Hjemmesider kunne stjæle kodeord fra udbredt kodeordshusker

Illustration: Virrage Images/Bigstock
Kodeordshuskeren LastPass har udgivet en opdatering, der skal lukke et sikkerhedshul, der potentielt har gjort det muligt for ondsindede hjemmesider at tilgå folks kodeord.

Password-manageren LastPass har patchet et kritisk sikkerhedshul, som har tilladt ondsindede hjemmesider at opsnuse brugernavne og kodeord fra tidligere besøgte hjemmesider.

Det skriver The Verge.

Fejlen bestod i, at en ondsindet hjemmeside kunne få adgang til koder og brugernavne fra en anden vilkårlig hjemmeside, som offeret tidligere havde logget ind på.

Det er Travis Ormandy fra Googles it-sikkerhedsgruppe ved navn Project Zero, der har fundet sårbarheden i kodeordshuskeren.

»LastPass could leak the last used credentials due to a cache not being updated. This was because you can bypass the tab credential cache being populated by including the login form in an unexpected way!,« skriver han på Twitter.

LastPass har efterfølgende udstedt en opdatering, der lukker for sikkerhedshullet.

I en bug-rapport forklarer Ormandy konkret om sårbarheden.

Ikke første opdagelse

Det er ikke første gang, at Travis Ormandy har haft fingrene nede i LastPass-tjenesten.

I 2017 meldte han ud, at han havde fundet tre andre kritiske sikkerhedshuller i tjenesten.

Også dengang var der tale om sårbarheder, der kunne udnyttes af tredjepart til at opsnappe kodeord.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (19)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Christian Nobel

KeePass, evt. cross-platform fork KeePassXC

Kan også varmt anbefale KeePassX - især fordi den krypterede passwordfil gemmes lokalt, og ikke ude på nettet, hvor ting notorisk går galt.

Man kan så selv flytte filen manuelt mellem devices.

Det er klart, at glemmer man sit masterpassword, så er man på den, men det er en fair pris at betale for sikkerhed.

  • 3
  • 0
Martin Storgaard Dieu

Er der nogle anbefalinger til en sikker kodeords husker?

Skal man tro på Troy Hunt så skal man vælge 1Password (https://haveibeenpwned.com/1Password). Han er dog blevet partner i virksomheden, så om det er salgsmateriale eller en anbefaling må man jo selv vurdere. Jeg bruger (måske brugte?) LastPass af de samme årsager som han skriver om 1Password.

Kan også varmt anbefale KeePassX - især fordi den krypterede passwordfil gemmes lokalt, og ikke ude på nettet, hvor ting notorisk går galt.

Jeg kan se at KeePassX har en eksperimental implementering af Autofill, som er den sårbarhed, som er blevet udnyttet jf denne artikel. Vil det ikke gøre KeePassX potentiel lige så sårbar som LastPass?

  • 0
  • 0
Christian Nobel
  • 1
  • 0
Martin Storgaard Dieu

Det har jeg svært ved at se skulle kunne ske, da KeePassX afvikles 100% lokalt, og intet har med browseren at gøre - dermed ingen kobling til nettet.

Det er også lidt sparsomt med information om hvordan Autofill funktionen fungerer. Hvis man søger efter mere information, så kan jeg se at man skal lave alle mulige fiksfakserier for at få diverse browsere til at autoudfylde login oplysninger på hjemmesider (som er det jeg tænker når jeg læser Autofill funktionalitet).

  • 0
  • 0
Hans Nielsen

Ved ikke at bruge kodeordhusker til "hovedmail" hvor man kan genskabe alle kodeord.
Altså at dele sikkerheden op i flere steder og dele. Et hvor man bruger betalingskort, et hvor man bare er "kunde" måske med en anden konti og samtidigt slippe for meget spam.

Samt en til sin hovede mail
Lige nu bruger jeg selv google, sammen med min private mail.
Måske skulle man lave yderligere en konti, som man kun burgte til dette, med 2 factor men ikke SMS. Altså der hvor man bruger nøgle kort.

Men der er langt vej, når mange stadig bare bruger det samme password på tværs af alle platforme. Så er selv en usikker password husker bedre.

  • 0
  • 0
Peter Kyllesbeck

Kan også varmt anbefale KeePassX - især fordi den krypterede passwordfil gemmes lokalt, og ikke ude på nettet, hvor ting notorisk går galt.

Man kan så selv flytte filen manuelt mellem devices.


Password Safe bruger også en krypteret passwordfil, som kan gemmes lokalt eller et sted i skyen.
Det er rart, at have adgang til samme version af den krypterede passwordfilpå alle platforme.
På smartphones er applikationen delt i to - en der synkroniserer og en slår op i passwordfilen.

Glemte jeg at nævne, at PasswordSafe er Free open source software. ;-)

  • 0
  • 0
Bjørn Damborg Froberg

På min arbejdsmaskine bruger jeg KeePass til mine firma-logins, som ligger lokalt med et master password.
Privat bruger jeg LastPass og har gjort det i flere år. Dertil bruger jeg deres authenticator app så jeg har 2FA på alle kritiske logins hvor det er understøttet.
Det er stadig langt mere sikkert end alternativet og jeg risikerer ikke at miste min lokale kopi.
Der er i øvrigt også 2FA på selve LastPass loginnet.
Føler mig riiiimelig helgarderet - og da der ikke er genbrugt passwords nogen steder, så ser jeg ikke nogen reel risiko for at jeg bliver kompromitteret på en alvorlig måde.

  • 0
  • 0
Log ind eller Opret konto for at kommentere