Just nu i M3-nätverket
Gå till innehåll
Eforum är stängt för nya inlägg och svar sedan 20 juni 2022. Klicka för att läsa vad som hände och om alternativ.

Därför är lösenordshanterare inte att lita på

cybertears

Startad av cybertears,
i Program - övriga

Rekommendera Poster

.M

.M

Postad
Postad

 

Kritiken verkar gälla LastPass, RoboForm, My1login, PasswordBox, NeedMyPassword. I första hand webbaserade lösenordshanterare. 1password finns tex inte med i testet.

 

Från LastPass blog

 

 

"LastPass is in part able to achieve the highest level of security for our users by looking to our community to challenge our technology.In August 2013, a security researcher at UC Berkeley, Zhiwei Li, contacted us to responsibly disclose novel vulnerabilities with the LastPass bookmarklets (actively used by less than 1% of the user base) and One Time Passwords (OTPs). Zhiwei discovered one issue that could be exploited if a LastPass user utilized the bookmarklet on an attacking site, and another issue if the LastPass user went to an attacking site while logged into LastPass, and used their username to potentially create a bogus OTP.
Zhiwei only tested these exploits on dummy accounts at LastPass and we don't have any evidence they were exploited by anyone beyond himself and his research team. The reported issues were addressed immediately, as confirmed by their team, and we let them publish their research before discussing it.

If you are concerned that you’ve used bookmarklets before September 2013 on non-trustworthy sites, you may consider changing your master password and generating new passwords, though we don’t think it is necessary.

Regarding the OTP attack, it is a “targeted attack”, requiring an attacker to know the user’s username to potentially exploit it, and serve that custom attack per user, activity which we have not seen. Even if this was exploited, the attacker would still not have the key to decrypt user data. If you’d like to check your current OTPs you can do so here:https://lastpass.com/otp.php

We appreciate that, as the most popular password manager in the world, we have an active, dedicated community that challenges us to be better and is committed to helping us improve the security of our service. Again, we thank Zhiwei and his team for their important research."

http://blog.lastpass.com/

Länk till kommentar
Dela på andra webbplatser
Cecilia

Cecilia

Postad
Postad

IDG har slarvat lite när de skrivit kortfattat på svenska. Här är en längre artikel som tar upp samma sak:

 

The researchers reported their findings to the vendors in August 2013. Four responded in a week and have fixed all the major vulnerabilities. Only one, NeedMyPassword, has not responded.

http://www.csoonline.com/article/2453941/identity-access/why-password-managers-are-not-as-secure-as-you-think.html

 

Så de sårbarheter som hittades för ett år sen är rättade i LastPass och i tre av de andra, däremot kan det förstås finnas sånt som inte har hittats än och visst finns det vissa risker med att i webbläsaren ha den starka kopplingen mellan webbsidor och lösenordshanteraren.

Länk till kommentar
Dela på andra webbplatser
.M

.M

Postad
Postad

Det ska du bli också. Det är därför forskarna går ut med sån här information. Det är för att du ska kontrollera att dina uppgifter inte har missbrukats.

Länk till kommentar
Dela på andra webbplatser
cybertears

cybertears

Postad
  • Trådskapare
Postad

Det ska du bli också. Det är därför forskarna går ut med sån här information. Det är för att du ska kontrollera att dina uppgifter inte har missbrukats.

Hur kontrollerar man sånt?

 

Jag har jätte mycket på lastpass, jag betalar till och med för skiten.

Länk till kommentar
Dela på andra webbplatser
.M

.M

Postad
Postad

Du har kommit lång väg på det redan. Till exempel så har du genom att ställa frågor här fått reda på att lastpass har agerat för att rätta sina problem. Du har nu fått se att ingen har tagit sig in på ditt konto och skapat engångslösenord.

 

Så det ser ju ganska ljust ut för ditt lastpassanvändande.

Länk till kommentar
Dela på andra webbplatser
Ganymedes

Ganymedes

Postad
Postad

Jag brukar kolla historiken i LastPass. Ctrl+Alt+H, sen klicka uppe till höger och välja historik. Och du har väl tvåstegs-verifiering aktiverad?

Länk till kommentar
Dela på andra webbplatser
cybertears

cybertears

Postad
  • Trådskapare
Postad

Jag brukar kolla historiken i LastPass. Ctrl+Alt+H, sen klicka uppe till höger och välja historik. Och du har väl tvåstegs-verifiering aktiverad?

Nä, det har jag inte, är det Transakt man ska ha då eller hur fungerar det?

 

post-124092-0-91676400-1405551118_thumb.png

Länk till kommentar
Dela på andra webbplatser
Ganymedes

Ganymedes

Postad
Postad

Du kan nog välja vilken som. Jag använder "Grid multifaktor-autentisering" under fliken säkerhet. Än så länge i alla fall. Har precis skaffat mig premium och inte hunnit kolla på dom andra. Kanske någon annan vet skillnaden, eller vad som är bäst. Grid fungerar även utan mobil eller surfplatta.

Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

Gå till ämneslista


×
×
  • Skapa nytt...