Download Download
Beveiliging

Meldingen over de beveiliging van LastPass

Onze focus op beveiliging

Beveiliging is onze hoogste prioriteit bij LastPass. Dit omvat ook een snelle reactie en oplossing als bugs of kwetsbaarheden worden gemeld. LastPass is deels in staat om hoge beveiligingsniveaus te leveren, doordat de gebruikers in onze community onze technologie uitdagen. We waarderen het belangrijke werk vanuit de beveiligingsgemeenschap en waarderen verantwoordelijke meldingen van problemen. We geloven bovendien dat iedereen er baat bij heeft als de beveiligingsprocessen werken zoals ze bedoeld zijn.

Opmerking: Als u LastPass gebruikt en u zich zorgen maakt dat uw account gehackt is, onveilig is of anderszins risico loopt, neem dan contact op met het support-team van LastPass. We beoordelen uw aanvraag en escaleren deze zoals nodig.

Een beveiligingsrapport indienen

Als u een veiligheidsonderzoeker bent en u denkt dat u een bug of kwetsbaarheid heeft gevonden in de beveiliging van LastPass, volg dan alstublieft de onderstaande stappen:

  1. Lees de veelgestelde vragen over de beveiliging van LastPass om te controleren of uw kwestie niet al behandeld is.
  2. Dien uw rapport in via ons beloningsprogramma voor het melden van bugs, BugCrowd.
  3. Voeg indien mogelijk een stuk code toe en een screencast, waarop de exploit duidelijk te zien is.
  4. Laat duidelijk zien hoe de bug of kwetsbaarheid impact heeft op de gegevens van gebruikers of de systemen van LastPass.
  5. Geef ons voldoende tijd op uw rapport te beoordelen en erop te antwoorden. Stem een publicatie van uw bevindingen af met ons voor beoordeling en goedkeuring.
  6. Bekijk of steel geen gegevens van gebruikers en pas hierin niets aan. Verstoor ook de beschikbaarheid van LastPass niet (incl. DDoS-aanvallen).

Als u potentiële problemen meldt, geef ons dan voldoende informatie om uw bevindingen te reproduceren. Voorbeelden van nuttige informatie: de exacte stappen die leiden tot de bug, koppelingen waarop geklikt is, bezochte pagina's, URL's en e-mailadressen die bij het betreffende account horen. Voeg een stuk code toe en afbeeldingen of video-opnames, die de vermoede exploit die u gevonden heeft, duidelijk laten zien.

Als u gevoelige informatie moet versleutelen, kunt u deze openbare sleutel gebruiken:

openbare sleutel weergeven

 

Opmerking: Als u geautomatiseerde tools gebruikt om kwetsbaarheden op te zoeken, bedenk dan dat deze vaak valse meldingen afgeven.

Reageren op rapporten

Zodra we een rapport ontvangen, ondernemen we stappen om de melding en de ernst ervan te onderzoeken. Als we proberen om het gevonden probleem op te lossen, afhankelijk van de ernst, kunnen we contact met u opnemen voor meer informatie. We zullen de benodigde fixes implementeren voor de betroffen gebruikers op basis van de ernst van het probleem en de potentiële impact. We sluiten de melding als het probleem is opgelost of anderszins als afgesloten kan worden beschouwd.

Veelgestelde vragen over de beveiliging van LastPass

Ik heb de meervoudige verificatie van LastPass ingeschakeld, maar LastPass heeft mijn aanmeldingsgegevens ingevuld op een website voordat ik mijn token heb ingevoerd. Is dit een probleem voor de veiligheid van mijn gegevens?

Om uw token te verifiëren, heeft de tweeledige verificatie een internetverbinding nodig. Als u ons geen correct token geeft, zal LastPass uw versleutelde gegevens nooit vrijgeven. LastPass heeft echter ook een offline-modus. Het slaat een lokaal gecachte, versleutelde kopie van uw gegevens op uw lokale apparaten op, zodat u ook bij uw gegevens kunt komen als u geen internetverbinding heeft. Als u zich aanmeldt bij LastPass, wordt u eerst offline aangemeld bij de lokaal gecachte kopie van uw gegevens en vervolgens proberen we u online aan te melden. Hierdoor kan het voorkomen dat LastPass uw aanmeldingsgegevens al invult, voordat u een token voor tweeledige verificatie opgeeft. Als u dit wilt voorkomen, ga dan als volgt te werk:

  1. Meld u aan bij LastPass
  2. Browser - LastPass-pictogram - Meer opties - Geavanceerd - Wis de lokale cache
  3. Meld u weer af van LastPass
Klik hier voor meer informatie.

Mijn antivirusprogramma heeft LastPass aangemerkt als een virus, Trojan of verdacht programma. Moet ik me zorgen maken?

De meeste moderne antivirusprogramma's werken met een "vertrouwensnetwerk" om te bepalen of een bestand problematisch of riskant is. We ondertekenen al onze .exe-bestanden met een digitaal certificaat. Ondanks dat wordt een nieuwe release meestal gemarkeerd door antivirussoftware, totdat deze een paar duizend gebruikers bereikt heeft (zodat de antivirussoftware heeft kunnen "leren" dat het veilig is) en/of totdat eindgebruikers hun virusdefinities hebben bijgewerkt. Als dit ook bij u gebeurt, ga dan als volgt te werk:

  1. Download de problematische bestanden opnieuw vanaf de LastPass-pagina met downloads.
  2. Upload het verdachte bestanden naar Virus Total. Dit is een service die de verdachte bestanden analyseert met behulp van tientallen van de beste antivirus-engines ter wereld. Als verschillende top-engines voor virusanalyse niet aangeven dat de bestanden besmet zijn, zijn ze waarschijnlijk veilig.
  3. Kik met de rechtermuisknop op de bestanden en kies uit het contextmenu de optie "Eigenschappen". Ga naar het tabblad "Digitale handtekeningen". Controleer of de bestanden een geldige ondertekingen hebben en dat ze ondertekend zijn door "LastPass". Bekijk indien nodig het certificaat. Zo weet u zeker dat de bestanden zijn gemaakt door LastPass en niet zijn aangepast door een kwaadwillende externe partij.
  4. Als u na deze stappen nog steeds denkt dat bestanden besmet zijn of niet door LastPass gemaakt zijn, neem dan contact op via security@lastpass.com

Iemand heeft toegang tot een account met mij gedeeld en heeft het wachtwoord hierbij niet zichtbaar gemaakt. Toch is het me gelukt om het wachtwoord te zien.

Zodra een wachtwoord LastPass verlaat en in en browser wordt ingevuld om u ergens aan te melden, kunnen wij het niet langer beschermen. Als een gebruiker dus LastPass gebruikt om een gedeeld wachtwoord in te vullen in – bijvoorbeeld – Google Chrome, kunnen wij de veiligheid ervan niet langer garanderen. Het kan risico lopen door de browser, een virus, het gebruikte netwerk of zelfs door de website waar het naar wordt gezonden. Dit wordt ook uitgelegd in onze documentatie.
Het idee om LastPass te gebruiken om gedeelde aanmeldingsgegevens te beveiligen, zit hem ook in het intrekken van de toegang. Als u LastPass gebruikt om een wachtwoord te delen met collega's of vrienden, kunt u de toegang van één specifieke persoon snel intrekken en het wachtwoord eenvoudig vernieuwen. Die wijziging wordt vervolgens automatisch doorgegeven aan alle andere mensen met wie u het wachtwoord wel wilt blijven delen. Zo kunnen uw wachtwoorden niet worden "meegenomen" als mensen de toegang niet langer nodig hebben. Maar we kunnen gedeelde aanmeldingsgegevens technisch dus niet volledig beschermen als ze LastPass verlaten, want we kunnen uw browser en de sites die u gebruikt niet controleren.