Password-manager under beskydning: Kriminelle kan nuppe adgangskoderne

Sikkerhedsekspert afslører sårbarhed i LastPass. Brugerne bør skifte deres master-adgangskode, lyder det fra LastPass, der samtidig ændrer kravene til login.

En af de mest populære password-managers, den cloud-baserede løsning LastPass, er - igen - havnet i fedtefadet.

Sikkerhedseksperten Sean Cassidy har afsløret, hvordan et phishing-angreb mod Lastpass potentielt kan gøre det muligt for angriberne at stjæle brugernes emails, adgangskoder og tofaktor-adgangskoder.

Det vil kunne give adgang til alle de adgangkoder og dokumenter, brugerne opbevarer via LastPass, hævder han. 

"LastPass viser beskeder i en browser, som angribere kan forfalske," forklarer han i en analyse af sårbarheden.

Læs også: Ekspert om angreb mod password-manager: Udstiller kæmpe risiko - men der er en løsning

LastPass har nu reageret på Sean Cassidys afsløringer, og selskabet skriver i en besked til kunderne:

"Lørdag den 16. januar gav sikkerheds-researcher Sean Cassidy en præsentation til hacker-konferencen Shmoocon, hvor han demonstrerede et phishing-angreb mod LastPass. I dette angreb omdirigeres brugeren til en ondsindet webside, og siden genererer en besked, der ser ud som en besked fra LastPass."

Bør ændre master-adgangskode
Selvom den falske besked kan narre ofret til at tro, at der igen skal logges ind på LastPass ved hjælp af både den almindelige adgangskode og tofaktor-koden - men altså på den falske side - så skriver LastPass, at det blandt andet kræver, at de kriminelle også får adgang til brugerens email-adresse.

Alligevel lyder beskeden til kunderne nu:

"For en sikkerheds skyld anbefaler vi, at du også opdaterer master-adgangskoden i LastPass Vault ved at åbne konto-indstillinger, skrive en ny adgangskode og så gemme dine ændringer."

Samtidig indfører tjenesten nye krav til login fra nye enheder og nye IP-adresser:

"Tidligere gav LastPass brugere med tofaktor-autentificering mulighed for at springe over verfifationsprocessen, da de allerede havde slået ekstra beskyttelse af deres konto til. Vi har nu ændret det, så alle brugere, selv dem med tofaktor-autentificering, vil blive sendt hen til verifikations-processen, når de logger ind fra ukendte enheder eller steder."

Sean Cassidy skriver som en reaktion på LastPass' nye tiltag:

"LastPass kræver nu email-bekræftelse ved login fra alle nye IP-adresser. Dette mindsker LostPass (sårbarheden, red.) betydeligt, men eliminerer den ikke."

Ikke første gang
Det er ikke første gang, LastPass er ramt af sikkerhedsproblemer.

I juni sidste år blev password-manageren udsat for et angreb og måtte derefter informere de mange brugere om, at blandt andet emailadresser til Lastpass-konti, huske-informationer til adgangskoder og ‘autentificerings-hashes' var blevet kompromitteret.

En password-manager er ellers et populært og effektivt værktøj, når man som it-bruger skal have et sikkert sted at opbevare alle sine adgangskoder.

På den måde kan man nøjes med at skulle huske ét master password frem for alle adgangskoderne til de forskellige onlinetjenester.

Password-managers kan dog i sagens natur også udgøre et kæmpe sikkerhedsproblem, hvis de ikke beskytter brugernes mange adgangskoder godt nok.

Computerworld har tidligere sat fokus på, hvordan man kan mindske de risici, der er forbundet med at anvende en password-manager til at opbevare ens mange adgangskoder - læs anbefalingerne her.

Læs også:

Ekspert om angreb mod password-manager: Udstiller kæmpe risiko - men der er en løsning

Efter sikkerheds-kritik: Password-manager tvinges til at stramme op

Skulle beskytte brugernes adgangskoder - nu er password manager selv under angreb



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Bording Data A/S
Udvikling og salg af software til integration, kommunikation og e-handel samt ERP med fokus på detailhandlen, digitale abonnementer og dagblade/magasiner.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Hosting og outsourcing: Find den rigtige model og leverandør

Hosting og outsourcing-markedet rummer utallige muligheder for at aflaste og effektivisere din virksomhed, så der kan fokuseres på kerneforretningen. Markedet er dog også kendetegnet ved mange og meget forskellige leverandører og leverance-modeller. På dette event giver vi dig et indblik i, hvordan hosting i 2017 kan blive en strategisk og praktisk hjælp for din virksomhed.

24. oktober 2017 | Læs mere


Gå hjem møde om machine learning: Kickstart dine machine learning-projekter

På dette gå hjem møde får du fra eksperter på området en introduktion til machine learning og de nye teknologiske og forretningsmæssige muligheder, det skaber. Kickstart dine machine learning-projekter ved at deltage i dette gå hjem møde

25. oktober 2017 | Læs mere


Sikkerhed i virksomheden: Sådan får du et bedre forsvar mod de mange trusler

Flere tusinde it-ledere meldte for nylig i en ny stor undersøgelse ud, at sikkerhedstruslen aldrig har været mere alvorlig. Det er dog langt fra kun de cyberkriminelle, der giver søvnløse nætter. Vi sætter fokus på sikkerhed i virksomheden i 2017.

31. oktober 2017 | Læs mere





mest debaterede artikler

Computerworld
Retten ophæver navneforbuddet i Atea-sagen: Her er de syv tiltalte
Østre Landsret har netop besluttet at ophæve navneforbuddet i Atea-sagen. Det betyder, at offentligheden nu må se navnene på de tiltalte i sagen.
CIO
"På 11 minutter blev vores computere ramt af den frygtede Petya ransomware-skærm"
"På 11 minutter blev vores computere ramt af den frygtede Petya ransomware-skærm. Først troede vi, at det bare ville blive en aften uden email, og at de ville fikse det i løbet af natten. Men næste morgen var der krisemøde, og vi fik at vide, at vi ville være nede i lang tid."
Comon
Oversigt: Her er de bedste Android-smartphones der kan købes i Danmark
Det vrimler med spændende Android-smartphones på markedet. Vi har samlet en oversigt over de bedste Android-telefoner, du kan købe herhjemme netop nu.
Job & Karriere
IBM’s Watson har gennemlæst 600 jobopslag, og snart kan der blive vendt op og ned på vores jobsøgning
Kunstig intelligens kan forandre den måde virksomheder rekrutterer på. Derfor har IBM netop gennemført et stort forsøg med Danmarks største erhvervsskole.
White paper
Mobility - her er de aktuelle udfordringer
Hvad med sikkerheden? Mobility-bølgen fejer igennem danske virksomheder, og der er masser af muligheder og faldgruber. Sikkerheden halter, men det kan der gøres noget ved. Produceret af Computerworld.dk i oktober 2014.