Helft gebruikers Tweakers.net blijkt zwak wachtwoord te hebben

Aantal karakters	Aantal accounts
0	1
1	13
2	68
3	397
4	3138
5	8082
6	24308
7	16648
8	75160
9	32210
10	19455
11	8625
12	4740
13	1753
14	947
15	324

Reacties

« 1 2 3 4 ... 16 17 »

Door Eagle Creek, dinsdag 13 september 2011 13:31

Één account zonder wachtwoord: opvallend.

Waarom überhaupt zulke korte wachtwoorden toestaan? Ancient accounts?

Wat ik mij in het licht van de recente discussies afvraag: hebben jullie puur gekeken naar het aantal karakters? Want hoe verhoud ditismijnheelgeheimewachtwoord zich t.o.v. kf*46r8$ ?

[Reactie gewijzigd door Eagle Creek op dinsdag 13 september 2011 14:45]

Door hellfire_ultd, dinsdag 13 september 2011 13:35

Die eerste (random woorden acher elkaar) zou wel eens een stuk sterker kunnen zijn dan die tweede (woord met random karakters). xkcd heeft daar laatst een treffend stripje over geplaatst.

Door Inny, dinsdag 13 september 2011 13:46

Dit is geheel afhankelijk van de aanvalsmethode en parameters. Met een 'bruteforce' (willekeurig alle mogelijke combinaties van tekens nalopen) aanval zou de eerste een aanzienlijk stuk moeilijker (vrijwel onmogelijk) te kraken zijn omdat het meer tekens omvat. Een dictionary attack zou er weinig moeite mee hebben.

Een lang wachtwoord met een zelf verzonnen woord, met een (op een willekeurige plek) willekeurig teken ertussen, zoals 'correcthorsebat¬terystaple' is in de praktijk dus een heel sterk wachtwoord.

[Reactie gewijzigd door Inny op dinsdag 13 september 2011 13:53]

Door wmestrom, dinsdag 13 september 2011 14:02

Niet helemaal waar. Dit voorbeeld zijn al 6 woorden waarbij voor ieder woord duizenden mogelijkheden zijn als alleen al veel gebruikte woorden worden geprobeerd. Dit komt al gauw neer op 1e20 mogelijkheden (uitgaande van zo'n 2000 woorden). Het tweede voorbeeld zijn 8 karakters met ieder laten we zeggen 100 veel gebruikte mogelijkheden, dit komt neer op 1e16 combinaties. Ofwel, zelfs met een dictionary attack is de eerste zo'n 10.000 keer sterker dan de tweede.

Door Offens1490, dinsdag 13 september 2011 14:27

Gaat hierom dus exaxt om bestaande woorden?
Of ook om wachtwoorden met alleen cijfers?

Door Dingen, dinsdag 13 september 2011 14:02

Een dictionary attack heeft weinig moeite met het raden van een wachtwoord die uit een enkel bestaand woord bestaat. Maar wanneer je wachtwoord uit een heleboel woorden bestaat, verslikt een dictionary attack zich daar ook flink in hoor.

Door Exorcist, dinsdag 13 september 2011 14:31

Is het een kwestie van tijd voordat er tools komen die woorden uit dictionary's combineert? Met de snelheden van vandaag de dag is dat vaak ook niet echt een probleem lijkt me.

Door musiman, dinsdag 13 september 2011 14:43

Helaas. Met de huidige dictionaries duurt het al een hele poos om één wachtwoord te kraken. Ik heb een dictionary van (compressed) 33 GB en daarmee zijn de meeste zwakke wachtwoorden goed te raden. Maar ik moet er niet aan denken om daarna ook nog eens ieder woord uit die dictionary te combineren met ieder ander woord in verschillende volgordes...

Door Yezpahr, woensdag 14 september 2011 05:13

Maar je vindt toch ook een beetje dat Exorcist zijn angst wel begrijpelijk is?
Met de hoeveel botnets in het *nieuws* alléén al, laat staan wereldwijd verborgen, kan ik me indenken dat er wel ontzettend veel rekenkracht te vergaren is om een groter percentage hits te krijgen met de hashes.

Een regeltje code om extra te combo's uit te proberen kost minder rekenkracht dan bijvoorbeeld hele routines opnieuw laden voor het volgende object of hash.

Door Dingen, dinsdag 13 september 2011 23:57

Het combineren zorgt voor een kwadratische toename in de tijd die je nodig hebt om het wachtwoord te kraken. Als je een zinnetje van 8 a 10 woorden als wachtwoord neemt, is dat ook met een dictionary praktisch onkraakbaar, zelfs als het hele gewone woorden zijn.

Door fevenhuis, dinsdag 13 september 2011 15:42

Inderdaad zefl woorden verzinnen of aanpassen valt makkelijk te onthouden en is ook niet kwetsbaar voor dictionary attacks.

Ik het had dit alles eerder al eens uiteengezet in mijn stukje 'Eenvoudige sterke wachtwoorden'

De verwarring rondt hoeveel karakters het veiligst zijn is ontstaat vooral omdat men zich vergeet af te vragen voor welke toepassing het wachtwoord wordt gebruikt.

Voor draadloze netwerken is het beste om hele zinnen te gebruiken, maar dan welk ook met wat unieks erin wat het niet voor dictionary attacks kwetsbaar maakt.

Daarom heb ik ook het vervolg stukje geschreven: 'Eenvoudige Lange Wachtwoorden'

Door sygys, dinsdag 13 september 2011 20:12

ik heb zomaar wat tekens in getypt zonder te kijken. in totaal ruim 20 met letters cijfers en speciale tekens. hoe snel is zon string random characters te kraken?

Door ncoesel, dinsdag 13 september 2011 19:17

Wellicht, maar wat kan iemand met je tweakers account?

Door mie9iel, dinsdag 13 september 2011 23:44

Op tweakers.net je account (reputatie) vandaliseren (je reacties, op 't forum etc.) Iets waar ik zelf niet wakker van zou liggen. Via je account gestolen waar verkopen in "vraag en aanbod". Dat is al een stuk vervelender, me dunkt.

Maar je gaat natuurlijk gelijk opzoek naar andere plaatsen waar mogelijk hetzelfde wachtwoord icm de account naam gebruikt wordt. Wie weet kom je achter een email of een registar account met hetzelfde wachtwoord.

Ik hoop dat de mods en adjes hier wel een sterk wachtwoord gebruiken

[Reactie gewijzigd door mie9iel op dinsdag 13 september 2011 23:49]

Door Jorden Verwer, woensdag 14 september 2011 14:22

Een lang wachtwoord met een zelf verzonnen woord, met een (op een willekeurige plek) willekeurig teken ertussen, zoals 'correcthorsebat¬terystaple' is in de praktijk dus een heel sterk wachtwoord.

Je hebt het dus nog steeds niet begrepen. De boodschap die het stripje wil overbrengen is juist dat het toevoegen van extra woorden vrij veel entropie toevoegt, zonder dat het voor mensen veel moeilijker wordt om het wachtwoord te onthouden.

In plaats van de oplossing die jij voorstelt kun je ook gewoon een vijfde woord toevoegen. Dit levert ongeveer evenveel extra entropie (en dus veiligheid) op, terwijl het een stuk makkelijker te onthouden is. Voor nog meer veiligheid voeg je een zesde woord toe. Et cetera ad infinitum (of in elk geval tot de grenzen van je langetermijngeheugen).

Overigens maakt het gebruik van spaties (tussen de woorden, dus makkelijk te onthouden) het wachtwoord ook (iets) veiliger.

[Reactie gewijzigd door Jorden Verwer op woensdag 14 september 2011 14:23]

Door chronoz, dinsdag 13 september 2011 13:57

Bekijk ook de generator voor zulke wachtwoorden.

Disclaimer: Het aanmaken van random wachtwoorden op de site van een ander bevat natuurlijk altijd een mate van risico.

Door guapper, dinsdag 13 september 2011 14:00

Disclaimer: Het aanmaken van random wachtwoorden op de site van een ander bevat natuurlijk altijd een mate van risico.

Wees vooral bang wanneer ook gevraagd wordt voor welke site het is zodat er bij wijze van service een extra veilig random wachtwoord voor je gemaakt wordt.

Door 3raser, dinsdag 13 september 2011 14:08

Volgens mij is de sterkte van je wachtwoord geheel afhankelijk van degene aan wie je het vraagt. Ik heb verschillende online password strength tools geprobeerd maar ze geven met hetzelfde wachtwoord meestal verschillende resultaten. De meeste zijn erg geïnteresseerd in vreemde tekens en hoofdletters terwijl een ander gewoon minimaal 14 karakters wil zien.

Er zijn veel online diensten die je wachtwoord "testen" om te zien of het sterk genoeg is. Uit deze test blijkt maar dat dit dus eigenlijk nergens op slaat. Mijn wachtwoord wordt door Tweakers gezien als zwak terwijl de meeste diensten en tools hem zien als redelijk sterk.

Door Dexs, dinsdag 13 september 2011 15:17

Blijkbaar kon tweakers dus je wachtwoord makkelijk kraken ongeacht wat andere websites zeggen.

Voor mij was het niets anders als een bevestiging... gebruikte voor tweakers.net nog een oud wachtwoord dat ik nu dus maar verandert heb

bedankt voor de herinnering!

Door Benjamin-, dinsdag 13 september 2011 17:11

De vraag is, laat Tweakers het oneindig toe om je wachtwoord uit te proberen. Als er een limiet is per zoveel minuten of iets dergelijks dan zal het niet zo makkelijk meer zijn.
Nu zitten ze natuurlijk rechtstreek in de database. Dus als we ons wachtwoord kwijtraken lijkt mij dit een zwakte van Tweakers en niet de gebruikers.

Door siepeltjuh, dinsdag 13 september 2011 17:39

t.net gebruikte daarbij natuurlijk ook een SALT. Dus ook al zou de database uitlekken, dan nog zou een hacker niet bijzonder veel uit kunnen richten.
Van de andere kant, als de hacker eenmaal de database heeft zal het vast ook niet al te ingewikkeld zijn om de salt te verkrijgen. Die zal vermoedelijk in een 1 of ander config bestandje staan.

Zou best wel eens zo`n testje zelf willen doen op een database. Gewoon voor de leuk, kijken of het nog sneller te kraken is.

Door varkenspester, dinsdag 13 september 2011 16:55

Alleen hebben die andere site wat testjes uitgevoerd en heeft tweakers daadwerkelijk je wachtwoord op heel korte tijd kunnen kraken.
M.a.w.: tweakers bewijst in de praktijk dat jouw wachtwoord zwak is ;-)

Door MassIV, dinsdag 13 september 2011 19:28

Ja maar het wachtwoord dat ik gebruik om te reageren op nieuws websites zal me een zorg zijn. Dat is een makkelijk wachtwoord dat ik voor dingen gebruik waar geen persoonlijke info is te vinden (dat is misschien niet voor iedereen het geval op tweakers).

Door Gepetto, dinsdag 13 september 2011 14:54

Als ik een zwak wachtwoord heb, dan is het de schuld van Tweakers zelf.

Ik vergeet hem namelijk nog wel eens en dan stuurt de random-generator van Tweakers mij een nieuwe en die blijf ik dan gebruiken tot ik mijn temp bestander weer eens opschoon.

Door checkpointx, dinsdag 13 september 2011 19:01

Het gaat hier ook niet om de inlog van je bank gegevens zeg. Ik heb al genoeg wachtwoorden (werk, email, etc) die nogal veeleisend zijn wat betreft # karakters, cijfers en hoofdletters. Als ik mijn wachtwoord van 1234 voor een nieuws site zo wil houden moet ik dat toch zelf weten.

Steeds meer websites verlangen hele complexe wachtwoorden, nog even en je moet het ook elke maand veranderen en het mag geen opvolgend nummer zijn en hij mag niet te veel op de vorige lijken. Dit zou toch eigenlijk mijn eigen verantwoording moeten zijn(en dus mijn keuze)?

Hoe dan ook ik hou mijn simpele wachtwoord voor deze nieuws site, succes ermee als je mijn inlog kraakt

Door KnetterGek, dinsdag 13 september 2011 15:16

Die eerste (random woorden acher elkaar) zou wel eens een stuk sterker kunnen zijn dan die tweede (woord met random karakters). xkcd heeft daar laatst een treffend stripje over geplaatst.

Wat een goeie reden is om iets in de geest van
Mijntoffewachtwoord,H4|4p3ñ0p3p3r,wasnietsterkgenoeg!
te gebruiken.
Eeeeeenjoy

Door cPT.cAPSLOCK, dinsdag 13 september 2011 16:54

Hangt erg van de gebruikte tools af.

Een tooltje die met woordenlijst werkt, gaat vaak na het testen van losse woorden over in combinaties daarvan.

Tegen Brute-Force zijn een aantal willekeurige woorden dus inderdaad een stuk sterker, simpelweg omdat er meer tekens in het wachtwoord zitten, maar voor geavanceerdere tools kan het juist een zwakte veroorzaken.

Dit geeft een hele interessante discussie:
Bescherm je je account tegen een 'high-tech' of een 'low-tech' dreiging?

De kans dat een script-kiddie met zo'n tooltje kloot is stukken groter dan dat een échte goede hacker zijn tijd hier in gaat investeren. Echter is het risico in sommige gevallen weer erg groot.
Zie ook 'What happens when you steal a hackers computer'.
Hij legt het beter uit dan ik zou kunnen, is zeker informatief en ook erg grappig

Door tes_shavon, dinsdag 13 september 2011 13:37

Één account zonder wachtwoord: opvallend.

please do tell me this was the administrator account...

Door RM-rf, dinsdag 13 september 2011 14:05

zou dat niet BC3_user kunnen zijn?

voor degenen zonder Tnet-geschiedskennis, dat is een 'onechte' user die ooit gemaakt is toen men (in 2001 of 2002) een backup van oude forumpostings welke door een crash (BC3, Big Crash 3) verloren gegaan waren, herinvoerde warbij alle post welke geen bestaande user toegeordend konden worden, aan Bc3_user gekoppelt werden

[Reactie gewijzigd door RM-rf op dinsdag 13 september 2011 14:07]

Door maartenverbaan, dinsdag 13 september 2011 13:42

of zijn wachtwoord begon met een spatie..? Veel hackprogramma's lopen daar op vast...

Door poefel, dinsdag 13 september 2011 15:30

Inderdaad, maar veel users ook. Want bij copy-paste worden spaties aan het begin/eind vaak vergeten.

Door mad_max234, dinsdag 13 september 2011 16:21

Je weet dan toch als gebruiker dat je wachtwoord heb met spatie of niet.

Door DaMayan, dinsdag 13 september 2011 13:43

Lengte is belangrijker dan complexiteit voor passwords:
http://www.infoworld.com/...word-size-does-matter-531
http://blogs.mcafee.com/m...licy-length-vs-complexity

De eerste is een stuk moeilijker te kraken dan de laatste.

Door kidde, dinsdag 13 september 2011 15:26

Dat InfoWorld artikel spreekt zichzelf enorm tegen:

"94 tekens gebruiken voor lengte 8 is onmogelijk te kraken" stelt het, dus dan boeit lengte kennelijk niet omdat de complexiteit hoog is. "Maar omdat de meesten maar 32 tekens gebruiken, moet je de lengte in"

Nogal een BS-bewering: Als iedereen idd. netjes die 94 tekens random zou gebruiken is die lengte dus helemaal niet belangrijk.

Door abeker, woensdag 14 september 2011 09:12

Hangt er van af hoe er gebruteforced wordt. Als een tool eerste alle uppercase mogelijkheden zou testen, dan alle lowercase en dan pas álle mogelijkheden dan is een wachtwoord met alleen maar uppercase inderdaad minder veilig dan hetzelfde wachtwoord waar één letter ook lowercase is.

Door veerh01, dinsdag 13 september 2011 13:43

In theorie zijn wachtwoorden versleuteld. De lengte van de sleutel maakt het decrypten moeilijker. "mijnlekkerlangwachtwoord" is dus moeilijker te kraken dan "w@tn0u".
Zeker als je substitutietabellen van de veelvoorkomende karakters meeneemt
(@ =a, 4=a, !=i, 1=i enz).

Zoals je in de tekst hebt kunnen lezen hebben ze voornamelijk bibliotheken gebruikt, wat duidt op wachtwoorden zoals "welkom", "mickey", "toyota" enz.

Door XBL, dinsdag 13 september 2011 13:58

Als je bruteforcet, maakt het niet uit welke karakters je gebruikt. Zo'n substitutietabel zou alleen nuttig zijn als je het bijv combineerd met een dictionary attack.

Door Mijzelf, dinsdag 13 september 2011 14:15

Natuurlijk wel. Bij bruteforcen geef je aan welke karakters allemaal meegenomen moeten worden. Aangezien bruteforcen duur is, ga je bij voorkeur geen karakters meenemen die toch niet kunnen worden gebruikt (omdat ze niet worden toegestaan door het verificatie algoritme), en ook geen karakters waarvan je denkt dat ze niet zullen worden gebruikt. (Omdat ze niet op je toetsenbord staan, bijvoorbeeld).

Door varkenspester, dinsdag 13 september 2011 17:13

In theorie klopt jouw stelling.
Maar ook met bruteforce wil je het wachtwoord zo snel mogelijk en niet pas binnen 10 jaar,
daarom ga je bij brute force vermoedelijk toch iets wat meer intelligentie gebruiken en bvb eerst enkel proberen met de meest voorkomende karakters (a-z,A-Z,0-9) en pas daarna, als je niets vindt, ook de speciale karakters gebruiken.
Op die manier ga je de meeste wachtwoorden immers veel sneller kraken omdat je eerst de meest logische karakters gebruikt.
Dit is niet echt puur brutoforce en daarom heb je wel gelijk, maar ik denk dat je wel kan stellen dat niemand echt pure domme brute force zal toepassen.

Door tofus, dinsdag 13 september 2011 13:43

Mede daarom heeft Tweakers.net eind vorige maand de opslag van wachtwoorden verbeterd,

Hoe precies is het achterhalen van de clear-texts van passwords en het vrijgeven hiervan aan bepaalde personen (in ieder geval de auteurs van het artikel) een 'verbetering' van de veiligheid?

Eerst wist niemand mijn password. Nu weten jullie admins en de auteurs van dit artikel hem. Wat mij betreft is mijn wachtwoord nu niet meer veilig, en hebben jullie mijn privacy geschonden door zonder mijn toestemming mijn password te hacken.

Ik ga dit tot op de bodem uitzoeken, en er komt zeker een aangifte als dit juridisch een mogelijkheid blijkt.

Maar om dit nu een 'verbetering' te noemen is echt lachwekkend.

[Reactie gewijzigd door tofus op dinsdag 13 september 2011 13:50]

Door JapyDooge, dinsdag 13 september 2011 13:52

Het lijkt me juist reuzepositief als websites eens in de zoveel tijd eens een audit doen op hun eigen users database.

Door Quacka, dinsdag 13 september 2011 14:06

op zich wel. Anderszijds is het wachtwoord van tweakers niet zo super spannend.
Al hoewel het in theorie wel misbruikt kan worden.

Met name het vraag en aanbod systeem is zo lek als een mandje. Men zou met behulp van mijn account nepspullen kunnen verkopen, zonder dat ik het snel in de gaten heb.
Aangezien ik een relatief hoog karmalevel heb, zouden mensen mij wellicht snller vertrouwen dan andere mensen.

Toch maar eens mijn wachtwoord moeilijker maken. Irritant dat ik dan weer een lastiger wachtwoord moet gaan onthouden....

Door m_w_mol, dinsdag 13 september 2011 14:36

Volledig los van het feit of ik het met Tofus eens ben of niet (!), heeft hij absoluut een punt: het zou veel netter geweest zijn van T.net als ze deze actie van tevoren hadden aangekondigd met de mogelijkheid om hier expliciet bezwaar tegen te maken en een testmethode te kiezen die het mogelijk maakt om degenen, die dit bezwaar kenbaar hadden gemaakt, uit te sluiten van de brute-force attack.

Het "zomaar" uitvoeren van een pen(etration) test is verboden, plain and simple. Zelfs al zijn de bedoelingen goed, er moet altijd IETS van toestemming zijn.

Daarnaast geeft T.net aan dat er zorgvuldig is omgesprongen met de verkregen data/informatie, maar er is geen onpartijdig orgaan bij betrokken geweest, die dit kan bevestigen. Als Fox-IT of Madison Ghurka dit soort dingen zouden "vergeten", zouden ze geen werk meer hebben ...

Door ACM, dinsdag 13 september 2011 14:46

Ik ben geen jurist, maar volgens mij geldt wat jij zegt vooral of zelfs alleen voor derden. Fox-IT mag niet zomaar Tweakers.net onderzoeken zonder toestemming van Tweakers.net. Maar Fox-IT mag wel Tweakers.net onderzoeken in opdracht van (en/of met expliciete toestemming als ze het pro-bono zouden willen doen). Volgens mij is Tweakers.net niet verplicht om al haar gebruikers toestemming te vragen voor dat onderzoek...

Door To_Tall, dinsdag 13 september 2011 21:04

Sterker nog, Tweakers is eigenaar van de database en kunnen binnen bepaalde grenzen doen wat ze willen met de DB. Zolang ze deze niet verkopen of delen met derde zal de antiprivecywet hier niet veel mee kunnen. Ze hebben de Data toch al.

Daarnaast had misschien wel netjes geweest om een POL op te zetten. Mogelijk zijn hier gebruikers die hun wachtwoord zowel voor T.net gebruiken als voor de bank!!

Door Kharay1977, woensdag 14 september 2011 01:14

Volgens mij is Tweakers.net niet verplicht om al haar gebruikers toestemming te vragen voor dat onderzoek...

Wettelijk gezien misschien niet. Moreel zondermeer wél, als ik zo vrij mag zijn. Niet dat ik in reactie op deze actie van het T.net team mijn biezen zal pakken, maar, het is toch wel weer een punt in mindering.

En er komt natuurlijk wel een moment waarop ik zeg - "Jongens, teveel punten in mindering. Even goede vrienden, maar, ik ben weg."

Door ManiacsHouse, dinsdag 13 september 2011 14:49

Hij heeft zeker een punt. Zat me ook al te bedenken of dit wel zo netjes is. Daarnaast gaan jullie aan de hobbel voorbij de je eerst bij de database zal moeten komen. Als ik het artikel zo lees hebben jullie vrij toegang.

De waarschuwing die ik zojuist kreeg klikte per ongeluk weg doordat ik meteen op MyReact klikte. Bleef niet staan daarna.

Door poefel, dinsdag 13 september 2011 15:43

Het "zomaar" uitvoeren van een pen(etration) test is verboden, plain and simple.

Ik weet niet of je gelijk hebt.

In feite is een wachtwoord een gemeenschappelijk eigendom van T.net en de user. Het wordt immers door beide partijen gebruikt om de user te identificeren. Dat dit wachtwoord door T.net gehashed wordt opgeslagen is een service, geen verplichting. Ze hadden dus net zo goed de wachtwoorden plain-text kunnen opslaan.

Door bigbadbull, donderdag 15 september 2011 17:19

ouch ik ging er van uit dat het paswoord in plain text opgeslagen wordt, dat gebeurd toch zo overal ?
PSN bvb.

Dus ging ik ervan uit dat ze toegang hebben tot mijn paswoord. Veel plezier ermee.
Ja het is niet sterk, maar ook de sterke bleken te kraken zijn.

maar er is zelf de mogelijkheid dat T.net niet weet wat de gebruikte paswoorden zijn, ook al zijn ze gekraakt.
Als de tool per gehackt account even inlogde ter verificatie en dan in een log de tijd weg schreef en niet het zwakke paswoord, dan zijn de paswoorden nog steeds onbekend, maar de sterkte wel. En wist T.net zelfs niet da ik een zwak paswoord hanteer op hun site had ik het niet verteld in deze post.

Door TheekAzzaBreek, dinsdag 13 september 2011 16:21

Volgens mij wordt hier toch iets gemist. Als - wat ik vermoed - de wachtwoorden ontkoppeld zijn vóór het kraken dan is er helemaal geen sprake van een penetratietest, of van het schenden van privacy. Een wachtwoord heeft alleen waarde als je weet bij welk account het hoort. Zonder die koppeling, of op z'n minst een lijst van accounts, kan je er niet veel mee.

Toegegeven, het had netter gekund, maar er zijn nu wel een hoop tweakertjes wakker geschud, en dat is ook wat waard.

Edit @ onder: idd, die koppeling moet in stand zijn gebleven. Dat betekent niet dat iemand de wachtwoorden ook heeft bekeken, maar wel dat het kon. Nou vertrouw ik tweakers wel, maar mensen die wachtwoorden voor meerdere sites gebruiken moeten zich nu wel even op het hoofd krabben.

[Reactie gewijzigd door TheekAzzaBreek op dinsdag 13 september 2011 16:54]

Door 3raser, dinsdag 13 september 2011 16:32

Aangezien ik een melding in beeld heb dat MIJN wachtwoord mogelijk niet sterk genoeg is ga ik er vanuit dat Tweakers dus heel goed weet welk wachtwoord bij welke account hoort.

Door JeromeB, dinsdag 13 september 2011 16:33

In de laatste alinea van het bericht kan men lezen dat een lijst met gebruikersnummers wordt bijgehouden. Dat impliceert dus wel degelijk dat er een koppeling is voordat de kraak is uitgevoerd. Na de kraak is die koppeling er inderdaad niet meer.

edit:
Ik weet niet precies wanneer men kan spreken van een penetratietest, maar stel dat zo'n test uitgevoerd zou worden op een database met weinig gebruikers dan is het opeens veel makkelijker om gekraakte wachtwoorden weer te koppelen aan gebruikers-accounts.

Erger nog, door een lijst bij te houden is het beveiligingsmechanisme afgezwakt. Mocht een hacker toegang weten te verschaffen tot de database dan weet hij dus ook welke gebruikersaccounts slechter bestand zijn tegen een kraak.

[Reactie gewijzigd door JeromeB op dinsdag 13 september 2011 17:04]

Door PierkenAas, dinsdag 13 september 2011 17:11

Ik ben het met je oneens m_w_mol,

Ik heb ervaring met het onderhouden en enforcen van security policies binnen een bedrijf waar ik vroeger werktte.
Het uitvoeren van een penetration test tegenover een systeem die eigendom is van je eigen organisatie is op zich volkomen legaal (opgelet: ik spreek vanuit het standput van de Belgische wet, ik weet niet hoe het in NL zit).
Natuurlijk is het nogal logisch dat je hiervoor schriftelijk toestemming vraagt aan de nodige mensen binnen Tweakers en daarvoor heeft Tweakers.net veronderstel ik ook de nodige security policies ontwikkeld (?)

Als derde partij lijkt het me wiedes dat dit natuurlijk illegaal is.

Wat men doet bij security firma's die security scans uitvoeren vanuit een externe server (er zijn er zat geautomatiseerd), is dan ook deze security policies tot op de letter volgen om misverstanden te vermijden.

Intern is dit hetzelfde verhaal, maar dit gaat natuurlijk iets makkelijker.

edit: typos

[Reactie gewijzigd door PierkenAas op dinsdag 13 september 2011 17:12]

Door Remmes_NT, woensdag 14 september 2011 08:49

van te voren aankondigen?

zodat iedereen hun wachtwoord snel gaat veranderen in de hoop dat het zo lang mogelijk duurt, dan krijg je dus valse resultaten..

het lijkt mij stug dat iemand van tweakers jou account naam + wachtwoord gaat onthouden, als zij er sowieso al bij kunnen komen als ze het willen

haal die alu hoedjes maar weer uit de kast... Tweakers is evil!!!!!

kom op mensen... doe normaal AUB

Door donny007, dinsdag 13 september 2011 13:53

Waarschijnlijk is het zo opgezet dat alleen de bovenstaande statistieken er uit rolden, en niet een volledige lijst met username:password.

Edit: Er is dus toch een waarschuwing

[Reactie gewijzigd door donny007 op dinsdag 13 september 2011 14:07]

Door Rick-Jan, dinsdag 13 september 2011 14:02

als dat zo was, had je een mooie gele balk bovenaan je pagina gezien, met een link naar de .plan en een link om je pass te veranderen.

Door SirBlade, woensdag 14 september 2011 05:46

Dat hangt helemaal af van de output van het systeem. Maakt het systeem en lijst van passwords, of maakt het een lijst van accounts en alleen de length van het password en de tijd die nodig was om de passwords te hacken.

Door Vocalise, dinsdag 13 september 2011 13:55

Door humbug, dinsdag 13 september 2011 13:57

Door Kees, dinsdag 13 september 2011 14:06

Van tweakers.net weet je hoe je wachtwoord opgeslagen is, van andere sites weet je dat meestal niet. En dan heb ik het nog niet eens over malafide sites die jouw wachtwoord bewust onderscheppen, of sites die je wachtwoord in plain tekst opslaan in de database.

En dat is het grote gevaar, niet dat wij weten dat wij je wachtwoord kunnen kraken (zonder die uberhaubt in te zien) dus wij waarschuwen jou dat als wij dat al (zo snel) kunnen doen, dat een echte hacker er nog veel minder moeite mee heeft als er weer ergens een database met wachtwoord hashes lekt (en dat gebeurd regelmatig).

Door Xorsist, dinsdag 13 september 2011 19:39

Van Tweakers.net weet ik dus niet hoe mijn wachtwoord opgeslagen is en ik hoor nu pas dat MD5 gebruikt werd. Dit had vele jaren geleden al verboden moeten worden !

De meeste tools welke gebruikt zijn zullen ook door een hacker gebruikt worden dus stellen dat een echte hacker minder moeite heeft is kul. Ook ik werd gewaarschuwd dat mijn wachtwoord te slap was (bekend) en ik wens ieder programma een prettige wedstrijd met mijn huidige wachtwoord.

Door Cloud, woensdag 14 september 2011 10:29

Een echte hacker zou er waarschijnlijk meer resources tegenaan gooien. Hoe meer rekenkracht, hoe sneller het gaat natuurlijk. Dat is waar Kees op doelt vermoed ik

Denken dat kwaadwillenden dit niet sneller zouden kunnen doen is vrij naïef.

Door damaster, dinsdag 13 september 2011 14:18

Je moet ook niet voor elke site, hetzelfde wachtwoord gebruiken...

Interessant stukje over het kraken van wachtwoorden... link

Ik had gelukkig geen melding, mijn collega echter wel!
Vind het wel netjes dat Tweakers.net op deze manier hun gebruikers waarschuwt!

Daar zouden andere bedrijven nog een hoop van kunnen leren!

Door GateKeaper, dinsdag 13 september 2011 15:37

Nu is er weer een bestand met onbeveilgde wachtwoorden gegenereerd. Joepie.

Er is dus geen bestand met wachtwoorden gegenereerd:

...De benodigde gegevens zijn vernietigd en niet aan derden ter beschikking gesteld. ...

[Reactie gewijzigd door GateKeaper op dinsdag 13 september 2011 15:37]

Door joco, dinsdag 13 september 2011 16:03

hoeveel sites ik wel niet ken die mij mijn echte wachtwoord gewoon kunnen opsturen als ik dat vraag.....

Die slaan het dus allemaal plain text op, wat echt niet meer kan maar ja ze doen het

Dus wat tweakers hier heeft gedaan is niks erger dan al die sites die de wachtwoorden gewoon plain text op slaan. Sterker nog, ik vind die sites eigenlijk veel erger... Die hebben gewoon echt jouw wachtwoord opgeslagen als die lekt hebben ze hem direct.

Door Remmes_NT, woensdag 14 september 2011 09:15

Humbug, wees blij dat het Tweakers zelf is, en niet een of andere persoon die sites hackt voor de lol en dan de hele database op pastebin ofzo zet...

Tweakers.net kon sowieso al bij jou wachtwoorden komen als ze het willen.. en raad eens.. dat hebben ze nog steeds neit gedaan, dus zet AUB dat alu hoedje af en ga eens normaal nadenken

Door harrydg, dinsdag 13 september 2011 13:58

admins beheren de systemen... die kunnen dus kiezen hoe ze wachtwoordenopslaat, ze beheren de site dus doen met je account wat ze willen. Door hun jouw wachtwoord te geven (wat je gedaan hebt bij het creeeren van je account) heb je de admins in vertrouwen genomen.

suck it up of grow up and get out of here

het is wel degelijk een verbetering dat ze er iets aan doen. Stel dat iemand de site kraakt en de gehashte wachtwoorden te pakken krijgt en meer dan de helft is "onveilig", dan weet ik dat liever van de admins van de site die ik vertrouw dan dat ik het later lees in een torrent die een hacker clubje online zet nadat zij hetzelfde doen als de admins hier.

just my 2 cents

ps. als jouw wachtwoord veilig was, weten ze het toch nog altijd niet? enkel als je een slecht paswoord hebt wat iedereen makkelijk kan raden weten ze het, maar dus dan was het ook gemakkelijk te raden en dus al publiek

[Reactie gewijzigd door harrydg op dinsdag 13 september 2011 14:00]

Door ACM, dinsdag 13 september 2011 13:59

De redacteuren hebben geen toegang gehad tot de wachtwoordhashes of wachtwoorden. Zij hebben enkel statistieken gekregen uit ontkoppelde gegevens. Oftewel er was wel een lijst van gekraakte wachtwoorden om de lengte-analyse op te doen, maar die lijst had geen relatie meer tot useraccounts.

De verbetering van de beveiliging zit 'm uiteraard in onze nieuw wachtwoordopslag. Zie de uitleg in de genoemde .plans over hoe PBKDF2 werkt en hoe zich dat verhoudt tov vanilla md5.

Door 3raser, dinsdag 13 september 2011 16:50

Er blijven toch wat vragen hangen.
Dat de redactie geen toegang had tot de wachtwoorden is misschien wel zo, maar de personen die de "test" hebben uitgevoerd hadden dat wel. Dus wachtwoorden inclusief accounts. Hoe konden anders de personen met een zwak wachtwoord een melding krijgen?
En hoe weet Tweakers de lengte van een wachtwoord van 15 karakters? Hebben ze dit wachtwoord dan toch gekraakt? Ik mag aannemen dat de lengte niet wordt vastgelegd omdat dit het risico op kraken enorm vergroot.

Ik begrijp dat dit een onschuldig onderzoek is, maar het doelbewust kraken van wachtwoorden is niet zo onschuldig als het voor veel vertrouwelingen van Tweakers misschien lijkt. Zelfs al hebben jullie er de beste bedoelingen mee.

Door .oisyn, dinsdag 13 september 2011 17:13

Dat de redactie geen toegang had tot de wachtwoorden is misschien wel zo, maar de personen die de "test" hebben uitgevoerd hadden dat wel. Dus wachtwoorden inclusief accounts.

Dat zijn aannames die je maakt, maar die helemaal niet waar hoeven zijn.

In een gecontroleerde omgeving kun je het alsvolgt doen zonder ooit een koppeling te leggen:

Je hebt een database met daarin MD5 hash gekoppeld aan user-id.
De databasebeheerder extract een lijst met alle MD5 hashes uit de database, die geeft hij aan het kraak-team
Het kraak-team kraakt alle MD5 wachtwoorden. Uit het daadwerkelijke wachtwoord halen ze wat gegevens, zoals de lengte. Vervolgens gooien ze het wachtwoord weg. De vergaarde gegevens worden verwerkt in de statistieken die vervolgens aan de auteurs van het artikel gegeven worden, en wat er tot slot aan informatie over blijft bij de MD5 is louter of hij gekraakt was of niet - deze informatie wordt teruggekoppeld naar de databasebeheerder
Om de betreffende users te emailen zoekt de databasebeheerder het user-id op dat de betreffende MD5 heeft gebruikt. Hij weet niet wat het wachtwoord was, maar wel dat hij gekraakt is geweest.

Resultaat: geen enkel persoon heeft op enig moment een koppeling kunnen leggen tussen user en wachtwoord.

[Reactie gewijzigd door .oisyn op dinsdag 13 september 2011 17:15]

Door Donstil, dinsdag 13 september 2011 14:01

Door Waking_The_Dead, dinsdag 13 september 2011 14:01

Och man, serieus... "privacy geschonden". Grow up - als je in je profiel niet gelogen hebt over je geboortedatum dan wordt het wel eens dringend tijd om volwassen te worden.

Tweakers zoekt (deels ten behoeve van de gebruikers, deels ten behoeve van zichzelf) uit welke accounts zwakke paswoorden gebruiken en jij gaat een beetje zeuren....

Door guapper, dinsdag 13 september 2011 14:02

regelmatig van wachtwoord wisselen maakt het NOG veiliger.
Vandaag lijkt me een mooi moment...

Door pe1dnn, dinsdag 13 september 2011 14:18

Broodje aap. Regelmatig wisselen zorgt er voor dat je niet weet weet wat het laatste wachtwoord was waardoor men toevlucht neemt tot óf opschrijven óf een wachtwoord met een teller. Kortom maakt het onveiliger.

Veilig is om een lang wachtwoord te kiezen dat je goed kan onthouden. Bijvoorbeeld "tweakers is een top site!".

Door IStealYourGun, dinsdag 13 september 2011 15:24

Als je paswoord echt gekraakt is dan weet je dat zelden of nooit, zeker als de hacker je enkel bespioneerd (zie: News of the World schandaal). Als je het paswoord af en toe eens verander, zorg je ervoor dat een mogelijke hack ongedaan wordt gemaakt.

Hoe vaak, dat is vrij persoonlijk.
Dat ze mijn tweakers account kraken is niet zo belangrijk, met het gevolg dat het paswoord al 10 jaar oud is (en blijkbaar nog steeds veilig genoeg ^_^).
E-mail, cloud, bank... ja dat verander ik toch wel om de 12 à 18 maand.

[Reactie gewijzigd door IStealYourGun op dinsdag 13 september 2011 15:25]

Door MatthiasDS, dinsdag 13 september 2011 20:13

Regelmatig wisselen zorgt er voor dat je niet weet weet wat het laatste wachtwoord was waardoor men toevlucht neemt tot óf opschrijven óf een wachtwoord met een teller. Kortom maakt het onveiliger.

Of je gebruikt iets als keepass. Hoef je slechts 1 wachtwoord te onthouden, en dat is het dan.

Ik heb het net even nageteld en mijn T.net-wachtwoord bestaat blijkbaar uit 20 karakters. Goed dat ik dat niet hoef te onthouden

Door Emunator, dinsdag 13 september 2011 14:56

Kreeg ook de gele balk op een wachtwoord van 9 tekens.

Dus mijn wachtwoord maar eens veranderd na 9 jaar

Nu is het meer in de trend van : 6^Jhdv!mK4lH

Ik gebruik zelf roboform voor het genereren en onthouden van wachtwoorden tegenwoordig.

[Reactie gewijzigd door Emunator op dinsdag 13 september 2011 14:57]

Door StGermain, dinsdag 13 september 2011 15:52

7 tekens en geen gele balk hier

Door MeNTaL_TO, dinsdag 13 september 2011 16:09

Hier ook 7 karakters en wel een popup, 1 letter veranderd door een hoofdletter en opeens had ik wel een sterk wachtwoord. Snap het algoritme wat tweakers voor die herkenning heeft dus niet helemaal.

Door .oisyn, dinsdag 13 september 2011 14:15

en het vrijgeven hiervan aan bepaalde personen (in ieder geval de auteurs van het artikel)

Eerst wist niemand mijn password. Nu weten jullie admins en de auteurs van dit artikel hem

Leuke aannames die je daar doet. Waaruit blijkt dat? Uit niets. Ze hebben grofweg 200.000 wachtwoorden gekraakt, waarbij het voor het onderzoek niet relevant was om die gekraakte wachtwoorden ook daadwerkelijk op te slaan, laat staan te onthouden. De auteurs van het artikel hoeven voor het schrijven van het artikel niet eens de wachtwoorden te weten, louter de statistieken.

Als je ergens een probleem van wilt maken, vraag jezelf dan liever af hoe t.net is overgeschakeld op een nieuwe manier van opslag van wachtwoorden terwijl het enige dat ze hadden een MD5 van je oude wachtwoord is, en je bij het inloggen ook niet altijd je wachtwoord opstuurt aangezien ze daar (optioneel) een challenge/response systeem voor gebruiken (makkelijk te verklaren overigens, maar imho veel interessanter)

[Reactie gewijzigd door .oisyn op dinsdag 13 september 2011 14:19]

Door Rataplan, dinsdag 13 september 2011 14:23

Als je ergens een probleem van wilt maken, vraag jezelf dan liever af hoe t.net is overgeschakeld op een nieuwe manier van opslag van wachtwoorden terwijl het enige dat ze hadden een MD5 van je oude wachtwoord is, en je bij het inloggen ook niet altijd je wachtwoord opstuurt aangezien ze daar (optioneel) een challenge/response systeem voor gebruiken (makkelijk te verklaren overigens, maar imho veel interessanter)

Dat staat uitgelegd in plan: Development-round-up augustus 2011 - iteratie #4

Door ToeingTheLine, dinsdag 13 september 2011 14:16

Door smokeandnoise, dinsdag 13 september 2011 14:20

Ga jij het maar lekker tot op de bodem uitzoeken.

Zeker niks beters te doen.

Ik heb mijn password gewoon gewijzigd, het was een zwak password waar ik in bijna 10 jaar geen problemen mee heb gehad bij tweakers.

Door wouzy, dinsdag 13 september 2011 14:50

Hier zat ik dus ook al aan te denken.
Hoewel er goede bedoelingen achter zitten en ik de crew van T.net wel vertrouw is het toch privacy-gevoelig om wachtwoorden te gaan hacken in de naam van veiligheid.

Wellicht was het beter om een opt-in systeem vantevoren op te zetten. Hoewel dit de resultaten wel enigszins zou affecteren weet je dan wel zeker dat niemands privacy geschonden wordt.

Verder vind ik het wel een goed initiatief, zeker daar de helft van alle wachtwoorden zó eenvoudig te kraken was.

Door atm0s, dinsdag 13 september 2011 15:45

Wat een overdreven reactie.

Ik ben trouwens één van de 15, ghe, wat een eer.

Maar wat ik me afvraag, hoe weet Tweakers dat er 15 accounts zijn met 15 characters of meer?

Die hebben ze vast niet gekraakt, of hebben ze toch een clearpassword of enkel de lengte opgeslagen?

Door Zoefff, dinsdag 13 september 2011 16:24

Dat weten ze niet? Het artikel geeft aan dat ze 195.000 wachtwoorden eenvoudig konden kraken. Van deze 195k gekraakte wachtwoorden geeft de tabel aan dat er 324 stuks van 15 karakters waren.

Er wordt in de tekst niets gerept over de lengte van de overige, niet gekraakte, wachtwoorden.

[Reactie gewijzigd door Zoefff op dinsdag 13 september 2011 16:24]

Door alx, dinsdag 13 september 2011 16:53

Eerst uitzoeken, dan schreeuwen, tofus.
Dan was je er achter gekomen dat de veiligheid wel degelijk verbeterd is zonder dat admins en auteurs je wachtwoord gezien hebben. (Als je ze niet met je wachtwoord vertrouwt, waarom geef je dat dan?)

[Reactie gewijzigd door alx op dinsdag 13 september 2011 16:55]

Door wouzy, dinsdag 13 september 2011 23:09

"Als je ze niet met je wachtwoord vertrouwt, waarom geef je dat dan?"

Is in mijn ogen ook niet een helemaal eerlijke beredenering. de meeste wachtwoorden worden dusdanig opgeslagen dat voor de admins ook niet (zonder kraken) te achterhalen is wat dit wachtwoord was.

Door alx, woensdag 14 september 2011 23:13

Kan onkraakbaar opgeslagen zijn, maar als het gaat om de achterliggende gegevens, kunnen de admins daar toch wel bij en als het gaat om het wachtwoord zelf (mss voor andere sites), dan zouden de admins/devvers het wachtwoord kunnen zien voordat het door de hash functie gaat. Niemand controleert (handmatig of automatisch) iedere keer dat ie inlogt of de javascript code die tweakers en andere sites je voorschotelen wel ok is.

Door Q, woensdag 14 september 2011 00:29

Als alleen de hash was gedumpt en deze niet tot accounts te herleiden was, dan was dit minder spannend geweest en een leuk onderzoek, maar nu maak ik mij iets meer zorgen over hoe er met die data is omgegaan, aangezien tweeakters.net weet welke accounts een zwak wachtwoord hebben.

Ik zie te weinig informatie over de gehanteerde procedures, welke systemen deze data heft bevat, maar tja, dat gaat verder. Wie kan er bij de tweeakters.net database met user account hashes?

ETc. etc. etc.

Door wizkid_niels, dinsdag 13 september 2011 15:58

Ik gebruik zelf 20 karakters. Keepass <3

Door 247pro, dinsdag 13 september 2011 17:43

En toch vind ik het gek dat ik een geel balkje te zien kreeg dat ik een zwak wachtwoord heb met 5 letters en drie cijfers, waarvan één letter capitalised. Toch maar even het wachtwoord veranderd (en op andere sites ook meteen, gezien die eenzelfde structuur hadden).

Door iemand14, donderdag 15 september 2011 22:12

Één account zonder wachtwoord: opvallend.

Heel grote kans dat in de praktijk die best nog veilig is, je gaat er immers niet vanuit dat iemand geen wachtwoord heeft. Iets goed om te onthouden, niet om toe te passen natuurlijk.

Door corpost, dinsdag 13 september 2011 13:31

Aantal karakters 0

das vast de admin account

zelf vind ik het knap als je een ww van 15 hebt die je ook onthouden kan.

[Reactie gewijzigd door corpost op dinsdag 13 september 2011 13:32]

Door jastas, dinsdag 13 september 2011 13:34

bwa hangt af hoe je wachtwoord eruit ziet.

Als ik mijn nummerplaat (6 tekens) tweemaal neem als wachtwoord heb ik er eentje van 12 tekens, zet er nog iets makkelijks tussen en je komt aan 15.

Door EnsconcE, dinsdag 13 september 2011 13:42

offtopic:
00-XX-XX00-xx-xx

zijn er al 16, inc leestekens, cijfers en hoofdletters

Wat ik interessant vind om te weten is of mijn wachtwoord ook gekraakt is. Kunnen jullie niet een PM oid sturen naar de gekraakten?

Edit:
@hieronder: sorry, ik had je zachte g niet gelezen

@mezelf: plan: Analyse: zwakke wachtwoorden op Tweakers.net

[Reactie gewijzigd door EnsconcE op dinsdag 13 september 2011 17:23]

Door jastas, dinsdag 13 september 2011 13:44

Niet als je in België woont, en al een paar jaar die nummerplaat hebt... wijsneus

bv. xxx-xxx

edit: ok 7 dan met dat streepje erbij...

[Reactie gewijzigd door jastas op dinsdag 13 september 2011 13:45]

Door Eagle Creek, dinsdag 13 september 2011 13:34

Ik heb meerdere wachtwoorden van 12 + - karakters. Kwestie van een bepaalde logica erin, of een password manager gebruiken.

Door Iftert, dinsdag 13 september 2011 13:37

cijfertje, tekentje, hier en daar een letter. En dan zit je zo op 13 tekens. (en dan moeten ze mijn nickname ook nog eens juist weten te spellen

Door Digital-DNA, dinsdag 13 september 2011 13:49

Je kan natuurlijk ook gewoon een zin ipv een wachtwoord gebruiken:

5Pils3Bierkommaarhier!

of gewoon met spaties als dat kan

Door robvanwijk, dinsdag 13 september 2011 14:06

of gewoon met spaties als dat kan

Daar ben ik zelf heel voorzichtig mee; ik zit niet te wachten op een site die, bij het instellen van "5 Pils" als password het opslaat als "5". En het wordt pas echt "leuk" als de logica die je password instelt wel met spaties om kan gaan, maar het inlogformulier niet...

Door Mellow Jack, dinsdag 13 september 2011 13:35

Njah mijn ww is 11 tekens lang dus 1234 er achter zetten is niet zo lastig

Door donny007, dinsdag 13 september 2011 14:01

Het vrijgeven van de wachtwoordlengte maakt het voor een potentiële brute-forcer een stuk makkelijker.

Door Mellow Jack, dinsdag 13 september 2011 14:06

Klopt alleen best jammer dat een dictionary attack weinig zin heeft en een brute force er vrij lang overdoet (niet getest met GPU versnelling met wel met een quad core cpu)

Door Ero-Sensei, woensdag 14 september 2011 09:28

Sterker, ik neem aan dan er bij een brute-force attack op Tweakers wel een belletje gaat rinkelen.

Brute-Froce zou alleen zin hebben wanneer ze de (volledige) database in handen hebben.

Door ApexAlpha, dinsdag 13 september 2011 13:35

Gewoon een bepaald systeem bedenken. Bijvoorbeeld: laatste 3 letters van het hoofddomein + naam van je kind. Zit je op een makkelijk te onthouden, lang wachtwoord dat voor elke site anders is.

Door Rijper, dinsdag 13 september 2011 13:38

Als je dus ergens op een duister domein een account hebt aangemaakt, kunnen zij dus overal bij.

Door ApexAlpha, dinsdag 13 september 2011 13:40

Nee want je wachtwoord voor tweakers is bijvoorbeeld:
ersanita (ers = laatste van tweakers en anita = random naam).
Maar voor google is je w8woord gleanita.

Door friggler, dinsdag 13 september 2011 13:45

Door robvanwijk, dinsdag 13 september 2011 14:09

maar ik heb ook totaal geen zin om het uit te leggen

Reageer dan niet...

Jullie hebben allebei een beetje gelijk; als een systeem overduidelijk is, dan kan de aanvaller ook wel gokken hoe het systeem werkt. Als ie een database van miljoenen uitgelekte accounts heeft dan is dat niet erg; dan automatiseer je de controle of je er ergens anders mee binnenkomt, lukt niet en de scan gaat naar de volgende. Als een klein aantal accounts uitlekt, dan controleer je handmatig of je er iets aan hebt en dan zal een simpel systeem mogelijk wel gezien worden.

Door Rijper, dinsdag 13 september 2011 14:30

Volgens mij begrijp jij het ook niet helemaal, dus laat ik het toch maar uitleggen: stel bij de PirateBay heeft iemand met de username "ApexAlpha" het password 'bayanita', en stel de PirateBay is een dubieuze site die wachtwoorden gebruikt om illegale dingen mee te doen. Zij kunnen dan gemakkelijk gokken dat bij Hotmail iemand met de username "ApexAlpha" het password "mailanita" of "ailanita" heeft.

Door ApexAlpha, dinsdag 13 september 2011 16:40

Klopt maar mijn systeem is slechts een voorbeeld... je kan het zo moeilijk maken als je zelf wil.

Door Rijper, dinsdag 13 september 2011 13:45

Dus jouw wachtwoord voor bol.com is bolanita. Je krijgt zometeen de rekening wel toegestuurd

Door Derr_Hans, dinsdag 13 september 2011 14:49

Beetje krom, want is zijn gebruikersnaam het zelfde op Bol ?
Dus hoe weet je dan dat het om deze persoon gaat ?

Daarnaast kan zijn systeem goed werken, mits zijn dochter een andere naam heeft als anita. Want 3+5= nog maar 8 karakters.

Door Rijper, dinsdag 13 september 2011 15:04

Misschien niet, maar ik neem aan dat iemand op een dergelijke manier wachtwoorden maakt die makkelijk te onthouden zijn, het zichzelf niet moeilijk gaat maken door overal andere gebruikersnamen te verzinnen. Op heel veel sites is je mailadres je username, dus een dubieuze site die je mailadres inclusief gecombineerd wachtwoord heeft kan in ieder geval proberen.

Daarnaast kan zijn systeem goed werken, mits zijn dochter een andere naam heeft als anita. Want 3+5= nog maar 8 karakters.

Ik begrijp niet wat je hiermee bedoelt. De naam is nl. niet van belang, en deze was sowieso fictief.

[Reactie gewijzigd door Rijper op dinsdag 13 september 2011 15:18]

Door Freee!!, dinsdag 13 september 2011 15:44

Op heel veel sites is je mailadres je username, dus een dubieuze site die je mailadres inclusief gecombineerd wachtwoord heeft kan in ieder geval proberen.

Een beetje tweaker ondervangt dat door voor iedere site een ander e-mailadres te gebruiken (met dank aan catch all

). Is ook handig om te zien welke sites/bedrijven e-mailadressen doorverkopen

Door Webdoc, dinsdag 13 september 2011 13:36

Er was hier laatst iemand die een cartoon had geplaatst over wachtwoord policies... daarbij wordt juist aangeraden om een lang wachtwoord te maken, maar dan niet

"35365$GT$YB$#YT#"

maar meer zoiets als

"appels en nog wat peren is best lekker samen"

want dan heb je WEL een heel lang wachtwoord, maar ook 1 die je ERG makkelijk kan onthouden. Makkelijk voor mensen, moeilijk voor computers

En dat wil je.

[als reactie hier onder]
Je kan natuurlijk ook een website-sensitive wachtwoord maken - zoals voor Tweakers bijvoorbeeld "even wat lezen over hardware en zo!" - en klaar. Dat zal per persoon anders zijn, en voor een anonieme computer die in china wat wachtwoordjes staat te kraken is dat ECHT niet een zin die bij hem opkomt!

[Reactie gewijzigd door Webdoc op dinsdag 13 september 2011 14:23]

Door -GSF-JohnDoe, dinsdag 13 september 2011 13:37

deze: http://xkcd.com/936/

Door Stefandepefan, dinsdag 13 september 2011 13:37

http://xkcd.com/936/

Deze inderdaad. Heeft me ook inspiratie gegeven voor een nieuw wachtwoord.

Door tiddo3, dinsdag 13 september 2011 13:54

Ja, maar wat er niet bij gezegd werd is dat je met dictonary attacks dit veel en veel sneller heb gekraakt, zoals hierboven mij al vaker is gezegd. Het beste is dus een combinatie van makkelijk onthoudbare woorden en leestekens.

Door robvanwijk, dinsdag 13 september 2011 14:13

Nee, dat kost zelfs met een dictionary attack (de entropie-bits onder correct horse battery staple hebben betrekking op een dictionary attack, vandaar ook dat het aantal bij elk woord gelijk is) meer tijd dan een kort "random" password.
@GSF en Stefan: linken naar XKCD om 13:37, goede timing

Door tiddo3, woensdag 14 september 2011 08:54

Je hebt gelijk, sorry te vroeg geoordeeld.

Door Webdoc, dinsdag 13 september 2011 14:21

Dat valt volgens mij wil mee als je veel woorden gebruikt. Ik denk niet dat veel dictionary attacks meer dan 5 woorden aan elkaar gaan sleutelen. Desnoods doe je er wat comma's tussen - dan is het echt zeer moeilijk te kraken. Bijkomende voordeel is ook dat je dan geen briefjes op de monitor hoeft te maken

Door ADQ, dinsdag 13 september 2011 13:50

Simpele sommetjes zouden kennelijk ook hier goed geholpen hebben.
Gewoon een wachtwoord als Q256/16=A4^2
12 karakters waarje makkelijk nog eens g03d aan kan toevoegen voor een 16 karakter wachtwoord.

Door Timo002, dinsdag 13 september 2011 13:51

Inderdaad een goede tip! Echter, hoe ga je dat doen met 5 verschillende wachtwoorden? Dan wordt het toch weer ingewikkeld!

Door Murk, woensdag 14 september 2011 13:47

Mjop, mijn wachtwoord is zelfs 19 karakters, samengesteld uit een cryptisch ding zoals 3itra6&$A en daarna nog een lang woord (de exacte verhoudingen ga ik natuurlijk niet prijsgeven

). Ik gebruik vaak combinaties en variaties van mijn wachtwoorden, waardoor ik af en toe wel een aantal keer een fout wachtwoord in typ hier en daar.

Mijn backbone is wel mijn email adres, als ik een keer ergens écht me wachtwoord niet herinner dan doe ik retrieve password. Daarom wil ik op me mail dan ook een zo sterk mogelijk ww hebben, alleen gaat Windows Live mail maar tot 16 characters

. En daar waarschuwen ze ook niet voor, nee, maar je kan gewoon max 16 chars invullen in het wachtwoordveld, zo ook bij WLM...

Ik doe nog wel te vaak 'wachtwoord onthouden' in firefox met Xmarks enzo, denk dat het beter is om dat een keertje te verwijderen..

Door The_Worst, dinsdag 13 september 2011 13:38

Hottentottententententoonstelling is toch lang en makkelijk te onthouden.

Er zijn uiteraard programma's beschikbaar die je wachtwoord onthouden. Zo gebruik ik Keepass en zijn er nog maar een paar wachtwoorden die ik echt weet.

Door Exorcist, dinsdag 13 september 2011 13:54

Maar feitelijk 1 woord, wat in een dictionary zou kunnen staan. Beter is een samenstelling van woorden die feitelijk weinig met elkaar van doen hebben.

Door mngm, dinsdag 13 september 2011 14:04

Maar dan weer heel slecht omdat het gewoon een woord is dat zeker in tal van woordenlijsten staat.

Door Rijper, dinsdag 13 september 2011 14:36

Laten we zeggen, 1 van de 10000 gebruikelijke woorden in een woordenlijst. 4 woorden achter elkaar betekent dus 10000 * 10000 * 10000 * 10000 mogelijkheden. Ongeveer gelijk aan 8 willekeurige tekens (hoofd- en kleine letters, cijfers, interpuncties) achter elkaar, maar veel gemakkelijker te onthouden.

Door Eonfge, dinsdag 13 september 2011 15:17

Even voor je nagekeken

hotten
hottentot
hottentots
hottentotse
hottentotten

even verderop:
tenten

en:
tentoonstellen
tentoonstelling
tentoonstellingen

het hele wachtwoord, en enkele aanverwanten bestaat volgens de lijsten die ik heb uit drie delen. Technisch is het net zo ingewikkeld te kraken als aap-noot-mies.

Door ClementL, dinsdag 13 september 2011 13:38

*oeps* Beter lezen.

[Reactie gewijzigd door ClementL op dinsdag 13 september 2011 13:54]

Door torp, dinsdag 13 september 2011 14:48

Door PapoNL, dinsdag 13 september 2011 13:40

uhm lang wachtwoord onthouden is gewoon kwestie van herhalen herhalen herhalen herhalen herhalen blablabla

Door stverschoof, dinsdag 13 september 2011 13:40

Heb er zelf 1 van 15 tekens, prima te onthouden

Door .oisyn, dinsdag 13 september 2011 13:45

"hoi dit is mijn wachtwoord"

26 tekens, sterk, makkelijk te onthouden.

Door Wh4ck0, dinsdag 13 september 2011 14:25

"Hoi nu niet meer ;)"

hehe, jah ik gebruik regels uit songteksten

makkelijk te onthouden, moeilijk te kraken. of je moet precies weten welk lied

Door GJvdZ, dinsdag 13 september 2011 13:48

even zoeken naar een nickname van 15 karakters :-)

Door vdvleon, dinsdag 13 september 2011 13:58

Tja, heb zelf een wachtwoord van 13. Prima te onthouden

Door Kiswum, dinsdag 13 september 2011 14:08

Ik gebruik zelf 24 karakters voor mijn draadloze verbinding thuis.

Inmiddels ken ik hem gelukkig uit mijn hoofd.
15 karakters is makkelijk haalbaar zoals bijvoorbeeld te zien is in het voorbeeld van Jastas hier boven.

Door g4wx3, dinsdag 13 september 2011 14:16

VoorbeeldWachtwoord: Noord-Brabant_6029

Hoeveel tekens?

Door wouzy, dinsdag 13 september 2011 14:52

Ik ben ooit begonnen met een wachtwoord van 6 cijfers en heb deze af en toe een keer uitgebreid met 3 extra getallen. Ik ga dit wachtwoord nooit meer vergeten, en heb het er razendsnel uit gestampt op een num-pad. ( De eerste keer op een laptop zonder num-pad was licht problematisch though

)

Door Ero-Sensei, woensdag 14 september 2011 09:36

Nadeel is alleen dat er maar 10 cijfers zijn, terwijl je met een letter / cijfercombinaties op alle plekken 36 keuzes hebt... Brute-Froce wordt bij jouw dus niet al te lastig.

Het enige wat lastig wordt is gokken adhv logica,,

Door wouzy, woensdag 14 september 2011 18:59

Ik ben eens gaan kijken in hoeverre dit daadwerkelijk waar was.

Via google ben ik bij deze website uitgekomen welke een mooie calculator aanbied om uit te rekenen hoe lang het duurt om een wachtwoord te kraken met pure brute force.

Zie hier het resultaat.

Op 1 pc is het in ieder geval niet te doen (3,3 jaar), en je hebt er meer dan 1200 nodig om de tijd te reduceren tot minder dan 24u.

Ik acht mijn wachtwoord nu toch aardig veilig

.

Edit: ik heb het even terug gerekend, en ze gaan uit van 2.386.093 pogingen per seconde. ik weet niet hoe realistisch dit is. Ben aan het zoeken, maar is lastig te vinden.

Edit 2: op deze website wordt er dmv een Radeon 5770 3.3miljard pogingen gemaakt per seconde, dus ruim een factor 1300 (!) sneller dan door MandyLion beweerd wordt.
Met 1 redelijk normale pc is het dus mogelijk om een 15cijferig wachtwoord te kraken in minder dan 24u. Toch een stuk minder veilig dan ik oorspronkelijk dacht.

Edit 3: Een vriend wees me er op dat ((10^15) / 3.300.000.000) / (60 * 60 * 24) = 3,50729517 dagen. Ik weet niet wat die excel formules van MandyLion doen..maar dat scheelt toch behoorlijk. Iemand opheldering?

[Reactie gewijzigd door wouzy op woensdag 14 september 2011 21:37]

Door struik978, dinsdag 13 september 2011 13:31

Tja tja ... waar ik meer mee zit is dat een aantal jaren geleden jullie een storing hadden en je toen een ander gebruikersnaam kreeg. Ik heb nu een gek nr erachter maar dat kan ik ook niet veranderen.

Door JBS, dinsdag 13 september 2011 13:34

Je kunt hier een nickname change aanvragen: http://gathering.tweakers...q/forum_faq#hoenickchange

[Reactie gewijzigd door JBS op dinsdag 13 september 2011 13:34]

Door eXtink, dinsdag 13 september 2011 13:34

Er is een speciaal forum waar je je naam kunt laten veranderen:
http://gathering.tweakers.net/forum/list_topics/26

Door Carpento, dinsdag 13 september 2011 13:34

Ik denk dat jij doelt op de merge van destijds, en als het goed is heb je daar gewoon je voorkeur kunnen opgeven voor je nieuwe username. Als je dat niet deed wérd er idd gekozen, en dan kwamen er zover ik me kan herinneren idd cijfertjes bij

Door Ghost Dog, dinsdag 13 september 2011 13:36

Jawel hoor, dat kan je in Schop een Modje aanvragen. Daar een topic aanmaken:

[Nickchange] 'struik978' -> '$naam'

[Reactie gewijzigd door Ghost Dog op dinsdag 13 september 2011 13:37]

Door MasterMaarten, dinsdag 13 september 2011 13:32

Ik had ook een zwak wachtwoord. Handig dat ze dit even melden.

Door Stefandepefan, dinsdag 13 september 2011 13:36

Jup! Gelijk even veranderd naar iets compleet nieuws, wat niet standaard in mijn wachtwoordenlijstje voorkomt

Door metaal, dinsdag 13 september 2011 13:41

Ik heb ook een zwak wachtwoord, jullie mogen het allemaal weten. Ik zou ook niet weten wat iemand mijn miijn tweakers.net accountje moet....

Minder leuk idee dat de jongens en meisjes van T.net gewoon onze wachtwoorden lopen te kraken. Weet je ook weer hoeveel vertrouwen je moet hebben in deze site. Suf.

edit:
Uiteraard is mijn email wachtwoord wel behoorlijk wat sterker, en zeker niet hetzelfde als een wachtwoord op welke site dan ook.

[Reactie gewijzigd door metaal op dinsdag 13 september 2011 21:09]

Door Slarioux, dinsdag 13 september 2011 13:46

Aangezien je zelf zo weinig waarde hecht aan je account, zou dat maar weinig uit moeten maken.

Door Deveon, dinsdag 13 september 2011 13:53

Beetje dubbelzinnige reactie. Eerst maakt het je niet uit en dan wel.

Dit alles doet me wel een beetje denken mijn MMO tijd waar er account gehacked werden doordat mensen hetzelfde wachtwoord voor hun email hadden als voor het guildforum

Door Diradical, dinsdag 13 september 2011 13:54

Sommige mensen gebruiken maar 1 of 2 wachtwoorden.
Dus als je T.net pwd ook gebruikt bij hotmail\gmail\twitter\facebook\hyves\etc kunnen ze misschien belangrijkere accounts van je gebruiken

Door Countess, dinsdag 13 september 2011 14:32

Minder leuk idee dat de jongens en meisjes van T.net gewoon onze wachtwoorden lopen te kraken. Weet je ook weer hoeveel vertrouwen je moet hebben in deze site. Suf.

het lijkt er toch op dat ze er vertrouwelijk mee om zijn gegaan.

en ik weet niet hoe het met jouw zit maar mijn simpel wachtwoord hier is het niet zelfde als mijn wachtwoord voor mijn e-mail of bankzaken.

[Reactie gewijzigd door Countess op dinsdag 13 september 2011 14:35]

Door ZenTex, dinsdag 13 september 2011 13:32

Haha. Krijg net een berichtje dat m'n pass te zwak is. Vindt het nogal meevallen eigenlijk.

8 karakters waaronder capitals en cijfers. Zo te zien in de tabel toch nog 1 van de betere wachtwoorden.

[Reactie gewijzigd door ZenTex op dinsdag 13 september 2011 13:38]

Door Zoijar, dinsdag 13 september 2011 13:36

Voor mij ook eigenlijk een verbazing. Niet dat het echt sterk is, 8 willekeurige karakters met cijfers erin en geen bekende woorden, maar toch.

Door Jegorex, dinsdag 13 september 2011 13:43

Als je hetzelfde wachtwoord op meerdere sites gebruikt en 1 van die websites is ooit gehacked dan kan je wachtwoord zijn opgenomen in een van de rainbow tables.

Door .oisyn, dinsdag 13 september 2011 13:55

Zoals je uit het artikel kunt deduceren hebben ze dus geen rainbow tables gebruikt.

Door ACM, dinsdag 13 september 2011 14:53

Maar wel gepubliceerde lijsten met reeds gekraakte wachtwoorden (de plain texts dus) van elders uitgevoerde hacks

Door Baggeraar, dinsdag 13 september 2011 13:47

Zelfde hier.. Wat is er mis met Azerty123?
toch maar even veranderen dan.

Door _MaKo_, dinsdag 13 september 2011 20:29

Maak er Qwerty123 van. Dat typt makkelijker op mijn klavier.

Door Sake, dinsdag 13 september 2011 13:32

Schuldig. Gelijk even aangepast.

Door DitisKees, dinsdag 13 september 2011 13:32

Krijgen die account nu ook een pb'tje dat ze een sterker wachtwoord moeten maken?

edit: ja dus, zie bovenstaande (gelijktijdige) reacties.

[Reactie gewijzigd door DitisKees op dinsdag 13 september 2011 13:36]

Door Freee!!, dinsdag 13 september 2011 13:33

Zie:

Ik had ook een zwak wachtwoord. Handig dat ze dit even melden.

Haha. Krijg net een berichtje dat m'n pass te zwak is. Vindt het nogal meevallen eigenlijk.

[Reactie gewijzigd door Freee!! op dinsdag 13 september 2011 13:34]

Door AzzKickah, dinsdag 13 september 2011 13:33

Oh dan ben ik wel heel erg benieuwd hoe lang het bij mijn wachtwoord duurde

Ik heb cijfers, kleine letters en hoofdletters.

Door Kees, dinsdag 13 september 2011 13:40

Als je een melding voor kreeg, dan was je ww binnen enkele miliseconden gekraakt, gemiddeldde tijd per wachtwoord was 12 miliseconden ongeveer.

Door Travelan, dinsdag 13 september 2011 13:33

Had iemand nou echt een wachtwoord van 0 karakters of is dat een dummy account? Ik ben eigenlijk wel benieuwd hoe lang het heeft geduurd voordat (en uberhaupt of) mijn wachtwoord gekraakt is.

Door rayhvh, dinsdag 13 september 2011 13:33

account zonder wachtwoord kan dat

« 1 2 3 4 ... 16 17 »

Op dit item kan niet meer gereageerd worden.

13:48	Logitech brengt Wireless Touchpad op de markt
13:12	Plaatje van HTC's Android-telefoon met 4,7"-scherm verschijnt

Nieuws I/O

Shortcuts

Categorieën

Lees meer over

Gerelateerde content

Gerelateerde jobs

Reacties

11:07 Nieuws

08:24 Productreviews

11:21 Vraag & Aanbod

22-02 Jobs

11:00 Etc.

11:22 Reacties

11:22 Forum

20-02 Gesponsorde acties

09:59 Tweakblogs

10:52 Computable headlines

08:50 CRN headlines