- Lid geworden
- 12 apr 2013
- Berichten
- 25.779
- Waarderingsscore
- 1.403
Onderzoekers van de Universiteit van York hebben in vijf populaire wachtwoordmanagers lekken gevonden
waardoor een aanvaller wachtwoorden zou kunnen achterhalen. Het gaat om de wachtwoordmanagers
Dashlane, LastPass, Keeper, 1Password en RoboForm voor Android en Windows.
Zo zijn LastPass en 1Password kwetsbaar voor een phishingaanval waarbij de gebruiker een malafide app
downloadt, die zich vervolgens aan de wachtwoordmanager voordoet als een legitieme app.
De wachtwoordmanager zal vervolgens de opgeslagen inloggegevens van de legitieme app aan
de malafide app verstrekken. Verder bleek dat Dashlane en RoboForm kwetsbaar zijn voor bruteforce-aanvallen
op de pincode waarmee er toegang tot opgeslagen wachtwoorden kan worden verkregen.
Voor het uitvoeren van een dergelijke aanval moet een aanvaller wel toegang tot het toestel hebben.
Een ander probleem doet zich voor bij de clipboardfunctie van computers. Wachtwoordmanagers
laten gebruikers opgeslagen wachtwoorden kopiëren en plakken. Windows 10 biedt echter toegang
tot het clipboard van een vergrendelde computer. Een aanvaller met fysieke toegang zou op deze manier
gekopieerde wachtwoorden kunnen stelen. Alleen 1Password heeft maatregelen tegen een dergelijke aanval genomen.
De onderzoekers rapporteerden de problemen aan de wachtwoordmanagers.
Sommige problemen zijn opgelost, andere werden als klein risico bestempeld en niet verholpen. "
In onze communicatie met de wachtwoordmanagers zagen we goede en slechte kanten in hoe ze
omgaan met bugmeldingen. Positief was de reactie op ernstige of eenvoudig te verhelpen problemen
die snel werden opgelost. Negatief was dat problemen die als lage prioriteit werden bestempeld
te eenvoudig worden afgedaan", aldus de conclusie van de onderzoekers.
Bron Security.nl
waardoor een aanvaller wachtwoorden zou kunnen achterhalen. Het gaat om de wachtwoordmanagers
Dashlane, LastPass, Keeper, 1Password en RoboForm voor Android en Windows.
Zo zijn LastPass en 1Password kwetsbaar voor een phishingaanval waarbij de gebruiker een malafide app
downloadt, die zich vervolgens aan de wachtwoordmanager voordoet als een legitieme app.
De wachtwoordmanager zal vervolgens de opgeslagen inloggegevens van de legitieme app aan
de malafide app verstrekken. Verder bleek dat Dashlane en RoboForm kwetsbaar zijn voor bruteforce-aanvallen
op de pincode waarmee er toegang tot opgeslagen wachtwoorden kan worden verkregen.
Voor het uitvoeren van een dergelijke aanval moet een aanvaller wel toegang tot het toestel hebben.
Een ander probleem doet zich voor bij de clipboardfunctie van computers. Wachtwoordmanagers
laten gebruikers opgeslagen wachtwoorden kopiëren en plakken. Windows 10 biedt echter toegang
tot het clipboard van een vergrendelde computer. Een aanvaller met fysieke toegang zou op deze manier
gekopieerde wachtwoorden kunnen stelen. Alleen 1Password heeft maatregelen tegen een dergelijke aanval genomen.
De onderzoekers rapporteerden de problemen aan de wachtwoordmanagers.
Sommige problemen zijn opgelost, andere werden als klein risico bestempeld en niet verholpen. "
In onze communicatie met de wachtwoordmanagers zagen we goede en slechte kanten in hoe ze
omgaan met bugmeldingen. Positief was de reactie op ernstige of eenvoudig te verhelpen problemen
die snel werden opgelost. Negatief was dat problemen die als lage prioriteit werden bestempeld
te eenvoudig worden afgedaan", aldus de conclusie van de onderzoekers.
Bron Security.nl