En af de mest populære password-managers, den cloud-baserede løsning LastPass, er - igen - havnet i fedtefadet.
Sikkerhedseksperten Sean Cassidy har afsløret, hvordan et phishing-angreb mod Lastpass potentielt kan gøre det muligt for angriberne at stjæle brugernes emails, adgangskoder og tofaktor-adgangskoder.
Det vil kunne give adgang til alle de adgangkoder og dokumenter, brugerne opbevarer via LastPass, hævder han.
"LastPass viser beskeder i en browser, som angribere kan forfalske," forklarer han i en analyse af sårbarheden.
Læs også: Ekspert om angreb mod password-manager: Udstiller kæmpe risiko - men der er en løsning
LastPass har nu reageret på Sean Cassidys afsløringer, og selskabet skriver i en besked til kunderne:
"Lørdag den 16. januar gav sikkerheds-researcher Sean Cassidy en præsentation til hacker-konferencen Shmoocon, hvor han demonstrerede et phishing-angreb mod LastPass. I dette angreb omdirigeres brugeren til en ondsindet webside, og siden genererer en besked, der ser ud som en besked fra LastPass."
Bør ændre master-adgangskode
Selvom den falske besked kan narre ofret til at tro, at der igen skal logges ind på LastPass ved hjælp af både den almindelige adgangskode og tofaktor-koden - men altså på den falske side - så skriver LastPass, at det blandt andet kræver, at de kriminelle også får adgang til brugerens email-adresse.
Alligevel lyder beskeden til kunderne nu:
"For en sikkerheds skyld anbefaler vi, at du også opdaterer master-adgangskoden i LastPass Vault ved at åbne konto-indstillinger, skrive en ny adgangskode og så gemme dine ændringer."
Samtidig indfører tjenesten nye krav til login fra nye enheder og nye IP-adresser:
"Tidligere gav LastPass brugere med tofaktor-autentificering mulighed for at springe over verfifationsprocessen, da de allerede havde slået ekstra beskyttelse af deres konto til. Vi har nu ændret det, så alle brugere, selv dem med tofaktor-autentificering, vil blive sendt hen til verifikations-processen, når de logger ind fra ukendte enheder eller steder."
Sean Cassidy skriver som en reaktion på LastPass' nye tiltag:
"LastPass kræver nu email-bekræftelse ved login fra alle nye IP-adresser. Dette mindsker LostPass (sårbarheden, red.) betydeligt, men eliminerer den ikke."
Ikke første gang
Det er ikke første gang, LastPass er ramt af sikkerhedsproblemer.
I juni sidste år blev password-manageren udsat for et angreb og måtte derefter informere de mange brugere om, at blandt andet emailadresser til Lastpass-konti, huske-informationer til adgangskoder og ‘autentificerings-hashes' var blevet kompromitteret.
En password-manager er ellers et populært og effektivt værktøj, når man som it-bruger skal have et sikkert sted at opbevare alle sine adgangskoder.
På den måde kan man nøjes med at skulle huske ét master password frem for alle adgangskoderne til de forskellige onlinetjenester.
Password-managers kan dog i sagens natur også udgøre et kæmpe sikkerhedsproblem, hvis de ikke beskytter brugernes mange adgangskoder godt nok.
Computerworld har tidligere sat fokus på, hvordan man kan mindske de risici, der er forbundet med at anvende en password-manager til at opbevare ens mange adgangskoder - læs anbefalingerne her.
Læs også:
Ekspert om angreb mod password-manager: Udstiller kæmpe risiko - men der er en løsning
Efter sikkerheds-kritik: Password-manager tvinges til at stramme op
Skulle beskytte brugernes adgangskoder - nu er password manager selv under angreb
