Ict-beveiliger Vasco waarschuwt gebruikers van app-wachtwoordenmaker Mydigipass.com. Het bedrijf adviseert klanten uit voorzorg om hun hoofdwachtwoord (master key) te resetten. Dat doet het nadat eerder bekend werd dat er een lek zit in beveiligingsprotocol Open SSL. Er zijn volgens Vasco geen aanwijzingen dat er gebruikers slachtoffers zijn van fraude, maar de leverancier neemt het zekere voor het onzekere.
Het bedrijf heeft de servers geüpdatet zodat de kwetsbaarheid niet meer van toepassing is. Preventief zijn SSL/TLS certificaten herroepen en private sleutelparen vernieuwd, ook al heeft Vasco geen specifiek bewijs waaruit blijkt dat de SSL/TLS private sleutelparen zijn aangetast.
De leverancier: ‘Ten derde raden we elke gebruiker aan om hun Master Key te veranderen. Binnen enkele dagen zullen we ook onze sessies resetten, als gevolg hiervan zal de gebruiker de Master Key moeten invoeren om voorheen geregistreerde browsers opnieuw te registreren.’
Vasco schrijft in een memo aan klanten: ‘Het is belangrijk op te merken dat Mydigipass.com gebaseerd is op twee factoren: ten eerste een digipass die eenmalige wachtwoorden genereert, en ten tweede een statische Master Key. ‘In de eerste plaats komt de sterkte van ons authenticatie-mechanisme voort uit de eenmalige wachtwoorden van de Mydigipass. Vanwege de vergankelijkheid van deze eenmalige wachtwoorden is ons authenticatie-mechanisme nog steeds erg sterk.’
Heartbleed
De zogenoemde Heartbleed bug is een kwetsbaarheid in de OpenSSL cryptografische bibliotheek die toelaat om de informatie te stelen die normaal beveiligd is door SSL/TLS. Dat protocol wordt op grote schaal gebruikt om de communicatie via websites, e-mail, chat communicatie en dergelijke te beschermen.
Volgens beveiligingsexperts kan de ‘Heartbleed bug’ een kwaadwillende toelaten om de private sleutel van een applicatie te stelen, die op zijn beurt een kwaadwillende toelaat om privé-communicatie te decoderen en servers te imiteren. Deze pas ontdekte kwetsbaarheid zit sinds maart 2012 in OpenSSL en is officieel aangeduid als CVE-2014-0160.
Echt zorgelijk is natuurlijk dat lek dat nog niet ontdekt is.
@louis
Wat niet weet, wat niet deert…..
tsja en dan blijft ook nog de vraag of de sleutelwisseling het probleem op lost, ….. en dan ook nog uit het artikel: “Vasco schrijft in een memo aan klanten….” en wat daarna in het artikel staat dat snapt echt helemaal niemand: het klinkt daarom meer als security by obscurity
@Ewout Zo is dat!