mboost-dp1
![](/templates/themes/newz.dk/images/newz.dk/newz.dk.jpg)
LastPass
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Kan heldigvis læse på nyheden, at det krævede at form autofil var aktiveret. Men wow, jeg opdagede lige, at jeg ikke havde tilføjet et telefonummer til at restore min konto ved lastpass, hvis jeg glemte/mit master password blev ændret. Tsk tsk :) Kan forresten anbefale, at tage deres security challenge. Jeg havde mange gamle sider, som stadig brugte det samme password. Det viste sig også, at mit masterpassword var brugt på en gammel side. Knap så godt D:
Chucara (3) skrev:Har google lavet lastpass, eller hvordan er de involveret?
Ham der har fundet fejlen er "Information Security Engineer" for google.
Hvis det er den fejl, der er noteret i linket sidst i nyheden, virker det forholdsvist .. trist. En fejl i deres RegEx gjorde at man kunne gå ind på f.eks:
www.domæne.dk/@twitter.com
- browseren tror man er på domæne.dk, men pluginet tror man er på twitter.com - så skal man blot have to felter i sin html man serverer (fra sit eget domæne) der hedder det samme som login-felterne på twitter - og man kan trække indholdet ud med javascript - og sende det til gud og hver mand.
www.domæne.dk/@twitter.com
- browseren tror man er på domæne.dk, men pluginet tror man er på twitter.com - så skal man blot have to felter i sin html man serverer (fra sit eget domæne) der hedder det samme som login-felterne på twitter - og man kan trække indholdet ud med javascript - og sende det til gud og hver mand.
Jeg tænker umiddelbart at man med lastpass har et single point of failure. .. opnås der adgang dertil er der adgang til alt
#5
@url-fejlen blev rettet sidste år. https://blog.lastpass.com/2016/07/lastpass-securit...
Den nye fejl er også rettet, og en opdatering er sendt ud.
#8
2-faktor hjælper mod at en hacker kan komme ind på din twitter. Altså, han får dig ind på foo.bar/@twitter.com og snupper dit kodeord og password. Det kan han uanset om din LP er beskyttet af 2FA eller ej. Men når han forsøger at logge ind på Twitter, så skal han bruge kode nr. 2.
@url-fejlen blev rettet sidste år. https://blog.lastpass.com/2016/07/lastpass-securit...
Den nye fejl er også rettet, og en opdatering er sendt ud.
#8
2-faktor hjælper mod at en hacker kan komme ind på din twitter. Altså, han får dig ind på foo.bar/@twitter.com og snupper dit kodeord og password. Det kan han uanset om din LP er beskyttet af 2FA eller ej. Men når han forsøger at logge ind på Twitter, så skal han bruge kode nr. 2.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.