De kwetsbaarheden werden ontdekt door medewerkers van het Amerikaanse adviesbureau Independent Security Evaluators (ISE) en vormen gelukkig geen groot risico. Wel bleek het voor kwaadwillenden mogelijk om wachtwoorden van slachtoffers te stelen door het hoofdwachtwoord te achterhalen. Dit is het wachtwoord dat je gebruikt om toegang te krijgen tot alle data in de app. Bij de genoemde apps bleek het mogelijk om het hoofdwachtwoord of een gebruikt wachtwoord uit het geheugen van een computer te achterhalen.
Hoofdwachtwoord in geheugen te vinden
Bij wachtwoordenapps zoals 1Password en LastPass gebruik je een hoofdwachtwoord om toegang te krijgen tot je geheime gegevens. De onderzoekers slaagden erin een gerichte aanval uit te voeren. Dashlane en KeePass wisten het hoofdwachtwoord het best te beschermen, terwijl LassPass en 1Password het minst presteerden. Om een aanval te kunnen uitvoeren moet een kwaadwillende wel fysieke toegang hebben tot de computer. Tevens moet de wachtwoordmanager actief zijn. Op afstand bleek geen aanval mogelijk en er is geen bewijs dat er daadwerkelijk misbruik van is gemaakt.
Omdat alleen gekeken is naar een gerichte aanval op het geheugen van Windows 10-computers is niet te zeggen in hoeverre je als Mac-gebruiker risico loopt. In reactie op de onthullingen gaven KeePass en 1Password aan dat het een bekende beperking is van Windows 10 en dat het een aanvaardbaar risico oplevert. LastPass wil deze week een update uitbrengen en Dashlane zegt al een tijdlang aan een oplossing te werken.
Advies: ‘Toch wachtwoordmanager blijven gebruiken’
Het meest kwalijk vinden de onderzoekers dat er een master password werd aangetroffen in het geheugen, terwijl de software in een locked state verkeerde. Ze adviseren de betrokken bedrijven om hier iets aan te doen. Toch raden de onderzoekers aan om wachtwoordmanagers te blijven gebruiken, omdat het relatief kleine risico niet opweegt tegen de voordelen die een dergelijke app met zich meebrengt. Volgens de Washington Post richten hackers zich liever op mensen die helemaal geen wachtwoordmanager gebruiken.
Lees hieronder meer over een sterk wachtwoord kiezen voor 1Password, LastPass en soortgelijke diensten.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Deze apps laten zien hoe je elke video kan afspelen op je CarPlay-scherm (maar Apple wil het niet) (22-04)
- Waarom je geen Apple Intelligence kan gebruiken in WhatsApp en Instagram (en andere apps) (17-04)
- AI gebruiken met de iPhone 3GS? Met deze app lukt het (11-04)
- WhatsApp verbetert oproepen op drie manieren: dit is nieuw (10-04)
- Eindelijk: 'Meta werkt aan Instagram-app voor iPad' (09-04)
Dat soort apps zijn, in mijn ogen, totaal onbetrouwbaar.
Bekijk eens passwordmanager Peral, meer mogelijkheden en nog volop nieuwe functies aan het toevoegen.
Ik zie eigenlijk niet zo het nut van al deze 3rd party. Ik houd het gewoon bij iCloud sluitelhanger, belangrijke bank accounts bijv. Bewaar ik nog altijd veilig in mijn hersenen
Een wachtwoordenapp zonder reviews en niets over te vinden op Google? 🤔
Wees voorzichtig met het pluggen van je eigen app of die van vrienden op dit medium. Het is een kritische groep mensen en je kunt wat weestand gebruiken.
Wat onderscheid deze app van de al bestaande apps? Hoe veilig is deze?
@Louis: Volgens die algemene voorwaarden mogen al je gegevens worden verkocht voor advertentiedoeleinden.
Dus neen.. geen veilige app
Is Firefox Lockbox wel veilig?
En geldt dat ook voor de iCloud sleuterhanger?
Gebruik al enige tijd sleutelhanger naar tevredenheid, of hebben deze apps nog toegevoegde waarde?
Uiteindelijk zijn alle beveiligingen te kraken, het is alleen de moeilijkheidsgraad die bepaalt hoe makkelijk of moeilijk de beveiliging te kraken is. 100% beveiligd bestaat niet, de beveiliging zou dan onwerkbaar zijn
De iCloud Sleutelhanger op het moment even niet.
En als ik 2 factor authentication gebruik? Is het genoemde probleem dan kleiner?
@DJ: Absoluut, 2 factor authentication is een stuk veiliger. Zo kan je voor LastPass (waarschijnlijk ook voor andere hoor) een code vanop een app op je GSM copiëren die elke 30 seconden wijzigt.
Dan moeten ze niet enkel je computergeheugen, maar ook je GSM kraken om aan je wachtwoorden te geraken.
Quantum computing zit er ook aan te komen, in die transitie fase zullen vele wachtwoorden openbaar worden.
Hoe beheer je dan +150 wachtwoorden op een betrouwbare manier?