Onderzoekers ontdekken ernstig lek in wachtwoordmanagers 2014-08-28T11:03:58

Als ballet en gigantische robots samenkomen

Privacy-instellingen in Windows 8

Onderzoekers ontdekken ernstig lek in wachtwoordmanagers

Onder andere LastPass is jarenlang kwetsbaar geweest

Onderzoekers ontdekken ernstig lek in wachtwoordmanagers

Wachtwoordmanagers zoals LastPass zijn maanden kwetsbaar geweest voor het lekken van wachtwoorden, blijkt uit onderzoek van de Universiteit van Berkely. Kwaadwillenden konden via onder andere de Favorieten-balk wachtwoorden stelen die in de programma's werden gebruikt.

Het gaat om de wachtwoordmanagers LastPas, RoboForm, My1login, PasswordBox en NeedMyPassword. Het hele onderzoek is hier te lezen.

Jaar oud

Het lek werd door de universiteit in de zomer vorig jaar al ontdekt, maar de onderzoekers hielden het stil tot nu. Ze gingen daarvoor eerst naar de makers van de wachtwoordmanagers toe om hen de kans te geven de lekken te dichten. Eén van de bedrijven (NeedMyPassword) heeft daar nooit iets mee gedaan. De anderen, waaronder LastPass, hebben snel gereageerd en de kwetsbaarheden gerepareerd.

Misbruik? Het is niet bekend of kwaadwillenden ook werkelijk misbruik hebben gemaakt van het lek, dat tot het onderzoek niet algemeen bekend was. Het is echter wel aan te raden om al je wachtwoorden te veranderen als je LastPass of één van de andere password-managers gebruikte voor de zomer van 2013.

Bookmark

Eén van de kwetsbaarheden zat in de bookmark van LastPass. Veel mensen gebruiken zo'n bookmark ('Favoriet') om snel bij hun wachtwoorden te kunnen komen. De bookmark laadt echter javascript, die wordt uitgevoerd op de website waar de gebruik zich bevindt. Op die manier kan de inbreker de gebruikte wachtwoorden bijvoorbeeld laten doorsturen naar zijn eigen server.

Niet feilloos

Het lek geeft maar weer eens aan dat ook het gebruik van wachtwoordmanagers niet feilloos is. Juist door al je wachtwoorden op één plek op te slaan, worden ze een gewild doelwit voor hackers. Ook is één kwetsbaarheid genoeg om al je wachtwoorden kwijt te raken.


Off-topic reacties worden verwijderd. Linken naar illegale bronnen is niet toegestaan. Opmerkingen over eventuele spelfouten, andere opmerkingen en vragen betreffende de website kunt u mailen naar de webmaster.

blog comments powered by Disqus


Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord