, kan LastPass die direct vergelijken met de hash in hun database.
Daarmee is dus te verifieren of het gelekte wachtwoord ook het correcte wachtwoord is, zonder dat LastPass de wachtwoorden van haar gebruikers kent.
Je kunt dat alleen voorkomen door zelf de hash in te (mogen) typen, maar dan is de hash eigenlijk gewoon je plaintext wachtwoord.
Je komt hier alleen onderuit door passwordless in te loggen, bijvoorbeeld met een token (Yubikey, telefoon, et cetera). Maar wellicht kan er dan nog iets met een quantumcomputer gedaan worden.
In elk geval blijft het goed om passwords niet te recyclen en voldoende lang te maken.
2) Lastpass weet of je master wachtwoord ooit gelekt is
Waarom word ik hier achterdochtig van? Hoe weet lastpass dit en waarom wil het dit weten?
1) Het is ontzettend complex om met een tellertje bij te houden hoeveel karakters worden ingetypt bij het intypen van je master password,
2) Ooit van Have I been Powned gehoord? Ooit van password hash vergelijking gehoord?
Het is goed om paranoïde te zijn, maar doe dat wel op de juiste gronden.
Waarom zouden ze van bestaande master wachtwoorden bijgehouden hebben hoeveel karakters je ingetypt hebt?
Als het eenmaal een hash is is niet meer te achterhalen hoelang de bron van de hash was, tenzij je een omkeerbare hash methode gebruikt.
Hoe je het ook bekijkt, dit komt nooit positief uit voor LP.
2) Lastpass weet of je master wachtwoord ooit gelekt is
Waarom word ik hier achterdochtig van? Hoe weet lastpass dit en waarom wil het dit weten?
1) Het is ontzettend complex om met een tellertje bij te houden hoeveel karakters worden ingetypt bij het intypen van je master password,
2) Ooit van Have I been Powned gehoord? Ooit van password hash vergelijking gehoord?
Het is goed om paranoïde te zijn, maar doe dat wel op de juiste gronden.
Waarom zouden ze van bestaande master wachtwoorden bijgehouden hebben hoeveel karakters je ingetypt hebt?
Als het eenmaal een hash is is niet meer te achterhalen hoelang de bron van de hash was, tenzij je een omkeerbare hash methode gebruikt.
Hoe je het ook bekijkt, dit komt nooit positief uit voor LP.
Waarom denk je dat het lastpass dit offline moet weten of controleren ?
Ze kunnen het gewoon bij de eerste login controleren en zonodig actie ondernemen .
Ik weet niet of ze de password-hashing aan de serverkant doen of lokaal , maar dat maakt niet uit - als ze lokaal de "client" leveren (of het nu een app is, of javascript) kunnen ze die prima updaten om lengte te tellen en te zeuren voor een langere key en ook een nieuwe key derivation function gebruiken. (meer iteraties van PBKDF2, schrijven ze) .
Er word zelfs bijna dwingend een link aangeboden, om accountherstel in te stellen, en een link met Instructies om het hoofdwachtwoord te wijzigen. Hiermee bevestig ik tegenover lastpass, dat alles in orde is.
Is dat niet wat door iedereen ten zeerste wordt afgeraden.
Dat weten we niet. Specifiek niet of de mails die JIJ krijgt authentiek zijn ; Ook als andere mensen authentieke mails krijgen zouden er bij jou nog steeds gespoofde phish-mails tussen kunnen zitten.
Er word zelfs bijna dwingend een link aangeboden, om accountherstel in te stellen, en een link met Instructies om het hoofdwachtwoord te wijzigen. Hiermee bevestig ik tegenover lastpass, dat alles in orde is.
Is dat niet wat door iedereen ten zeerste wordt afgeraden.
Het algemene advies is om _wel_ te gaan kijken (bij je bank, is meestal de context) maar door ZELF de url in te tikken en goed opletten dat je geen fouten maakt.
Niet door het klikken op links.
Nu je dit artikel ook gelezen hebt - lastpass geeft dus inderdaad (dwingend) advies om je password lang genoeg te maken.
Goed mogelijk dat de emails die je kreeg authentiek zijn en de linken erin kloppen, maar dat kunnen we niet weten.
Doe dat maar, als je inderdaad lastpass gebruikt.
maar - zucht - het is toch niet ZO moeilijk om te bedenken dat je zo af en toe zelf direct op de site kan gaan kijken van een bedrijf waar je een service afneemt, als je allerlei berichten krijgt dat er iets relevants is voor je om te doen ?
Beetje raar als LastPass deze controle op wachtwoordlengte niet af kan dwingen. Ze zullen het eerst vragen voor de bühne en daarna verplichten via een software update.
Ik weet overigens niet hoe lang mijn wachtwoordzinnen zijn. Veel langer als 12 tekens vermoed ik maar ik zou de zinnen moeten uitschrijven en de tekens moeten tellen om dit te weten te komen. Deze zinnen zijn beter als ze alleen in mijn hoofd blijven.
2) Lastpass weet of je master wachtwoord ooit gelekt is
Waarom word ik hier achterdochtig van? Hoe weet lastpass dit en waarom wil het dit weten?
1) Het is ontzettend complex om met een tellertje bij te houden hoeveel karakters worden ingetypt bij het intypen van je master password,
2) Ooit van Have I been Powned gehoord? Ooit van password hash vergelijking gehoord?
Het is goed om paranoïde te zijn, maar doe dat wel op de juiste gronden.
Waarom zouden ze van bestaande master wachtwoorden bijgehouden hebben hoeveel karakters je ingetypt hebt?
Als het eenmaal een hash is is niet meer te achterhalen hoelang de bron van de hash was, tenzij je een omkeerbare hash methode gebruikt.
Hoe je het ook bekijkt, dit komt nooit positief uit voor LP.
Waarom denk je dat het lastpass dit offline moet weten of controleren ?
Ze kunnen het gewoon bij de eerste login controleren en zonodig actie ondernemen .
Ik weet niet of ze de password-hashing aan de serverkant doen of lokaal , maar dat maakt niet uit - als ze lokaal de "client" leveren (of het nu een app is, of javascript) kunnen ze die prima updaten om lengte te tellen en te zeuren voor een langere key en ook een nieuwe key derivation function gebruiken. (meer iteraties van PBKDF2, schrijven ze) .
Het gebeurt lokaal (want LastPass kent alleen de hash van het password), en inderdaad bij de eerste login volgens het mailtje van LastPass. Nogmaals, paranoïde zijn is goed, maar alleen op de juiste gronden. Zucht.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.