Gå til innhold

LastPass hadde sikkerhetshull som gjorde det mulig for hackere å hente ut passord

AfterGlow

Av AfterGlow
i Diskuter artikler (Digi.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
Gjest Slettet-t8fn5F

Gjest Slettet-t8fn5F

Skrevet
Skrevet (endret)

Skummelt når slike ting man anbefaler å bruke, viser seg å ha feil.
 
Men det kommer ikke frem i artikkelen hvilke passord disse siden kunne få tak i.
Edit. Fant den.
 

Our team recently investigated and resolved a bug affecting certain LastPass extensions. Tavis Ormandy, a security researcher from Google’s Project Zero, responsibly disclosed the issue to us. His report revealed a limited set of circumstances on specific browser extensions that could potentially allow an attacker to create a clickjacking scenario.  

To exploit this bug, a series of actions would need to be taken by a LastPass user including filling a password with the LastPass icon, then visiting a compromised or malicious site and finally being tricked into clicking on the page several times. This exploit may result in the last site credentials filled by LastPass to be exposed. We quickly worked to develop a fix and verified the solution was comprehensive with Tavis. 


Enkelt forklart.

Man bruker LastPass til å fylle ut brukernavn og passord på en side man normalt lar LastPass fylle ut for deg.
Så måtte man gå til den tvilsomme siden og klikke på noe en serie ganger, først da kunne denne siden lese ut brukernavnet og passordet man brukte sist.

 

Kun Chrome og Opera sine extentions.

Endret av Slettet-t8fn5F
  • Liker 2
Lenke til kommentar
Mr. Spaceworld

Mr. Spaceworld

Skrevet
Skrevet

Lastpass husker over 500 passord for meg. Er ikke aktuelt å skrive disse ned fysisk eller i en tekstfil. Når jeg leser her hvordan de fikk ut passordet så føler jeg det er verdt risikoen

 

 

 

To exploit this bug, a series of actions would need to be taken by a LastPass user including filling a password with the LastPass icon, then visiting a compromised or malicious site and finally being tricked into clicking on the page several times. This exploit may result in the last site credentials filled by LastPass to be exposed.

 

Du må fylle ut passord via knappen til lastpass, besøke en infisert side og trykke på siden flere ganger. Gjør du dette så vil de har tilgang til siste lagrede nettside du lagret. I midt tilfellet Yaha.no's nettbutikk.

 

Jeg er klar over risikoen av å ha alt i en "kurv", men igjen så føler jeg det positive veier opp for det negative. Dessuten så har jeg 2 trinns verifikasjon på alt jeg kan ha som oftest er det viktigste kontoene. Facebook, Gmail, Lastpass, Steam, osv osv.

  • Liker 3
Lenke til kommentar
Lordy

Lordy

Skrevet
Skrevet

Vel... det er nok av folk som sier "hva var det jeg sa". Jeg er én av dem. :p

 

ALLE software ov alle slag har bugs og sikkerhets hull. De som sier at de har ingen lyver. Det som teller er at når noen finner noen at de blir håndtert rett og fixet fort og er åpenhet om det. Og Lastpass har altid vært nettopp dette. Og fikser slike hull fort. Det som gjør de så bra.

  • Liker 2
Lenke til kommentar
robertaas

robertaas

Skrevet
Skrevet

Brukervennlighet eller sikkerhet? Vennligst velg! Skjønner at mange i tråden har gjort det og de har kommet til forskjellige valg.

 

Sikkerhetshull for tjenester som skal huske alle passord minner litt om VPN som mange pusher nå med påstanden at de skal gi bedret sikkerhet. De fleste av VPN-løsningene som tilbys er det kinesere som faktisk står bak og flere har allerede blitt tatt i å stjele informasjon fra brukerne.

  • Liker 1
Lenke til kommentar
sedsberg

sedsberg

Skrevet
Skrevet

ALLE software ov alle slag har bugs og sikkerhets hull. De som sier at de har ingen lyver. Det som teller er at når noen finner noen at de blir håndtert rett og fixet fort og er åpenhet om det. Og Lastpass har altid vært nettopp dette. Og fikser slike hull fort. Det som gjør de så bra.

Ja det er veldig bra.... helt til noen ondsinnede finner hullet først. :p

Lenke til kommentar
Civilix

Civilix

Skrevet
Skrevet

Men da forsvinner jo alle passordene, om du skulle miste enheten?

Derfor legger man passordfilen på ett filområde som synkroniseres til en skytjeneste, det gjør også at du kan ha samme passord tilgjengelig på både pc og telefon. Men ikke legg passord i klartekst på en skytjeneste, Keepass er ett veldig bra valg.

Lenke til kommentar
Dr.B

Dr.B

Skrevet
Skrevet

Men allikevel anbefales vi av såkalte sikkerhetseksperter å legge alle eggene i en Lastpass-kurv?

 

For det er tross alt for vanskelig å huske et masterpassord som f.eks. "Pung35Svette?" og legge til noe gjenkjennende per nettside etter tallet (f.eks. for Facebook en a og en c? (2 og 3 bokstav))?

Lenke til kommentar
nomore

nomore

Skrevet
Skrevet

Men allikevel anbefales vi av såkalte sikkerhetseksperter å legge alle eggene i en Lastpass-kurv?

 

For det er tross alt for vanskelig å huske et masterpassord som f.eks. "Pung35Svette?" og legge til noe gjenkjennende per nettside etter tallet (f.eks. for Facebook en a og en c? (2 og 3 bokstav))?

Fordi det vil fortsatt være en svakhet med det.

 

Dersom noen får tak i en haug med passord fra Dropbox, Diskusjon.no, Netflix og Facebook, så skal det ikke mye scripting til for å teste slike "vanlige" måter å lage systematiserte passord på. Den eneste som blir forvirret blir deg som må huske hvilke mønster det var du hadde fra tid til annen. Skal tross alt bare at du har en bruker både hos Netflix og hos Nettavisen til før både 1, 2 og de 3 første bokstavene fortsatt er like. Da må du begynne med mønster, eller avvik , og så dokumentere mønster eller avvik... og så er det på den igjen..

  • Liker 1
Lenke til kommentar
Gjest Slettet-Pqy3rC

Gjest Slettet-Pqy3rC

Skrevet
Skrevet (endret)

Men da forsvinner jo alle passordene, om du skulle miste enheten?

Derfor legger man passordfilen på ett filområde som synkroniseres til en skytjeneste, det gjør også at du kan ha samme passord tilgjengelig på både pc og telefon. Men ikke legg passord i klartekst på en skytjeneste, Keepass er ett veldig bra valg.

Jepp.

 

Jeg har laget en egen krypteringsrutine som kjøres på fila etter at keepass har lagret/kryptert (og før dersom fila skal åpnes). Det er en RC4 + base64 kombo, slik at fila også er MIME kompatibel.

 

Dessuten, i tillegg til å kopiere en backup av file til en skytjeneste, finnes fila jo fila på egne servere slik at den alltid er tilgjengelig fra hvor-som-helst (på ulike måter).

 

Prinippene kan være litt tungvidt i enkelte tilfeller, men jeg har i allefall kontrollen, ingen andre har mine passord lagret hos seg i en form jeg ikke selv har oversikt over.

Endret av Slettet-Pqy3rC
Lenke til kommentar
Gjest Slettet-t8fn5F

Gjest Slettet-t8fn5F

Skrevet
Skrevet

Derfor legger man passordfilen på ett filområde som synkroniseres til en skytjeneste, det gjør også at du kan ha samme passord tilgjengelig på både pc og telefon. Men ikke legg passord i klartekst på en skytjeneste, Keepass er ett veldig bra valg.

Velger heller LastPass som allerede har en kryptert fil i skyen og man trenger ikke huske hvilken som er den siste versjonen.

  • Liker 1
Lenke til kommentar
Dr.B

Dr.B

Skrevet
Skrevet

 

Men allikevel anbefales vi av såkalte sikkerhetseksperter å legge alle eggene i en Lastpass-kurv?

 

For det er tross alt for vanskelig å huske et masterpassord som f.eks. "Pung35Svette?" og legge til noe gjenkjennende per nettside etter tallet (f.eks. for Facebook en a og en c? (2 og 3 bokstav))?

Fordi det vil fortsatt være en svakhet med det.

 

Dersom noen får tak i en haug med passord fra Dropbox, Diskusjon.no, Netflix og Facebook, så skal det ikke mye scripting til for å teste slike "vanlige" måter å lage systematiserte passord på. Den eneste som blir forvirret blir deg som må huske hvilke mønster det var du hadde fra tid til annen. Skal tross alt bare at du har en bruker både hos Netflix og hos Nettavisen til før både 1, 2 og de 3 første bokstavene fortsatt er like. Da må du begynne med mønster, eller avvik , og så dokumentere mønster eller avvik... og så er det på den igjen..

Nå var dette et eksempel da. Du kan da selv velge å ha 3 bokstaver, legge bokstavene der du vil, ha noe annet enn bokstaver osv. Det er større sikkerhet å ha samme passord på to plasser fordi det er noen fellestrekk mellom dem, enn å levere alt av passord til en ukjent tjeneste du ikke har kontroll på.

 

Smak litt på at tjenesten du stoler på er gratis. Sist jeg sjekket, jobbet ingen gratis. Selv ikke i lavkostland.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...