Video: LastPass FULL TUTORIAL Password Manager (November 2024)
SecurityWatch heeft met LastPass bevestigd dat er een kwetsbaarheid bestond in de software, waardoor sommige wachtwoorden toegankelijk blijven. Een patch is al vrijgegeven en kan worden gedownload.
Het beveiligingslek
We leerden over de kwetsbaarheid van onze lezer David Hughes. We hebben LastPass op hun beurt geïnformeerd dat het probleem is veroorzaakt door een recente update van hun systeem. Hun fix zou vandaag moeten worden vrijgegeven, en we moedigen iedereen aan om hun software bij te werken of de nieuwe versie van LastPass te downloaden. Dit probleem is alleen van invloed op gebruikers van IE met LastPass-versie 2.0.20.
Onze lezer liet ons weten dat toen hij een geheugendump op Windows IE uitvoerde, hij opgeslagen LastPass-wachtwoorden in platte tekst kon ophalen. Het lijkt erop dat wanneer de wachtwoordbeheerder velden automatisch invult in IE, de niet-gecodeerde wachtwoorden toegankelijk blijven in het geheugen. Wachtwoorden van eerdere sessies lijken niet te worden beïnvloed, omdat het afsluiten van IE het geheugen opruimt. Bovendien blijven wachtwoorden die niet zijn gebruikt om velden automatisch aan te vullen, gecodeerd en kunnen niet worden opgehaald met behulp van dit beveiligingslek.
Het probleem lijkt alleen van invloed te zijn op IE-gebruikers, dus iedereen is veilig, tenzij u uw browser gebruikt om wachtwoorden voor u op te slaan, wat u zou moeten stoppen.
Hoewel het probleem eng klinkt, is de omvang van het beveiligingslek beperkt. LastPass vertelde de bewaker: "Dit specifieke probleem zou uiterst moeilijk te exploiteren zijn - vereist dat u IE gebruikt, dat u bent ingelogd bij LastPass om uw gegevens te decoderen, een geheugendump uit te voeren, door de geheugendump te zoeken en daadwerkelijk te lokaliseren de wachtwoorden - we hebben dit tot een prioriteit gemaakt omdat we de privacy en veiligheid van de gegevens van onze gebruikers boven alles waarderen."
Bovendien is het veel gemakkelijker om het geheugen te dumpen als u directe toegang tot de doelcomputer hebt - iets wat een aanvaller waarschijnlijk niet heeft. Als een aanvaller op afstand toegang kan krijgen tot uw machine en de dump kan uitvoeren, dan moet u zich waarschijnlijk veel zorgen maken.
Veilig blijven
Als u deze versie van LastPass in IE gebruikt, zal de update van LastPass het probleem zeker oplossen, dus de beste manier om veilig te blijven is om het onmiddellijk te downloaden.
Het belangrijkste is dat u niet stopt met het gebruik van een wachtwoordbeheerder. Als u op uw hoede bent voor LastPass, overweeg dan onze andere Keuze DashLane 2.0 van de redactie. Het opslaan en maken van unieke wachtwoorden is een zeer waardevolle service en zal u absoluut veiliger online houden.
We blijven LastPass aanbevelen als wachtwoordbeheerder en ik ben onder de indruk van de snelheid waarmee het probleem de afgelopen dagen is opgelost. Als andere tipgevers daar interesse in hebben, kunt u problemen rechtstreeks aan LastPass melden via hun website - of stuur ons een berichtje.
