LastPass verhelpt lek waardoor wachtwoorden konden lekken

[Aarie25]

Voor de Lastpass gebruikers is het goed om de laatste update binnen te halen.

Er is een nieuwe versie van de populaire wachtwoordmanager LastPass verschenen die een kwetsbaarheid verhelpt waardoor opgeslagen wachtwoorden van gebruikers konden lekken. Het beveiligingslek was ontdekt door onderzoeker Tavis Ormandy van Google.

LastPass is een populaire wachtwoordmanager die gebruikers hun wachtwoorden in de cloud laat opslaan. Een probleem met het cachegeheugen van de wachtwoordmanager zorgde ervoor dat een kwaadaardige website het laatst gebruikte wachtwoord kon achterhalen. Alleen het bezoeken van de kwaadaardige website was voldoende, er was geen verdere interactie van gebruikers vereist. Ormandy rapporteerde het probleem op 30 augustus aan LastPass. Op 12 september verscheen er een nieuwe versie van de wachtwoordmanager. In de release notes heeft LastPass het over 'minor bug fixes'.

Ormandy bestempelt de impact van de kwetsbaarheid echter als "high". De onderzoeker wilde de details afgelopen vrijdag 13 september openbaar maken, maar stelde dit uit omdat hij onderweg was. Gebruikers krijgen het advies om te updaten naar LastPass 4.33.0 / 4.33.4. Ormandy, die in het verleden vaker kwetsbaarheden in LastPass ontdekte, is van plan om later een demonstratie-exploit voor de kwetsbaarheid online te zetten.

Bron Security.nl

 

[Black Tiger]

Precies waarom ik dat soort passwords managers nooit gebruik.
Liever een heel oud offline proggie wat nog nooit gehackt is waar je ook alles in kunt bewaren en makkelijk te backuppen, werkt nog altijd perfect.
Je moet alleen dan wel even wachtwoorden kopiëren en plakken als je wilt inloggen.
En dat heet Pins. Er zijn er uiteraard meer, ieder z'n keuze.

 

[Rubensky]

Mooi dat er nog altijd onderzoeken naar gedaan worden. Ik heb in mijn Chrome versie 4.33.0.

 

[prutser]

En dat heet Pins.

Waar ik altijd bang voor ben dat zo,n datadrager opeens niet meer toegankelijk is. Eigenlijk moet je het programma op meerdere sticks hebben, voor het geval dat!

 

[Rubensky]

Ik heb ook een Offline back-up van mijn Lastpass cloud.

 

[Black Tiger]

Waar ik altijd bang voor ben dat zo,n datadrager opeens niet meer toegankelijk is. Eigenlijk moet je het programma op meerdere sticks hebben, voor het geval dat!

Dat sowieso. Maar de database is maar heel klein, het hele programma'tje zelfs. Feitelijk hoef je alleen het databasebestandje te backuppen. Ik zet gewoon het hele programma regelmatig automatisch met een backup op de NAS.
Backuppen is gewoon een must, ongeacht wat je gebruikt, van alles waar je zeker van wilt weten dat je het nog hebt als ergens iets mis gaat.

 

[prutser]

Dat kopiëren en plakken heb ik jaren gedaan, vanuit een eigen gemaakt lijst met al mijn inlog gegevens op een usb stick. De keuze van auto inloggen vind ik prettig bij lastpass, is misschien ook wel bij andere ww managers.
Jammer dat lastpass de prijs verdubbeld heeft naar 42 Dollar incl, dat betekende het einde van mijn premium abonnement. Geen handige zet van Lastpass!

 

[Rubensky]

Ik zie oprecht de meerwaarde niet van de premium. De gratis versie werkt net zo goed.

 

[prutser]

De reden dat ik een betalende abonnement had, dat je best wel wat kunt betalen als waardering, ondersteuning van het product! In 2017 werd daar ook al veelvuldig over geklaagd op het Lastpass forum, toen de prijs verdubbeld werd. Meende dat de gratis versie geen backdoor had!