De største kode-apps har ingen: Så hvorfor har LastPass syv trackers kørende?

Illustration: vladwel/Bigstock
Sikkerhedsekspert advarer mod at bruge LastPass, der, modsat konkurrenterne, har adskillige trackere på brugerne af deres Android-app.

En tysk sikkerhedskonsulent, Mike Kuketz, skriver i en blog, at password-manageren LastPass som en af de eneste password-managerapps derude, har syv trackere, som følger dens brugere rundt på nettet. Og det er selvsagt problematisk i en it-sikkerhedsfokuderet app, der netop skal gøre det sværere at kompromittere brugeren online.

Det skriver The register.

Mike kuketz skriver, at applikationen fungerer ved at kompilere kode fra tracking-provideren (der betaler LastPass) ind i applikationen. Herefter opsamles information til at bygge en profil på brugeren - som selv ikke LastPass-ejerne kender til.

»integrationen af proprietær kode kan resultere i en sikkerhedsrisiko og uventet opførsel fra applikationens side eller udgøre en privacy-risiko. Den slags hører ikke hjemme i en password-manager, der er sikkerheds-kritisk,« skriver Miek Kuketz. I stedet anbefaler han at bruge nogle af de andre, udbredte managers, der ikke sporer brugerne.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (25)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Anders Djursaa

Keepass er også er nævt i den oprindelige artikel fra Mike. Hvis du selv kan håndtere din password database fil og bruger en times tid på at komme i gang med keepass - så er du sandsynligvis godt kørende. Gratis og sikkert meret sikkert end så mange andre. Uanset hvad kan en password Wallet ikke stå alene. https://www.linkedin.com/posts/andersdjursaa_sikkerhed-windows-linux-act...

  • 10
  • 0
#4 Sune Marcher

og alt gemmes i GIT (krypteret) og da der anvendes GPG .- kan man f.ex. bruge sin yubikey til at dekryptere :) Super god måde at have delte password repos på, med changelog

Det virker umiddelbart som en ret dårlig idé at give en angriber nogen som helst form for historik.

Derudover lækker designet metadata ad helvede til... det er måske fint nok hvis du primært bruger det til adgang til produktionsservere, men hvis du gemmer login credentials til SexyHotUnicornDating eller SuperRevolutionæreBorgerserviceHadere kan metadata i sig selv vise sig at være et problem.

Måske et udmærket tool til nogle DevOps-automatiseringsopgaver, men IMHO et rigtigt dårligt bud på en generel secret-manager. Og så har jeg ikke engang nævnt hvor elendigt et værktøj PGP/GPG er :)

  • 7
  • 0
#5 Henrik K. Jensen

Jeg har set mange anbefalinger af diverse password managers, men hvad er ideen? Du afslører dit password til en tjeneste som du sandsynligvis ikke ved noget om. Jeg har aldrig forstået folk som anbefaler sådan en løsning. I mange tilfælde vil en postIt på skærmen være mere sikker, ihvertfald for private computere. En seddel i lommen (tegnedrengen) til næsten altid være mere sikker. Kravet om lange password er også mere en undskylding for dårlig sikkerhed end egentlig sikkerhed. Det eneste tidpunkt at det er muligt at afprøve billioner af passwords er hvis der er muligt at downloaded password filen eller hvis siden ikke har nogen sikkerhed mod brute-force password angreb (Som blokering af mange millioner login forsøg på samme konto). Jeg ved godt at mange sikkerheds experter som udgangspunkt regner med at en angriber kan downloaded password filen, jeg mener stadig at det er dårlig sikkerhed!

  • 5
  • 9
#6 Malthe Høj-Sunesen

Ingen af de store password managers kender dine kodeord. De har en blob som er krypteret med dit kodeord, og der dekrypteres på din egen computer (direkte i browseren). Lsstpass, 1password, Dashlane, KeePass osv. har ikke adgang til dine kodeord.

En seddel i tegnedrengen er skam også sikker, men så har du ikke mulighed for fuldstændig opdeling af kodeordene pr. site/service. Du vil ende med kategorier - et nemid-kodeord, facebook, mail, og så alt det andet. Meget mere får man ikke plads til. Med en password manager kan man have et unikt kodeord hvert sted. Grunden til at det er smart er, at hvis HamsterElskerne.dk bliver hacket og de ikke har beskyttet kodeordene godt nok, så skal du kun skifte ét kodeord i stedet for 50-60 kodeord.

Samtidig kan kodeordene være arbitrært komplekse. BatteryStapleHorseCorrect er måske bedre end uJg7kBu9 i kraft af længden, men tilfældige tal og bogstaver i samme længde giver endnu højere sikkerhed.

  • 7
  • 1
#7 Morten Nielsen

Et password i klartekst kan man da ikke kalde sikker? Nu drejer det sig jo heller ikke om et password, men om 50, 100 eller for mit vedkommende 200 passwords som der skal holdes styr på. Det er altså ikke noget man kan have på en seddel i lommen. Så jeg tænker det er derfor at password managers er blevet relevante.

  • 3
  • 1
#8 Anders Djursaa

1: Hvis du benytter en password manager hvor du selv håndterer password database filen - er det så godt som sikkert at det kun dig der kender dine passwords. Eks. Keepass databasefilen kan beskyttes med en nøglefil. Hvis man benytter denne facilitet så er det i praksis 2FA og så kan man efter min vurdering godt gemme databasefilen på nettet - blot man altså husker at holde nøglefilen tæt til kroppen. 2: Behovet for en password manager er i praksis massiv for mange. Jeg har eks. selv mere end 250 passords til alle mulige og umulige tjenester og apps. 3: Man bør benytte 2FA til alt der er vigtigt. Og det åbner behov for at gemme nødudgangsoplysningerne et eller andet sted.

  • 3
  • 0
#9 Klavs Klavsen

Måske et udmærket tool til nogle DevOps-automatiseringsopgaver, men IMHO et rigtigt dårligt bud på en generel secret-manager. Og så har jeg ikke engang nævnt hvor elendigt et værktøj PGP/GPG er :)

Men umiddelbart er GPG det eneste bud jeg lige kender til, hvor jeg kan have min private nøgle på en fysisk USB nøgle - så den ikke kan stjæles.. En ganske stor fordel - og så har GPG en dejlig egenskab at den også kan bruges til at udlede en SSH privat nøgle - så man kan bruge samme key, til at identificere sig overfor SSH.

Og mht. til at have mine passwords i GIT så man har mulighed for at have historik - så finder jeg det usandsynligt at det vil give metadata nok til at bryde min 4k GPG nøgle - da hver opdateringer ændrer hele indholdet (fordi jeg opdaterer med en ny kode) - og pass laver ny kode for hver key jeg har - så det er ikke det samme kodeord der står i nogen af filerne..

Så jeg vil klart mene det er det bedste bud for nuværende.

  • 1
  • 0
#10 Michael Poulsen

Alle gode systemer er baseret på CIA - Confidentiality, Integrity and Availability.

Læk af Metadata bryder med Confidentiality. At man skal være online eller hele tiden logget ind på en specifik enhed for at tilgå kodeordene bryder med Availability. Passwordstore er derfor ikke specielt velegnet.

Jeg bruger selv Keeper Security som jeg har integreret med Duo til 2FA. Det opfylder CIA og jeg er den eneste der har mit Master kodeord.

https://www.keepersecurity.com/security.html

Det er i øvrigt den eneste der ganske genialt prompter for 2FA FØR du får lov at indtaste dit Master Password!

Derudover er den en kæmpe hjælp i hverdagen - den kan endda udfylde 2FA prompte for mig - også på min iPhone... Og så kan jeg gemme fortrolige filer oveni.

  • 0
  • 0
#11 Klavs Klavsen

Læk af Metadata bryder med Confidentiality. At man skal være online eller hele tiden logget ind på en specifik enhed for at tilgå kodeordene bryder med Availability. Passwordstore er derfor ikke specielt velegnet.

  1. Du kender vist ikke git. passwordstore bruger git som er decentralt - dvs. det virker 100% uden at man er online - og man kan så VÆLGE at push'e til et remote git repo (så man har backup og for at man nemmere kan dele passwords). Man kan også sagtens push'e til et netværks-share som ens kollegaer kan nå - og opnå den samme fælles password database - hvor man specifikt giver HVER ENKELT kollega adgang "per-kodeord".. Så man kan fjerne en medarbejds adgang fra dele eller det hele - uden at påvirke andre. Det kan man f.ex. ikke med keepass fordi den har et "masterpassword".
  2. Som jeg læser din keeper securtiy - så er det kode du kører du ikke kan se koden til overhovedet.. Det bruger AWS til at køre deres vault.. Så det er vist mere det tool der kræver man er online?

Jeg bruger selv Keeper Security som jeg har integreret med Duo til 2FA. Det opfylder CIA og jeg er den eneste der har mit Master kodeord.

Super - så du kan ikke bruge det til f.ex. firma kodeord hvor der skal være andre der kan tilgå hele eller dele af en fælles password database.

Igen anvender du et kodeord - den slags kan stjæles af f.ex. en keylogger (som i disse tider installeres på skrivebordsmaskiner med stor success.. Pga. min yubikey er mine kodeord beskyttet med at jeg får stjålet et kodeord af en keylogger.

Det er i øvrigt den eneste der ganske genialt prompter for 2FA FØR du får lov at indtaste dit Master Password!

Derudover er den en kæmpe hjælp i hverdagen - den kan endda udfylde 2FA prompte for mig - også på min iPhone... Og så kan jeg gemme fortrolige filer oveni.

Så softwaren kan automatisk udfylde 2FA prompts.. har du så egentlig 2FA? Der ville jeg skulle se et design dokument af den der magiske 2FA du snakker om (men det må du selv stå på mål for - du behøver ikke at forsvare dit valg overfor nogen :)

Jeg bruger min yubikey til 2FA - den har det der hedder HOTP support - som jeg også kan anvende på mobilen - så enheden generer min 2FA - bare jeg rør den (og ved mobilen - at jeg lige prikker yubikey'en mod mobilens bagside - for at give 2fa'en).

Derudover er GPG/GnuPG en af de meste gennemtestede og velkendte sikkerhedsprotokoller.. Jeg stoler langt mere på noget hvor jeg kan læse al kode der køres OG så mange anvender det - og har gjort det i så lang tid, så "mange øjne" princippet har en stor sandsynlighed for at have en effekt.

Jeg bruger passwordstore til de ting min kone skal kunne vide - hvis jeg dør - så har jeg opsat den så hun har adgang til det, og får udleveret mit git repo passwordstore - hvis jeg går væk. Det synes jeg egentlig er meget praktisk - så da kodeord og anden "sikkerhedsinfo" jeg vedligeholder i min egen password store - så altid er vedligeholdt så det er up2date - skulle hun få brug for det, det kræver bare at firmaet udleverer mit passwordstore git repo til hende (hvilket er den aftale vi har valgt at gøre det efter). Jeg kunne også encrypt'e med en yubikey (+git clone vejledning) som jeg opbevarede hos en advokat - som han så sendte til hende hvis jeg døde f.ex. for at gøre det endnu mere sikkert. (min kone er programmør - så for hende er det en god løsning :)

  • 0
  • 0
#12 Kristian Rastrup

Jeg har set mange anbefalinger af diverse password managers, men hvad er ideen?

Password managers er en brik i løsningen af et andet og større problem, nemlig at den menneskelige hjerne er elendig til at huske passwords.

Derfor vælger de fleste kun 2-3 passwords som de så genbruger alle steder. Det gør at en kompromitering et sted (kattekillinger.dk) giver adgang til et andet sted (gmail). Oveni vælger folk passwords som nemt kan gættes gennem et dictionary attack (password="Brøndy1!")

For at få gennemført at folk bruger forskellige passwords alle steder og ovenikøbet passwords som er lavet af tilfældige tegn kræver det at vi gemmer dem et andet sted end i den menneskelige hjerne og ind kommer password managere.

Sikkerhed er aldrig absolut, det er altid et kompromis og password managere har vist sig at være en tilgængelig løsning som folk kan finde ud af at bruge og som samtidig løser det ovenstående problem. Så når du vurderer sikkerheden skal du se om du får en bedre løsning end før og ikke om løsningen er perfekt.

Undervurder ikke nedskrevne passwords. En notesblok i din private skrivebordsskuffe derhjemme er også en aldeles velfungerende password manager (så længe du kontrollerer den fysiske adgang)

  • 1
  • 0
#13 Michael Poulsen

Keeper er offline også. Du kan også koble Yubikey til den. Masterpass er blot til at dekryptere den private nøgle der ligger på hver enhed.

Den er MEGET anvendelig til virksomheder. Du kan lave alle mulige teams, delte mapper, granulære rettigheder og dele eksternt også - både på mappe niveau og individuelt. Jeg er konsulent og har en individuel mappe til hver kunde som jeg deler med kunden. 2 sekunder efter de opdaterer et kodeord har jeg det også. Helt uden git pull...

Jeg skal 2FA'e til Keeper før den udfylder noget som helst 2FA automatiskt for mig (og det kan slåes fra med policy hvis man ikke ønsker det).

Du skulle tage at prøve den inden du forsvarer med næb og kløer - det kunne være du lærer noget du ikke vidste ;-)

God lørdag :-)

  • 1
  • 0
#14 Henrik K. Jensen

Ingen af de store password managers kender dine kodeord. De har en blob som er krypteret med dit kodeord, og der dekrypteres på din egen computer (direkte i browseren). Lsstpass, 1password, Dashlane, KeePass osv. har ikke adgang til dine kodeord

Det beskytter selvfølgelig mod nogle angreb, men de beskytter ikke hvis adminstrator af manageren vil kende dit password eller nogle overtager manager softwaren. Det eneste der kræves er en lille ændring til den software som dekrypterer, så den logger dine oplysninger på en server og alle dine passwords er tilgængelig.

  • 2
  • 0
#15 Bjarne Nielsen

Det synes jeg faktisk er et rigtigt godt spørgsmål, og hvis redaktionen læser med, så er det endda en god ide til en egentlig artikel.

Lad mig henvise til flg. ressource: https://restoreprivacy.com/password-manager/

Her er også et link til flg. oversigt (som kunne være mere komplet og mere opdateret, men hey, den er der :-) ): https://restoreprivacy.com/password-manager/best/

Tilsæt selv passende skepsis og kildekritik.

  • 0
  • 0
#16 Henning Wangerin

Det eneste der kræves er en lille ændring til den software som dekrypterer, så den logger dine oplysninger på en server og alle dine passwords er tilgængelig.

Alt hvad der er koblet op online, kan knækkes og indeholder fejl af den ene eller anden type.

Man andre ord vi skal lade være med at gemme noget som helst på enhver form for elektronisk enhed.

[/ironi off]

Jo gu skal man bruge en password-manager til at holde styr på ens passwords, så man sikrer at de ikke bliver genbrugt.

Og ja man skal selvfølgelig brug en som er sikker, og man har tillidt til.

Men problemet er jo at både "sikker" og "tillid til" det er elastik i metermål.

Men det bliver på ingen måde bedre af at vælge et closed-source produkt. Så stiger kravet betydeligt til "tillid til", da der ikke er nogen som kan kigge udviklerne over skulderen, og sikre at de er "sikker".

/Henning

  • 4
  • 0
#21 Rune Hansen

En af de mere brugbare scripts jeg har lavet det seneste år, er en password manager skrevet i python på omkring 400 linjer (da der også er lavet en GUI). Så har jeg altid mit script med krypteret password fil på et gammel 32MB sdkort med mig i baglommen (Som selvfølgelig blir bakket op engang imellem). Ideen om at alle mine passwords ligger et eller flere steder ude i “skyen” (med evt. mulighed for ubegrænset brute force) eller er tilgængelig på alle mine devices, sikre såvel som mindre sikre bryder jeg mig ikke specielt meget om.

  • 2
  • 1
#23 Bjørn Damborg Froberg

Jeg har en lidt blandet tilgang til hele spørgsmålet. Jeg bruger LP i privat-regi men authenticator både fra Microsoft Authenticator og fra LastPass Authenticator. MS har min personlige live-account MFA & alle mine arbejds-accounts. Jeg forsøger at undgå at blande firma og privat for meget sammen.

Jeg værdsætter ease-of-use aspektet ved Lastpass, har aldrig haft problemer i alle de år jeg har benyttet servicen. Jeg har overvejet om Edge og dens indbyggede password sync service kunne benyttes i stedet, men jeg synes stadig den virker for ustadig og den kan ikke altid finde ud af hvor logons er. Hvad værre er, at jeg ikke har øjnet nogen måde at tvangs-registrere accounts.

LP er lidt The Devil I know for nu, men jeg må da indrømme at jeg synes der har været en slags holdningsskifte siden de blev overtaget af LogMeIn - der i øvrigt slog xmarks ihjel og damn them forever for dét tiltag.

  • 0
  • 0
#24 Rasmus Petersen

c't magazin tester 25 password-managers

Her er testen: https://www.heise.de/select/ct/2021/5/2101108560374094255

Oversigtsskema i bunden.

Konklusionen er, at Bitwarden er bedst og at man ikke kan få noget godt gratis. Dog har Bitwarden en gratis konto, som ser okay ud og jeg nok skifter til, da Lastpass udover problemet med trackers, også gør den gratis version dårligere og dårligere - senest begrænser de til, at man kun kan bruge på enten mobil eller desktop fra april :(

Det er ret nemt at eksportere passwords fra Lastpass og importere dem i Bitwarden: https://bitwarden.com/help/article/import-from-lastpass/

  • 0
  • 0
Log ind eller Opret konto for at kommentere