De største kode-apps har ingen: Så hvorfor har LastPass syv trackers kørende?

25 kommentarer.  Hop til debatten
De største kode-apps har ingen: Så hvorfor har LastPass syv trackers kørende?
Illustration: vladwel/Bigstock.
Sikkerhedsekspert advarer mod at bruge LastPass, der, modsat konkurrenterne, har adskillige trackere på brugerne af deres Android-app.
26. februar 2021 kl. 10:40
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

En tysk sikkerhedskonsulent, Mike Kuketz, skriver i en blog, at password-manageren LastPass som en af de eneste password-managerapps derude, har syv trackere, som følger dens brugere rundt på nettet. Og det er selvsagt problematisk i en it-sikkerhedsfokuderet app, der netop skal gøre det sværere at kompromittere brugeren online.

Det skriver The register.

Mike kuketz skriver, at applikationen fungerer ved at kompilere kode fra tracking-provideren (der betaler LastPass) ind i applikationen. Herefter opsamles information til at bygge en profil på brugeren - som selv ikke LastPass-ejerne kender til.

»integrationen af proprietær kode kan resultere i en sikkerhedsrisiko og uventet opførsel fra applikationens side eller udgøre en privacy-risiko. Den slags hører ikke hjemme i en password-manager, der er sikkerheds-kritisk,« skriver Miek Kuketz. I stedet anbefaler han at bruge nogle af de andre, udbredte managers, der ikke sporer brugerne.

25 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
24
1. marts 2021 kl. 14:37

c't magazin tester 25 password-managers

Her er testen: https://www.heise.de/select/ct/2021/5/2101108560374094255

Oversigtsskema i bunden.

Konklusionen er, at Bitwarden er bedst og at man ikke kan få noget godt gratis. Dog har Bitwarden en gratis konto, som ser okay ud og jeg nok skifter til, da Lastpass udover problemet med trackers, også gør den gratis version dårligere og dårligere - senest begrænser de til, at man kun kan bruge på enten mobil eller desktop fra april :(

Det er ret nemt at eksportere passwords fra Lastpass og importere dem i Bitwarden: https://bitwarden.com/help/article/import-from-lastpass/

23
1. marts 2021 kl. 14:08

Jeg har en lidt blandet tilgang til hele spørgsmålet. Jeg bruger LP i privat-regi men authenticator både fra Microsoft Authenticator og fra LastPass Authenticator. MS har min personlige live-account MFA & alle mine arbejds-accounts. Jeg forsøger at undgå at blande firma og privat for meget sammen.

Jeg værdsætter ease-of-use aspektet ved Lastpass, har aldrig haft problemer i alle de år jeg har benyttet servicen. Jeg har overvejet om Edge og dens indbyggede password sync service kunne benyttes i stedet, men jeg synes stadig den virker for ustadig og den kan ikke altid finde ud af hvor logons er. Hvad værre er, at jeg ikke har øjnet nogen måde at tvangs-registrere accounts.

LP er lidt The Devil I know for nu, men jeg må da indrømme at jeg synes der har været en slags holdningsskifte siden de blev overtaget af LogMeIn - der i øvrigt slog xmarks ihjel og damn them forever for dét tiltag.

22
1. marts 2021 kl. 13:43

Ydermere kan jeg godt lidt, at fordi du selv skal administrere din password-fil, så er det mindre attraktivt for hackere at angribe Keepass. De kan ikke finde brugernes filer og derfor ikke få adgang til deres passwords.

21
1. marts 2021 kl. 00:18

En af de mere brugbare scripts jeg har lavet det seneste år, er en password manager skrevet i python på omkring 400 linjer (da der også er lavet en GUI). Så har jeg altid mit script med krypteret password fil på et gammel 32MB sdkort med mig i baglommen (Som selvfølgelig blir bakket op engang imellem). Ideen om at alle mine passwords ligger et eller flere steder ude i “skyen” (med evt. mulighed for ubegrænset brute force) eller er tilgængelig på alle mine devices, sikre såvel som mindre sikre bryder jeg mig ikke specielt meget om.

20
28. februar 2021 kl. 19:16

Det var så lige dråben, sammen med gentagne sikkerhedsproblemer og ny prissætning. Man er vel nok efterhånden meget naiv hvis man stadig tror gratis er gratis. Er flyttet til Bitwarden som er open source baseret.

19
28. februar 2021 kl. 15:15

Ligesom cookies er passwords blevet det rene galimatias.

Hvorfor skal vi også logge ind og sprede vores dårlige passwords alle mulige vegne?

NemID nøgleapp'en viser vejen, og mon ikke vi kan lave noget endnu mere genialt med 5G?

18
28. februar 2021 kl. 12:41

Rart at se bitwarden på toppen af den liste :)

Jeg har personligt været super glad for birwarden... Efter jeg flyttede fra lastpass.

17
28. februar 2021 kl. 10:54

Tyske c't magazin tester 25 password-managers i den aktuelle udgave (5 13.2.2021) og kun 4 har ingen Trackere...

16
27. februar 2021 kl. 15:39

Det eneste der kræves er en lille ændring til den software som dekrypterer, så den logger dine oplysninger på en server og alle dine passwords er tilgængelig.

Alt hvad der er koblet op online, kan knækkes og indeholder fejl af den ene eller anden type.

Man andre ord vi skal lade være med at gemme noget som helst på enhver form for elektronisk enhed.

[/ironi off]

Jo gu skal man bruge en password-manager til at holde styr på ens passwords, så man sikrer at de ikke bliver genbrugt.

Og ja man skal selvfølgelig brug en som er sikker, og man har tillidt til.

Men problemet er jo at både "sikker" og "tillid til" det er elastik i metermål.

Men det bliver på ingen måde bedre af at vælge et closed-source produkt. Så stiger kravet betydeligt til "tillid til", da der ikke er nogen som kan kigge udviklerne over skulderen, og sikre at de er "sikker".

/Henning

15
27. februar 2021 kl. 13:00

Det synes jeg faktisk er et rigtigt godt spørgsmål, og hvis redaktionen læser med, så er det endda en god ide til en egentlig artikel.

Lad mig henvise til flg. ressource: https://restoreprivacy.com/password-manager/

Her er også et link til flg. oversigt (som kunne være mere komplet og mere opdateret, men hey, den er der :-) ): https://restoreprivacy.com/password-manager/best/

Tilsæt selv passende skepsis og kildekritik.

14
27. februar 2021 kl. 12:32

Ingen af de store password managers kender dine kodeord. De har en blob som er krypteret med dit kodeord, og der dekrypteres på din egen computer (direkte i browseren). Lsstpass, 1password, Dashlane, KeePass osv. har ikke adgang til dine kodeord

Det beskytter selvfølgelig mod nogle angreb, men de beskytter ikke hvis adminstrator af manageren vil kende dit password eller nogle overtager manager softwaren. Det eneste der kræves er en lille ændring til den software som dekrypterer, så den logger dine oplysninger på en server og alle dine passwords er tilgængelig.

13
27. februar 2021 kl. 10:38

Keeper er offline også. Du kan også koble Yubikey til den. Masterpass er blot til at dekryptere den private nøgle der ligger på hver enhed.

Den er MEGET anvendelig til virksomheder. Du kan lave alle mulige teams, delte mapper, granulære rettigheder og dele eksternt også - både på mappe niveau og individuelt. Jeg er konsulent og har en individuel mappe til hver kunde som jeg deler med kunden. 2 sekunder efter de opdaterer et kodeord har jeg det også. Helt uden git pull...

Jeg skal 2FA'e til Keeper før den udfylder noget som helst 2FA automatiskt for mig (og det kan slåes fra med policy hvis man ikke ønsker det).

Du skulle tage at prøve den inden du forsvarer med næb og kløer - det kunne være du lærer noget du ikke vidste ;-)

God lørdag :-)

12
27. februar 2021 kl. 10:01

Jeg har set mange anbefalinger af diverse password managers, men hvad er ideen?

Password managers er en brik i løsningen af et andet og større problem, nemlig at den menneskelige hjerne er elendig til at huske passwords.

Derfor vælger de fleste kun 2-3 passwords som de så genbruger alle steder. Det gør at en kompromitering et sted (kattekillinger.dk) giver adgang til et andet sted (gmail). Oveni vælger folk passwords som nemt kan gættes gennem et dictionary attack (password="Brøndy1!")

For at få gennemført at folk bruger forskellige passwords alle steder og ovenikøbet passwords som er lavet af tilfældige tegn kræver det at vi gemmer dem et andet sted end i den menneskelige hjerne og ind kommer password managere.

Sikkerhed er aldrig absolut, det er altid et kompromis og password managere har vist sig at være en tilgængelig løsning som folk kan finde ud af at bruge og som samtidig løser det ovenstående problem. Så når du vurderer sikkerheden skal du se om du får en bedre løsning end før og ikke om løsningen er perfekt.

Undervurder ikke nedskrevne passwords. En notesblok i din private skrivebordsskuffe derhjemme er også en aldeles velfungerende password manager (så længe du kontrollerer den fysiske adgang)

11
27. februar 2021 kl. 07:31

Læk af Metadata bryder med Confidentiality. At man skal være online eller hele tiden logget ind på en specifik enhed for at tilgå kodeordene bryder med Availability. Passwordstore er derfor ikke specielt velegnet.

  1. Du kender vist ikke git. passwordstore bruger git som er decentralt - dvs. det virker 100% uden at man er online - og man kan så VÆLGE at push'e til et remote git repo (så man har backup og for at man nemmere kan dele passwords). Man kan også sagtens push'e til et netværks-share som ens kollegaer kan nå - og opnå den samme fælles password database - hvor man specifikt giver HVER ENKELT kollega adgang "per-kodeord".. Så man kan fjerne en medarbejds adgang fra dele eller det hele - uden at påvirke andre. Det kan man f.ex. ikke med keepass fordi den har et "masterpassword".
  2. Som jeg læser din keeper securtiy - så er det kode du kører du ikke kan se koden til overhovedet.. Det bruger AWS til at køre deres vault.. Så det er vist mere det tool der kræver man er online?

Jeg bruger selv Keeper Security som jeg har integreret med Duo til 2FA. Det opfylder CIA og jeg er den eneste der har mit Master kodeord.

Super - så du kan ikke bruge det til f.ex. firma kodeord hvor der skal være andre der kan tilgå hele eller dele af en fælles password database.

Igen anvender du et kodeord - den slags kan stjæles af f.ex. en keylogger (som i disse tider installeres på skrivebordsmaskiner med stor success.. Pga. min yubikey er mine kodeord beskyttet med at jeg får stjålet et kodeord af en keylogger.

Det er i øvrigt den eneste der ganske genialt prompter for 2FA FØR du får lov at indtaste dit Master Password!</p>
<p>Derudover er den en kæmpe hjælp i hverdagen - den kan endda udfylde 2FA prompte for mig - også på min iPhone... Og så kan jeg gemme fortrolige filer oveni.

Så softwaren kan automatisk udfylde 2FA prompts.. har du så egentlig 2FA? Der ville jeg skulle se et design dokument af den der magiske 2FA du snakker om (men det må du selv stå på mål for - du behøver ikke at forsvare dit valg overfor nogen :)

Jeg bruger min yubikey til 2FA - den har det der hedder HOTP support - som jeg også kan anvende på mobilen - så enheden generer min 2FA - bare jeg rør den (og ved mobilen - at jeg lige prikker yubikey'en mod mobilens bagside - for at give 2fa'en).

Derudover er GPG/GnuPG en af de meste gennemtestede og velkendte sikkerhedsprotokoller.. Jeg stoler langt mere på noget hvor jeg kan læse al kode der køres OG så mange anvender det - og har gjort det i så lang tid, så "mange øjne" princippet har en stor sandsynlighed for at have en effekt.

Jeg bruger passwordstore til de ting min kone skal kunne vide - hvis jeg dør - så har jeg opsat den så hun har adgang til det, og får udleveret mit git repo passwordstore - hvis jeg går væk. Det synes jeg egentlig er meget praktisk - så da kodeord og anden "sikkerhedsinfo" jeg vedligeholder i min egen password store - så altid er vedligeholdt så det er up2date - skulle hun få brug for det, det kræver bare at firmaet udleverer mit passwordstore git repo til hende (hvilket er den aftale vi har valgt at gøre det efter). Jeg kunne også encrypt'e med en yubikey (+git clone vejledning) som jeg opbevarede hos en advokat - som han så sendte til hende hvis jeg døde f.ex. for at gøre det endnu mere sikkert. (min kone er programmør - så for hende er det en god løsning :)

10
27. februar 2021 kl. 05:41

Alle gode systemer er baseret på CIA - Confidentiality, Integrity and Availability.

Læk af Metadata bryder med Confidentiality. At man skal være online eller hele tiden logget ind på en specifik enhed for at tilgå kodeordene bryder med Availability. Passwordstore er derfor ikke specielt velegnet.

Jeg bruger selv Keeper Security som jeg har integreret med Duo til 2FA. Det opfylder CIA og jeg er den eneste der har mit Master kodeord.

https://www.keepersecurity.com/security.html

Det er i øvrigt den eneste der ganske genialt prompter for 2FA FØR du får lov at indtaste dit Master Password!

Derudover er den en kæmpe hjælp i hverdagen - den kan endda udfylde 2FA prompte for mig - også på min iPhone... Og så kan jeg gemme fortrolige filer oveni.

9
26. februar 2021 kl. 23:04

Måske et udmærket tool til nogle DevOps-automatiseringsopgaver, men IMHO et rigtigt dårligt bud på en generel secret-manager. Og så har jeg ikke engang nævnt hvor elendigt et værktøj PGP/GPG er :)

Men umiddelbart er GPG det eneste bud jeg lige kender til, hvor jeg kan have min private nøgle på en fysisk USB nøgle - så den ikke kan stjæles.. En ganske stor fordel - og så har GPG en dejlig egenskab at den også kan bruges til at udlede en SSH privat nøgle - så man kan bruge samme key, til at identificere sig overfor SSH.

Og mht. til at have mine passwords i GIT så man har mulighed for at have historik - så finder jeg det usandsynligt at det vil give metadata nok til at bryde min 4k GPG nøgle - da hver opdateringer ændrer hele indholdet (fordi jeg opdaterer med en ny kode) - og pass laver ny kode for hver key jeg har - så det er ikke det samme kodeord der står i nogen af filerne..

Så jeg vil klart mene det er det bedste bud for nuværende.

8
26. februar 2021 kl. 21:12

1: Hvis du benytter en password manager hvor du selv håndterer password database filen - er det så godt som sikkert at det kun dig der kender dine passwords. Eks. Keepass databasefilen kan beskyttes med en nøglefil. Hvis man benytter denne facilitet så er det i praksis 2FA og så kan man efter min vurdering godt gemme databasefilen på nettet - blot man altså husker at holde nøglefilen tæt til kroppen. 2: Behovet for en password manager er i praksis massiv for mange. Jeg har eks. selv mere end 250 passords til alle mulige og umulige tjenester og apps. 3: Man bør benytte 2FA til alt der er vigtigt. Og det åbner behov for at gemme nødudgangsoplysningerne et eller andet sted.

7
26. februar 2021 kl. 21:00

Et password i klartekst kan man da ikke kalde sikker? Nu drejer det sig jo heller ikke om et password, men om 50, 100 eller for mit vedkommende 200 passwords som der skal holdes styr på. Det er altså ikke noget man kan have på en seddel i lommen. Så jeg tænker det er derfor at password managers er blevet relevante.

6
26. februar 2021 kl. 20:54

Ingen af de store password managers kender dine kodeord. De har en blob som er krypteret med dit kodeord, og der dekrypteres på din egen computer (direkte i browseren). Lsstpass, 1password, Dashlane, KeePass osv. har ikke adgang til dine kodeord.

En seddel i tegnedrengen er skam også sikker, men så har du ikke mulighed for fuldstændig opdeling af kodeordene pr. site/service. Du vil ende med kategorier - et nemid-kodeord, facebook, mail, og så alt det andet. Meget mere får man ikke plads til. Med en password manager kan man have et unikt kodeord hvert sted. Grunden til at det er smart er, at hvis HamsterElskerne.dk bliver hacket og de ikke har beskyttet kodeordene godt nok, så skal du kun skifte ét kodeord i stedet for 50-60 kodeord.

Samtidig kan kodeordene være arbitrært komplekse. BatteryStapleHorseCorrect er måske bedre end uJg7kBu9 i kraft af længden, men tilfældige tal og bogstaver i samme længde giver endnu højere sikkerhed.

5
26. februar 2021 kl. 20:05

Jeg har set mange anbefalinger af diverse password managers, men hvad er ideen? Du afslører dit password til en tjeneste som du sandsynligvis ikke ved noget om. Jeg har aldrig forstået folk som anbefaler sådan en løsning. I mange tilfælde vil en postIt på skærmen være mere sikker, ihvertfald for private computere. En seddel i lommen (tegnedrengen) til næsten altid være mere sikker. Kravet om lange password er også mere en undskylding for dårlig sikkerhed end egentlig sikkerhed. Det eneste tidpunkt at det er muligt at afprøve billioner af passwords er hvis der er muligt at downloaded password filen eller hvis siden ikke har nogen sikkerhed mod brute-force password angreb (Som blokering af mange millioner login forsøg på samme konto). Jeg ved godt at mange sikkerheds experter som udgangspunkt regner med at en angriber kan downloaded password filen, jeg mener stadig at det er dårlig sikkerhed!

4
26. februar 2021 kl. 19:07

og alt gemmes i GIT (krypteret) og da der anvendes GPG .- kan man f.ex. bruge sin yubikey til at dekryptere :) Super god måde at have delte password repos på, med changelog

Det virker umiddelbart som en ret dårlig idé at give en angriber nogen som helst form for historik.

Derudover lækker designet metadata ad helvede til... det er måske fint nok hvis du primært bruger det til adgang til produktionsservere, men hvis du gemmer login credentials til SexyHotUnicornDating eller SuperRevolutionæreBorgerserviceHadere kan metadata i sig selv vise sig at være et problem.

Måske et udmærket tool til nogle DevOps-automatiseringsopgaver, men IMHO et rigtigt dårligt bud på en generel secret-manager. Og så har jeg ikke engang nævnt hvor elendigt et værktøj PGP/GPG er :)

3
26. februar 2021 kl. 16:49

og alt gemmes i GIT (krypteret) og da der anvendes GPG .- kan man f.ex. bruge sin yubikey til at dekryptere :) Super god måde at have delte password repos på, med changelog

2
26. februar 2021 kl. 15:11

Eller PasswordSafe (https://pwsafe.org/), som Bruce Schneier satte i søen. Den er også totalt uafhængigt af nettet og kører på en lokal fil (som man så kan lægge på et netdrev, hvis man tør). PasswordSafe kan også konfigureres til at benytte en yubikey+password før der dekrypteres.