‘Sommige wachtwoordbeheerders hadden lek in beveiliging’

admin July 11, 2014
[0] comments
'Sommige wachtwoordbeheerders hadden lek in beveiliging'Foto:  Thinkstock

De beveiligingslekken zijn gevonden door onderzoekers van de Amerikaanse University of Berkley.

De lekken werden vorig jaar al gevonden, maar ontwikkelaars zijn voor publicatie van het onderzoek op de hoogte gesteld van de kwetsbaarheden. De apps Lastpass, Rooform, My1login, Passwordbox en Needmypassword werden onderzocht.

Volgens de onderzoekers reageerden alle bedrijven op Needmypassword na op de bevindingen, door veiligheidslekken snel te dichten. Needmypassword reageerde niet en is daarom vermoedelijk nog altijd onveilig.


Kwetsbaarheden


Bij veel software, waaronder het populaire Lastpass, waren er problemen bij zowel de browserextensie, de bookmarklet en de online-versie van de app. De onderzoekers nemen de bookmarklet van Lastpass als voorbeeld. Een bookmarklet is een browser-bookmark, of bladwijzer, die middels Javascript wachtwoorden vanuit een app naar een webpagina kopieert.

Wanneer een gebruiker van Lastpass maar ook van Roboform en Mylogin een malafide site bezocht en de bookmarklet gebruikte om in te loggen, liepen zij gevaar. De bookmarklet kon door een kwaadwillende op zo’n manier worden misbruikt dat niet alleen het bedoelde wachtwoord werd opgegeven, maar de hele database van de gebruiker. Browserextensies hadden last van eenzelfde probleem.

Alle onderzochte wachtwoord-apps bieden de gebruiker ook via de browser toegang tot hun database, en ook daar lag een gevaar. Kwaadwillenden konden die sites benaderen door zich voor te doen als een bonafide site die één wachtwoord opvraagt, om vervolgens toegang tot de hele database te forceren.


Automatiseren


De onderzoekers besluiten dat er niet één oplossing is voor het voortdurende gevaar dat wachtwoordbeheerders online lopen. Het onderzoek is bovendien handmatig uitgevoerd. Daardoor zijn ontdekte lekken wel gedicht, maar is niet zeker of alle kwetsbaarheden zijn gevonden.

De onderzoekers pleiten voor een geautomatiseerde manier om wachtwoordbeheerders blijvend op lekken te controleren. Wordt zo’n app namelijk gekraakt, is de gebruiker direct al zijn wachtwoorden kwijt.

Vier manieren om wachtwoorden veilig op te slaan

Nederlanders onvoorzichtig met wachtwoorden

This entry was posted in tech. Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>