Wat ontzettend handig, zo’n online in the cloud dienst waarmee je al je paswoorden kunt opslaan, en kunt bereiken via één algemeen “master” paswoord. Echt super super super handig! Want nooit meer je paswoorden vergeten. Tot de betreffende dienst wordt gehackt door l33t h4x0rz, waardoor met een beetje pech al je paswoorden in verkeerde handen zijn gevallen en je in eder geval je “master” paswoord moet wijzigen: “…LastPass users will be prompted to change their master passwords after the online password locker company reported that its network was breached on Friday…It’s not the first time that LastPass has been hacked. In 2011, the company also suffered a breach…LastPass is among the most popular password lockers in use today, in part because the company offers its service for free to users who want to protect their login credentials and other secure information…”. Ah, daarom is die dienst zo populair. Zo zie je maar weer, in veel gevallen is goedkoop duurkoop.
Account aanmaken
Welkom! registreer voor een account
Er zal een wachtwoord naar je gemaild worden
Wachtwoord herstel
Vind je wachtwoord terug
Er zal een wachtwoord naar je gemaild worden
Geen enkel paswoord is gelekt, enkel de hashes (die extreem moeilijk te reversen zijn, sha-whatever, salted…) door je paswoord nu aan te passen is alles weer veilig zelfs als de h4x0rz de hash ooit eens zouden kunnen reversen. Het goede aan Lastpass is dat ze open zijn over zelfs de kleinste breach. Ze zijn ook niet volledig gratis, wil je de mobiele apps gebruiken dan moet je de exuberante prijs overhandigen van $12 per jaar ($1 per maand voor de niet wiskundige), indien je de 2 factor authentication gebruikt is er zelfs helemaal niets aan de hand “ze” komen er in.
Je kunt de originele passwords ook niet hacken, want die worden niet opgeslagen. Slechts de hashes.
Reversen is wiskundig onmogelijk.
Maar indien je daarbij ook het hashalgoritme en de salts weet te bemachtigen (als je toch eenmaal binnen bent) kun je wel brute force proberen passwords te vinden die op dezelfde hash uitkomen.
Als Ffgr_43(SDF op dezelfde hash uitkomt als r33t_14! kun je er gewoon mee inloggen.
Niet erg waarschijnlijk allemaal, maar het feit dat je er binnen kunt komen maakt LastPass op zich al verdacht slordig.
Persoonlijk zou ik nooit m’n passwords in de cloud opslaan. Die schrijf ik wel in potlood op de rand van m’n monitor. Onze Roemeense werkster weet toch niet wat dat betekent.
“LastPass account email addresses, password reminders, server per user salts, and authentication hashes were compromised”
Dus de hash waarmee het wachtwoord van je LastPass account wordt gecontroleerd, je emailadres en wat andere info.
Zelfs al zou LastPass helemaal kapot geh4xx0rd zijn, dan nog zouden de wachtwoorden die je er hebt opgeslagen versleuteld zijn. Als het goed is zouden alleen de gebruikers die sleutel hebben, maar daar zul je op moeten vertrouwen.
Mijn protip van de dag: versleutel eerst alles en beheer de sleutel zelf, daarna pas iets uploaden naar de interwolken.
PS: sinds wanneer is echter (1e alinea) een Engels woord?
je bedoelt: Ze komen er niet in?
Niks in de cloud opslaan! Gewoon Keepass gebruiken. En ook nog gratis.
Ach, zolang mensen hun updates niet op orde hebben verwacht ik nog wel meer van dit soort meuk.
http://t.co/LdXJyOGWlk
Wachtwoorden moet je maar op twee plekken opslaan: In je hoofd en met veel zout bij de leverancier van de beveiligde data. Ergens anders maakt je wachtwoordbeleid per definitie zwakker.