LastPass-hack vokser: Krypterede brugernavne og adgangskoder lækket

23. december 2022 kl. 09:406
LastPass-hack vokser: Krypterede brugernavne og adgangskoder lækket
Illustration: designer491/Bigstock.
Hacket mod password manageren LastPass, der blev offentliggjort i august, involverer nu kundedata, trods forsikringer om det modsatte.
Artiklen er ældre end 30 dage

Nu viser det sig, at personlige oplysninger og metadata som virksomhedsnavne, slutbruger-navne, faktureringsadresser, e-mail-addresser, telefonnumre og IP-addresser, som kunder bruger til at tilgå LastPass' tjenester, er blevet lækket som følge af hacket, der ramte LastPass i august.

Det er til trods for, at LastPass, en måned efter lækket blev offentliggjort, i en blogpost skrev, at »der ikke er beviser for, at denne hændelse involverede adgang til kundedata eller krypterede adgangskodebokse

Det skriver Ars Technica.

Læs også: Britisk medie 'The Guardian' ramt af formodet ransomwareangreb

Artiklen fortsætter efter annoncen

LastPass er med flere end 33 millioner brugere og over 100.000 virksomheder i kundekartoteket en af verdens mest udbredte passwordmanagers.

LastPass tilbyder brugerne en »adgangskodeboks«, der gemmer brugernavn og adgangskode, så man kan oprette flere unikke og sikre adgangskoder. Der er tilknyttet en master-adgangskode til kodeboksen, som LastPass ikke har adgang til.

Læs også: Digitaliserings- og Ligestillingsministeriet får ny departementschef

Hackerne kopierede ifølge Ars Technica også en sikkerhedskopi af kodeboksdata, der inkluderede ukrypterede data som hjemmesiders URL'er og krypterede datafelter som brugernavne og adgangskoder til hjemmesider, sikre noter og formularudfyldte data.

Artiklen fortsætter efter annoncen

»Disse krypterede felter forbliver sikret med 256-bit AES-kryptering og kan kun dekrypteres med en unik krypteringsnøgle afledt af hver brugers master password ved hjælp af vores Zero Knowledge-arkitektur,« skriver adm. direktør i LastPass Karim Toubba i en blogpost.

6 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
6
30. december 2022 kl. 15:23

Uanset hvilken løsning man vælger så er det afgørende hvor godt filen med passwords beskyttes fysisk - har hackeren først filen så skal alt have skiftet kode.

...og har man ikke en kopi af filen så er man først rigtigt på den - for så kan man jo ikke komme ind de steder koderne skal skiftes.

...men har man en kopi så er der dobbelt angrebsflade, hackeren kan hugge den primære eller backup'en.

Online løsningerne er endnu værre for de har interesse i ikke at afsløre at data er blevet hugget da hele deres forretningside er at de er sikre.

Der findes krypteret USB storage med indbygget tastatur (f.eks. fra Kingston) som ikke giver adgang til data før den korrekte kode indtastes - og indtaster man 5 gange forkert kode i træk så slettes enheden - om man så har sin keepass fil eller bare en tekstfil med koder afhænger kun af niveauet af paranoia.

1
23. december 2022 kl. 12:17

Angående sikkerhed for login på websites kan man vurdere de to eneste løsninger, såfremt man ikke husker seperate passwords i hovedet eller har en seperat manuel liste:

  1. Stol på sikkerheden i browseren
  2. Stol på sikkerheden i browseren OG en password manager

Jeg er med på at password managere håndterer cross-device authentikering og kan integrere med nogle apps, men bortset fra det, så virker det ikke rationelt at benytte en password manager istedet for browserens husk-password funktion, da den primært øger angrebsfladen og altid er afhængig af tilliden til browseren.

Hertil kommer at enhver password manager altid vil være et top mål for hacking.

3
23. december 2022 kl. 19:43

der findes decente passwomanagera hvor data fx gemmet på Gdrive eller OneDrive fx https://www.enpass.io (den bruger jeg selv)

4
28. december 2022 kl. 09:01

Jeg har i mange år brugt Password Safe, som Bruce Schneier oprindeligt stod bag. (https://pwsafe.org/). Den er totalt offline og filbaseret og kan beskyttes med både password og Yubikey. Den er gratis og findes til mange platforme, og hvis man vil, kan man gemme den krypterede database på et delt share og tilgå den fra mange devices (også samtidigt).

5
29. december 2022 kl. 12:18

Det lyder som samme koncept som KeePass.

Man kan også overveje Bitwarden; open source og man kan installere det på egen

2
23. december 2022 kl. 13:32

Jeg ville nødig stole på hverken browser eller password manager:

  1. Brug services med 2FA og anvend en HW FIDO key ... eller
  2. Bliv hacket samtidig med din browser eller password manager