Hackers dringen servers LastPass binnen

20 reacties

Wat als je password manager gehackt wordt? LastPass laat zien dat het helaas kan gebeuren. Hackers hebben ingebroken op de servers van het bedrijf en op zijn minst gedeeltelijk toegang tot persoonsgegevens van gebruikers gekregen.

De hack vond afgelopen vrijdag plaats, schrijft LastPass. Alle wachtwoorden blijven veilig omdat deze sterk versleuteld zijn opgeslagen, maar de aanvallers kunnen wel wachtwoordherinneringen en e-mailadressen bekijken.

Om misbruik te voorkomen heeft LastPass verplichte verificatie via e-mail ingevoerd voor alle nieuwe inlogpogingen vanaf niet eerder gebruikte ip-adressen, tenzij twee-staps-verficatie aan staat. Gebruikers met een zwak hoofdwachtwoord wordt aangeraden dit te veranderen en alle gebruikers wordt aangeraden twee-staps-verificatie in te schakelen.

LastPass onderzoekt het incident verder er belooft zo transparant mogelijk te communiceren over eventuele bevindingen. LastPass werkt op iOS en OS X en is samen met iCloud-sleutelhanger en 1Password een van de populairste wachtwoordbeheerders.

lastpass-secur
LastPass informeerde gebruikers per e-mail.

Reacties

20 reacties
  • Profielfoto
    Afroman

    Dus bij hun staan de wachtwoorden online? Soort van Keychain Acces van Apple dus?

  • Profielfoto
    Raymon Mens

    Yes. LastPass is een multi-platform iCloud Keychain.

  • Profielfoto
    spieters

    Yep, en dat model heeft bij meer van dat soort diensten z’n nadelen…

    Whitepaper UC in Berkeley

  • Profielfoto
    Diastro

    1Password met iCloud sync misschien toch veiliger!

  • Profielfoto
    Maikelw

    En dit is precies de reden waarom ik al mijn wachtwoorden in mijn hoofd heb en elke functie die ze ook maar helpt te herinneren of opslaat uit heb staan.

  • Profielfoto
    Afroman

    1Password met iCloud sync misschien toch veiliger!

    Ook iCloud kan crashen of gehacked worden(kijk maar naar The Fappening, alle foto’s van celebs die gelekt zijn). Het beste is om het lokaal te houden.

  • Profielfoto
    donut

    Centralisatie van gegevens in het algemeen is vragen om ellende.
    Je staat verantwoordelijkheid af aan een anonieme entiteit waarvan je niets weet.
    Ben liever zelf verantwoordelijk voor mijn gegevens…

  • Profielfoto
    MrJvG

    @donut
    Hoe doe jij dat dan? Wachtwoorden op een USB-stick of uit je hoofd?

    @Maikelw
    Ik zou niet weten hoe ik 288 verschillende wachtwoorden (15 tekens) uit mijn hoofd zou moeten kunnen leren? 288 items staan in mijn 1Password.

    Ik denk dat 1Password nog steeds de meest veiligste optie is. Zolang je het syncen via USB of(thuis)wifi laat lopen lijkt me dit veiliger dan 288 wachtwoorden uit mijn hoofd te leren of het op een USB-stickie te plaatsen of in een kladblok documentje. Bovendien staat 1Password alles lokaal op.

  • Profielfoto
    SusanUSA

    Dus bij hun staan de wachtwoorden online?

    Je bedoelt natuurlijk

    …bij hen…

    .

    Het lijkt me heel makkelijk om zoiets te gebruiken maar ik doe het nog steeds niet omdat ik toch mijn twijfels heb over de veiligheid. Maar ja, een briefje met passwords is ook niet veilig en ik gebruik zoveel verschillende wachtwoorden dat ik ze niet allemaal kan onthouden.

  • Profielfoto
    Afroman

    Ik kom uit Den Haag teacher girl. Dan mag het.

  • Profielfoto
    Witte Haai

    Tientallen wachtwoorden onthouden is ondoenlijk.

    Ik verdeel m’n wachtwoorden in tweeën:
    – Één deel is in elk wachtwoord het zelfde. Bv: sInasappel (dat eet ik elke dag).
    – Daarvoor de eerste 6 letters van de website die ik bezoek: Bv onemor (eventueel in grote en kleine letters).

    Werkt perfect!

  • Profielfoto
    Thoomas

    Dat lijkt mij ook niet veilig. Als iemand je wachtwoord op een site weet te achterhalen (omdat sommige website wachtwoorden in platte tekst opslaan, zonder je wachtwoord te hashen), en diegene ziet dat jij op Onemorething het wachtwoord ‘onemorsInasappel‘ hebt, kost het niet heel veel denkwerk om uit te proberen of het wachtwoord van je Dropbox wel eens ‘dropbosInasappel‘ zou kunnen zijn.

  • Profielfoto
    SusanUSA

    Maar de vraag is: wat is dan wel veilig?

    Ik kom uit Den Haag teacher girl. Dan mag het.

    Vooral niet toegeven dat je fout zat. Dat gaat ten koste van je ego.

  • Profielfoto
    THX-1138

    Ik hou m’n wachtwoorden, encrypted, op m’n device en sync de devices onderling via wifi.

  • Profielfoto
    Soulshaker

    Tja, als je service bestaat om paswoorden van gebruikers op te slaan en te centraliseren word je snel een doelwit voor hackers.

  • Profielfoto
    hokkie

    Tientallen wachtwoorden onthouden is ondoenlijk.

    Ik verdeel m’n wachtwoorden in tweeën:
    – Één deel is elk wachtwoord het zelfde. Bv: sInasappel (dat eet ik elke dag).
    – Daarvoor de eerste 6 letters van de website die ik bezoek: onemor (eventueel in grote en kleine letters).

    Werkt perfect!

    Als je dan ook nog eens de eerste letter van elk deel in hoofdletter veranderd en de letter “E” in cijfer “3” en bijvoorbeeld de “O” in cijfer “0”, voldoe je ook nog eens aan de moeilijkheidsgraad.

    “Sinasapp3l0n3m0r”

  • Profielfoto
    IsSidha

    Ik kom uit Den Haag teacher girl. Dan mag het.

    Vooral niet toegeven dat je fout zat. Dat gaat ten koste van je ego.

    gaat daor es efkes een amerikaanse uns vertelluh hoe we nederlands motten spellen zeg.. kan toch nie gekker weurden
    :x

  • Profielfoto
    farl4web

    Volgens mij zijn de wachtwoorden van Lastpass en 1Password nooit te achterhalen. Ze zijn sterk versleuteld en niet opgeslagen op hun servers. Als je je wachtwoord kwijtraakt bij 1password ben je de pineut. Ze worden namelijk niet opgeslagen, jouw masterwachtwoord is gehashed aan je kluis. No worries… Of ze moeten ooit de encryptie kunnen kraken, maar zoals het er nu voorstaat heb je vele supercomputers nodig voor vele tientallen jaren om jouw wachtwoord te kraken (mits hij sterk is natuurlijk)

  • Profielfoto
    Koning Frank

    Dus bij hun staan de wachtwoorden online? Soort van Keychain Acces van Apple dus?

    Nja, niet echt. Alle encrypted wachtwoorden staan online. Decryptie gebeurt lokaal, dus lett. krijgt geen enkele lastpass server ooit je wachtwoord te zien (ook niet je masterpassword).

  • Profielfoto
    donut

    Het voordeel is van lokaal je wachtwoorden beheren dat je niet direct een doelwit wordt, in tegenstelling tot een centrale plek waar ‘alle’ wachtwoorden worden opgeslagen…
    Bovendien beveiligt iedereen zijn wachtwoorden anders, waardoor het voor Hackers ook lastiger wordt, en dus oninteressant.
    Deze ‘beveiligingtechniek’ is precies de reden dat er zo weinig virussen voor Apple waren toen het nog zo’n klein duimpje was terwijl Windows continu werd belaagd.