LastPass lukker flere huller

Artiklen blev oprindeligt publiceret den 20/11/2015

Sikkerhedsforskere har fundet flere sårbarheder i passwordmanager-programmet LastPass. Hullerne er nu lukket.

Sikkerhedsforsker Martin Vigo og hans kollega Alberto Garcia har analyseret sikkerheden i LastPass. Det er en web-tjeneste, der opbevarer brugernes passwords, så man kun behøver huske et password: Det, der beskytter de lagrede passwords.

En af sårbarhederne bestod i, at en krypteringsnøgle var lagret lokalt på pc’en. Ved at få fat i den kunne forskerne dekryptere de lagrede data.

En anden sårbarhed lå i den to-faktor-autentifikation, systemet tilbyder. Den er det muligt at omgå. Det samme gælder systemet til at gendanne et password, hvis man har glemt det.

Forskerne informerede LastPass om problemerne for et år siden. De oplyser, at LastPass hurtigt fik lukket hullerne.

Anbefaling
Undlad at bruge funktionen, der lader LastPass huske adgangskoden til lageret. Brug den binære version af plug-innen.

Links

• Even the LastPass Will be Stolen, Deal with It, blogindlæg af Martin Vigo
• Protecting Yourself on a Compromised Computer, blogindlæg fra LastPass