Gegevens 100 miljoen accounts sociaal netwerk VK.com aangeboden op internet

De gegevens van meer dan 100 miljoen accounts van het vooral in Rusland populaire sociale netwerk VK.com worden aangeboden op internet. Volgens de man of het collectief achter de hack waren de wachtwoorden niet versleuteld opgeslagen.

Leakedsource heeft een dataset met betrekking tot 100.544.934 accounts ontvangen, waarbij elk item uit een e-mailadres, voor- en achternaam, locatie, telefoonnummer, wachtwoord en in sommige gevallen een tweede e-mailadres bestaat. De site publiceert een korte analyse van wachtwoorden en e-mailadressen. De dataset wordt op de The Real Deal-marktplaats aangeboden door de hacker of het collectief Peace, onder de naam Peace of Mind. Onder deze naam werden eerder de gegevens van hacks van onder andere LinkedIn en MySpace aangeboden.

Peace rekent 1 bitcoin voor toegang tot de set, omgerekend 515 euro. Opvallend is dat de wachtwoorden niet versleuteld opgeslagen waren volgens Peace. De hack zou tussen 2011 en 2013 hebben plaatsgevonden. VK, dat ook bekendstaat als Vkontakte, is met name populair in Rusland. Inmiddels zou het sociale netwerk meer dan 350 miljoen accounts hebben. De site is in 2006 opgericht door Pavel Durov, die later Telegram begon.

De publicatie van de gegevens is de zoveelste in een reeks. Eerder werden omvangrijke datasets van onder andere LinkedIn, MySpace en Tumblr online aangeboden.

Peace of Mind VK

IT-banen

Reacties (93)

slijkie 6 juni 2016 08:01

Mooi, ben zelf lid (v.w bedrijf met page) v.a 2015. En tevens voor dit soort sites heb ik een onbelangrijk wachtwoord. Zelf heb ik een systeem dat ik elke 3-6 maanden allemaal (zoveel mogelijk) wijzig. Heb 5 wachtwoorden, soort van Level 1 tot 5, Belangrijk naar onbelangrijk. En gebruik 2FA indien mogelijk. App of Yubikey (heb er 3).

gjmi @slijkie • 6 juni 2016 08:14

Het lijkt me nog veel verstandiger dat je dit soort dingen niet deelt met de wereld.
Dit is bruikbare informatie als iemand je wil hacken.

Tadsz @gjmi • 6 juni 2016 08:31

En goed om anderen ideeën te geven.

Ik heb lange tijd 5 tiers gebruikt maar heb laatst de tijd genomen een KeePass database aan te leggen en na wat horten en stoten heb ik nu voor elke login een ander random 20 - 32 lang wachtwoord. Ook Tweakers zou ik het wachtwoord niet van weten al wordt ik gemarteld. Enige minpunt is wanneer ik op studie/werk wil inloggen dat ik daar geen KeePass kan/mag installeren.

WhatsappHack

Netwerk en systeembeheer
Rusland

@Tadsz • 6 juni 2016 11:53

Om eerlijk te zijn zou ik een andere password manager gebruiken.
Gewoon ff general info:
Er is een lek gevonden in KeePass met de update functie waar een MiTM aanval kan veroorzaken dat er een nep keepass wordt binnen gehaald, en dus zo jou databaseje inclusief decryptie wachtwoord kan jatten...

De ontwikkelaar van KeePass gaf aan dat niet te gaan wijzigen omdat het dan moeilijker is advertenties in te bouwen. (I shit you not: http://www.engadget.com/2...security-hole-due-to-ads/ ) Geld vs Veiligheid, dan weet je wat de prioriteiten zijn... Hij zei dat men dan maar gewoon altijd de checksums moet vergelijken. Iets dat je van een poweruser/tweaker misschien nog wel kan vragen, maar niet voor t gros.

Heel erg jammer, want t was een goede app. Zit nu zelf te zoeken naar een fork.

itsjohan @WhatsappHack • 6 juni 2016 13:25

De ontwikkelaar is vandaag overstag gegaan: vanaf versie 2.34 is de 'version information file' gesigned zodat Keepass alleen nog een geldige version file zal tonen. http://keepass.info/help/kb/sec_issues.html#updsig

Vygotsky @WhatsappHack • 6 juni 2016 14:13

Zelf sinds kort gebruiker van Enpass. Opensource, cross-platform, browser integratie en te synchroniseren via onder andere ownCloud. Top!

afraca @Vygotsky • 7 juni 2016 22:42

Even voor de duidelijkheid* , Enpass zelf is niet open source, maar hun "engine". Dat is nogal een grote stap in zo'n situatie!

* Ikzelf gebruik tot nu toe met tevredenheid Keepass. Mooi dat het vanaf 2.34 weer goed zit, maar de ontwikkelaar heeft blijkbaar wat gekke prioriteiten. Dus misschien dat ik iets anders zoek.

Vygotsky @afraca • 8 juni 2016 11:59

I stand corrected. Zelf ook net over naar Keepass.
Moet zeggen dat het nog niet helemaal feilloos werkt in chromium. Bij sommige sites kunnen velden niet gevonden worden. Bij andere leest de site een ander wachtwoord wanneer keepass het invult. Ervaring mee?

Stoelpoot @Tadsz • 6 juni 2016 08:44

> Enige minpunt is wanneer ik op studie/werk wil inloggen dat ik daar geen KeePass kan/mag installeren.

Dat is inderdaad erg jammer. Is er bij Keepass niet een portable client te krijgen? Zou een hoop schelen al.

dantalion @Stoelpoot • 6 juni 2016 09:52

gewoon keepass installeren in een directory en dan kopieren, werkt prima op sommige systemen mis je misschien dan wat dll's dan krijg je errors.

Deze zijn eenvoudig te verhelpen door de dll's op te zoeken op de windows machine waar keepass geinstalleerd is en ze te kopieren naar de keepass map.

Zolang dll's in de zelfde folder als een executable staan zal de executable er altijd naar zoeken en die dll's vinden.

Freedox @dantalion • 6 juni 2016 11:06

Ooit van Portable exe gehoord

Tadsz @dantalion • 6 juni 2016 11:12

Ik ga het proberen maar heb het vermoeden dat ze onbekende .exe geblokkeerd hebben. Thanks voor de tip!

Edit: Installeen is geblocked, maar de portable versie van KeePass wordt gewoon geaccepteerd. Firefox extensie KeeFox komt er helaas niet doorheen omdat die een extraatje moet installeren. Is in ieder geval een stuk makkelijker dan wachtwoorden overtypen!

[Reactie gewijzigd door Tadsz op 22 juli 2024 14:48]

disheaver @Stoelpoot • 7 juni 2016 07:53

Er is een portable editie.

Extra hippe oplossing: Bluetooth usb stickje die als keyboard figureert. Via telefoon stuur je je gebruikersnaam /password naar het stickje die vervolgens wordt ingetypt.

Kost alleen wat meer dan paar dollar.

Chocomel_Deluxe @Tadsz • 6 juni 2016 08:36

Zet je keeppass in dropbox/owncloud etc en laat hem syncen met je telefoon. Zo heb je altijd een backup en de laaste versie hij de hand.

Tadsz @Chocomel_Deluxe • 6 juni 2016 11:14

Klopt! Heb database synced met DB en keepass2android om uit te lezen. Ik gebruik een keyfile die ik niet op dropbox heb om toch veilig te blijven.

Toch blijft het lastig 20 - 32 willekeurige tekens een beetje vlot en correct over te nemen

Stoelpoot @Tadsz • 6 juni 2016 13:01

Ik heb het idee dat cloudservice + keepass nog best veilig is zonder keyfile. Cloud services kunnen bijna direct inpakken als ze gehackt zouden worden vanwege nalatigheid. Bovendien, als je 2 verschillende wachtwoorden gebruikt heb je nog een extra laag beveiliging op je ww kluis ook.

? ? @Stoelpoot • 6 juni 2016 14:12

iCloud werd 2 jaar geleden gefapt, euh ik bedoel gehackt. Herinner je je de foto's van Kate Upton niet meer?

Stoelpoot @? ? • 6 juni 2016 15:16

Dat is waarom ik geen iCloud gebruik. Ik weet dat ik op mijn cloud-account 2FA heb ingesteld, en een melding krijg als ik inlog vanaf een vreemd apparaat

Uiteraard is niets 100% veilig. Maar de beveiliging van GDrive ziet er tot nu toe goed uit. Bovendien zit er een extra laag bovenop omdat de vault ook beschermd is.

seloh @? ? • 7 juni 2016 12:17

iCloud was niet gehackt, de hacker had toegang gekregen tot de accounts middels phishing.

3raser @Tadsz • 6 juni 2016 11:31

KeePass is portable dus installeren is niet nodig. Je kan het vanaf een USB-stick starten of in je dropbox plaatsen en downloaden wanneer nodig. Ook kun je een client op je telefoon installeren en gebruik maken van een database via FTP. Dan heb je overal toegang tot je wachtwoorden database.

Ik maak zelf overigens gebruik van de ingebouwde FTP functie. Daar heb je geen plugins voor nodig. Bovendien kun je op deze manier op meerdere locaties tegelijkertijd je database openen. Eventuele gelijktijdige wijzigen worden door KeePass zelf herkent en samengevoegd.

[Reactie gewijzigd door 3raser op 22 juli 2024 14:48]

Tadsz @3raser • 6 juni 2016 18:41

Ik zou 'm middels ssh kunnen overdragen maar om een of andere reden vertrouw ik grote bedrijven meer dan mijn eigen geknutselde ssh+private keys. Hoewel dat gewoon veilig moet zijn, maar niemand buiten mij verantwoordelijk is dan.

Installeren was ook niet het echte probleem. Andere apps werden altijd geblokkeerd. Het lijkt op werk een soort wissel in IT beheer te zitten. In gebouw 1 is wifi op alle poorten open maar portable apps geblocked. In gebouw 2 mag ik alleen 22, 80 en 443 gebruiken maar wel exes openen.

FireDrunk

@Tadsz • 6 juni 2016 08:37

KeePass DB in Dropbox zetten, portable KeePass gebruiken?

[Reactie gewijzigd door FireDrunk op 22 juli 2024 14:48]

slijkie @gjmi • 6 juni 2016 08:40

Klopt, beste methode is toch uiteindelijk social engineering. Daar heb je gelijk in.

mkleinman

@slijkie • 6 juni 2016 08:15

Slechts 5 wachtwoorden? Dat houdt in dat wanneer 1 van je passwords op straat komt te liggen je deze pas na 3 tot 6 maanden hebt veranderd. Dat is meer dan genoeg tijd om heel veel schade toe te brengen.

2FA daarentegen kan sowieso geen kwaad

2FA + overal een ander ingewikkeld wachtwoord die ook nog af en toe veranderd wordt is denk ik de meest veilige optie op dit moment.

slijkie @mkleinman • 6 juni 2016 08:31

Klopt, maar ik heb gewoon niet de tijd om alles continue te veranderen, ik moet toch wel even corrigeren denk ik, de belangrijkere wachtwoorden doe ik toch vaker, 1-3 maanden denk ik zo, ben er niet heel precies in. Het zijn enorme wachtwoorden die met de Yubikey ingevoerd worden. Maar alsnog probeer ik ze zo vaak als mogelijk te veranderen.

Anoniem: 204567 @slijkie • 6 juni 2016 09:29

Of je wel of geen tijd hebt om alles elke x maanden te veranderen, of alleen de belangrijkste, maakt geen verschil voor de keuze om wel of geen password manager te gebruiken.

Met een password manager is de noodzaak trouwens een stuk lager om regelmatig alles te moeten veranderen. Maar dan nog, het veranderen van alle of de belangrijkste wachtwoorden is niet meer werk met een password manager dan een amateuristisch systeem met 5 eigen "levels" van makkelijke tot moeilijke wachtwoorden voor minder tot meer belangrijke accounts.

Ik verander mijn wachtwoorden praktisch nooit trouwens. Ik zou niet weten waarom, welk probleem los ik daarmee precies op?

Als er een site wordt gehackt en men heeft toegang tot alle accounts, dan pas ik het wachtwoord voor dat account even aan, maar verder? Als er een database met password hashes is gelekt hebben ze mijn password toch niet. En ik gebruik voor elk account een compleet random uniek lang password.

PixelPhobiac @Anoniem: 204567 • 6 juni 2016 10:33

Dit. Wat is nou precies het nut van het periodiek veranderen van je wachtwoorden? Ik heb nooit begrepen waar dat nou goed voor is...

Nazlive @PixelPhobiac • 6 juni 2016 11:19

Soms is het vanuit bijv. bedrijven verplicht, omdat het altijd een toegangspunt kan zijn, ook al kan je er niet direct wat kwaads mee. Ook zou er op lange termijn wel eens belangrijke informatie te kunnen vinden zijn op je account bijv. wat samen met andere informatie bijv. nog meer te achterhalen is.

Daarnaast wordt het voor mensen die zulke lijsten verkopen of gebruiken minder interessant omdat veel wachtwoorden niet meer werken (of er nu wel wat of niet belangrijks mee kan gebeuren)

526735 @PixelPhobiac • 6 juni 2016 12:01

Stel je bent een docent. Je moet inloggen op het systeem waar de cijfers in bijgehouden worden. Een leerling loopt langs en ziet het wachtwoord. Je hebt dat niet in de gaten. Nu kan de leerling altijd zijn cijfers aanpassen, tenzij je je wachtwoord heb veranderd.

mkleinman

@slijkie • 6 juni 2016 09:08

Je hoeft ook niet continu te veranderen. Maar wanneer je op elke site een apart wachtwoord hebt is de impact van een hack slechts beperkt tot de site.

En wachtwoorden veranderen is een kwestie van af en toe, na inlog, je wachtwoord wijzigen. Wanneer je dan ook je Keepass deelt over devices hoeft dit ook op een IPAD of mobiel geen probleem te zijn.

slijkie @mkleinman • 6 juni 2016 09:36

Ik zat ook te denken (eventueel) om even een domein erbij te nemen en dan elke site een andere mail met een cijfer bijvoorbeeld voor Tweakers 'tweakers22@voorbeeld.com' en dan voor bol.com 'bol71@voorbeeld.com' en zo maar verder. ik denk dat dan ook de impact evt al verlaagd word.

Dat Keepass kende ik eerlijk gezegd niet, zal er eens naar kijken, bedankt voor de tip!

jerkitout @slijkie • 6 juni 2016 09:49

Volgens mij kan dat al met gmail

email+website@gmail.com

alles wat achter de + komt wordt genegeerd, dus je krijgt de emails gewoon in je mailbox, maar je ziet wel van welke site ze afkomen.

Jump @jerkitout • 6 juni 2016 09:57

Veel sites zien een plus-teken in een mailadres als een illegaal teken. Dus het lukt jammer genoeg niet overal.

Henk Poley @slijkie • 6 juni 2016 08:09

Heb 5 wachtwoorden, soort van Level 1 tot 5, Belangrijk naar onbelangrijk.

Dan zal je dus ook wachtwoorden hergebruiken.

slijkie @Henk Poley • 6 juni 2016 08:39

de 3 belangrijkere levels zijn in de trend van "a872@71hd9173hak8+(=183h" dus lijkt mij sterk. die andere 2 zijn normale, hergebruik kan ik niet uitsluiten. Maar op kort termijn zeer onwaarschijnlijk.

gjmi @slijkie • 6 juni 2016 09:01

Met hergebruiken bedoelt hij misschien 1 wachtwoord op meerdere sites gebruiken. Je kunt nog zo'n ingewikkeld wachtwoord gebruiken, als een website deze niet veilig genoeg bewaard, maakt dat niets uit.

slijkie @gjmi • 6 juni 2016 09:13

Klopt, is een erg lastige situatie, en een wachtwoord manager vertrouw ik gewoon niet. Mag ik dan misschien ouderwets zijn maar ik krijg het gevoel dat ik dan mijn hele wachtwoorden bestand aan een 'assistente' geef om het voor mij bij te houden. Echter moet ik toegeven dat ik niet enorm veel onderzoek heb gedaan naar de werking van zulke programma's.

Anoniem: 204567 @slijkie • 6 juni 2016 09:30

Die programma's zijn open source he. Ze kunnen niet ongemerkt iets "stiekem" doen.

Anoniem: 382732 @Anoniem: 204567 • 6 juni 2016 10:26

Mits de code daadwerkelijk en heel grondig wordt gereviewd. Er zijn genoeg voorbeelden van problemen met open source die theoretisch niet hadden mogen gebeuren "omdat iedereen de code kan reviewen". Maar dat niet heeft gedaan....

kimborntobewild @Anoniem: 382732 • 6 juni 2016 14:44

Noem er eens een paar, dan. Boter bij de vis.

Het punt met Open Source is dat men er makkelijk achter kan komen dat er iets niet klopt, bijv. als de firewall aan de deur klopt dat die software iets wil doen - dan kan je gewoon in de code kijken.
Probeer dat maar eens met Closed Source - nog afgezien van 't feit dat je een proces aan de broek kan krijgen met als reden dat je niet mag reverse-engineren.

BugBoy @slijkie • 6 juni 2016 08:19

Waarom niet een wachtwoord manager? Wachtwoorden moet je gewoon niet hergebruiken.

Anoniem: 204567 @BugBoy • 6 juni 2016 09:23

Dit. En wachtwoorden moet je ook niet zelf verzinnen of onthouden met een "slim" systeem.

Gewoon een wachtwoord manager. Dat geeft de allerbeste wachtwoorden (namelijk volledig random) die je nooit hoeft te onthouden, en uniek voor elke site of account.

sumac @slijkie • 6 juni 2016 09:57

Ik gebruik Lastpass, met erg lange wachtwoorden, voor iedere site een ander wachtwoord. Mocht je Lastpass niet 100% vertrouwen, dan kun je het alsnog gebruiken voor alle onbelangrijke of minder belangrijke sites, zoals VK, Tweakers etc. Het is gewoon de makkelijkste tool voor online gebruik, voor in je browser met name.

Belangrijke sites zoals gmail, Ebay, Paypal, Apple etc - alles wat je geld kan kosten of wat heel veel schade kan aanrichten: gebruik zo mogelijk two factor, en evt bv Keepass. Maar in hoeverre weet je dat Keepass beter te vertrouwen is dan Lastpass? Weet je zeker dat je Keepass in dropbox veiliger is dan Lastpass?

Ben je er overigens bewust van dat als je mail gehackt wordt, de mail die de username is van Lastpass, dat je lastpass account gereset kan worden. Zonder wachtwoord kunnen ze er in principe niet bij, maar ze kunnen wel de database resetten, en daarna ben je alles kwijt.

[Reactie gewijzigd door sumac op 22 juli 2024 14:48]

BugBoy @sumac • 6 juni 2016 11:20

Two factor authentication d.m.v. email vind ik ook niet 100% veilig. Als je wachtwoorden om de een of andere reden toch op straat komen te liggen (kan ook komen door keyloggers o.i.d.) dan wil je het liefst two-factor via een medium dat de hacker niet in handen heeft. Je telefoon met SMS is meestal wel een goede (daarom moet je SMS diensten ook alleen op je toestel houden en niet in de cloud).

Brontosaurus1 @slijkie • 6 juni 2016 10:12

Hoe verander je automatisch al je wachtwoorden? Zoiets ben ik nog naar op zoek namelijk.

Anoniem: 399807 @slijkie • 6 juni 2016 10:17

Ik heb geen account en gelukkig maakt dat een hackert niet uit!

Ik roep vaak mensen op om te kappen met sociale media. Elke maand komt er een groep naar voren met een 2 jaar oude hack, dus toen ik hier al meerdere jaren geleden tot opriep, werd ik al gelijk bewezen door een of andere hacker.

Je bent veilig als je geen accounts maakt voor dit soort louche bedrijven, die blijkbaar geen probleem hebben om 100.000.000 leden te verzamelen maar geen moeite doen om inlog informatie vakkundig en veilig te bewaren.

Wat voor auto rijdt die hoofd ICTér in denk je?

Nazlive @Anoniem: 399807 • 6 juni 2016 11:25

Een Lada?

Johan9711 6 juni 2016 07:56

Daarom: Wijzig regelmatig je wachtwoord, en gebruik nergens het zelfde. Kan het niet vaak genoeg herhalen. Ik heb laatst ee n klein onderzoekje gedaan, en van de wachtwoorden die ik van kennissen op leaked source vond, werkte nog zo'n 30%.

EchoWhiskey @Johan9711 • 6 juni 2016 08:52

Daarom: Wijzig regelmatig je wachtwoord, en gebruik nergens het zelfde.

In theorie een aardige gedachte, maar in the praktijk onmogelijk zonder het gebruik van een password manager (Keepass, LastPass etc)
Ik heb even in mijn LasstPass vault gekeken en daar staan ruim 100 passwords.
Het is praktisch onmogelijk om die te onthouden en regalmatig te wijzgen.

Wat belangrijker is (als je geen PW manager gebruikt) dat je passwords maakt die enige lengte hebben (15+ of zo)

Anoniem: 399807 @EchoWhiskey • 6 juni 2016 10:21

Vertrouw nooit op password managers die online kunnen en automatisch dingen invullen. Vertrouw op niets dat ook maar enigszins te maken heeft met cloud opslag.

Dat is mijn advies. Wil je ww's opslaan, gebruik dan alleen een offline met ww beveiligde en versleutelende software.

En als je ergens moet inloggen, dan zul je gewoon moeten knippen en plakken.

fjehoel @Anoniem: 399807 • 8 juni 2016 09:22

Keepass heeft een optie om voor jou te knippen en plakken en doet dat op zo'n manier dat alleen een keylogger of alleen een clipboard monitor het niet kan volgen. Hij knipt de helft van de karakters (maar niet opeenvolgende) naar je clipboard, plakt die in het vakje waar je ze wil invullen, loopt vervolgens met keypresses pijtljje naar rechts door je wachtwoord heen en vult op de plekken waar nog een karakter moet komen met een keypress dat karakter in. Oftewel, de clipboard monitor ziet maar een willekeurig deel van je wachtwoord en de keyboard logger ziet alleen maar pijltje, pijltje, karakter, pijltje, karakter, karakter etc...

Volgens mij is dat veiliger dan zelf ctrl-c, ctrl-v doen...

[Reactie gewijzigd door fjehoel op 22 juli 2024 14:48]

S1xtuS @Johan9711 • 6 juni 2016 08:26

Ik ben echt helemaal voor! Echter is dit vrijwel onmogelijk aan digibeten/ouderen uit te leggen. Voor deze groep is het al lastig hun Gmail, Facebook en sim pincode tegelijkertijd te onthouden. Ze willen alles opgeschreven en zo simpel mogelijk. Het is al vervelend als er perse een hoofdletter en cijfer in moet..

xiphoid @Johan9711 • 6 juni 2016 09:51

Ik zou het niet erg vinden als mijn systeem met een hardware key komt - als het ware - die bij elke login tevens de login gegevens cycled naar nieuwe random rommel.

valvy 6 juni 2016 07:55

Eigenlijk moet er een soort tucht commissie komen waarbij men ter verantwoording kan worden geroepen voor het onveilig opslaan van dit soort gevoelige data.

Lijkt me toch niet zo lastig om dit op Europees niveau te regelen?

BugBoy @valvy • 6 juni 2016 08:17

Dat had voor VK dan weinig uitgemaakt. Ze zijn Russisch en de hacker heeft jaren geleden plaatsgevonden.

kimborntobewild @valvy • 6 juni 2016 10:01

Dat werkt niet goed genoeg op lokaal niveau; zulks werkt alleen goed genoeg als het op wereldniveau gebeurd. Het kan nog wel duizend jaar duren voordat we een echte, machtige, overkoepelende wereldregering hebben - die dan ook prioriteit moet geven aan veiligheid en milieu, en niet aan economie.

Dark Angel 58 @valvy • 6 juni 2016 11:34

Zeg dat tegen overdreven veel regeringen en hun geheime diensten op aarde, dus praktische onmogelijk.

Het is wel een starfleetachtige oplossing

dat alle landen zich verenigen zodat er een wereld regering komt... daarna kan de regering (anti) hack wetten maken, zonder bemoeienis van voormalige vele landen.

[Reactie gewijzigd door Dark Angel 58 op 22 juli 2024 14:48]

pim @valvy • 6 juni 2016 11:41

Eigenlijk moet er een soort tucht commissie komen waarbij men ter verantwoording kan worden geroepen voor het onveilig opslaan van dit soort gevoelige data.

Als jouw wachtwoord overal hetzelfde, moet je niet de website de schuld geven..
Zelfs al is het veilig opgeslagen dan kan het in theorie nog steeds gekraakt worden, als je maar genoeg rekenkracht hebt.

[Reactie gewijzigd door pim op 22 juli 2024 14:48]

Dacuuu 6 juni 2016 08:12

En daarom, maak gebruik van een wachtwoord kluisje zoals bijvoorbeeld Keepass.

Trommelrem @Dacuuu • 6 juni 2016 08:40

Beveiliging is zo sterk als de zwakste schakel. Keepass helpt niet tegen onversleutelde wachtwoorden. Omdat VK de wachtwoorden onversteuteld heeft opgeslagen, is je entry in Keepass feitelijk ook onversleuteld.

armageddon_2k1 @Trommelrem • 6 juni 2016 09:09

Maar doordat Dacuuu geen hersenruimte meer nodig heeft om wachtwoorden op te slaan kan hij voor elke site een ander wachtwoord maken, terwijl z'n login (waarschijnlijk z'n email-adres) gelijk is. Als er dan een site-bouwer een lek heeft zijn niet allemaal andere accounts van Dacuuu compromised.

Orthodroom @Trommelrem • 6 juni 2016 09:13

En daarom combineren met een ander wachtwoord voor elke site. Dan hoef je nu alleen VK.ru aan te passen

svenslootweg @Trommelrem • 6 juni 2016 18:36

Keepass helpt niet tegen onversleutelde wachtwoorden.

Dat is onjuist. De servers van VK zijn sowieso al gecompromitteerd, dus dat iemand je VK-wachtwoord weet is niet zo heel boeiend. Het gevaar zit hem in het hergebruik van wachtwoorden bij andere diensten, en het gebruik van iets als KeePass maakt het mogelijk om dat probleem op te lossen (door voor iedere dienst een uniek wachtwoord te genereren).

Trommelrem @svenslootweg • 6 juni 2016 19:26

Het gebruik van Keepass betekent niet automatisch het voorkomen van hergebruik van wachtwoorden. Ik zie het verband niet.

telenut 6 juni 2016 09:03

ik verander ook veel wachtwoorden, gebruik random wachtwoorden, veel verschillende wachtwoorden...

maar soms vloek je wel eens ook. Zo wou ik onlangs wat bitcoins verkopen, maar vond mijn wachtwoord niet meer terug... Stresserende avond!

Nu gebruik ik vooral wachtwoordmanagers, maar ook hier toch serieus opletten, zeker nu ik merk dat zaken zoals teamviewer misbruikt worden om uw pc over te nemen.
En dan heb je nog diensten waar je geblocked bent na 3 verschillende pogingen... (simpelste voorbeeld: uw bankkaart).

Mn volgende laptop zal met vingerprintscanner zijn om kluis te openen in elk geval. Bestaat zoiet op usb?

Eusebius @telenut • 6 juni 2016 09:43

Keepass met een externe sleutel (dwz USB-stick)?

jerkitout @Eusebius • 6 juni 2016 09:52

Met lastpass kan je ook instellen dat bepaalde sites nog een keer de master password vragen (Ik gebruik dit voor alles wat met geld te maken heeft). En natuurlijk een automatisch timeout. Maar als iemand mijn pc overneemt voor de timeout, dan kunnen zij nog niet op mijn bank inloggen

Maar goed, als ze al met teamviewer op mijn pc zitten, kunnen zij ook gewoon een keylogger installeren

En daarom, ook 2fa is belangrijk.

[Reactie gewijzigd door jerkitout op 22 juli 2024 14:48]

telenut @jerkitout • 6 juni 2016 11:01

voor betaalzaken gebruik in indien mogelijk ook 2FA.
De optie met externe usb key is minder handig, die laat je dan toch gewoon altijd inzitten.. of heb je niet bij u als je hem nodig hebt.
masterkey moeten ingeven voor bepaalde sites is mss nog een optie!

DimitryK 6 juni 2016 08:38

Schept vast veel vertrouwen bij de gebruikers van Telegram. Ondanks dat het open source is zou ik me wel even achter de oren krabben als je leest dat het sociale netwerk van dezelfde oprichter anno 2011/2013 zo'n 100 miljoen onversleutelde wachtwoorden in de database had.

Gomez12 6 juni 2016 08:51

Tja, dit vind ik toch wel slordig hoor.

Slechte versleuteling kan ik nog begrijpen (het is vrij ingrijpend om je versleuteling te veranderen dat betekent dat je alle gebruikers een wachtwoord-reset geeft)

Maar bij geen versleuteling kan je het ongestraft wijzigen naar goed versleuteld want je weet elk wachtwoord.

e.dewaal

@Gomez12 • 6 juni 2016 15:35

je kunt het ook gefaseerd in gebruik nemen. Als de gebruiker zijn wachtwoord invult wat overeen komt met de bijv. md5 (oud) kan de nieuwe sha256 sleutel berekend worden met het invullen van het wachtwoord. Als een sha256 sleutel aanwezig is voor die gebruiker kan de md5 verwijderd worden.
Als het grootste gedeelte van je gebruikers over is kan je een wachtwoordreset doen voor de overige gebruikers.

Anoniem: 636203 6 juni 2016 10:04

Is er nog iemand niet gehackt? Wanneer verschijnen de 1.3 miljard Facebook logins op een Tor site?

wica 6 juni 2016 12:48

Deze week in het nieuws:
myspace 360 miljoen
VK.com 100 miljoen
linkedin 117 miljoen
Totaal 577 miljoen accounts gelekt / gehacked 18% van de mensen die in 2015 online waren.

Leuk cijfers.

Anoniem: 691794 6 juni 2016 08:05

Grappige overgang, van niet-gehashte wachtwoorden naar een van de 'veiligste' communicatie apps (telegram).

BugBoy @Anoniem: 691794 • 6 juni 2016 08:22

In 2006 werden wachtwoorden vaak plain opgeslagen. Als het achter een firewall zat dan werd dat vaak als veilig gezien. Tien jaar later weten weer wel beter. Helaas zijn sommige systemen nooit aangepast.

WhatsappHack

Netwerk en systeembeheer
Rusland

@Anoniem: 691794 • 6 juni 2016 11:55

Niet echt, ook telegram is overladen met lekken en design fouten; dus wat dat betreft is hij behoorlijk consistent.

e.dewaal

@WhatsappHack • 6 juni 2016 15:35

bron?

Op dit item kan niet meer gereageerd worden.

Gegevens 100 miljoen accounts sociaal netwerk VK.com aangeboden op internet

Lees meer

IT-banen

Reacties (93)

Sorteer op:

Weergave: