1Password Business.

Onderzoekers vinden kwetsbaarheid in vier populaire wachtwoordenapps

Hoofdwachtwoord via geheugen te achterhalen

Beveiligingsonderzoekers hebben kwetsbaarheden ontdekt in vier populaire wachtwoordbeheerders: 1Password, Dashlane, KeePass en LastPass. Belangrijk om te weten: de onderzoekers keken alleen naar het besturingssysteem Windows 10.

De kwetsbaarheden werden ontdekt door medewerkers van het Amerikaanse adviesbureau Independent Security Evaluators (ISE) en vormen gelukkig geen groot risico. Wel bleek het voor kwaadwillenden mogelijk om wachtwoorden van slachtoffers te stelen door het hoofdwachtwoord te achterhalen. Dit is het wachtwoord dat je gebruikt om toegang te krijgen tot alle data in de app. Bij de genoemde apps bleek het mogelijk om het hoofdwachtwoord of een gebruikt wachtwoord uit het geheugen van een computer te achterhalen.

Hoofdwachtwoord in geheugen te vinden

Bij wachtwoordenapps zoals 1Password en LastPass gebruik je een hoofdwachtwoord om toegang te krijgen tot je geheime gegevens. De onderzoekers slaagden erin een gerichte aanval uit te voeren. Dashlane en KeePass wisten het hoofdwachtwoord het best te beschermen, terwijl LassPass en 1Password het minst presteerden. Om een aanval te kunnen uitvoeren moet een kwaadwillende wel fysieke toegang hebben tot de computer. Tevens moet de wachtwoordmanager actief zijn. Op afstand bleek geen aanval mogelijk en er is geen bewijs dat er daadwerkelijk misbruik van is gemaakt.

Kwetsbaarheid wachtwoordmanagers

Omdat alleen gekeken is naar een gerichte aanval op het geheugen van Windows 10-computers is niet te zeggen in hoeverre je als Mac-gebruiker risico loopt. In reactie op de onthullingen gaven KeePass en 1Password aan dat het een bekende beperking is van Windows 10 en dat het een aanvaardbaar risico oplevert. LastPass wil deze week een update uitbrengen en Dashlane zegt al een tijdlang aan een oplossing te werken.

Advies: ‘Toch wachtwoordmanager blijven gebruiken’
Het meest kwalijk vinden de onderzoekers dat er een master password werd aangetroffen in het geheugen, terwijl de software in een locked state verkeerde. Ze adviseren de betrokken bedrijven om hier iets aan te doen. Toch raden de onderzoekers aan om wachtwoordmanagers te blijven gebruiken, omdat het relatief kleine risico niet opweegt tegen de voordelen die een dergelijke app met zich meebrengt. Volgens de Washington Post richten hackers zich liever op mensen die helemaal geen wachtwoordmanager gebruiken.

Lees hieronder meer over een sterk wachtwoord kiezen voor 1Password, LastPass en soortgelijke diensten.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt 19 februari 2019, 22:44
Bron Bron Washington Post
Categorie Apps
Onderwerpen beveiliging, wachtwoord, wachtwoorden

Reacties zijn gesloten voor dit artikel.