Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 103 reacties

Kwaadwillenden hebben bij 93.000 leden van PlayStation Network en Sony Entertainment Online-service het wachtwoord gekraakt. De gekraakte wachtwoorden kwamen vermoedelijk uit uitgelekte databases van andere diensten.

De kraakpoging is geslaagd bij 60.000 klanten van PSN en Sony Entertainment Network, en bij 33.000 leden van Sony Entertainment Online. Dat heeft Sony zelf bekendgemaakt. De PlayStation-maker heeft de bewuste accounts op slot gezet en analyseert of kwaadwillenden iets hebben gedaan met de gekraakte accounts. Sony beweert dat op de gekraakte accounts niet veel activiteit is geweest.

Kwaadwillenden konden de kraakpoging doen door loginnamen en wachtwoorden te gebruiken die afkomstig zijn van uitgelekte databases van andere diensten, suggereert Sony. Veel mensen gebruiken voor diverse diensten dezelfde gebruikersnamen en wachtwoorden, waardoor zij vatbaar zijn voor dit soort kraakpogingen. Sony kwam de kraak op het spoor toen er veel loginpogingen achter elkaar waren gedaan.

Klanten die getroffen zijn door de kraakpoging kunnen tijdelijk niet inloggen. Creditcardgegevens zijn niet in het geding geweest, zegt Sony. Zij krijgen een e-mail met instructies om hun account weer te activeren. De kraak is gelukt bij minder dan 0,1 procent van de accounts, claimt Sony. Dit voorjaar werd PlayStation Network gehackt. Bij deze hack, veel geraffineerder dan de recente kraakpoging, werden de accountgegevens van tientallen miljoenen PSN-gebruikers ontvreemd.

Reacties (103)

Reactiefilter:-1103094+148+22+30
Moderatie-faq Wijzig weergave
Dit laat maar weer zien dat het hele wachtwoorden systeem achterhaald is..

Als je zo veel verschillende diensten gebruikt ga je natuurlijk niet overal een ander wachtwoord gebruiken. Dat kun je dan gewoon niet meer onthouden.... Moeten snel met een andere oplossing komen... zijn genoeg alternatieven..
Ik geloof jou hoor, dat het wachtwoordsysteem achterhaald is, maar wat is dan een even goed alternatief?
Een token gebruiken. Bij Blizzard gebruiken ze zelfs apps voor smartphones als tokens, ideaal.
Een token of vingerafdruk is een oplossing, echter tussen de token/vingerafdrukapparaat zit nog altijd de computer (bij goed beveiligde sites is dat de zwakste schakel). Mocht die geinfecteerd zijn dan is de toegevoegde waarde van deze, en alle andere pogingen tot goed beveiligen weg.
Het enige, echt veilige, system wat hier geen last van heeft is Two Way Authentication. Een voorbeld hiervan: je vult je username plus evt password in op een website, en vervolgens komt er een bericht op je mobiel wat vraagt of jŪj het bent die wilt inloggen.
Mocht je wachtwoord gestolen zijn, dan is dit geen probleen, zonder toestemming van jou, via je mobiel, kan er niet ingelogd worden.
Kan zelfs nog gebruikersvriendelijker worden dan het systeem met en username en pass, je hoeft namelijk alleen nog op je mobiel toegang te verlenen!
(Sinds mobiel ook niet 100% veilig is kan die natuurlijk ook vervangen worden met een ander apparaat wat directe(3g) internetverbinding heeft)

[Reactie gewijzigd door RubieV op 12 oktober 2011 11:02]

enuh, wat maakt die token veel veiliger dan een wachtwoordsysteem? uiteindelijk is het immers ook een soort van wachtwoord..
Ik vind het vingerafdruk wel goed. Je kent het wel van die laptops die alleen met jouwn duim of iets dergelijks unlocked kunnen worden. Ik snap dat dit misschien tegen de privacy in gaat maar het zou wel nice wezen als een extra feature.

@robkrauts ja daar heb ik er ook 1 van maar om nou voor elke site een token te gebruiken -.-' of ze moeten het voor elkaar zien te krijgen dat je 1 token voor meerdere sites kan gebruik maar goed dat zal waarschijnlijk nooit gebeuren.

[Reactie gewijzigd door Hylix op 12 oktober 2011 08:12]

Ik vind het vingerafdruk wel goed.
Als je gewone password uitlekt dan kun je dat makkelijk genoeg wijzigen. Het nadeel van alle biometrische methoden is dat het wijzigen van "het password" nogal lastig is...
Om nog maar niet te spreken van het (tijdelijk) verlies van je "password".
[...]

Als je gewone password uitlekt dan kun je dat makkelijk genoeg wijzigen. Het nadeel van alle biometrische methoden is dat het wijzigen van "het password" nogal lastig is...
leuk als je je vinger kwijtraakt of wegslijt door werken ;)
als je een token voor meerdere sites kunt gebruiken, heb je meteen weer een beveiligingsprobleem....
Tegenwoordig kan dat dus prima op je smartphone :) even er van uit gaan dat je die niet kwijt raakt natuurlijk... Dan kun je daar gewoon meerdere apps op zetten voor iedere dienst die je gebruikt..

Genoeg oplossingen dus :)
Ja inderdaad zat ik ook aan te denken maar ben jij even van plan om een stuk of 50+ tokens thuis te hebben liggen voor elke site waar je je registreert 1?
nee dat niet, maar daarom is het goed dat er geen tokens gebruikt hoeven te worden voor sites.... stel je voor. ik registreer me op een site uit rusland, moet ik eerst wachten op de token voordat ik er iets kan doen....
wel grappig DigiD is ook 1 login(token) voor meerdere websites

en dat is ook geen probleem ;)

[Reactie gewijzigd door ocwil op 12 oktober 2011 08:23]

wel grappig DigiD is ook 1 login(token) voor meerdere websites

en dat is ook geen probleem ;)
shhh diginotar ;) ;)
tja, en jouw vingerafdruk is niet te achterhalen met een soort van 'keylogger'? ofwel net zo onveilig als een wachtwoord, hell misschien zelf onveiliger, omdat je een wachtwoord kunt wijzigen, maar jouw vingerafdruk niet.. en vergeet niet dat je dan ook niet zou kunnen inloggen als je bv een beschadiging oploopt zoals een verbranding of een grove snijwond..
Je kan toch een eigen algoritme verzinnen zodat je per site verschillende wachtwoorden krijgt...
Nou is het de schuld van die slimmetjes welke hetzelfde pw gebruiken voor elk account ipv sony dus betwijfel of Sony gratis games gaat geven
Het is ook niet de schuld van die mensen. Ik ben het met je eens dat het dom is om voor meerdere dingen dezelfde combinatie te gebruiken, maar het is nog altijd de schuld van het bedrijf waar de user/pass combo is gelekt.
Maar het is dus maar de vraag waar de informatie vandaan komt die gebruikt is, en dat zal blijven gissen..

uiteindelijk bestaat er geen 1 veilige website, elke site is wel te hacken, want wat vandaag superveilig is, kan morgen blijken dat het zo lek is als een mandje...
In mijn geval:

2 clan forums
Fok forum
Tweakers.net
EA account
Steam account
PSN account
Gmail account
ISP account
2 accounts voor andere games
2 accounts voor mijn werk
diverse andere forums
creditcard account
paypal account
ebay account
marktplaats account

En noem maar op wat nog wel niet meer.... Al die registraties die je tegenwoordig voor alles moet doen en dan overal een apart wachtwoord voor om te onthouden?
K heb gelukkig KeePass zodat iig verschillende wachtwoorden heb voor ideal, moneybookers, paypal en al die andere online betaal sites.
Het voordeel hiervan is dat als een account gekraakt wordt, dat het alleen bij die site specifiek is.
Nadeel ervan, ik kan moeilijk alle wachtwoorden onthouden.
Ik raad iedereen ook aan om aparte wachtwoorden te nemen voor de belangrijke dingen zoals banklogin en bijv ps3.
Ik heb inderdaad ook voor belangrijke sites (bank, paypal, digid, etc) allemaal verschillende wachtwoorden. Maar om nou m'n ps3 account belangrijk te noemen, nee. Ik heb dan ook geen creditcard eraan gekoppeld dat scheelt ongetwijfeld.
LastPass is ook een aanrader, die integreert in de browser
Ik moet dan altijd denken aan initiatieven als OpenID, die een mogelijke oplossing hiervoor zouden kunnen zijn... aangezien je met 1 account op verschillende websites kan inloggen. Je paswoord zelf wordt niet bij al deze websites opgeslaan, wat het toch al meteen wat veiliger maakt.

Nog een pluspunt: je kan zelf kiezen waar je je account aanmaakt (en waar je paswoord dus is opgeslaan). Hierdoor krijg je de mogelijkheid een provider te kiezen die je "vertrouwt". En als je helemaal niemand vertrouwt, kan je nog altijd zelf een OpenID provider hosten :P

Alleen spijtig dat een dergelijk systeem niet beter verspreid is geraakt. Ik vermoed dat de meeste mensen hier nog niet klaar voor zijn.

edit: linkje naar OpenID:
http://openid.net

[Reactie gewijzigd door bvanaerde op 12 oktober 2011 09:33]

Open ID zal maar gekraakt worden, dan ben je mooi klaar.
Dan kan iemand op al je websites enz. inloggen, lijkt me.
Nog afgezien van het privacy probleem: Eťn centrale dabase dat bijhoudt waar je allemaal inlogt.
Ik moet er echt niet aan denken dat zoiets doorzet.
Ook het kiezen van allemaal verschillende wachtwoorden lost dit probleem niet op. Ik vermoed dat de meeste van bovenstaande accounts geregistreerd staan op je enkele Gmail account. Verlies dat wachtwoord en alleen het "wachtwoord vergeten" knopje zit nog tussen de hacker en jou accounts.
Je impliceert hoop ik niet dat je voor een clan forum (waarvan je eventueel niet weet hoe veilig de password-database is) hetzelfde wachtwoord gebruikt als accounts op je werk (waar je volgens je profiel systeem-/netwerkbeheerder bent)?

Aparte wachtwoorden hoeft ook niet zo lastig te zijn... Laatst las ik van iemand hier de tip om een 'vast' deel te gebruiken, en dit aan te vullen met een 'variabel' deel per site (bijvoorbeeld de eerste & laatste letters van de site ervoor en erachter plakken).

Als iemand je wachtwoorden ziet, zou die nog slim genoeg kunnen zijn om je truuk te doorzien, maar voor automatische scripts ben je hiermee wel redelijk safe.
Uiteraard gebruik ik wel andere wachtwoorden voor categorieŽn waar ik ze in indeel, bijvoorbeeld: niet zo belangrijk, belangrijk, heel erg belangrijk, maar mijn post doelt er eigenlijk meer op dat het tegenwoordig allemaal zoveel is waar je wel een account voor moet hebben en je het dus men niet meer kwalijk kan nemen dat ze voor veel dingen hetzelfde gebruiken.
Probleem bij wachtwoorden is dat je maar een beperkte lengte wachtwoord mag gebruiken, meestal ligt het gemiddelde tussen de 6-16.

Persoonlijk zou ik graag langere wachtwoorden gebruiken, zodat ik bijvoorbeeld de site naam als variabel deel kan inzetten. Bijv. in dit geval: Tweakers.net-<mijn wachtwoord>.
En jij denkt als iemand een database hackt en ziet dat jij wachtwoord hier gelijk is aan Tweakers.net_cookiemonster, hij niet kan voorspellen dat je op paypal paypal_cookiemonster gebruikt? (of paypal.nl/paypal.com).
Los van dat je een password tool kunt gebruik zou je ook gebruik kunnen maken van een soort van basis wachtwoord (laten we zeggen 'Abc-1@3') en daarna dan enkele kenmerken aan toevoegen voor elk netwerk. Voor t.net zou je 'Tn' kunnen toevoegen. Ga je naar webwereld, dan voeg je 'Ww' eraan toe. Op die manier heb je wel voor elk account een uniek wachtwoord, maar zijn deze wel redelijk eenvoudig te onthouden..

Als als het t.net wachtwoord ooit mocht uitlekken, dan kan dat wachtwoord (zelfs als deze er plaintext mocht instaan - wat niet het geval is) niet gebruikt worden op een andere website.

Overigens hou ik de wachtwoorden van mijn werk-account en op mijn computer thuis wel (handmatig) in sync omdat wij elke twee maanden het wachtwoord moeten wijzigen..
Ik gebruik zelf keepass.
En voor veel van de accounts hoef je ze maar 1x in te voeren en bijvoorbeeld eens in de 3maanden aan te passen.
Tjah, als inderdaad de wachtwoorden uit een andere database kwamen, kan je weinig schuld aan sony geven. Alleen dan wellicht een IP blokkeren na een bepaald aantal foute logins?

Hoe dan ook, deze keer lijkt Sony er van te hebben geleerd, en brengen ze het gelijk naar buiten. Geen geheimzinnigheid zoals bij de hacks voorheen.
Ik vrees dat dat alleen een kleine drempel is voor de meer geavanceerde hackers. Zelfs de huis tuin en keuken-hacker gebruikt proxy's tegenwoordig en een systeem als deze is ook weerloos tegen botnets.

Het systeem van Facebook vind ik wel erg slim, een vergelijkbaar systeem is wellicht breder toepasbaar. Inloggen van een bekend IP/systeem werkt zonder problemen, echter wordt er voor aanvullende authenticatie gevraagd bij een onbekende inlogpoging.
op ip liever niet, krijg regelmatig (zowat elke dag ;) ) een ander ip.
andere systeem afhankelijke data is veel beter.
Lees nou eens, want PSN is niet gehackt.

Je zegt zelf dat je al een jaar niet online bent geweest, dus ze kunnen ook je gegevens niet hebben want je account staat dan sinds de PSN hack nog op inactief.

Verder (als ik de officiŽle verklaring lees van Sony http://blog.eu.playstatio...ormation-security-officer)

Gaat het om een 3de partij die gehackt is (niet Sony dus) waar wachtwoorden en mail adressen zijn buitgemaakt.
Met deze wachtwoorden en mail adressen hebben ze een bruteforce attack op PSN gedaan (dat wilt zeggen dat ze massaal op accounts proberen in te loggen om te kijken of er wachtwoorden en mail adressen overeenkomen)

Dat is dan toch geen beveiligingsfout van Sony lijkt me !? Lijkt me eerder knullig omgaan met je gegevens van gebruikers zelf door bij elke dienst waar een account aangemaakt moet worden hetzelfde mail adres en wachtwoord te gebruiken......

Correcte me if i'm wrong
Leer lezen, dit heeft niets met sony zelf te maken het is deze keerl allemaal de schuld van een derde partij.
Kwaadwillenden, is dat de nieuwe naam tegenwoordig van hackers ? Dit om een onderscheid te maken met de goedwillende hackers ;)
Waarschijnlijk omdat je tegenwoordig ook al een 'hacker' bent als je de voicemail van iemand anders afluisterd. Denk dat ze het woord wat minder willen gebruiken, omdat het nogal gehyped is de laatste tijd ;)
De term hacker word tegenwoordig ook gebruikt voor cracker.
Hacker hackt voor verbeteringen aan te geven en een cracker is bezig voor criminele doeleinden.
Jammer dat het zo gaat, want zodra een doorsnee burger hacker hoort word deze al met argus ogen aangekeken.
All credits for the media of course
reditcardgegevens zijn niet in het geding geweest, zegt Sony.
Waar hebben we dat ook alweer eerder gehoord...? Oh ja, toen Sony een tijdje geleden zelf gehacked werd... en toen achteraf bleek dat er wel creditcardgegevens gestolen waren...
Ik weet dat Sony in dit geval weinig te verwijten valt, password-hergebruik kun je weinig aan doen, maar toch blijf ik wat huiverig om ze wat die creditcardgegevens betreft zomaar op hun woord te geloven.
@Infury even goed lezen. Het gaat om accounts waarbij bij 3de partijen hetzelfde mail adres en wachtwoord is gebruikt als bij PSN
Klanten die getroffen zijn door de kraakpoging kunnen tijdelijk niet inloggen. ... Zij krijgen een e-mail met instructies om hun account weer te activeren.
Leuk dit stukje. Als die klanten hun PSN account verliezen omdat ze ergens anders hetzelfde wachtwoord hebben gebruikt, is er een dikke kans dat dit ook voor hun email account geldt. Dat schiet niet echt op.
Wat doen de wachtwoorden van PSN bij andere databases dan van PSN zelf?
uhh.. mensen voeren zelf hun wachtwoord in, en als ze die dus voor meerdere sites gebruiken (wat heel veel mensen doen), dan is het toch logisch dat ze kunnen inloggen via een gehackte database (die van een andere site af komt) met usernames/wachtwoorden..
Hele goede vraag, dit wil ik ook wel eens weten.
Mensen gebruiken dezelfde inlog op meerdere systemen, dus staan indirect de wachtwoorden van PSN ook in andere databases dan die van PSN.
Heeft dit nou nog te maken met problemen eerder dit jaar? Komen bijv. paswoorden van die hack?
Nee je moet het bericht goed lezen...

De wachtwoorden komen uit een database van iemand anders waar Sony gebruikers de zelfde wachtwoorden gebruiken..

Op dit item kan niet meer gereageerd worden.



LG Nexus 5 (2015) Apple iPhone 6s FIFA 16 Microsoft Windows 10 Home NL Star Wars: Battlefront (2015) Samsung Gear S2 Skylake Samsung Galaxy S6 edge+

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True