Beheer

Security
LastPass

Weer lek in LastPass wachtwoordmanager

Google bughunter vindt opnieuw een ernstig lek.

28 maart 2017

Google bughunter vindt opnieuw een ernstig lek.

In het weekend had Tavis Ormandy, lid van Google's team Project Zero, naar eigen zeggen een 'epiphany' (een openbaring, een verschijning) en ontdekte hoe hij de codeexec in LastPass 4.1.43 kon krijgen.

Ormandy moet als een gesel gezien worden door het ontwikkelteam van LastPass. In de afgelopen week meldde hij verschillende lekken in de wachtwoordmanager. Elke softwarefout die kwaadwillenden toegang geeft tot informatie die niet voor vreemde ogen bestemd is, is er een te veel. Maar fouten in wachtwoordmanagers zijn helemaal pijnlijk omdat in een keer alle wachtwoorden van gebruikers op straat kunnen komen te liggen.

Ormandy kreeg zijn eureka-moment 's ochtends onder de douche, twitterde hij vrolijk. Nog voor hij zich goed en wel had aangekleed, had hij al een volledig rapport en een exploit van de fout naar het LastPass-team verstuurd, meldde hij in een tweede tweet. Die was overigens van half 9 's avonds. Het LastPass-team heeft het bestaan van de bug inmiddels bevestigd en zegt te werken aan een oplossing van het probleem.

Kritiek op 'responsible disclosure'

Ormandy had afgelopen week nogal wat kritiek gekregen op zijn Tweets over de bugs in LastPass. Het team claimt dat LastPass de veiligste wachtwoordmanager verkrijgbaar is, maar de tweets van Ormandy lijken die claim te ondermijnen.

Niks van waar, zegt Ormandy. Zo lang er niet precies wordt aangegeven wat er mis is, geeft het mechanisme van 'responsible disclosure' juist transparantie. Google hanteert een 90-dagen regel, waarbij het bedrijf garandeert dat er in die periode geen details over de softwarefout worden vrijgegeven. Die deadline is een stok achter de deur voor de softwaremakers om de fout snel te repareren.

Lees meer over Beheer OP AG Intelligence
3
Reacties
Pieter 08 april 2017 19:51

Keepass bewaart de database van wachtwoorden versleuteld en draait vanaf een USB-stick.Geen probleem.

R.J.T. 28 maart 2017 14:51

Iedere wachtwoordmanager die via het internet werk loopt een potentieel gevaar. IEDEREEN moet er dan immer 'bij kunnen'.
Wel makkelijk natuurlijk, maar ik werk dan liever toch met mijn eigen manager die gewoon op een USB-stick aan mijn sleutelbos hangt. Die moet eerste verloren en gevonden worden door een ervaren hacker voor mijn wachtwoorden gevaar lopen.

Anoniem 28 maart 2017 09:29

Wat mij nog het meest verontrust is dat deze passwordmanager de wachtwoorden-lijst klaarblijkelijk onversleuteld bewaart.
Het zou toch veel veiliger zijn om de te administreren wachtwoorden te encrypten met een sleutel die is afgeleid van het masterpassword (, waarmee de gebruiker de wachtwoordmanager opent). Dan hoeft de sleutel niet in de password manager zelf aanwezig te zijn en is het de wachtwoordenlijst alleen nog met brute force te kraken!

Reactie toevoegen