Lastpass har fortfarande inte åtgärdat webbadressläckan

Lösenordshanteraren Lastpass var under många år en av de ledande lösenordshanterarna. Men i slutet av 2022 tog det stopp. Då drabbades Lastpass av ett intrång som ledde till att användarnas lösenordsvalv läckte.

Lösenordsvalvsläckan i sig var inte det problematiska eftersom lösenordsvalven var totalsträckskrypterade. Utan huvudlösenorden kunde inte angriparna komma åt innehållet i valven, och huvudlösenorden sparades aldrig i någon form på Lastpass servrar.

Det är denna säkerhetsmodell som gör att molnbaserade lösenordshanterare är säkra. Modellen utgår från att intrång, likt Lastpass-intrånget, kan inträffa. Modellen säkerställer att användarnas lösenord hålls säkra ändå. Företagen som driver de molnbaserade lösenordshanterarna får aldrig åtkomst till användarnas huvudlösenord och kan därför aldrig heller läcka dem. Det är av samma skäl som de molnbaserade lösenordshanterarna inte kan hjälpa användare att återställa sina huvudlösenord om användarna glömmer bort dem.

Problemet med Lastpass-intrånget var inte lösenordsvalvsläckan i sig. Problemet var att det visade sig att Lastpass hade ljugit i sin tekniska dokumentation om hur tjänsten fungerar. Lastpass skrev att ”all känslig valvdata krypteras och dekrypteras uteslutande på användarens lokala enhet” (fri översättning). Detta var en förutsättning för Nikka Systems rekommendation av Lastpass. Men i samband med läckan erkände Lastpass att webbadresser (URL:er) i själva verket inte var krypterade.

Webbadresser är i högsta grad känslig valvdata. Om webbadresserna inte är krypterade kan såväl angripare som utvalda Lastpass-medarbetare se samtliga webbplatser som en användare har registrerat sig på. Vi hävde rekommendationen av Lastpass med anledning av denna lögn. Det gick helt enkelt inte att lita på bolagets utfästelser längre. Läs mer om detta i ”Lastpass läckte lösenordsvalv”.

Två års väntan på åtgärd

Det har nu gått över ett år sedan incidenten. Trots det har Lastpass fortfarande inte åtgärdat bristen med de läckande webbadresserna. Förra månaden meddelade Lastpass att de kommer att släppa en uppdatering som krypterar de primära webbadresserna före slutet av årets andra kvartal. Det kan dock dröja till slutet av året innan all webbadressrelaterad information blir krypterad.

LastPass will address 2 of the 8 URL-related fields by the end of Q2 ‘24. The first field, the primary URL, will be encrypted. The second field, rURL, is a legacy field that will be deprecated and removed. The other remaining 6 URL-related fields are in progress and expected to be complete by the end of 2024.

Lastpass, april 2024

Rekommendationer

Rekommendationen som vi gav i samband med Lastpass-incidenten kvarstår: byt till Bitwarden. Det är förvånansvärt enkelt och tar bara någon minut. Läs mer i artikeln ”Byt lösenordshanterare från Lastpass till Bitwarden gratis”. Proton Pass, Keepass XC och 1password är tre andra lämpliga lösenordshanterare. De två förstnämnda har dessutom öppen källkod, precis som Bitwarden.

Eftersom det ser ut att ta två år för Lastpass att åtgärda en så allvarlig säkerhetsmiss finns det få skäl att ens överväga Lastpass i framtiden.

Denna artikel är publicerad under CC BY 4.0-licens, med undantag för citat och bilder där en annan fotograf är angiven.

Kommentarer

Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.

Kommentar