Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 23 reacties

De administratoren van Reddit hebben een wachtwoord-reset doorgevoerd bij 100.000 verschillende accounts van de website. De site zegt dit te doen vanwege een waargenomen toename in de hoeveelheid gekaapte accounts.

RedditReddit-administrator KeyserSosa legt een verband tussen de toename in kapingen en recente grootschalige dumps van gebruikersnamen en wachtwoorden op het web. Hij benadrukt dat Reddit zelf niet gehackt is, maar dat de toename in kapingen te danken zou zijn aan de dumps en de neiging van gebruikers om hetzelfde wachtwoord te gebruiken op meerdere verschillende websites.

Reddit zegt ondanks dat ze niet verantwoordelijk zijn voor de kapingen, toch maatregelen te nemen om deze te bestrijden. Zo zouden ze hun capaciteit om een kaping te herkennen hebben verbeterd en moeten er in de nabije toekomst nog meer wachtwoord-resets volgen. Verder gaat Reddit de 'enorme lading' aan ongebruikte throwaways, accounts die veelal eenmalig gebruikt worden om gevoelige, persoonlijke zaken te bespreken, proberen in te perken door deze eventueel op non-actief te stellen. Tot slot benadrukt de administrator dat de veiligheid van gebruikersaccounts voornamelijk in de handen van de gebruikers zelf ligt.

Moderatie-faq Wijzig weergave

Reacties (23)

Hij benadrukt dat Reddit zelf niet gehackt is, maar dat de toename in kapingen te danken zou zijn aan de dumps en de neiging van gebruikers om hetzelfde wachtwoord te gebruiken op meerdere verschillende websites.
En ondanks dat blijven beveiligings experts zeggen dat iedereen overal een UNIEK random wachtwoord moet gebruiken. Compleet ignorant voor het feit dat dat niet te doen is voor henk en ingrid.
Minder veilige suggesties zal ik niet geven, want dat wordt hier gemodereerd met -1.
Waarom zouden de Henks en Ingrids van vandaag niet een password manager kunnen gebruiken? Gegeven, er wordt een nieuw beveiligingsrisico toegevoegd, namelijk 1 plek waar alle wachtwoorden staan, maar in de meeste gevallen voorkom je wel dat 1 hack van een of andere website niet automatisch betekent dat je overal meteen je account kwijt bent.
Omdat dat moeilijk is.
Mij lijkt een 2 pass met als je op een nieuwe pc of ip range zijt ge een mail krijgt waar je op moet bevestigen of bevestigingscode 'beter'
Omdat het te omslachtig is.
Omdat beveiliging ze niet interesseerd.
Om dezelfde reden dat bijna niemand van jouw vrienden een password manager gebruikt.

[Reactie gewijzigd door pim op 27 mei 2016 08:36]

Eh... ja?

En doktoren blijven ook zeggen dat je gezond moet eten. Ook als mensen dat niet leuk of moeilijk vinden.

Is nou werkelijk jouw argument dat advies alleen mag worden gegeven als iedereen het kan/wil volgen? "No child left behind" is toch allang ontkracht.

Kom op zeg, een beetje eigen verantwoording. Het advies is gegeven, wil je het niet volgen, dan ga je maar op de blaren zitten.
Maar veel tweakers.net claimen dat er maar EEN beste manier is voor wachtwoorden, unieke wachtwoorden die je managed met een password manager.

Terwijl mensen ook Correct Battery Horse Staple zouden kunnen gebruiken.. Zelfs al is dat niet 100% perfect, het helpt je oma een stuk beter dan ze door te sturen naar RANDOM.ORG en Lastpass.com.
En een salade bij je patat is ook een alternatief voor echt gezond eten dat iets beter is dan een frikandel bij je patat.

Het voorbeeld dat je geeft gaat NIET over unieke wachtwoorden per site maar over de opbouw van een wachtwoord.

Als je CorrectBatteryHorseStaple overal gebruikt dan ben je even kwetsbaar voor de aanval uit het artikel dan als je overal 3@45^634fdD543 zou gebruiken.

Dit soort aanvallen gebeuren doordat site X lek is en bekend maakt dat account sfc1971 wachtwoord 'nietmijnechtewachtwoorddusnietproberen" heeft op site X en dan kan ik op site Y proberen in te loggen met het zelfde account.

Het wachtwoord zelf maakt niet meer uit. kan nog zo complex zijn, het risico is niet complexiteit maar dat de zelfde credentials worden gebruikt.

Neem de simpele achterdeur sleutel van vroeger, had je sleutel 22 dan paste deze op alle sloten. Ja deze sleutels hebben een hele simpele form maar dat maakt niet uit. Het gaat er om dat dezelfde sleutel een zelfde slot altijd kan open maken.

De naam van de site in jouw voorbeeld opnemen maakt het wacht woord wel unieke maar triviaal om aan te passen.

Username: pim
wachtwoord: CorrectTweakersHorseStaple.

Goh, wat zou je reddit wachtwoord zijn?

Linkedin heeft jaren geleden miljoenen usernames en wachtwoorden gelekt. Aanvallers gaan gewoon die lijst door en proberen met die account gegevens op andere sites in te loggen. En het werkt.

Overigens hoef je geen lastpass te gebruiken, meeste browsers hebben wachtwoord onthouden gewoon ingebakken.
Als je CorrectBatteryHorseStaple overal gebruikt dan ben je even kwetsbaar voor de aanval uit het artikel dan als je overal 3@45^634fdD543 zou gebruiken.
De accounts die bij reddit gekaapt zijn, zijn waarschijnlijk van accounts van mensen die een zwak wachtwoord op een andere website gebruikten, waardoor het met een rainbow table te achterhalen was.
De linkedin wachtwoorden bijvoorbeeld waren gehashed.
CorrectBatteryHorseStaple = 26 tekens (moelijk te kraken)
3@45^634fdD543 = 14 tekens (makkellijk te kraken)
wachtwoord: CorrectTweakersHorseStaple.
Goh, wat zou je reddit wachtwoord zijn?
Mocht de database van Tweakers.net buitgemaakt worden.. Dan zal nooit bovenstaand tweakers.net wachtwoord verkregen worden, omdat het in dit voorbeeld 26 tekens lang is.
In tegenstelling tot de helft van alle tweakers.net gebruikers met een zwak wachtwoord.
Tevens worden die wachtwoorden getest met een script, niet handmatig.

Het is goedbedoeld om mensen met een zwak wachtwoord te adviseren unieke random lange wachtwoorden te genereren voor elke website, maar zoals blijkt word dat advies niet opgevolgd.

Een eerste stap zou zijn om ze te helpen met een het bedenken van een makkelijk te onthouden lang uniek wachtwoord voor elke website.
Zoals inderdaad:

- CorrectTweakersHorseStaple
- CorrectFacebookHorseStaple
- CorrectGmailHorseStaple

Voor eenzelfde soort reactie heb ik al eerder -1 gehad.
Ok, voor die gene, vertel inderdaad je oma maar dat ze de een password manager moet gebruiken, met lange random wachtwoorden.

100% gelijk dit dit kwa beveiling beter is. Maar als vervolgens dat advies niet word opgevolgd... Wat was dan het nut van dat advies, dat je gelijk had?

De huidige situatie is voor een hoop mensen als volgt:

- tweakers wachtwoord: 123456
- facebook wachtwoord: 123456
- gmail wachtwoord: 123456

En ondanks alle goedbedoelde adviezen van technische websites veranderd er niks.

[Reactie gewijzigd door pim op 27 mei 2016 11:56]

Gewoon een random zinnetje + wat getallen. Voor Tweakers bijvoorbeeld 'ComputerWebsite2016'. Makkelijk te onthouden, word nooit geraden.
Meh, dan verdienen Henk en Ingrid gekaapt te worden.
Het is aan jezelf om de risico's zo veel mogelijk te beperken, niet aan websites.
Een website kan niet verantwoordelijk worden geacht indien je account op een ander site is gekaapt, net omdat jij ervoor koos dezelfde logins te gebruiken.
Ja, omdat dat dat een volstrekt overbodig advies is. Er is niets op tegen om voor alle random forums waar je lid van bent 1 wachtwoord te hebben, als die van echt belangrijke zaken maar uniek zijn, en anders dan dat low security wachtwoord.
Jezus, de admin daar linkt in zijn bericht naar een nieuws artikel over Hold Security. Wanneer zijn nu eindelijk eens klaar met de bullshit van meneer Alex Holden. Bedrijf mijn moeder. Hij heeft een website waar je voor 120 dollar kunt checken op je gehackt bent (volledig fake) en genereert zelf grote lijsten email adressen/ wachtwoorden en stuurt iedereen en zijn moeder een persbericht. Ah de verleiding om zelf eens persberichten uit te sturen. "Intelligente broodrooster scoort 103% procent in Turing Test"
Komt meteen op Tweakers want zo'n nieuws, daar wil je geen 12 seconden te laat mee zijn. Ik heb nu al drie blog posts geschreven over Alex Holden. Gelukki was de tweede link op reddit over linkedin wel echt, alhoewel Troy Hunt ook niet echt zo'n goede reputatie heeft.

[Reactie gewijzigd door Kain_niaK op 26 mei 2016 22:42]

Mijn reddit account was een jaar geleden ook gekaapt, ze hebben nooit het wachtwoord geweizigd maar er zijn well een aantal posts geplaatst die ik zelf nooit zou plaatsen. Ik had dan ook mijn aller zwakste wachtwoord op reddit zitten maar goed toch maar aan gepast naar een niveautje hoger na de kaping.
ik heb vanmiddag nog ingelogd, geen melding gezien of mailtje gehad.
Reddit heeft bijna een kwart miljard gebruikers, de kans dat jouw account is gereset is vrij klein.
Ergens vorig jaar zaten ze op 36 miljoen gebruikers. De kans dat je bij deze groep van 100.000 zit is dus vrij klein.
wellicht een gevolg van de eeuwige strijd tussen Reddit, 9Gag en 4Chan?
Kan je mij uitleggen waarom dit te maken zou hebben tussen die drie websites? Ik gebruik Reddit en 4Chan heb in het verleden ook 9GAG gebruikt maar zie hier niet in wat dat voor strijd zou moeten zijn.. er staat toch duidelijk dat het onder ander te maken heeft met dezelfde gegevens gebruiken bij diverse websites?
Google maar eens, vooral reddit en 9gag schijnen elkaar nogal eens dwars te liggen, elkaars posts te gebruiken via admins of robots, watermerken te verwijderen en dan als origineel op hun site te posten. Grappig is dan dat beiden een soort trouwe achterban hebben die de ander weer beschuldigd. Kortom, nog erger dan apple/android fanboy fights :) . En of het alleen trollen is zoals Hedva zegt weet ik niet.
9Gag dient echt een hele andere doelgroep dan Reddit/4Chan. En die twee onderling ook weer.
Die "eeuwige strijd" (wat je een strijd wilt noemen) is meer om elkaar te fucken/trollen dan daadwerkelijk wat ernstig aan te doen. Dus nee lijkt me sterk.
9GAG trollt zeer weinig tegenover Reddit, dat komt omdat voornamelijk alle posts op 9GAG door bots worden gerepost op basis van populariteit op Reddit en 4CHAN :D
Een veredelde RSS feed dus?
Mijn account was toevallig een paar weken terug gehackt... Gelukkig gebruikte ik een oud wachtwoord die nergens anders wordt gebruikt :)

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True