'LinkedIn-hack van 2012 betreft veel meer accounts dan tot nu toe aangenomen'

Een hacker biedt de wachtwoorden en gebruikersnamen van 117 miljoen LinkedIn-gebruikers aan voor de prijs van vijf bitcoin. De gegevens zouden afkomstig zijn van de hack op LinkedIn in 2012. Destijds kwam naar voren dat 6,5 miljoen wachtwoord-hashes waren buitgemaakt.

Motherboard bericht dat de hacker schuilgaat achter de naam 'Peace' en dat de gegevens worden aangeboden via de site The Real Deal voor een prijs van omgerekend 2020 euro. Het zou gaan om 167 miljoen accounts, waarvan 117 miljoen combinaties van gebruikersnamen en wachtwoorden. Deze wachtwoorden zijn slechts gehasht met het verouderde sha1-algoritme en niet voorzien van een salt, waardoor deze vrij eenvoudig zijn te achterhalen.

De website Leakedsource, die ook in bezit claimt te zijn van de gegevens, zegt 90 procent van de wachtwoorden binnen 72 uur te hebben kunnen kraken. Het staat nog niet volledig vast of het bij de gegevens daadwerkelijk om de inloggegevens van 117 miljoen LinkedIn-gebruikers gaat. Tot nu toe zijn er in totaal maar drie slachtoffers vastgesteld door Motherboard in samenwerking met beveiligingsonderzoeker Troy Hunt. De slachtoffers bevestigden dat zij inderdaad de combinatie van wachtwoord en gebruikersnaam ten tijde van de hack gebruikten, die voorkomt in de database.

Troy Hunt is degene achter de site 'have I been pwned', waar gebruikers kunnen nagaan of hun gegevens zijn uitgelekt bij een hack. Hunt laat via Twitter weten dat hij nog bezig is de gegevens te controleren, maar dat het 'zeer waarschijnlijk' is dat het daadwerkelijk om LinkedIn-gegevens gaat. Hunt heeft nog niet de hele database in handen, maar onderzoekt momenteel een klein deel.

LinkedIn heeft nog geen mededeling gedaan, deze wordt nog verwacht. Een woordvoerder van het bedrijf laat aan Motherboard weten dat het niet duidelijk is hoeveel gegevens zijn buitgemaakt in 2012 en dat het er ook meer dan de toen bevestigde 6,5 miljoen kunnen zijn.

linkedin hack

Verkoopadvertentie van de gegevens, afbeelding via Motherboard

IT-banen

Reacties (70)

mahsalti 18 mei 2016 13:33

Het is altijd gunstig om nergens dezelfde password te gebruiken. kan mij voorstellen dat dit niet altijd zo makkelijk is.

Anoniem: 200498 @mahsalti • 18 mei 2016 13:38

Je kunt voor jezelf een soort 'formule' verzinnen..
Bijvoorbeeld domeinnaamextensie, en de 1e 3e en 5e letter van het domein meenemen in je standaardwachtwoord.

Soldaatje @Anoniem: 200498 • 18 mei 2016 13:43

Kan je volgens mij net zo goed overal hetzelfde wachtwoord gebruiken. Crackers zijn niet gek.
Of beter gewoon een puur random wachtwoord.

SinergyX @Soldaatje • 18 mei 2016 14:03

En hoe willen ze die logica doorbreken? Mijn taal? Mijn nummering? Mijn vocabulaire? Zelfs de meest simpele data (geboortedatum, woonstad, namen van je kinderen etc) kan je combinaties maken dat 99% van de degelijke websites al lang een 3x inlogpoging hebben gehad en je een lock hebt (plus notificatie).

fantafriday @SinergyX • 18 mei 2016 14:31

Nou als je hetzelfde wachtwoord gebruikt en je zit met je mail ergens in een gestollen tabel krijg je natuurlijk een phishing mail en proberen ze op alle bekende sites dat mail adres met wachtwoord even. Procent of 24 a 70 denk dat je dan toch ingelogt bent na 1 keer. (Als ze in de mail trappen) dit soort simpele dingen op grote schaal zullen vast wat opleveren. Ieder mens apart is in de meeste gevallen natuurlijk niet interessant.

SinergyX @fantafriday • 18 mei 2016 14:41

Ik doelde meer op de logica achter een wachtwoord plus een deel icm de site, zelfde wachtwoord overal is iedereen het wel over eens: dat is dom.

Het punt was een formule te gebruiken op basis van de website, die in de basis best nog wel te kraken valt (eerste 4 letters + domeinextentie + naam ofzo), maar denk niet dat hackers daar echt moeite in gaan steken als ze een database van miljoenen accounts te pakken hebben.

Je neemt een basis wachtwoord (bv herman) en combineer je met de sites:
HermanTwk
HermanFcb
HermanYtb
Met die logica kan je wel wat verzinnen, anders wordt al:
RHermanTT
KHermanFM
Nog steeds nu makkelijk te zien, maar als jij er maar 1 hebt wordt het al moeilijker de logica te ontdekken voor andere sites, en zo kan je ze nog complexer maken. En toch blijven ze voor jou nog steeds zeer toegankelijk, mits je formule gewoon redelijk is, is het in de basis geen slecht idee.

[Reactie gewijzigd door SinergyX op 22 juli 2024 18:04]

cappie @SinergyX • 18 mei 2016 15:47

ik vertrouw liever op een vault met een uniek 24-karakter groot wachtwoord wat ik alleen op die vault gebruik waar vervolgens m'n wachtwoorden van alle level 2 en hoger websites in staan (level 1 zijn dingen zoals Gmail en Dropbox met 2-step authentication die ik er niet in zet).

moozzuzz @cappie • 18 mei 2016 16:21

Klinkt stoer maar is naast de kwestie. Immers je email/username/pwd (of een hash ervan) valt in handen van hackers die de site hackten, niet je stoere vault.

cappie @moozzuzz • 19 mei 2016 11:38

jou antwoord klinkt bijna stoer, want al m'n wachtwoorden die ik gebruik voor level 2 onzin is gegenereerd en uniek per site met een lengte van minimaal 16 karakters, dus ik wens ze veel succes met mijn wachtwoord wat nergens anders gebruikt wordt...

Dorank @cappie • 18 mei 2016 17:48

Ik genereer al jaren mijn wachtwoorden op basis van de bezochte site, maar in tegenstelling tot de simpele versie zoals door SinergyX gebruik ik de eerste 16 characters van de sha1 van mijn secret gevolgt door de hostname.tld (iets wat je op elke zinnige machine kan reproduceren of anders online in puur js), bv:

$ echo -n GEHEIMtweakers.net | sha1sum | cut -c 1-16
78463f637b5143ea

Het probleem wat je nu hebt is dat allerlei platformen volkomen stupiede eisen hebben op bv lengte of perse "speciale" chars, caps enz. Als bovenstaande ww niet functioneert moet ik alsnog ga ik kijken in mijn vault

Spectaculous @Soldaatje • 18 mei 2016 13:55

Crackers zijn niet gek, maar tussen 10 miljoen wachtwoord ben jij specifiek niet zo interessant dus als ze 9,5 miljoen van de wachtwoorden met een dictionary pakken dan boeit ze die 0,5 miljoen niet zo. Ze gebruiken die rekenkracht liever voor de volgende set van 10 miljoen wachtwoorden.

Als ik een wachtwoord verzin dat is "f3awgtek" , haal jij daar dan uit dat het TwEaKers moet voorstellen? en als dat al is, dan moet het andersom ook nog. Anders pak je de eerste twee en de laatste letter, of de eerste en de laatste twee. Zoveel opties mogelijk. En dit is altijd nog 10000000000x beter dan overal hetzelfde wachtwoord.

ApexAlpha @Soldaatje • 18 mei 2016 13:59

Niemand gaat jou wachtwoord bestuderen, dat doen computers dmv dictionary attacks, veel gebruikte wachtwoorden en rainbow tables.

Zodra je niet onder één van die categorieën zit ben je niet echt interessant.

Maar alsnog natuurlijk in 2012 je wachtwoord meteen moeten veranderen.

EJlol @ApexAlpha • 18 mei 2016 14:05

Tenzij je onder de zeer selecte groep 'beroemdheden' valt. Maar voor de meerderheid is het inderdaad niet interessant.

dakathefox @EJlol • 18 mei 2016 14:24

Dat is niet waar natuurlijk. Je hoeft helemaal niet beroemd te zijn om het interessant te maken. Zelfs met de logingegevens van iemand in de bijstand kun je al hele interessante dingen doen. Als je daarmee in iemands Google Drive kunt komen, paspoort of rijbewijs kunt snatchen, en hoppa... Daar ga je!

fantafriday @dakathefox • 18 mei 2016 14:26

Met de inloggegevens van iemand in de bijstand hark je een paar honderd euro binnen. Nou nou daar gaat een hacker zich mee bezig houden. Is die icloud van jenefer lawrance toch net iets beter betaald.

dakathefox @fantafriday • 18 mei 2016 14:35

Met de inloggegevens van iemand in de bijstand kun je veel meer doen dan een paar honderd euro naar binnen harken. Inloggen in mailaccounts, marktplaats accounts kapen, identiteitsdiefstal, etc.

Natuurlijk, de iCloud van Jennifer Lawrence heeft een andere waarde, maar we moeten niet gaan lopen roepen dat Jan Modaal zich geen zorgen hoeft te maken omdat hij niet interessant is. Juist Jan Modaal is - vanwege zijn onwetendheid - erg interessant.

fantafriday @dakathefox • 18 mei 2016 15:03

Die accounts kun je natuurlijk allemaal gaan kapen maar de pak kans die het alles met zich mee brengt is de moeite meer dan niet waard als je iets op massa schaal gaat doen.

Kijk dat persoon x die op de hoek woont een paar honderd euro snel wilt scoren om vervolgens de bak in te gaan kan natuurlijk altijd maar de "echte" hacker zal er de moeite niet voor doen. (Denk ik)

tweaknico @fantafriday • 19 mei 2016 12:19

Niet iedereen is er op uit om geldelijk gewin te halen.
In plaats van een bom op een druk plein kun je als terrorist natuurlijk ook onrust kweken door juist in de onderlaag onrust te stoken ipv. van met een explosief gebruik je dan leeggeroofde bankrekeningen van minima en andere zwakken in de samenleveving...

Die geven de gebrekkige overheid toch al snel de schuld et. voila...
Of profielen van versonen verzieken, of tijdelijk van HUN account gebruik maken om informatie te verspreiden... (Dan is het in ieder geval onduidelijk waarom Jan Jansen ineens Moslim extemist is geworden...) en gaat de aandacht uit naar andere personen...
Dis JUIST het gemiddelde neutrale account kan heel waardevol zijn.

Denk iets verder dan alleen zo snel mogelijk een paar centen binnen harken...

Verder DOXing.., ofwel dossiers van personen aanleggen, er zitten er altijd wel een paar tussen met wat schimmig verleden.. Blackmail? waar niet zozeer het publiek naar informatie hongert maar bv. aan werkgever... or ega...

fantafriday @tweaknico • 19 mei 2016 12:34

Snel geld binnenharken zijn dingen die jij noemt en dingen die ik heb genoemd alleen is het gebruiken van ander mans account weer een van de dingen met dat weer risico's meebrengt die je eigenlijk wilt vermeiden als je op grote school spam gaat sturen.

tweaknico @fantafriday • 19 mei 2016 16:10

Quote uit eerdere post:

Met de inloggegevens van iemand in de bijstand hark je een paar honderd euro binnen. Nou nou daar gaat een hacker zich mee bezig houden. Is die icloud van jenefer lawrance toch net iets beter betaald.

[Reactie gewijzigd door tweaknico op 22 juli 2024 18:04]

mahsalti @Anoniem: 200498 • 18 mei 2016 14:05

Dit artikel een tijdje geleden gezien hierover.

https://www.linkedin.com/...eed-article-title-comment

dakathefox @Anoniem: 200498 • 18 mei 2016 14:25

Dit is gewoon echt een slecht advies. Leg twee bestanden over elkaar heen en je hebt zo de formule achterhaalt. Natuurlijk, tussen die 10 miljoen accounts valt jouw ene account als Sjaak Bonestaak wellicht niet op, maar als jij Mark Rutte bent en je staat op Linkedin dan is het wél ineens interessant.

willyfreak @mahsalti • 18 mei 2016 13:45

Een beetje open deur spelen maar hiervoor gebruik je tegenwoordig gewoon een wachtwoordmanager. Zelfs mijn moeder heeft een wachtwoordmanager (ik bedoel maar te zeggen dat het echt geen drempel is om dit te gaan gebruiken).

En makkelijker dan automatisch laten genereren is er niet, je hoeft niet eens na te denken over je wachtwoord.

StackMySwitchUp @willyfreak • 18 mei 2016 13:53

Behalve dan als je dus net als ik met 2 laptops, 3 vaste pc's en 2 smartphones zit. of zijn er ook diensten die wachtwoorden tussen apple, windows en android synchen? (zo ja, welke?)

jasperjoey @StackMySwitchUp • 18 mei 2016 13:55

SafeInCloud gebruik ik al een tijdje, echt een prima service

landcross @StackMySwitchUp • 18 mei 2016 13:56

Lastpass? Dashlane? Keepass?

WitchHunter @StackMySwitchUp • 18 mei 2016 13:57

Met KeepassX, worden de passwords gewoon opgeslagen in een .kdb bestand, dit kan je syncen door Drive / Dropbox / Owncloud, waar je zelf zin in hebt.

Pendora @StackMySwitchUp • 18 mei 2016 14:03

Ja. 1Password, lastpass, keepass.
Het is bijna eerder de vraag welke het niet ondersteund van de Third Parties

FreshMaker @StackMySwitchUp • 18 mei 2016 14:15

Keepass, die slaat op waar jij het wilt.
In mijn geval een clouddienst, die op alle systemen voorhanden is ( owncloud bij stack )

De cloudapp zelf heeft de mogelijkheid tot "favoriet" bij elke wijziging download hij de nieuwste set, of ik nu op mijn android, ipad of PC's een wijziging gemaakt heb.

dakathefox @StackMySwitchUp • 18 mei 2016 14:32

Je bent natuurlijk echt niet de enige met 2 laptops, 3 vaste pc's en 2 smartphones. Daar heb je hele mooie tools voor, zoals bijvoorbeeld Lastpass. Werkt op alle genoemde omgevingen.

Al je wachtwoorden worden door Lastpass geencrypt opgeslagen. Toegang tot Lastpass kan in combinatie met 2-factor authenticatie, wat ik van harte kan aanbevelen.

tweaknico @dakathefox • 19 mei 2016 12:33

maar waar vindt die encryptie plaats.....
Hopelijk op je PC anders heeft iedereen bij lastpass toegang tot je ww.
(zo te zien is het ww niet encrypted voor lasspass ..)

Keepass lijkt me beter. Lokaal ge-encrypt bestand waar verder niemand in kan.

Logmein is zo wie zo al een organisatie waar ik vraagtekens bij zet...
Feitelijk heeft logmein ALTIJD toegang tot je systeem, en jij gaat evt. via logmein servers naar je eigen systeem... (is feitelijk ook het hele model achter IoT...)

Allerlei apparatuur kan via de website /server van de leverancier (Philips, Toon, Anna, etc.) z'n eigen huis op afstand bedienen. Dus Philips, Toon en Anna , LogMeIn kunnen ook evt. ook ZONDER jouw toestemming je appratuur bedienen.

SinergyX @willyfreak • 18 mei 2016 13:59

En wat wil je daarmee voorkomen? Goed, niet hetzelfde wachtwoord is een bonuspunt (maar kan net zomakkelijk 'wachtwoordtweakers' en 'wachtwoordnunl' gebruiken, zelfde logica).

Maar als de site in kwestie niet verder gaat dan SHA1 of *ugh* plaintext, wat heb je dan aan zo'n manager? Kan je de beste wachtwoordmanager hebben en de mooiste en meest complexe wachtwoorden.. heeft geen nut.

Ik heb zelf ook niets met managers, blind copy&paste zonder enige link met wat je eigenlijk zit in te voeren en nergens per definitie 'complexer' dan eigen gekozen wachtwoorden (met variaties).

Laat eerst alle websites maar voor een 3strikeout inlog gaan, belachelijk dat je nu nog sites tegenkom waar je oneindig kan blijven gokken op wachtwoorden.

[Reactie gewijzigd door SinergyX op 22 juli 2024 18:04]

DataGhost

@SinergyX • 18 mei 2016 14:02

Wat je daar aan hebt is dat ik niet jouw mailbox kan lezen met de gegevens uit de LinkedIn-hack. Beetje Titanic-idee, je beperkt de schade tot een klein gebied en zorgt ervoor dat andere zaken niet beinvloed worden. Met een manager gebruik je volledig willekeurige wachtwoorden zodat je ook niet zomaar met het ene wachtwoord het andere kan raden.

[Reactie gewijzigd door DataGhost op 22 juli 2024 18:04]

SinergyX @DataGhost • 18 mei 2016 14:17

Tot ze toegang hebben tot je wachtwoordmanager en dan ben je echt de sjaak. Dan, in Titanic principe, is dat ene scheurtje meteen genoeg om hele schip te laten zinken.

Managers doen me beetje denken aan navigatie, mensen rijden blind wat het programma zegt (volg het lijntje) en komt er ooit een moment dat je even aangewezen bent op A naar B zonder zoiets, zijn ze nergens meer.

note, ik heb zelf wel een manager, maar dat is m'n 'backup in nood' mocht er ooit iets met mij gebeuren.

[Reactie gewijzigd door SinergyX op 22 juli 2024 18:04]

GLaDTheresCake @SinergyX • 18 mei 2016 14:25

Wat dus precies de reden is om de manager goed te beschermen, volledige security is onmogelijk. Als je FIDO-U2F of een ander 2FA algoritme gebruikt met een veilig wachtwoord op je password manager (die je natuurlijk nergens anders moet gebruiken) wordt het verdomd lastig om te kraken, en dus niet interessant voor een hacker zelfs al heeft hij dan al je wachtwoorden.

SpiceWorm @GLaDTheresCake • 18 mei 2016 16:42

Keylogger

DataGhost

@SinergyX • 18 mei 2016 14:26

Ja, maar die SPOF blijf je altijd houden, ook met wachtwoorden die je zelf op de een of andere manier onthoudt. Ik kan je vertellen, onthouden lukt niet met het aantal wachtwoorden wat ik heb en de verschillende eisen die her en der gesteld worden aan de vorm van je wachtwoorden. Dan ga je dus toch wachtwoorden maken die door iemand deduceerbaar zijn als je er een (of een paar) gezien hebt. Uiteindelijk is je wachtwoordmanager een dingetje wat je zelf in beheer houdt in plaats van dat je dat aan een ander toevertrouwt. Ik zeg ook niet dat het feilloos is maar ik denk dat we er vanuit mogen gaan dat het de veiligste optie is die ook nog eens prima praktisch bruikbaar is.

Ik vind overigens je navigatie-opmerking nergens op slaan, klinkt een beetje als "vroeger was alles lastiger dus moet het gvd maar lastig blijven ook, luie kutjeugd van tegenwoordig met hun managers". Natuurlijk ben je nergens zonder je manager want heel het idee erachter is dat de wachtwoorden niet op elkaar lijken en daarom kan je ze ook onmogelijk onthouden. Als je dan toch die vergelijking wil maken moet je het zien als de route van A naar B op een zo complex mogelijke manier rijden zodat niemand kan zien of gokken waar B ligt. Je kan zelf een landkaart pakken en een hele tijd bezig zijn met een idiote route uitstippelen die je nooit kan onthouden (dus schrijf je 'm op) of je kan je navigatie dat voor je laten doen, die is daar namelijk veel beter in. Bovendien heb je ook nog plausible deniability (extreem geval hoor, mocht er ooit een geval zijn waarin dit nodig is), je weet je wachtwoord simpelweg niet als erom gevraagd wordt, en als je je database weggooit of de key verandert is het ook nooit meer te achterhalen.

[Reactie gewijzigd door DataGhost op 22 juli 2024 18:04]

R4gnax

Datalek
Privacy

@DataGhost • 18 mei 2016 19:45

Uiteindelijk is je wachtwoordmanager een dingetje wat je zelf in beheer houdt in plaats van dat je dat aan een ander toevertrouwt. Ik zeg ook niet dat het feilloos is maar ik denk dat we er vanuit mogen gaan dat het de veiligste optie is die ook nog eens prima praktisch bruikbaar is.

De veiligste wachtwoordmanager is stom genoeg nog steeds een fysiek notitieboekje, opgemaakt in tweevoud: één maal opgeborgen in je eigen fysieke kluis voor gebruik en één maal bij familie in de kluis of in een strongbox bij een bank, ter bescherming tegen verloren gaan bij brand.

Kans is veel en veel kleiner dat daar iets mee zal gebeuren, dan dat een digitale kluis van een wachtwoordmanager gecompromiteerd raakt. Zeker in geval van een manager die zaken in een publiek bereikbare cloud opslaat.

HarryL @mahsalti • 18 mei 2016 13:41

Niet altijd zo makkelijk, het is volgens mij meer gemakzucht.
Ik betrap mijzelf er ook wel eens op, even snel een wachtwoord aanmaken en dan een wachtwoord pakken welke ik vaker gebruik....

skatebiker @HarryL • 18 mei 2016 13:53

Sites met hoge veiligheidseisen zouden allang hardware tokens moeten gebruiken.
Je kunt niet van mensen verwachten dat ze honderden verschillende wachtwoorden moeten onthouden.
En password managers is een prima idee maar die zijn meestal of platform specifiek (bijv. alleen op Windows) en / of je wachtwoorden worden op een server van de maker van de app opgeslagen ('we don't use your data') wat dus, zoals in dit geval, weer gehackt kan worden.
Er is er nog geen een die op OSX, Linux, Windows (Phone), Android, iOS werkt en waarmee je de wachtwoorden direct zonder internetverbinding van de ene naar de andere kan overzetten.
Daar moeten eerst standaarden voor komen.

HarryL @skatebiker • 18 mei 2016 14:07

Inderdaad, ik heb, waar mogelijk, ook 2 staps authenticatie. Een stukje extra veiligheid.

SannrHerr @skatebiker • 18 mei 2016 14:09

KeePass?

geekeep @skatebiker • 18 mei 2016 17:07

Er is er nog geen een die op OSX, Linux, Windows (Phone), Android, iOS werkt en waarmee je de wachtwoorden direct zonder internetverbinding van de ene naar de andere kan overzetten.

Enpass ondersteunt naast synchroniseren via hun eigen service en alle grote clouddiensten ook OwnCloud zodat je gewoon via je lokale netwerk de manager cross-device kan bijwerken.
https://www.enpass.io/doc...ime.html#supported-clouds

Snap niet dat iedereen altijd Lastpass voorschotelt waarbij je maar moet vertrouwen op 1. hun encryptie voordat het verstuurd wordt 2. hun capabele kunnen mbt het beveiligen van een online kluis met miljoenen accounts en wachtwoorden.

aikebah @geekeep • 18 mei 2016 21:56

Interessante optie voor als ik ooit af wil van SplashId, die ook sync across devices kan doen, maar waar ik nog wel de desktop-desktop sync optie mis. Mijn desktop-desktop sync loopt altijd via een van de mobile devices met WiFi sync (https://www.splashid.com/index)

Anoniem: 664834 @mahsalti • 18 mei 2016 13:40

Je kan echter ook een simpele variatie op een wachtwoord gebruiken. Zo zijn ze niet hetzelfde, maar ook niet geheel anders.

DonLexos @mahsalti • 18 mei 2016 14:01

LastPass, Keepass, 1password, er zijn talloze mogelijkheden om het makkelijker te maken. Nu is deze hack inmiddels 4 jaar oud, maar het lijkt me dat er inmiddels genoeg van dit soort zaken hebben plaatsgevonden dat nu toch wel duidelijk is dat 1 password voor meerdere sites géén goed idee is.

batjes

Security

@mahsalti • 18 mei 2016 15:48

Ik kom op honderden websites waar wachtwoorden nodig zijn. Een password locker is het verplaatsen van het probleem. (1 wachtwoord voor al je wachtwoorden)... Ik hou het zelf bij 3 niveaus. Random shit, beetje belangrijk (Tweakers, Facebook etc) en echt persoonlijk. (Mail, Bank, DigID). Random shit is 1 wachtwoord (in variaties, want verplichte leestekens), belangrijk zijn vaak de oudere persoonlijke unieke wachtwoorden en voor het hoogste niveau krijgt alles netjes een eigen wachtwoord. Zo hoef ik maar ~5 wachtwoorden te onthouden en kan ik 5 jaar later als ik weer ergens op een website kom, gewoon netjes op mijn eigen account inloggen zonder al te veel moeite.

Ik ga echt niet voor elke random website waar ik kom een apart wachtwoord verzinnen. Alle websites die me aan me achterste oxideren, hebben hetzelfde wachtwoord. Hack ze maar

Uiteindelijk toch toegang tot mijn email nodig wil je wat bereiken met een gehackte account op whocares.com.

Ook deel ik mijn login van wat websites/games e.d. met een paar maatjes van mij. (steam e.d. jeuj family sharing, sharing is caring), dan word speciaal wachtwoord per dienst nogal omslachtig.

CanadaBC @mahsalti • 18 mei 2016 17:37

Jawel hoor ^_^
1PassWord, of een van de vele andere password managers zorgen ervoor dat je altijd en overal een uniek wachtwoord hebt. Ik kan niet meer zonder!

mahsalti @CanadaBC • 19 mei 2016 12:44

password manager of password generator? zolang je lokaal de password manager beheert is 't wel ok, als het op het internet gebeurt twijfel ik aan de beveiliging

CanadaBC @mahsalti • 19 mei 2016 17:57

Ja mee eens, daarom gebruik ik 1PassWord lokaal.

Anoniem: 636203 @mahsalti • 18 mei 2016 18:25

Ik gebruik nu Password Safe die sterke wachtwoorden verzint die volgens mij zeer moeilijk te kraken zijn.

mahsalti @Anoniem: 636203 • 19 mei 2016 12:45

password generator zijn altijd wel handig, echter zijn die wachtwoorden vaak moeilijk te onthouden.

Anoniem: 636203 @mahsalti • 21 mei 2016 17:58

Niet te onthouden, dat is een nadeel want je moet de database atlijd bij je hebben op een Truecrypt versleutelde USB stick.

Emgeebee 18 mei 2016 13:39

90% van de wachtwoorden binnen 72 uur gekraakt... Iets zegt me dat LinkedIN voor 2012 erg lichtzinnig omging met encrypten/salten van wachtwoorden.

P.i.R.h.o. @Emgeebee • 18 mei 2016 13:44

De wachtwoorden werden blijkbaar destijds met SHA1 gehashed zonder toevoegen van een salt. Je intuïtie klopt dus volledig. Laten we hopen dat men bij LinkedIn sinds de hack uit 2012 uit hun fouten heeft geleerd en het ondertussen beter doet.

Wat mij vooral verontrust is dat ik me niet kan herinneren dat ik destijds een mail heb gekregen van LinkedIn om mijn wachtwoord (preventief) te wijzigen zodat het ook gebruik zou maken van een eventueel nieuw hashing algoritme. Voor alle veiligheid heb ik het vandaag nog maar eens gewijzigd dan, al maak ik ondertussen wel al even gebruik van een password manager.

tc-t @P.i.R.h.o. • 18 mei 2016 15:48

Dat klopt.

Ik heb toen zelf contact genomen met LinkedIn met de vraag of de geruchten waar waren en
1. waarom er dan niks op hun website stond
2. waarom niet iedereen een mail kreeg met de waarschuwing om hun wachtwoord te wijzigen bij alle andere diensten waar hetzelfde wachtwoord gebruikt werd.

Het preciese antwoord herinner ik me niet meer, maar ik heb het vast nog ergens,
Het kwam er volgens mij op neer dat ze beide (de publicatie en de idividuele waarschuwing) niet nodig vonden.

Ik heb toen prompt mijn LinkedIn account verwijderd en al mijn contacten aangeraden hetzelfde te doen, met uiteraard de gebeurtenissen, de vraag naar LinkedIn en hun antwoord erbij.

EDIT: Off-topic? Serieus??

Als LinkedIn toen (in 2012) open kaart had gespeeld en iedereen had verwittigd (individueel of via de site zelf) en niet enkel de 6,5 miljoen eigenaars van de gestolen accounts dan had een veel groter percentage van de overigen ook zijn/haar overeenkomende wachtwoorden gewijzigd bij andere services.

[Reactie gewijzigd door tc-t op 22 juli 2024 18:04]

Anoniem: 310408 @Emgeebee • 18 mei 2016 13:42

90% van de wachtwoorden binnen 72 uur gekraakt... Iets zegt me dat LinkedIN voor 2012 erg lichtzinnig omging met encrypten/salten van wachtwoorden.

Iets zegt me dat dat ook al in het nieuwsartikel stond.

Armin

Netwerk en systeembeheer
Security

@Emgeebee • 18 mei 2016 20:41

Klopt, op dat moment was LinkedIn ook niet echt met security bezig. Hun site gebruikte ook geen TLS/HTTPS en had geen multi-factor authenticatie. Eerlijk is eerlijk, ze zijn mede als gevolg hiervan wel wakker geworden. Inmiddels zijn deze veiligheidsmiddelen wel toegevoegd en is hun benadering van veiligheid een stuk volwassener.

Zo hebben ze toen aanvallen op voice-multi-factor authentciatie mogelijk bleken bij bepaalde UK en Australische telecomproviders, meteen gereageerd op de security onderzoekers meldingen en deze methoden meteen gestopt. Daarmee waren ze allerter dan bijvoorbeeld Yahoo (de geheel niet reageerde) en Google (die laat reageerde).

Het grote nieuws is meer dat vreemd genoeg nu pas die data op het vrije dark-net komt. Het was kennelijk eerst enkel beperkt tot de hackers zelf. Wellicht is de data nu niet meer nuttig, en wordt het dus gedumpt?

Het neven-nieuws is dat de hack groter was dan gemeld. Echter dat werd toen al vermoed/gevreesd.

kikkervis

18 mei 2016 13:40

Natuurlijk is het vervelend dat dit gebeurd is, maar wat mij opvalt is dat er wordt geclaimed dat 90% van de wachtwoorden in 72 uur gekraakt kan worden én dat er maar drie van de 117 miljoen mensen slachtoffer is.

Het kost natuurlijk 72 uur per account dus 8 miljard uur om alles te kraken, maar toch vindt ik de verhouden wat scheef.

Kloppen de cijfers niet of is het een storm in een glas water?

^*tikfountt

[Reactie gewijzigd door kikkervis op 22 juli 2024 18:04]

GeoBeo @kikkervis • 18 mei 2016 13:45

Er staat niet dat er maar 3 slachtoffers zijn, er staat dat er 3 slachtoffers VASTGESTELD zijn...

Als iemand daadwerkelijk de database met wachtwoorden heeft maar er niets mee doet, dan zullen slachtoffers daar niet veel van merken en zelf dus niet eens weten dat ze slachtoffer zijn.

DonLexos @GeoBeo • 18 mei 2016 14:03

Feitelijk zou je kunnen zeggen dat er 117 miljoen slachtoffers zijn omdat van al deze mensen persoonsgegevens in handen zijn gekomen van een hacker. Of van 1 slachtoffer, LinkedIn, die hier (oa) reputatie schade aan heeft ondervonden. Het is maar hoe je er naar kijkt.

Emiel L @DonLexos • 18 mei 2016 15:13

Als LinkedIn hier reputatieschade van ondervindt hebben ze dat toch echt aan zichzelf te danken. Het is niet dat er in 2012 nou zo veel minder kennis was van het hashen van wachtwoorden. Ze hebben zich er makkelijk vanaf gemaakt, en daar de consequenties van ondervonden.
Komt daarbij nog dat hoe sterk je hashing algoritme ook is, tegen slechte wachtwoorden is niets opgewassen. Komt je wachtwoord in een dictionary voor, dan is het gewoon een slecht wachtwoord en moet je het niet gebruiken.

Armin

Netwerk en systeembeheer
Security

@Emiel L • 18 mei 2016 20:46

Ze hebben zich er makkelijk vanaf gemaakt, en daar de consequenties van ondervonden..

Eerlijk is eerlijk, heeft LinkedIn in de jaren daarna ook grote stappen gezet. Daarmee spreek ik hun daden van toen niet goed, maar ze zijn zeker niet het eerste of enige techbedrijf wat data security niet belangrijk vondt. Voor LinkedIn was dit echt een "wake up call" en hebben daarna hun leven oprecht verbeterd.

Juist ook omdat zoals jij aangaf men toen flink reputatieschade leed.

Maar die wachtwoorden van 2012 zullen nu niet veel meer waard zijn vermoed ik. Zelfs als men toen inderdaad voor het email-account (GMail, Hotmail, etc) hetzelfde wachtwoord gebruikte als voor LinkedIn is de kans groot dat men in die 4 jaar toevallig al het wachtwoord gewijzigd heeft van dat email account.

NoUseWhatsoever @kikkervis • 18 mei 2016 13:44

Volgens mij staat er dat ze 90% van alle wachtwoorden binnen 72 uur hebben kunnen kraken. Dus slechts 10% hebben ze nog niet gekraakt en zou misschien met wat meer tijd wel kunnen. Het is niet zo dat ze per wachtwoord 72 uur nodig hebben om te kraken en dan pas door kunnen naar de volgende.

P1nGu1n

@kikkervis • 18 mei 2016 13:44

Ik lees het anders.

zegt 90 procent van de wachtwoorden binnen 72 uur te hebben kunnen kraken.

Hebben kunnen kraken, oftewel ze hebben 105 miljoen wachtwoorden binnen 72 uur gekraakt.

rsign 18 mei 2016 15:59

Ik heb er geen verstand van, maar als ik een goede paswoordmanager wil gebruiken.. welke zouden jullie mij dan aanraden?

Accretion @rsign • 18 mei 2016 18:49

Dat ligt er vooral aan wat je eisen zijn

Wil je het op meerdere PC's (of ook smartphone(s)) kunnen gebruiken?
Vindt je het niet erg om de manager aan te klikken, bijbehorende gebruikersnaam aan te klikken en dan je wachtwoord te moeten pasten?
Of wil je dat dat "automatisch" gaat?

Je kan daarnaast ook "Google chrome" gebruiken op al je apparaten, met auto-password en dan syncen tussen de apparaten. Maar dan moet je google wel vertrouwen met jou passwords.
(Moet je natuurlijk wel altijd je devices locken, of uitloggen op chrome)

Het kan heel nuttig zijn om toch nog een manager ernaast te houden, voor het geval dat je google passwords kwijt raken.

jacobras 19 mei 2016 11:37

Ik ontving vandaag deze email:

"We've recently noticed a potential risk to your LinkedIn account coming from outside LinkedIn. Just to be safe, you'll need to reset your password the next time you log in."

Het rare: ze raden aan dat ik 'wachtwoord vergeten' doe op de LinkedIn-site. Waarom niet mijn wachtwoord wijzigen op de website? Voelt alsof er iets goed mis is

Diverse collega's hebben de mail ook ontvangen.

Anoniem: 132566 10 juni 2016 19:27

Ik wil mijn password wel ff checken, waar staat die torrent?

diehard889 10 juni 2016 20:18

Een betere optie zou ik vinden dat een website of waar je ook een account hebt na x tijd inactief het account verwijderd. Daarmee maak je de kans wat kleiner dat je account in een database hack zit.

Ik denk dat elke tweaker wel een website heeft waarvan ze niet een meer weten dat ze er een account hebben.

Op dit item kan niet meer gereageerd worden.

'LinkedIn-hack van 2012 betreft veel meer accounts dan tot nu toe aangenomen'

Lees meer

IT-banen

Reacties (70)

Sorteer op:

Weergave: