Reddit reset wachtwoorden van 100.000 accounts na toename accountkapingen

De administratoren van Reddit hebben een wachtwoord-reset doorgevoerd bij 100.000 verschillende accounts van de website. De site zegt dit te doen vanwege een waargenomen toename in de hoeveelheid gekaapte accounts.

RedditReddit-administrator KeyserSosa legt een verband tussen de toename in kapingen en recente grootschalige dumps van gebruikersnamen en wachtwoorden op het web. Hij benadrukt dat Reddit zelf niet gehackt is, maar dat de toename in kapingen te danken zou zijn aan de dumps en de neiging van gebruikers om hetzelfde wachtwoord te gebruiken op meerdere verschillende websites.

Reddit zegt ondanks dat ze niet verantwoordelijk zijn voor de kapingen, toch maatregelen te nemen om deze te bestrijden. Zo zouden ze hun capaciteit om een kaping te herkennen hebben verbeterd en moeten er in de nabije toekomst nog meer wachtwoord-resets volgen. Verder gaat Reddit de 'enorme lading' aan ongebruikte throwaways, accounts die veelal eenmalig gebruikt worden om gevoelige, persoonlijke zaken te bespreken, proberen in te perken door deze eventueel op non-actief te stellen. Tot slot benadrukt de administrator dat de veiligheid van gebruikersaccounts voornamelijk in de handen van de gebruikers zelf ligt.

Door Mark Hendrikman

Redacteur

Feedback • 26-05-2016 21:18 23

26-05-2016 • 21:18

23

Lees meer

Reddit gaat Patreon-widgets integreren voor kleine ondernemers
Reddit gaat Patreon-widgets integreren voor kleine ondernemers Nieuws van 24 oktober 2018
Reddit schaft custom css voor subreddits af
Reddit schaft custom css voor subreddits af Nieuws van 26 april 2017
Apple dwingt Reddit-apps om nsfw-schakelaar te verwijderen
Apple dwingt Reddit-apps om nsfw-schakelaar te verwijderen Nieuws van 12 april 2016
Reddit verwijdert passage over geheime verzoeken overheid uit rapport
Reddit verwijdert passage over geheime verzoeken overheid uit rapport Nieuws van 1 april 2016
Reddit-ceo Ellen Pao stapt op na onvrede binnen community
Reddit-ceo Ellen Pao stapt op na onvrede binnen community Nieuws van 11 juli 2015
Reddit-CEO Ellen Pao biedt excuses aan voor 'gebrekkige communicatie' - update
Reddit-CEO Ellen Pao biedt excuses aan voor 'gebrekkige communicatie' - update Nieuws van 7 juli 2015
Meer producten en artikelen
Internet Netwerk en systeembeheer reddit

Reacties (23)

-Moderatie-faq
23
23
15
0
0
1
Wijzig sortering

Sorteer op:

Weergave:
pim 27 mei 2016 07:22
Hij benadrukt dat Reddit zelf niet gehackt is, maar dat de toename in kapingen te danken zou zijn aan de dumps en de neiging van gebruikers om hetzelfde wachtwoord te gebruiken op meerdere verschillende websites.
En ondanks dat blijven beveiligings experts zeggen dat iedereen overal een UNIEK random wachtwoord moet gebruiken. Compleet ignorant voor het feit dat dat niet te doen is voor henk en ingrid.
Minder veilige suggesties zal ik niet geven, want dat wordt hier gemodereerd met -1.
mrfu @pim27 mei 2016 07:59
Waarom zouden de Henks en Ingrids van vandaag niet een password manager kunnen gebruiken? Gegeven, er wordt een nieuw beveiligingsrisico toegevoegd, namelijk 1 plek waar alle wachtwoorden staan, maar in de meeste gevallen voorkom je wel dat 1 hack van een of andere website niet automatisch betekent dat je overal meteen je account kwijt bent.
Icekiller2k6 @mrfu27 mei 2016 08:23
Omdat dat moeilijk is.
Mij lijkt een 2 pass met als je op een nieuwe pc of ip range zijt ge een mail krijgt waar je op moet bevestigen of bevestigingscode 'beter'
pim @mrfu27 mei 2016 08:29
Omdat het te omslachtig is.
Omdat beveiliging ze niet interesseerd.
Om dezelfde reden dat bijna niemand van jouw vrienden een password manager gebruikt.

[Reactie gewijzigd door pim op 25 juli 2024 01:02]

sfc1971 @pim27 mei 2016 10:20
Eh... ja?

En doktoren blijven ook zeggen dat je gezond moet eten. Ook als mensen dat niet leuk of moeilijk vinden.

Is nou werkelijk jouw argument dat advies alleen mag worden gegeven als iedereen het kan/wil volgen? "No child left behind" is toch allang ontkracht.

Kom op zeg, een beetje eigen verantwoording. Het advies is gegeven, wil je het niet volgen, dan ga je maar op de blaren zitten.
pim @sfc197127 mei 2016 10:27
Maar veel tweakers.net claimen dat er maar EEN beste manier is voor wachtwoorden, unieke wachtwoorden die je managed met een password manager.

Terwijl mensen ook Correct Battery Horse Staple zouden kunnen gebruiken.. Zelfs al is dat niet 100% perfect, het helpt je oma een stuk beter dan ze door te sturen naar RANDOM.ORG en Lastpass.com.
sfc1971 @pim27 mei 2016 10:40
En een salade bij je patat is ook een alternatief voor echt gezond eten dat iets beter is dan een frikandel bij je patat.

Het voorbeeld dat je geeft gaat NIET over unieke wachtwoorden per site maar over de opbouw van een wachtwoord.

Als je CorrectBatteryHorseStaple overal gebruikt dan ben je even kwetsbaar voor de aanval uit het artikel dan als je overal 3@45^634fdD543 zou gebruiken.

Dit soort aanvallen gebeuren doordat site X lek is en bekend maakt dat account sfc1971 wachtwoord 'nietmijnechtewachtwoorddusnietproberen" heeft op site X en dan kan ik op site Y proberen in te loggen met het zelfde account.

Het wachtwoord zelf maakt niet meer uit. kan nog zo complex zijn, het risico is niet complexiteit maar dat de zelfde credentials worden gebruikt.

Neem de simpele achterdeur sleutel van vroeger, had je sleutel 22 dan paste deze op alle sloten. Ja deze sleutels hebben een hele simpele form maar dat maakt niet uit. Het gaat er om dat dezelfde sleutel een zelfde slot altijd kan open maken.

De naam van de site in jouw voorbeeld opnemen maakt het wacht woord wel unieke maar triviaal om aan te passen.

Username: pim
wachtwoord: CorrectTweakersHorseStaple.

Goh, wat zou je reddit wachtwoord zijn?

Linkedin heeft jaren geleden miljoenen usernames en wachtwoorden gelekt. Aanvallers gaan gewoon die lijst door en proberen met die account gegevens op andere sites in te loggen. En het werkt.

Overigens hoef je geen lastpass te gebruiken, meeste browsers hebben wachtwoord onthouden gewoon ingebakken.
pim @sfc197127 mei 2016 11:05
Als je CorrectBatteryHorseStaple overal gebruikt dan ben je even kwetsbaar voor de aanval uit het artikel dan als je overal 3@45^634fdD543 zou gebruiken.
De accounts die bij reddit gekaapt zijn, zijn waarschijnlijk van accounts van mensen die een zwak wachtwoord op een andere website gebruikten, waardoor het met een rainbow table te achterhalen was.
De linkedin wachtwoorden bijvoorbeeld waren gehashed.
CorrectBatteryHorseStaple = 26 tekens (moelijk te kraken)
3@45^634fdD543 = 14 tekens (makkellijk te kraken)
wachtwoord: CorrectTweakersHorseStaple.
Goh, wat zou je reddit wachtwoord zijn?
Mocht de database van Tweakers.net buitgemaakt worden.. Dan zal nooit bovenstaand tweakers.net wachtwoord verkregen worden, omdat het in dit voorbeeld 26 tekens lang is.
In tegenstelling tot de helft van alle tweakers.net gebruikers met een zwak wachtwoord.
Tevens worden die wachtwoorden getest met een script, niet handmatig.

Het is goedbedoeld om mensen met een zwak wachtwoord te adviseren unieke random lange wachtwoorden te genereren voor elke website, maar zoals blijkt word dat advies niet opgevolgd.

Een eerste stap zou zijn om ze te helpen met een het bedenken van een makkelijk te onthouden lang uniek wachtwoord voor elke website.
Zoals inderdaad:

- CorrectTweakersHorseStaple
- CorrectFacebookHorseStaple
- CorrectGmailHorseStaple

Voor eenzelfde soort reactie heb ik al eerder -1 gehad.
Ok, voor die gene, vertel inderdaad je oma maar dat ze de een password manager moet gebruiken, met lange random wachtwoorden.

100% gelijk dit dit kwa beveiling beter is. Maar als vervolgens dat advies niet word opgevolgd... Wat was dan het nut van dat advies, dat je gelijk had?

De huidige situatie is voor een hoop mensen als volgt:

- tweakers wachtwoord: 123456
- facebook wachtwoord: 123456
- gmail wachtwoord: 123456

En ondanks alle goedbedoelde adviezen van technische websites veranderd er niks.

[Reactie gewijzigd door pim op 25 juli 2024 01:02]

Wolfos @pim27 mei 2016 09:39
Gewoon een random zinnetje + wat getallen. Voor Tweakers bijvoorbeeld 'ComputerWebsite2016'. Makkelijk te onthouden, word nooit geraden.
Verwijderd @pim27 mei 2016 09:45
Meh, dan verdienen Henk en Ingrid gekaapt te worden.
Het is aan jezelf om de risico's zo veel mogelijk te beperken, niet aan websites.
Een website kan niet verantwoordelijk worden geacht indien je account op een ander site is gekaapt, net omdat jij ervoor koos dezelfde logins te gebruiken.
eew @pim27 mei 2016 23:23
Ja, omdat dat dat een volstrekt overbodig advies is. Er is niets op tegen om voor alle random forums waar je lid van bent 1 wachtwoord te hebben, als die van echt belangrijke zaken maar uniek zijn, en anders dan dat low security wachtwoord.
Kain_niaK 26 mei 2016 22:21
Jezus, de admin daar linkt in zijn bericht naar een nieuws artikel over Hold Security. Wanneer zijn nu eindelijk eens klaar met de bullshit van meneer Alex Holden. Bedrijf mijn moeder. Hij heeft een website waar je voor 120 dollar kunt checken op je gehackt bent (volledig fake) en genereert zelf grote lijsten email adressen/ wachtwoorden en stuurt iedereen en zijn moeder een persbericht. Ah de verleiding om zelf eens persberichten uit te sturen. "Intelligente broodrooster scoort 103% procent in Turing Test"
Komt meteen op Tweakers want zo'n nieuws, daar wil je geen 12 seconden te laat mee zijn. Ik heb nu al drie blog posts geschreven over Alex Holden. Gelukki was de tweede link op reddit over linkedin wel echt, alhoewel Troy Hunt ook niet echt zo'n goede reputatie heeft.

[Reactie gewijzigd door Kain_niaK op 25 juli 2024 01:02]

qlum 27 mei 2016 08:54
Mijn reddit account was een jaar geleden ook gekaapt, ze hebben nooit het wachtwoord geweizigd maar er zijn well een aantal posts geplaatst die ik zelf nooit zou plaatsen. Ik had dan ook mijn aller zwakste wachtwoord op reddit zitten maar goed toch maar aan gepast naar een niveautje hoger na de kaping.
furian88 26 mei 2016 21:33
ik heb vanmiddag nog ingelogd, geen melding gezien of mailtje gehad.
hcQd @furian8826 mei 2016 21:37
Reddit heeft bijna een kwart miljard gebruikers, de kans dat jouw account is gereset is vrij klein.
Verwijderd @furian8826 mei 2016 21:37
Ergens vorig jaar zaten ze op 36 miljoen gebruikers. De kans dat je bij deze groep van 100.000 zit is dus vrij klein.
eazyq 26 mei 2016 21:29
wellicht een gevolg van de eeuwige strijd tussen Reddit, 9Gag en 4Chan?
Tweakwondo @eazyq26 mei 2016 21:35
Kan je mij uitleggen waarom dit te maken zou hebben tussen die drie websites? Ik gebruik Reddit en 4Chan heb in het verleden ook 9GAG gebruikt maar zie hier niet in wat dat voor strijd zou moeten zijn.. er staat toch duidelijk dat het onder ander te maken heeft met dezelfde gegevens gebruiken bij diverse websites?
eazyq @Tweakwondo27 mei 2016 08:00
Google maar eens, vooral reddit en 9gag schijnen elkaar nogal eens dwars te liggen, elkaars posts te gebruiken via admins of robots, watermerken te verwijderen en dan als origineel op hun site te posten. Grappig is dan dat beiden een soort trouwe achterban hebben die de ander weer beschuldigd. Kortom, nog erger dan apple/android fanboy fights :) . En of het alleen trollen is zoals Hedva zegt weet ik niet.
Hedva @eazyq26 mei 2016 21:42
9Gag dient echt een hele andere doelgroep dan Reddit/4Chan. En die twee onderling ook weer.
Die "eeuwige strijd" (wat je een strijd wilt noemen) is meer om elkaar te fucken/trollen dan daadwerkelijk wat ernstig aan te doen. Dus nee lijkt me sterk.
ShatterNL @Hedva27 mei 2016 02:18
9GAG trollt zeer weinig tegenover Reddit, dat komt omdat voornamelijk alle posts op 9GAG door bots worden gerepost op basis van populariteit op Reddit en 4CHAN :D
batjes @ShatterNL27 mei 2016 04:12
Een veredelde RSS feed dus?
Verwijderd 26 mei 2016 21:35
Mijn account was toevallig een paar weken terug gehackt... Gelukkig gebruikte ik een oud wachtwoord die nergens anders wordt gebruikt :)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq