Lastpass hack: wat is wijsheid?

Pagina: 1
Acties:

Acties:
  • 0 Henk 'm!

  • pastafan
  • Registratie: Februari 2013
  • Laatst online: 01-07 15:29
Zoals we in de media hebben kunnen lezen is er "een hoeveelheid" data bemachtigd van Lastpass (het bedrijf achter de gelijknamige wachtwoordmanager)...

Lastpass claimt dat je "veilig" bent voor hacks van je persoonlijke data, zolang je maar een "goed" masterwachtwoord gaat... Tot nu toe ben ik van deze info uitgegaan...

maar je hoort niets over welke data nu precies is buitgemaakt, en of er ook sprake is van onversleutelde data.. althans dat is mij niet geheel bekend.. Zo zouden website URL's onversleuteld zijn? Maar hoe zit het met notities?

Ook hoor je in de media recent dat er al actief misbruik wordt gemaakt van Lastpass hack:

Lang verhaal kort:
1. wat is wijsheid? Ja natuurlijk heb ik al mijn masterwachtwoord gewijzigd na bekendmaking van de hack
2. "Makkelijke" remedie: wijzig al je wachtwoorden van al je accounts van alle URL, je notities etc...
Makkelijk tussen aanhalings tekens want het gaat om vele honderden sites bij mij...
3. Overstap naar andere wachtwoord manager: welke zou worden aangeraden? Welke is qua functionaliteit beste te vergelijken met LastPass en heeft een import mogelijkheid om de export van LastPass te importeren? (scheelt weer wat werk)..
3. Wat is nu verder de juiste werkwijze? Toch bij LastPass blijven en maar vertrouwen op de ogen van Lastpass zelf dat je ondanks de hack nog steeds veilig bent?

Iemand?

Acties:
  • 0 Henk 'm!

  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Ik persoonlijk heb er geen vertrouwen meer in. Niet omdat er een hack is geweest - dat kan iedereen overkomen. Maar door de afhandeling er van.

2 is IMHO zeker nodig. Beginnend met de belangrijkste (zoals: werk, mailboxen, overheden, wat je geld kan kosten, waar je foto's en backups staan, etc) zonder MFA (schakel meteen MFA even in waar dat kan), daarna de rest. Ongeacht wat ze zelf aan damage control roepen. Je moet er van uit gaan dat men ook aan jouw doos met wachtwoorden gaat toekomen.

3: zoeken bij google naar 'export lastpass' suggereert dat je er een csv export van kan maken. Ik meen dat je die bij bijv. Keepass direct kan importeren. Zo niet: die csv kan je waar nodig via bijv. Excel aanpassen naar wens cf. de vereisten van de import van de ander. Vergeet niet de onversleutelde csv en de Excel cache goed te verwijderen na afloop, je wilt geen onversleutelde kopie laten slingeren..

Welke: lees even het sticky topic in Privacy en beveiliging door en wat andere topics over dit onderwerp.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


Acties:
  • +2 Henk 'm!

  • Wild Chocolate
  • Registratie: Januari 2014
  • Laatst online: 17:06
Ik vond dit stuk een hoop duidelijkheid verschaffen:
https://palant.info/2022/...astpass-breach-explained/

Kort samengevat: Er zijn versleutelde kluis-bestanden gelekt. Als je je aan alle aanbevolen instellingen en master-password aanbevelingen hebt gehouden, is de kans dat jouw database ontsleuteld wordt, uiterst klein.
Maar LastPass dwingt dat niet af en wanneer de eisen aangepast zijn, zijn de instellingen ook niet automatisch aangepast. Je moest dus zelf actief actie ondernemen, anders is de kans groot dat je database niet zo goed versleuteld is, als je zou willen.
Oh, en Lastpass vindt site-URL's kennelijk geen gevoelige data, dus die zijn niet versleuteld.

[ Voor 8% gewijzigd door Wild Chocolate op 22-01-2023 16:01 . Reden: correctie in benaming bestanden. ]

iRacing Profiel


Acties:
  • 0 Henk 'm!

  • josh-hill
  • Registratie: Juli 2005
  • Laatst online: 19:08
Ik ben overgestapt naar een open source password manager. Geen idee of het echt beter is, maar heb daar meer vertrouwen in. Welke je het beste kan gebruiken, kan ik niet echt beantwoorden. Ik denk dat het het beste is om er wat op te zoeken op het internet en uit te proberen en dan die te kiezen waar je je het beste bij voelt. Een password manager is niet heilig. En je kan je 'kluis' bij een aantal password managers ook zelf hosten, maar ja, dat wil ook niet altijd zeggen dat dat veel veiliger is. Alles kan gehackt worden.

Niet gedacht aan export, maar moest toch alle wachtwoorden veranderen vanwege de hack en als je elk wachtwoord er nieuw in moet zetten, vergeet je ook niet zo gauw die te wijzigen.

Mijn instellingen waren overigens wel de geadviseerde en had een enorm lang master wachtwoord, maar toch. Had sowieso veel gezever met LastPass de laatste tijd.

Oh ja en als reactie op je eerste punt: je kunt je master wachtwoord inderdaad wijzigen, maar dat helpt niet bij deze hack, omdat ze je kluis al hebben gedownload, die is versleuteld met je oude master wachtwoord. Dus als je oude master wachtwoord veel eenvoudiger is, dan kunnen ze de boel ook veel eenvoudiger ontsleutelen.

[ Voor 45% gewijzigd door josh-hill op 22-01-2023 16:12 ]

jungletrain.net - 24/7 drum & bass radio


Acties:
  • 0 Henk 'm!

  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Wild Chocolate schreef op zondag 22 januari 2023 @ 15:56:
Als je je aan alle aanbevolen instellingen en master-password aanbevelingen hebt gehouden, is de kans dat jouw database ontsleuteld wordt, uiterst klein.
Vraag is of dat zo is, de kans is redelijk dat de TS niet een master password van (ik overdrijf) 30 willekeurige karakters heeft.

Maar dan nog: tenzij er iets interessants tussen zit zal het niet vandaag doelwit zijn nee. Maar misschien wel over 6 maanden. Alle passwords wijzigen moet dan alsnog nu beginnen.
Oh, en Lastpass vindt site-URL's kennelijk geen gevoelige data, dus die zijn niet versleuteld.
En dat betekent dus dat misbruikers kunnen zoeken naar de versleutelde wachtwoorden van specifiek de 'interessante' sites (bijv. banken) en daar op focussen.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


Acties:
  • 0 Henk 'm!

  • pjlgt
  • Registratie: Juli 1999
  • Niet online
Wijsheid is overstappen naar een andere password manager lijkt me. Dit is niet de eerste keer dat ze gehackt zijn, dus hoeveel waarschuwingen wil je? Of wacht je liever totdat jouw wachtwoorden ook buit worden gemaakt?

Gebruik zelf de betaalde versie van Bitwarden. Die is wellicht ook een keer aan de beurt, maar heeft tot op heden de zaken schijnbaar wel goed voor elkaar.

Acties:
  • 0 Henk 'm!

  • Wild Chocolate
  • Registratie: Januari 2014
  • Laatst online: 17:06
F_J_K schreef op zondag 22 januari 2023 @ 17:14:
[...]

Vraag is of dat zo is, de kans is redelijk dat de TS niet een master password van (ik overdrijf) 30 willekeurige karakters heeft.

Maar dan nog: tenzij er iets interessants tussen zit zal het niet vandaag doelwit zijn nee. Maar misschien wel over 6 maanden. Alle passwords wijzigen moet dan alsnog nu beginnen.
Ja, dat staat duidelijk uitgelegd in het artikel wat ik linkte. Het was dus ook alleen bedoeld om uit te leggen wat daar besproken wordt, maar het is geenszins een volledige weergave van het artikel. Ik ging er vanuit dat mijn volgende zin ook duidelijk maakte dat je er niet zondermeer vanuit kunt gaan dat de versleutings-instellingen aan het huidige advies voldoen.

iRacing Profiel


Acties:
  • 0 Henk 'm!

  • NMH
  • Registratie: Oktober 2015
  • Nu online

NMH

Moderator General Chat
Topic verplaatst naar Privacy en beveiliging waar het beter op zijn plek is.

Acties:
  • 0 Henk 'm!

  • Wild Chocolate
  • Registratie: Januari 2014
  • Laatst online: 17:06
pjlgt schreef op zondag 22 januari 2023 @ 17:28:
Wijsheid is overstappen naar een andere password manager lijkt me. Dit is niet de eerste keer dat ze gehackt zijn, dus hoeveel waarschuwingen wil je? Of wacht je liever totdat jouw wachtwoorden ook buit worden gemaakt?
(...)
Het feit dat ze het proberen te downplayen speelt daarin ook wel mee. En in hun communicatie sorteren ze er al op voor dat als er iets ontsleuteld wordt, dat komt doordat de gebruiker iets fout gedaan heeft.

Belangrijker nog dan overstappen, (hoewel misschien wel beter om na de overstap te doen....) lijkt me om al je wachtwoorden te updaten. Dan kan men niks meer met de data in het bestand.

iRacing Profiel


Acties:
  • 0 Henk 'm!

  • SVMartin
  • Registratie: November 2005
  • Niet online
8 jaar geleden was het bedrijf waar ik werkte met klant geworden toen ze de eerste hack kregen. Je had de collega's moeten horen :) Maar ja, beter dan wachtwoorden in een Excel op een gedeelde schijf..

LastPass heeft er meer gehad. Bij de huidige werkgever zijn we 1password gaan gebruiken. Werkt erg prettig, betaalbaar en zover ik kan beoordelen erg goed in elkaar. Ik zou ze aanraden.

En wat al gezegd is: reset in ieder geval je belangrijke accounts en neem elke maandagavond 5 accounts die je niet meer nodig hebt en verwijder ze. Ik had er zo'n 150, maar veel sites bleken ook niet eens meer te bestaan.
Pagina: 1