De kwetsbaarheden werden ontdekt door medewerkers van het Amerikaanse adviesbureau Independent Security Evaluators (ISE) en vormen gelukkig geen groot risico. Wel bleek het voor kwaadwillenden mogelijk om wachtwoorden van slachtoffers te stelen door het hoofdwachtwoord te achterhalen. Dit is het wachtwoord dat je gebruikt om toegang te krijgen tot alle data in de app. Bij de genoemde apps bleek het mogelijk om het hoofdwachtwoord of een gebruikt wachtwoord uit het geheugen van een computer te achterhalen.
Hoofdwachtwoord in geheugen te vinden
Bij wachtwoordenapps zoals 1Password en LastPass gebruik je een hoofdwachtwoord om toegang te krijgen tot je geheime gegevens. De onderzoekers slaagden erin een gerichte aanval uit te voeren. Dashlane en KeePass wisten het hoofdwachtwoord het best te beschermen, terwijl LassPass en 1Password het minst presteerden. Om een aanval te kunnen uitvoeren moet een kwaadwillende wel fysieke toegang hebben tot de computer. Tevens moet de wachtwoordmanager actief zijn. Op afstand bleek geen aanval mogelijk en er is geen bewijs dat er daadwerkelijk misbruik van is gemaakt.
Omdat alleen gekeken is naar een gerichte aanval op het geheugen van Windows 10-computers is niet te zeggen in hoeverre je als Mac-gebruiker risico loopt. In reactie op de onthullingen gaven KeePass en 1Password aan dat het een bekende beperking is van Windows 10 en dat het een aanvaardbaar risico oplevert. LastPass wil deze week een update uitbrengen en Dashlane zegt al een tijdlang aan een oplossing te werken.
Advies: ‘Toch wachtwoordmanager blijven gebruiken’
Het meest kwalijk vinden de onderzoekers dat er een master password werd aangetroffen in het geheugen, terwijl de software in een locked state verkeerde. Ze adviseren de betrokken bedrijven om hier iets aan te doen. Toch raden de onderzoekers aan om wachtwoordmanagers te blijven gebruiken, omdat het relatief kleine risico niet opweegt tegen de voordelen die een dergelijke app met zich meebrengt. Volgens de Washington Post richten hackers zich liever op mensen die helemaal geen wachtwoordmanager gebruiken.
Lees hieronder meer over een sterk wachtwoord kiezen voor 1Password, LastPass en soortgelijke diensten.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Apple koopt fotobewerking-app Pixelmator (01-11)
- Je chats categoriseren met aangepaste lijsten nu mogelijk in WhatsApp (01-11)
- Met de Nintendo Music-app luister je naar je favoriete gamemuziek (31-10)
- Met de nieuwe Pokémon Trading CG Pocket-app verzamel je Pokémon-kaarten digitaal (maar niet in Nederland) (30-10)
- Apple gaat App Store-reviews van gebruikers samenvatten (30-10)
Reacties: 14 reacties