Wachtwoord managers lekken Wachtwoorden

Eendraadsschema

Eendraadsschema

Active member
Blijkbaar lekken veel paswoord managers wachtwoorden via clickjacking-aanvallen.

Miljoenen mensen vertrouwen dagelijks op passwordmanagers om hun wachtwoorden veilig te bewaren. Maar recent onderzoek toont aan dat zes grote aanbieders kwetsbaar zijn voor een verrassend simpele aanval: clickjacking. Daarbij denken gebruikers dat ze op een onschuldige knop klikken, terwijl ze ongemerkt gevoelige gegevens prijsgeven.
Klik om te vergroten...

Verdere info via deze link: https://www.agconnect.nl/business/security/passwordmanagers-lekken-wachtwoorden-via-clickjacking
 
Goed om te lezen dat ProtonPass reeds stappen heeft ondernomen om dit tegen te gaan.

Edit: en typisch dat 1Password en LastPass er niets aan doen. Toen ik maanden terug onderzoek deed naar welke wachtwoord manager ik moest nemen, en welke ik moest vermijden, waren het die twee die telkens geadviseerd werden om te vermijden.
 
WOW... daar ook al gatenkaas. Je zou toch hopen dat bedrijven voor wie "veiligheid" hun belangrijkste reden van bestaan is, alle mogelijke pistes zouden uittesten. Niet dus, blijkbaar. Teleurstellend!
Hier al jaren een tevreden klant bij bitwarden (waarvoor ik betaal, niet omdat ik de specifieke betaal-functies nodig heb, maar als steun om hun product verder te onderhouden en verbeteren). Gelukkig heeft Bitwarden al de nodige updates gedaan.
 
Er wordt dus op de website van de hacker een truc uitgevoerd waardoor je de autofill functie van de password manager extensie niet ziet. Je klikt op een schijnbaar onschuldige knop, maar achterliggend wordt een wachtwoordveld automatisch ingevuld.

Dan stel ik mij de vraag wat juist het probleem is? Als ik surf naar websitevandehacker.be gaat mijn password manager toch nooit wachtwoorden autofillen van bijvoorbeeld mijnbank.be? Als er geen accounts gekend zijn voor een website is het autocomplete veld daar gewoon leeg.
 
Bugsy zei:
Er wordt dus op de website van de hacker een truc uitgevoerd waardoor je de autofill functie van de password manager extensie niet ziet. Je klikt op een schijnbaar onschuldige knop, maar achterliggend wordt een wachtwoordveld automatisch ingevuld.

Dan stel ik mij de vraag wat juist het probleem is? Als ik surf naar websitevandehacker.be gaat mijn password manager toch nooit wachtwoorden autofillen van bijvoorbeeld mijnbank.be? Als er geen accounts gekend zijn voor een website is het autocomplete veld daar gewoon leeg.
Klik om te vergroten...
De researcher praat over een combinatie met XSS

https://marektoth.com/blog/dom-based-extension-clickjacking/

All password managers filled credentials not only to the "main" domain, but also to all subdomains. An attacker could easily find XSS or other vulnerabilities and steal the user's stored credentials with a single click (10 out of 11), including TOTP (9 out of 11). In some scenarios, passkey authentication could also be exploited (8 out of 11).
Klik om te vergroten...
Dus inderdaad, ik denk niet dat puur op de websitevandehacker.be het zomaar werkt. (paswoorden dan), als je kredietkaarten of persoonlijke data ook autofill't kan het wel zijn dat het werkt. Zo'n dingen zijn typisch niet voor 1 specifiek domein.
 
Ik zal nooit zeggen dat ze mij niet kunnen hacken, zeker met al die datalekken en securityholes. Men is daar op kerstavond vorig jaar voor het eerst echt in geslaagd. Die dag was geen toeval hé, want men wist dat ik offline zou zijn en dat ze meer kans op slagen hadden. Ik heb toen alle schade kunnen terugdraaien.

Men wordt steeds vindingrijker. Je kan alleen maar je best doen en alles zoveel mogelijk dichttimmeren en beveiligen.
 
Laatst bewerkt:
Général Zantas zei:
Goed om te lezen dat ProtonPass reeds stappen heeft ondernomen om dit tegen te gaan.

Edit: en typisch dat 1Password en LastPass er niets aan doen. Toen ik maanden terug onderzoek deed naar welke wachtwoord manager ik moest nemen, en welke ik moest vermijden, waren het die twee die telkens geadviseerd werden om te vermijden.
Klik om te vergroten...
LastPass is dan ook nog eens een kutpogramma en zwakke integratie met bv. Android. Bij ons op het werk zijn ze precies te lui om over te schakelen naar een andere partij.

makila zei:
Ik zal nooit zeggen dat ze mij niet kunnen hacken, zeker met al die datalekken en securityholes. Men is daar op kerstavond vorig jaar voor het eerst echt in geslaagd. Die dag was geen toeval hé, want men wist dat ik offline zou zijn en dat ze meer kans op slagen hadden. Ik heb toen alle schade kunnen terugdraaien.

Men wordt steeds vindingrijker. Je kan alleen maar je best doen en alles zoveel mogelijk dichttimmeren en beveiligen.
Klik om te vergroten...
Hoe of wat was dat dan?
 
quo_vadis zei:
Jij zegt dat het een bewuste timing was omdat ze wisten dat je offline ging zijn. Dat kan toch enkel als je ze je persoonlijke agenda kennen?
Klik om te vergroten...
Ja en neen. Stel ik weet dat je Belg bent via je IP en consoorten en ik heb al de tools en data om jou te bestelen.
Zelfs zonder echt te weten wie je bent, weet ik nu al dat de kans best groot is dat je kerst viert als Vlaming / Belg (niet 100%, maar toch ..).

Ja dan zou ik als (slimme) hacker dat effectief timen en dat op kerstavond doen ipv dat 2 dagen eerder of later te doen. Gewoon voor de beste kansen te hebben om .. Veel van uw persoonlijke agenda moet ik niet eens weten van jou.

Swoit is het echt toeval dat ik op kerstavond gehackt ben? Dat kan, maar dat is toch echt wel heel toevallig niet?
 
Laatst bewerkt:
Cerv.Be zei:
LastPass is dan ook nog eens een kutpogramma en zwakke integratie met bv. Android. Bij ons op het werk zijn ze precies te lui om over te schakelen naar een andere partij.


Hoe of wat was dat dan?
Klik om te vergroten...
Via een instagram account van mij wat ik amper tot nooit gebruikte maar waar wel wat gevoelig data in stond en wat niet echt beveiligd was. Ik merkte dit na kerstavond op omdat ik plots daar zaken van zag passeren op mijn emailaccount.

Via instagram hebben ze dan ..
 
Oei, wij zijn op kantoor net aan het kijken om met Lastpass te gaan werken 😅 Precies toch beter naar alternatieven kijken?
 
Je moet ingelogd zijn om te kunnen reageren. Aanmelden | Registreren

Vergelijkbare onderwerpen

MicVlaD
  • Artikel Artikel
Review: Nioh 3
Reacties
0
Weergaven
724
MicVlaD
MicVlaD
Joeri
  • Artikel Artikel
Special: in gesprek met G2A.com
Reacties
1
Weergaven
1K
Stonaar
Stonaar
FreakyJP
  • Artikel Artikel
De gamereleases van juli 2023
Reacties
0
Weergaven
1K
FreakyJP
FreakyJP
sharkmen
  • Artikel Artikel
De gamereleases van oktober 2021
Reacties
1
Weergaven
2K
?therapy?
?therapy?
Terug
Bovenaan