mboost-dp1

LastPass

Nyt sikkerhedshul i LastPass

- , redigeret af modgaard

Google har fundet et nyt sikkerhedsproblem ved passwords-manageren LastPass, der kan kompromitere brugere, som besøger bestemte ondsindede hjemmesider. Fejlen er endnu ikke afsløret af Google, men brugere af programmet rådgives til at være forsigtige.

Hvis fejlen er den samme som angivet på hjemmesiden detectify.com, så kan alle LastPass’ brugeres kodeord tilgås ved, at snyde programmet til at tro, brugeren var på en anden hjemmeside, end man faktisk var, ved at tilføje et @domæne.navn i URL’en.

Bruger man to-faktor-authentication på sin LastPass, skulle ovenstående fejl dog ikke være til stede.





Gå til bund
Gravatar #1 - CBM
27. jul. 2016 12:10
De skulle ændre deres slogan til.... The last mistake you will ever make :-)
Gravatar #2 - Kirsebær
27. jul. 2016 15:28
Kan heldigvis læse på nyheden, at det krævede at form autofil var aktiveret. Men wow, jeg opdagede lige, at jeg ikke havde tilføjet et telefonummer til at restore min konto ved lastpass, hvis jeg glemte/mit master password blev ændret. Tsk tsk :) Kan forresten anbefale, at tage deres security challenge. Jeg havde mange gamle sider, som stadig brugte det samme password. Det viste sig også, at mit masterpassword var brugt på en gammel side. Knap så godt D:
Gravatar #3 - Chucara
27. jul. 2016 15:45
Har google lavet lastpass, eller hvordan er de involveret?
Gravatar #4 - Useful
27. jul. 2016 16:04
Chucara (3) skrev:
Har google lavet lastpass, eller hvordan er de involveret?


Ham der har fundet fejlen er "Information Security Engineer" for google.
Gravatar #5 - _tweak
27. jul. 2016 22:36
Hvis det er den fejl, der er noteret i linket sidst i nyheden, virker det forholdsvist .. trist. En fejl i deres RegEx gjorde at man kunne gå ind på f.eks:

www.domæne.dk/@twitter.com

- browseren tror man er på domæne.dk, men pluginet tror man er på twitter.com - så skal man blot have to felter i sin html man serverer (fra sit eget domæne) der hedder det samme som login-felterne på twitter - og man kan trække indholdet ud med javascript - og sende det til gud og hver mand.
Gravatar #6 - chris
28. jul. 2016 09:42
Hvem bruger lastpass uden 2faktor?
Gravatar #7 - CBM
28. jul. 2016 15:19
Jeg tænker umiddelbart at man med lastpass har et single point of failure. .. opnås der adgang dertil er der adgang til alt
Gravatar #8 - Nize
28. jul. 2016 18:30
Hvordan i alverden skal 2-faktor forhindre det i at virke?

Hvis man *er* logget ind med 2-faktor eller ej, så virker det.

Hvis man *ikke* er logget ind, så virker det ikke.

Gravatar #9 - gramps2
29. jul. 2016 15:26
#5
@url-fejlen blev rettet sidste år. https://blog.lastpass.com/2016/07/lastpass-securit...

Den nye fejl er også rettet, og en opdatering er sendt ud.

#8
2-faktor hjælper mod at en hacker kan komme ind på din twitter. Altså, han får dig ind på foo.bar/@twitter.com og snupper dit kodeord og password. Det kan han uanset om din LP er beskyttet af 2FA eller ej. Men når han forsøger at logge ind på Twitter, så skal han bruge kode nr. 2.
Gravatar #10 - freesoft
30. jul. 2016 07:41
#9
Ja 2FA på Twitter, men hvordan hjælper det hvis man har det på LastPass?

2FA på LastPass kan vel kun hjælpe hvis de får fat i user/pass til LastPass (masterkoden)?
Gravatar #11 - gramps2
30. jul. 2016 09:56
#10
Ja. Men detectify-artiklen var skrevet på en måde så det virkede til, at kun brugere, som ikke har 2FA på LastPass var berørt af @url-fejlen.

Det kan også være at jeg tager fejl, men jeg har læst andre vidende folk sige, at 2FA ikke ville beskytte mod fejlen.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login