'Hacker verkoopt inloggegevens 33 miljoen Twitter-gebruikers voor tien bitcoin'

Een hacker claimt in het bezit te zijn van miljoenen inloggegevens van Twitter-accounts en verkoopt deze voor tien bitcoin, omgerekend momenteel ongeveer 5100 euro. Na analyse door LeakedSource blijkt dat het om 32,8 miljoen accounts gaat.

Twitter ZDNet bericht dat een hacker 'met verbindingen naar de recente LinkedIn-, MySpace- en Tumblr-hacks' en bekend onder de naam 'Tessa88' in een chat claimde de Twitter-gegevens sinds 2015 in bezit te hebben. De site LeakedSource heeft de database geanalyseerd en komt tot de conclusie dat de gegevens niet van een datalek bij Twitter afkomstig zijn, maar van gebruikers zijn verkregen door middel van malware. Deze malware zou de inloggegevens direct uit de browser hebben gestolen, waar zij volgens de site onversleuteld werden opgeslagen.

De hacker claimt 379 miljoen accountgegevens in handen te hebben, maar Leaked Source zegt dat het zonder dubbelingen gaat om 32,8 miljoen unieke accounts. Twitter heeft naar eigen zeggen rond 310 miljoen actieve gebruikers elke maand. Bij de gegevens gaat het om e-mailadressen en onversleutelde wachtwoorden. Deze zijn door LeakedSource bij vijftien verschillende gebruikers geverifieerd. Ook ZDNet heeft een aantal wachtwoorden gecheckt.

Beveiligingsonderzoeker Troy Hunt blijft sceptisch en stelt dat er geen reden is om aan te nemen dat deze gegevens echt zijn, alleen omdat onlangs verschillende grote sites datalekken bleken te hebben. Een woordvoerder van Twitter refereert in een bericht aan ZDNet aan de recente hacks en benadrukt dat het belangrijk is dat gebruikers unieke wachtwoorden gebruiken.

IT-banen

Reacties (109)

AOC 9 juni 2016 10:04

Zucht, het aanpassen van wachtwoorden/e-mails wordt bijna een wekelijkse taak met de huidige tempo qua hacks.

Nu iig een unieke e-mail alias aangemaakt i.c.m. lange wachtwoord.

JohnnyricoMC @AOC • 9 juni 2016 10:33

Lijkt me dat wachtwoorden stilaan een achterhaald concept worden. Misschien moet het tijd worden dat enkele grote spelers (bvb een Google) gebruikers de mogelijkheid bieden een publieke PGP sleutel aan hun account te koppelen voor authenticatie.

Op den duur zal de rest dan wel volgen. Kijk maar naar 2-factor authenticatie mbv TOTP: sinds Google en enkele andere grote jongens er mee zijn begonnen volgen steeds meer websites het goede voorbeeld.

Verwijderd @JohnnyricoMC • 9 juni 2016 12:06

Lijkt me dat wachtwoorden stilaan een achterhaald concept worden. Misschien moet het tijd worden dat enkele grote spelers (bvb een Google) gebruikers de mogelijkheid bieden een publieke PGP sleutel aan hun account te koppelen voor authenticatie.

De zwakste schakel van de beveiliging is de eindgebruiker. Ook al gebruik je hash met PGP met GPG en een vleugje magie, dan heb je er niet veel aan als de gebruiker de sleutel opslaat op het bureaublad van een internetcafé of de algemene computer waar de kinderen bij kunnen komen. Er hoort dus ook een stukje opvoeding bij, en dan nog houd je gebruikers over die denken "oh, in de krant staat dat het 1 miljoen jaar duurt om te kraken, dus wat maakt het uit als ik mijn sleutel ergens laat slingeren".
Goed gereedschap werkt alleen naar behoren als het op de juiste wijze gebruikt wordt.

Stoelpoot @Verwijderd • 9 juni 2016 12:20

Maar, er zijn voldoende gevallen waarin de beveiliging van de eindgebruiker niet per se de zwakste schakel is. Stel, mijn wachtwoord voor mijn wachtwoordkluis is nergens opgeschreven, en ik gebruik 2FA. Mijn wachtwoord is 64 etekens lang. Maar de website waarbij ik dit gebruik hasht dit wachtwoord niet, en een aanvaller kan mijn gegevens dus achterhalen als hij de website kraakt, maar niet als ik zelf wordt gekraakt, omdat dan mijn wachtwoordkluis is beveiligd met een geheim wachtwoord en 2FA.

De beveiliging van applicaties is gedeeltelijk afhankelijk van de gebruiker, maar ook de website zelf. De gebruiker kan maar tot op zekere hoogte zijn gegevens beschermen zodra de website uit de lucht ligt. De gebruiker is dus afhankelijk van de website voor de toegang tot zijn gegevens.

Het PGP-voorstel draait dit om. De website vereist gegevens van de gebruiker om deze uit te lezen. Het cloudplatform MEGA gebruikt dit al gedeeltelijk, waarbij het wachtwoord van de gebruiker ook de sleutel is tot decryptie van de gegevens. Dit is ook zo bij iCloud, en bij de encryptie van een Android / iOS toestel. De gebruiker geeft het toestel de gegevens om het geheugen in te kunnen lezen.

Verwijderd @Stoelpoot • 9 juni 2016 18:01

Maar, er zijn voldoende gevallen waarin de beveiliging van de eindgebruiker niet per se de zwakste schakel is. Stel, mijn wachtwoord voor mijn wachtwoordkluis is nergens opgeschreven, en ik gebruik 2FA. Mijn wachtwoord is 64 etekens lang. Maar de website waarbij ik dit gebruik hasht dit wachtwoord niet, en een aanvaller kan mijn gegevens dus achterhalen als hij de website kraakt, maar niet als ik zelf wordt gekraakt, omdat dan mijn wachtwoordkluis is beveiligd met een geheim wachtwoord en 2FA.

Ook daar ligt de zwakste schakel bij de eindgebruiker, want die gebruiker had geen gebruik moeten maken van een onveilige website. Het gebruik van onveilig gereedschap (lees: website) door de eindgebruiker moet voorkomen worden.
Enfin, ik begrijp je standpunt wel en daar zit wat in.

Rafe @JohnnyricoMC • 9 juni 2016 12:06

Google heeft al zoiets: nieuws: Google voegt inloggen via usb-sleutel toe aan Chrome - o.a. Dropbox en GitHub ondersteunen het ook. Ze hebben het ism met Yubikey eerst intern onder de naam 'Gnubby' getest, nu is het de open Fido U2F-standaard en naast Yubikey zijn er andere fabrikanten die dergelijke sticks maken. Om als Google-medewerker in te loggen op hun intranet is zo'n ding verplicht.

Een U2F-compatible apparaat bevat een private en public key, de browser verstuurt een verzoek van een website om een challenge te ondertekenen (inclusief de URL om phishing te voorkomen) en als jij op het knopje drukt wordt de response teruggestuurd naar de server die deze kan controleren om je binnen te laten. Meer info @ https://www.youtube.com/watch?v=YSTsgldazSU

Heedless @JohnnyricoMC • 9 juni 2016 11:08

Krijg je dan niet het probleem dat die sleutel altijd op het apparaat moet hebben staan waarmee je inlogt? Sites zoals Facebook en Gmail worden ook vaak gebruikt vanaf computers van anderen (bibliotheek, school, werk, vrienden).

Stoelpoot @Heedless • 9 juni 2016 12:25

Nee, dat is toch ook niet nodig met een wachtwoord? Uiteindelijk zou de sleutel hetzelfde worden gebuikt als een wachtwoord. De gebruiker geeft de sleutel op, de gegevens worden gedecrypt. Of je dit vanaf een computer thuis doet of een bibliotheekcomputer zal niet veel uitmaken.

Heedless @Stoelpoot • 9 juni 2016 13:10

Maar als je die gebruikt als wachtwoord, dan schiet je daar toch niets mee op? Wat is dan het verschil?

Mijn PGP keys moeten toch echt op mijn apparaten staan om bij mijn email te kunnen. Eventueel versterkt met een passphrase.
Hetzelfde geldt voor ssh: ik kan op mijn server inloggen zonder wachtwoord omdat de server mijn public key heeft en de private key op mijn laptop staat. Maar wanneer ik inlog vanaf een ander apparaat dan heb ik geen matching key en moet ik dus mijn wachtwoord invoeren.

Stoelpoot @Heedless • 9 juni 2016 13:44

Het gebruiken van een public / private keypair heeft als gevuld, dat de server enkel versleutelde gegevens bezit. In plaats van dat de gebruiker zich authenticeerd bij de service om zijn gegevens te mogen inzien, geeft de gebruiker de sleutel op waarmee de service de gegevens mag inzien. Deze gegevens zijn versleuteld met de public key.

Dus, zodra een service gehacked wordt, kan uit de gegevens nooit de private key worden afgeleid. Deze wordt altijd door de gebruiker opgegeven, waarmee de gegevens tijdelijk worden ontsleuteld. De service verstuurd de gegevens, en zodra deze uit het geheugen gaan, heeft de service geen idee meer wat de gegevens betekenen. Enkel dat het gegevens zijn van een bepaalde gebruiker.

De hackers hebben ook alleen de versleutelde gegevens. Alleen als de gebruiker aan de hackers de private key geeft, kan dit worden uitgelezen. Dit gaat een gebruiker in principe niet doen (en of dit wel of niet gebeurd valt buiten het doel van het systeem). De hackers hebben geen slecht beveiligd wachtwoord wat met bvb rainbow tables kan worden gekraakt om het origineel te verkrijgen. Het blok versleutelde gegevens is daar te groot en te uniek voor. Enkel een betekenisloos blok gegevens, wat eventueel bruteforced kan worden, als daar genoeg rekenkracht voor is. Dit is dus automatisch even sterk als een goed gehashed + salted wachtwoord.

Op de vraag waarom je PGP key op je computer moet staan, mijn vraag is waarom? Als ik een key generator gebruik als deze, en hier vul ik 2x dezelfde gegevens in, blijft de key gelijk. De gebruiker behoud dus een wachtwoord. Maar voor de service is het wachtwoord een private key, die het gebruikt om gegevens uit te lezen, en daarna weer vergeet.

Heedless @Stoelpoot • 9 juni 2016 17:20

Ah, nu snap ik wat je bedoeld. Je maakt een keypair, geeft de public key aan de aanbieder en gebruikt de private key (=wachtwoord) om in te loggen, zodat je informatie ontsloten kan worden.

De denkfout die ik maakte is dat ik nu inderdaad zowel de public als private key op al mijn apparaten moet hebben omdat ik lokale email clients gebruik en ik dus zelf de 'aanbieder' ben. Zou de decyptie online plaatsvinden, dan zou ik daar de public key opslaan en hoef ik alleen nog de private te weten.

JohnnyricoMC @Heedless • 9 juni 2016 12:09

Geen idee hoe het met de Nederlandse identiteitskaarten zit, maar ik kan als voorbeeld uit eigen ervaring enkel de Belgische eID aanhalen.

Momenteel loopt de periode voor TaxOnWeb in België, belastingplichtige burgers kunnen met de keys op hun identiteitskaart authenticeren tegen de federale authenticatieservice (die biedt ook andere authenticatiemethoden aan) om hun belastingaangifte online in te vullen. Diezelfde service wordt ook door verschillende andere organisaties gebruikt om leden te authenticeren, zoals bvb de Christelijke mutualiteit.

Stoelpoot @JohnnyricoMC • 9 juni 2016 10:59

Dat zou nog wel een goed idee zijn. In plaats van een gebruiker laten identificeren bij de website, laat je dan de gebruiker een sleutel aan de website geven, waarmee de website de gegevens kan ontsleutelen.

Alleen hoe zou dit werken icm bijvoorbeeld OAuth? Dan zou je aan vreemde websites de sleutel geven? Vreemde websites kunnen dan je gegevens niet meer benaderen zonder de private key, terwijl deze private is voor een reden.

Tadsz @Stoelpoot • 9 juni 2016 12:00

Zouden die vreemde websites dan niet een eigen private key kunnen maken en de public key aan jou geven om aan je keyvault toe te voegen?

Dan is er nog de kans dat de 'vreemde' privkey gestolen wordt maar je hebt in ieder geval unieke 'wachtwoorden' en je kan het wisselen van 'wachtwoorden' forceren/automatiseren

Stoelpoot @Tadsz • 9 juni 2016 12:13

Die snap ik even niet. Met de public key kan je gegevens versleutelen, waarna de private key de gegevens kan ontsleutelen. Wat voor gegevens zou je dan aan een 3rd-party website geven, die zij dan ontsleutelen en gebruiken?

Tadsz @Stoelpoot • 9 juni 2016 12:52

Ik dacht dat je probleem lag in dat je voor OAuth je eigen privatekey zou moeten gebruiken bij vreemde websites. Ik dacht dat een oplossing zou zijn niet je eigen privatekey te gebruiken maar een tweede. Als het ware twee log-ins waarbij een jouw echte is en de tweede alleen toegang verleend voor de vreemde website zodat je daar kan inloggen voor die app/game/website.

Denk dat de verwarring zit in dat ik de public key bij bijv. reddit of facebook zou plaatsen en de privatekey bij de gebruiker houden. De reden hiervoor is dat ik dit gewend ben vanuit SSH keys (een public key is publiekelijk beschikbaar dus geen verificatie voor wie jij bent hoewel je wel kan versleutelen)

Stoelpoot @Tadsz • 9 juni 2016 13:20

Nee, het is logisch dat de public key bij de service ligt. De zender (service) versleuteld, de lezer (gebruiker) ontsleuteld. Dat is hoe een assymetrische encryptie zoals PGP werkt. De service moet dus van de gebruiker 'toestemming' (de sleutel) krijgen om de gegevens te ontsleutelen. Dit in tegenstelling tot een wachtwoord, waarbij de gebruiker bij een service om toegang tot de gegevens vraagt.

Het probleem met OAuth in combinatie hiermee is dat een 3de partij de lezer wordt, en dit constant moet doen om gegevens bij de OAuth provider op te halen. Maar, dit betekend dus dat je je private key met een andere partij gaat delen, wat duidelijk al niet de bedoeling is van een private key.

Er kan voor een 3de partij ook geen 2de keypair worden aangemaakt. Dat betekend dat de gegevens opnieuw moeten worden versleuteld. Dan zijn er dus 2 gegevensblokken waar hetzelfde instaat. Dit is dus makkelijker te kraken. In plaats van 1 mogelijke sleutel, zijn er nu 2. Daarnaast vereist het ook meer servercapaciteit. Immers, bij een wijziging van de gegevens moet voor elk keypair de gegevens worden aangepast.

Daarnaast betekend dat ook dat je nog steeds een apart wachtwoord krijgt voor elke service. Dat is juist hetgeen wat OAuth-implementaties oplossen: In plaats van 50 wachtwoorden te gebruiken voor 50 services, gebruik je er 1 bij 1 service, die dan door de andere 49 services aangesproken kan worden.

Patrick_Wolf @JohnnyricoMC • 9 juni 2016 14:12

Ja wanneer dat gaat gebeuren en de userbase groot genoeg is gaan mensen natuurlijk proberen deze key the hacken/simuleren.

Wanneer de groep gebruikers groot genoeg is, is er ook een reden om meer moeite te doen voor dergelijke hacks.

Mic2000 @AOC • 9 juni 2016 10:22

Als je per website een uniek wachtwoord gebruikt is dit geen probleem. Zo kan je bijvoorbeeld aan het begin van elk wachtwoord de eerste twee letters van het domein gebruiken. Voorbeeld:

Tweakers.net wachtwoord: TWbroodjeaap_123
LinkedIn.com wachtwoord: LIbroodjeaap_123

Ook kan je voor elke gradatie in privacy het getal verdubbelen:

(Minder belangrijk) Tweakers.net wachtwoord: TWbroodjeaap_123
(belangrijker) Gmail wachtwoord: GMbroodjeaap_246

Zoals hieronder al staat, het beschermd niet tegen aanvallen die door mensen uitgevoerd worden, het systeem is snel te herleiden. Maar tegen geautomatiseerde aanvallen wel.

Offtopic / Irrelevant moderatie... we zijn wel erg kritisch op de donderdagmiddag...

[Reactie gewijzigd door Mic2000 op 24 juli 2024 20:04]

Stoelpoot @Mic2000 • 9 juni 2016 10:48

Mjaa, als je een duidelijk standaardwachtwoord gebruikt, dan is het snel te herkennen dat TW een site-spicifieke sleutel is. Zeker als wachtwoorden uit verschillende breaches worden gebruikt (LinkedIn + Twitter). Daarnaast, wat als je WW wordt achterhaald? Voor die specifieke site een ander standaardwachtwoord gebruiken? Dan verlies je het systematische voordeel van de constant + site-specific combinatie.

Een wachtwoordmanager blijft in mijn ogen de enige manier om unieke, niet-voorspelbare wachtwoorden te maken. Anders kan je ze gewoon niet onthouden.

RMvanDijk

@Mic2000 • 9 juni 2016 10:33

Het getal verdubbelen geeft je geen extra wachtwoordsterkte. Als je overal hetzelfde wachtwoord (met kleine aanpassing) gebruikt, is het dan niet handiger een password manager te gaan gebruiken? daar zijn tegenwoordig best wat opties voor.

TrisBe @RMvanDijk • 9 juni 2016 11:26

Password Managers zijn leuk idee maar beschermen eigenlijk alleen maar tegen websites die zijn gehackt. Het is een oplossing die het probleem verplaatst, namelijk naar de plek waar alles is opgeslagen (lokaal, servertje, bij een cloud service). Heb je daar het wachtwoord van heb je ook meteen alles. Daarnaast zal het mij in de toekomst (misschien al nu) niet verbazen als alle grote password managers gewoon een achterdeurtje hebben/krijgen.

Daarnaast is het gebruik niet ideaal. Even wachtwoord invullen op je mobiel? 30 Karakters overtypen van je computer scherm... Geen computer in de buurt? Jammer dan. Dit probleem heb je niet als je een cloud service/eigen servertje gebruik, maar wie heeft er nu de tijd om een eigen servertje op te zetten en te beveiligen (updates bij houden, etc) voor een paar wachtwoorden. Dus dan gebruik je een bestaande cloud service, ook niet ideaal.

Nee, de beste beveiliging is een uniek wachtwoord voor elke site. Gewoon lekker in je kop. Daar kan een geheime dienst (nu nog?) niet bij.

En password managers die al je wachtwoorden op hun site bijhouden en dan opties aanbieden om jouw te laten inloggen zijn natuurlijk een no-go maar dat spreekt voor zich. Weet niet of dat die bestaan overigens.

[Reactie gewijzigd door TrisBe op 24 juli 2024 20:04]

RMvanDijk

@TrisBe • 9 juni 2016 11:33

Mee eens, ben zelf nu wel met een password manager aan het kijken of dat bevalt, maar de belangrijke sites waar ik altijd bij wil kunnen heb ik het password voor in mn kop zitten. Die zijn wel wat minder sterk (30 karakters gaat me gewoon niet lukken) maar daar heb ik dan weer 2FA voor.

off topic: "daar kan geen dienst nog niet bij" is een dubbele ontkenning

[Reactie gewijzigd door RMvanDijk op 24 juli 2024 20:04]

Rumble @RMvanDijk • 9 juni 2016 11:53

Sterke wachtwoorden van meer dan 30 karakters hoeven niet moeilijk te zijn om te onthouden. Neem b.v. "ikwileensterkwachtwoordvoortweakers". voldoet en is te onthouden.

FlyEragon @Rumble • 9 juni 2016 12:00

Zo vervelend alleen dat elke site/programma weer andere spelregels heeft waardoor je dus per se een ABCD/I#***&$,.;;'' moet gebruiken waardoor het onthouden weer wat lastiger wordt, of niet langer mag zijn dan 8 karakters, wtf we leven niet in de steentijd.

En zogenaamd slimme pw filters die bekende woorden eruit filteren zijn helemaal dom bezig omdat dat helemaal niks met sterkte te maken heeft.
Liever inderdaad een superlange zin wat je makkelijk kan onthouden dan een rare combo van klein groot en alfanumerieke karakters.

NullCrayfish @FlyEragon • 9 juni 2016 12:08

En het weigeren van wachtwoorden 3 maal hetzelfde karakter achter elkaar *kuch* Apple *kuch*
Hondje$11 is natuurlijk beter dan Hondje$111

Gevolg van al die conflicterende regels is ook dat ik sites heb waar ik standaard de herstelprocedure doorloop om te kunnen inloggen.

RMvanDijk

@Rumble • 9 juni 2016 12:40

Maar die is minder veilig voor dictionary-attacks volgens mij.
bovendien is het allemaal enkel kleine letters.

Volgens een passwordchecker is ie niet sterker dan een 5 tekens, random symbolen/letters/nummers. site: http://www.passwordmeter.com/.

Rumble @RMvanDijk • 9 juni 2016 16:25

Dat is meer de rekenmethode er is nogal wat aftrek omdat er geen cijfer en hoofdletter in voorkomt. begin met een hoofdletter en je haalt 100%. Vergeet niet dat 30 tekens uit bijna oneindig veel combinaties van woorden kan bestaan. Nog los van het feit dat ze niet weten of je wel woorden gebruikt. Een dictionary-attack zal dus niet lukken.

RMvanDijk

@Rumble • 9 juni 2016 16:46

Goed punt, die had ik zelf niet gecontroleerd. Interessant dat er dan zo een groot verschil tussen zit met die ene hoofdletter.

En het is inderdaad makkelijk te onthouden dan die #$@ passwords

jerkitout @TrisBe • 10 juni 2016 08:46

Dit is te idealist imo

Als je naar de real world kijkt, dan zijn de meeste 'hacks' omdat er wachtwoorden worden hergebruiken, of zwak zijn.

Voor een gemiddelde gebruiker is een password manager een goed idee. Wij zijn er over eens dat "de beste beveiliging is een uniek wachtwoord voor elke site.", maar zonder password manager gaan veel mensen dat niet doen. Ja er kan een backdoor zijn, maar 'don't let perfect be the enemy of good'.

De lastpass extensie is gewoon javascript, maar als iemand het audit, kan er dan een silent update komen met toch een backdoor er in. Maar dat geldt natuurlijk ook voor iedere browser, dus het is een non-argument imo

Password manager + 2fa op de master-password voor onbekend devices en dan zijn 99% of hacks waar wachtwoorden zijn hergebruikt gestopt.

[Reactie gewijzigd door jerkitout op 24 juli 2024 20:04]

Aikon @Mic2000 • 9 juni 2016 10:37

Het 'slechtste' wat je kan is voorspelbare methodes gebruiken voor de diverse sites. Tuurlijk het is beter dan overal hetzelfde wachtwoord. Zelf heb ik een klein aantal verschillende wachtwoorden, en degene met het laagste niveau zal vast ergens rondzwerven inmiddels maar die ga ik niet na elke hack veranderen.

MBicknese @Aikon • 9 juni 2016 11:00

Hier heb ik ook over na zitten denken maar vraag me af of dit echt zo'n gevaar vormt.

Ten eerste zal iemand die plain text wachtwoorden heeft deze niet persoonlijk 1 voor 1 gaan zitten uitproberen op verschillende sites. Het alternatief, en de waarschijnlijke optie, zal zijn dat er een botje wordt gedraaid die de hele datadump op verschillende lucratieve sites uit gaat proberen. Een enkel ander karakter in je wachtwoord is dan al genoeg om de bot te 'foppen'. Houd hierbij wel rekening dat je nooit dezelfde prefix gebruikt.

Het andere punt is, wanneer meneer de kraker wel handmatig bezig gaat, is dat hij de logica achter jouw methode moet kunnen snappen. Dus ergens tussen de miljoenen wachtwoorden komt hij bij jouw 'TWP4$$w0rd' en moet hier dan maar snel kunnen uithalen dat TW voor Tweakers staat en dat je wachtwoord voor LinkedIn dan 'LIP4$$w0rd' moet zijn.

Al met al denk ik dat een voorspelbare methode niet veel veranderd aan de veiligheid van je systeem.

henk1994 @MBicknese • 9 juni 2016 11:21

Als je één wachtwoord hebt onderschept is het inderdaad niet zo'n probleem. Als je echter meerdere wachtwoorden onderschept kan het wel een groot probleem worden.
Bijv de hacker heeft volgende wachtwoorden weten te bemachtigen:
TWP4$$w0rd (tweakers.net)
LIP4$$w0rd (linkedin.com)
FAP4$$w0rd (facebook.com)
Als hij weet dat jij hotmail gebruik is de kans groot dat het dit wachtwoord zal zijn:
HOP4$$w0rd

En dan heb je wel een flink probleem omdat al jouw wachtwoorden die op deze manier zijn opgesteld te achterhalen zijn.

Armin

Netwerk en systeembeheer
Security

@MBicknese • 9 juni 2016 21:04

Dus ergens tussen de miljoenen wachtwoorden komt hij bij jouw 'TWP4$$w0rd' en moet hier dan maar snel kunnen uithalen dat TW voor Tweakers staat en dat je wachtwoord voor LinkedIn dan 'LIP4$$w0rd' moet zijn.

Het gevaar zit hem erin dat hackers patronen gebruiken bij hert kraken. Dus als TWP4$$w0rd bekend is, kan het best blijken dat $$w0rd vaker gebruikt wordt. Immers mensen denken evolutionair getrained nu eenmaal in patronen - zowel bewust als onbewust. Mensen vragen een willekeurig getal, letter of woord te noemen levert ook altijd patronen op.

Als dan een andere database lekt, is jouw wachtwoord effectief nog maar even sterk als LIP4x en dat is brute force makkelijker gekraakt.

Dit is uiteraard een (te) simplitisch voorbeeld, maar het punt is dat het gebruik van patronen gevaarlijk is, want computers kunnen die genadeloos herkennen, en genadeloos gebruiken om toekomstige wachtwoorden te kraken. En het vervelende is dat patronen die anderen gebruikt worden, en jij toevallig zonder dat je het weet ook gebruikt net zo gevaarlijk zijn als die van jezelf.

Aan de andere kant, de hele sterkte van een wachtwoord is pas relevant als een site gehacked wordt. En zolang het gros van de mensen nog steeds wachtwoorden recycled zullen de meeste hackers niet eens een poging doen tot kraken in eerste instantie. Dus als je je wachtwoord meteen wijzigt zodra een bedrijf gehacked is, zit je meestal goed. Immers jouw wachtwoord hoeft enkel sterk genoeg te zijn, sterker dan de meeste anderen. En die drempel is momenteel niet erg hoog.

cadsite @Mic2000 • 9 juni 2016 10:29

Ik was net hetzelfde aan het bedenken voor mezelf.
Al was ik er nog niet uit of ik de eerste 2 letters ging nemen of een ander soort combinatie.

Mamoulian @Mic2000 • 9 juni 2016 11:40

Beter nog zijn volledige zinnen (met camel casing of een underscore voor een spatie), dan kan je *in principe* zelfs typen: Dit_is_mijn_wachtwoord_voor_tweakers_123.
Puur door de lengte en de inclusie van nummers, hoofdletters en speciale tekens is het paswoord ijzersterk. Hoe unieker de zin hoe beter uiteraard.

Armin

Netwerk en systeembeheer
Security

@Mamoulian • 9 juni 2016 21:09

Slecht advies zoals al heel vaak besproken. Die lange zinnen zijn meestal te lang en worden soms donweg afgekapt. Houd je over Dit_is_mijn_wachtwoord

Maar zelfs bij niet afkappen, zal het onderliggende algorithme het beperken tot 16-20 tekens qua brute force, maar qua patronen is het heel erg zwak. Dus als zo'n database uitlekt, zijn dit soort lange zinnen wachtwoorden die vaak binnen de eerste 24 uur al gekraakt zijn omdat ze zoveel voorspelbare patronen bevatten.

Voorspelbare patronen omdat andere mensen elders op aarde iets soortgelijks al gedaan hebben, en hackers hun patroon-databases geleerd hebben met die patronen van vorige hacks

De zin is dus wel uniek, maar de componenten veel-voorkomend.

MenN @Mic2000 • 9 juni 2016 11:50

Op het moment ben ik ook van mening dat een dergelijk algoritmisch wachtwoord een goede beveiliging oplevert.

Natuurlijk beschermd dit niet tegen serieuze spelers als een overheid, een beetje expert heeft dit natuurlijk zo door. Maar het beschermd je wel tegen geautomatiseerde aanvallen die de data gebruiken uit de gelekte bestanden van bijvoorbeeld een Adobe of LinkedIn hack.

Armin

Netwerk en systeembeheer
Security

@MenN • 9 juni 2016 21:12

Maar het beschermd je wel tegen geautomatiseerde aanvallen die de data gebruiken uit de gelekte bestanden van bijvoorbeeld een Adobe of LinkedIn hack.

Zolang er niet teveel anderen wachtwoorden van jezelf eerder uitgelekt zijn. En ook zolang van andere mensen niet ook soortgelijke patronen zijn gelekt. Anders zullen de patroon-krakers genadeloos en razendsnel dit soort wachtwoorden kunnen kraken.

Immers dat missen vreemd genoeg veel Tweakers. Hackers gebruiken al enige jaren geen brute force, rainbows or dictionairy meer, maar vooral patroon-krakers. Je moet dan dus vorozichtig zijn een patroon te grbuiken dat anderen niet ook al gebruikten. Maar hoe weet je dat ...

pruimenpit @Mic2000 • 9 juni 2016 12:12

Ik doe al tijden precies hetzelfde. Alleen hoef ik voor ieder wachtwoord maar 4 tekens te onthouden en op basis van deze tekens herleid ik via het toetsenbord een algoritme die me een x aantal extra cijfers, letters of tekens oplevert. Dit maakt dat mijn wachtwoord willekeurig oogt.

Voorbeeld (niet mijn eigen):

tWeA voor website tweakers:
Beginnen met hoofdletters
- Staan op plek 2 en 4
- De plek (2 of 4) en de daadwerkelijke letter geven een locatie aan op het toetsenbord
- Zorg voor een vast patroon van tekens op basis van deze locatie (bijvoorbeeld de 2 tekens eromheen).

Dan kleine letters
- Staan op plek 1 en 3
- Andere algoritme voor de locatie op het toetsenbord en ander patroon

Je kunt hier heel sterk in varieren, maar zolang je 1 algoritme kiest voor al je wachtwoorden hoef je alleen maar de eerste 4 tekens te onthouden en typ je daarna rustig de rest (in mijn geval totaal 16 tekens) van het wachtwoord. Persoonlijk kan ik zeggen dat na wat oefening dit steeds sneller gaat.

Geen nood voor een (in mijn mening onhandige) password manager, en je hoeft alleen maar simpele wachtwoorden te onhouden.

[Reactie gewijzigd door pruimenpit op 24 juli 2024 20:04]

Verwijderd @Mic2000 • 9 juni 2016 23:12

Dit is echt een superslecht systeem. Als de wachtwoorden database van facebook zou lekken of worden gehackt, en men ziet dat jouw wachtwoord daar FBbroodjeaap_123 is, hoeveel pogingen denk je dan dat men moet bruteforcen om uit te vogelen dat je password op Tweakers TWbroodjeaap_123 is?

Het is al vaker genoemd en ik kan het niet genoeg herhalen: Mensen zijn zeer slecht in het verzinnen en onthouden van goede wachtwoorden. Dat moet je gewoon aan software overlaten, passwords managers verzinnen ijzersterke wachtwoorden en vergeten er nooit een.

GeoBeo @AOC • 9 juni 2016 10:11

Wees blij dat het slechts je wachtwoord is. In de toekomst lekt misschien je vingerafdruk nog wel uit (denk aan inloggen via vinger afdruk op telefoons/laptops/websites en de vingerafdruk die in je paspoort en bij de gemeente tijdelijk staat opgeslagen).

Die kun je lastig veranderen

DimitryK @GeoBeo • 9 juni 2016 10:21

Het bedrijf waar ik werk biedt sinds kort biometrische authenticatie aan als access control voor verschillende klanten.

Zodra je vingerafdruk gescand is, wordt hier een bytestring (template) van gemaakt waarin alle unieke punten voor jouw vingerafdruk zijn opgeslagen. Deze zijn niet makkelijk terug te vertalen naar een afbeelding of werkelijke vingerafdruk. Natuurlijk kan de string gestolen worden, maar dan nog kan deze string per biometrische implementatie verschillen. Een uitgelekte bytestring van een vingerafdruk kan dus voor implementatie X werken, maar voor implementatie Y compleet nutteloos zijn. Als deze string dan ook nog eens versleuteld wordt opgeslagen... de rest kan je denk ik zelf wel bedenken

De vingerafdrukken kunnen als afbeelding worden opgeslagen, wat de gemeente doet om het bijvoorbeeld in je paspoort te kunnen drukken, maar doorgaans doet men dit niet. Een reden om het wel te doen kan zijn dat wanneer er in de toekomst mogelijk overgestapt wordt naar een andere aanbieder van scanners, die een ander algoritme gebruikt, de afbeeldingen met het juiste algoritme vertaald kunnen worden naar een nieuwe bytestring template.

Als deze afbeeldingen verder geen persoonsgegevens bevatten, maar enkel id nummertjes die door de buitenwereld niet zo 123 aan iemand gelinkt kunnen worden, heb je er nog niet heel veel aan.

[Reactie gewijzigd door DimitryK op 24 juli 2024 20:04]

Aikon @DimitryK • 9 juni 2016 10:33

Die string zal toch met een bepaald algoritme te ontsleutelen zijn, en dat algoritme raakt op een bepaald moment publiek, en vervolgens zijn de vingerafdrukken te herleiden en te converteren met de andere bekende algoritmes. En zoals gezegd, vingerafdrukken zijn lastig te veranderen. Het ziet er heel fancy uit om met biometrische gegevens te authenticeren maar of het echt slim is... Uiteraard afhankelijk v/h gewenste beveiligingsniveau.

Vale vista @Aikon • 9 juni 2016 10:44

Nee, ooit gehoord van zogeheten one-way functies? Bijvoorbeeld hash-codes is n goed voorbeeld.

Aikon @Vale vista • 9 juni 2016 10:47

Kán, het ligt aan de implementatie natuurlijk. Maar hash-codes zijn zeker niet per definitie onomkeerbaar in de praktijk.

Slonzo @Aikon • 9 juni 2016 10:55

Een hash is nooit omkeerbaar. Dat je een gehasht paswoord kan terugmappen op de originele input (of een collision) d.m.v. rainbow tables, betekent niet dat de hash omkeerbaar is. Je kan bvb. geen 128bit hash reversen naar een file van 50MB; er kan immers geen informatie gehaald worden waar er geen is.

Naar mijn idee geldt hetzelfde principe hier.

Aikon @Slonzo • 9 juni 2016 12:18

Daarom geef ik ook duidelijk aan: 'in de praktijk'. In de praktijk zijn hashes meestal omkeerbaar m.b.v. een rainbow table.

DimitryK @Aikon • 9 juni 2016 10:52

Iedere vingerafdruk die gescand wordt is anders. Het ligt er maar net aan hoe je vinger op de scanner ligt, daarom zal geen enkele template string hetzelfde zijn. Via een ander algoritme wordt dus het verschil berekend tussen twee template strings, met een aangegeven marge (FAR = False Acceptance Rate). Valt het resultaat binnen de marge, dan is er een match.

Reverse engineeren naar een afbeelding is, voor zover mij bekend, onmogelijk. Daarvoor wordt te weinig data opgeslagen over de vingerafdruk als geheel. De afbeelding zou waarschijnlijk alleen data over de unieke punten bevatten, maar de vingerafdruk zelf zou niet realistisch zijn en behoorlijk afwijken van de werkelijkheid.

AOC @DimitryK • 9 juni 2016 10:39

Beetje op de brainstorm tour hoor

Zou het ooit mogelijk kunnen zijn om de vingerafdruk van een persoon op afstand te scannen? Dat er d.m.v. een laser (oid) in een openbare ruimte (op een tafelblad, koffiemok, pinautomaat) massaal vingerafdrukken van nietsvermedende mensen gescand kan worden. Deze data dan vervolgens combineren met de smartphones die op het openbaar wifi netwerk zitten, of gewoon het 3g/4g signaal oppakken, en deze weer combineren met de data van de provider. Of gewoon tegelijkertijd de rfid chips uitlezen van je id-kaart , paspoort, bankpas of welk andere kaart dan ook die gegevens bevat.

Volgens mij is (en kan het zelfs vandaag de dag) het vrij gemakkelijk zijn om deze databronnen binnen te harken en te combineren om zo een compleet profiel van persoon x op te stellen

DimitryK @AOC • 9 juni 2016 10:49

Theoretisch gezien is dit mogelijk. Vingerafdruk authenticatie is niks meer dan de unieke punten in een vingerafdruk matchen met elkaar. Unieke punten, minutiae, kunnen verschillende vormen hebben, zoals splittingen, onderbrekingen, grote vlakken (islands) ed.

Als er een apparaat zou zijn, zoals bijvoorbeeld een laser, dat accuraat genoeg is in het herkennen van deze unieke punten op afstand. Ja, dan is het mogelijk om iemands vingerafdruk zo te stelen.

Of je er vervolgens een correcte template mee zou kunnen maken is een andere kwestie. Je moet het algoritme kennen van de software waarmee de scanner werkt, deze software is grotendeels closed source, dus hier zal je niet (snel) bijkomen. Een hoop wordt bekendgemaakt in de software source, maar het gebruikte algoritme zie je nergens.

Om het kort te houden: het zou wel verdomd moeilijk zijn.

[Reactie gewijzigd door DimitryK op 24 juli 2024 20:04]

FleaBite @AOC • 9 juni 2016 11:32

https://www.theguardian.c...using-photos-of-her-hands

mad_max234 @DimitryK • 9 juni 2016 11:20

Het is wachten op eerste skimmers die je vingerafdruk stelen, kwestie van tijd. Is kat en muis spel en zal niet eindige bij vingerafdrukken.

MenN @DimitryK • 9 juni 2016 11:43

Je dan dan wel pretenderen dat je beveiliging 100% in orde is, maar dat is nooit het geval. Dat bestaat gewoon niet! Wie weet wordt er morgen een bug gevonden in je o zo goede beveiliging.

Een wachtwoord veranderen is lastig, vervelend, en irritant maar daarna is het gevaar geweken.
En als je vingerafdruk eenmaal is uitgelekt (en dat gaat hoe dan ook ooit eens bij een willekeurig bedrijf gebeuren, al dan niet door pure stomheid, dan ben je dus de sjaak, want die kun je niet veranderen. En wie weet waar die data dan beland, het is een serieus probleem dat je nooit meer kan ongedaan maken. Er hoeft maar 1 hacker te zijn die slechte bedoelingen heeft, en dan heb je een probleem.

[Reactie gewijzigd door MenN op 24 juli 2024 20:04]

Armin

Netwerk en systeembeheer
Security

@DimitryK • 9 juni 2016 20:16

Als deze afbeeldingen verder geen persoonsgegevens bevatten, maar enkel id nummertjes die door de buitenwereld niet zo 123 aan iemand gelinkt kunnen worden, heb je er nog niet heel veel aan.

Maar dat is uiteraard niet zo, anders kan je die afbeeldingen niet 'gebruiken'. Immers als men inderdaad weer een nieuwe bytestring wil maken, zal men wel moeten weten van wie die afbeelding weer was. Bedrijven/overheden die de afbeelingen opslaan, zullen dus zo goed als zeker deze wel degelijk linken lijkt mij.

Het opslaan van de bytestring zelf echter is ook niet zonder gevaar. Immers het is dan wel implementatie afhankelijk, maar wel voor elk gebruik van die exacte implementatie. Simpel gesteld, men kan dan 'enkel' authenticeren op plaatsen die dezelfde implementatie gebruikt. Maar wel voor eeuwig en altijd.

Bovendien, momenteel is biometrische authenticatie nog steeds in de kinderschoenen met tig implementaties, die inderdaad niet compatible zijn, maar het is te verwachten dat op een bepaald moment standaarden en leiders gaan verschijnen. Ook het idee dat men de bytestring niet (genoeg) kan terugvertalen naar de bron-gegevens is geen garantie.

Onder de streep blijft dat primaire authenticatie met biometrische gegevens een dom idee is. Als identificatie zie ik wél veel nuttige toepassingen. Ook als secundaire authentciatie (geen wachtwoord/PIN/key/etc X tijd na laatste invoer) zie ik iets waar biometrie een nuttige 'tradeoff' kan zijn tussen security en gemak.

Stoelpoot @GeoBeo • 9 juni 2016 10:13

Kan wel hoor. Gloeiende plaat, bloed, zweet en tranen. Klaar

Werkt alleen wel maar 1x.

Nieuwe aanbeveling: Gebruik voor elke service een aparte vinger XD

mad_max234 @Stoelpoot • 9 juni 2016 11:22

En dan ben je gelijk hoofdverdachte, is net zoiets als je onthouden aan grootschalige DNA test.

Bensimpel @Stoelpoot • 9 juni 2016 10:29

Op dit temp heb ik meer vingers nodig lol, kan het ook met tenen?

Stoelpoot @Bensimpel • 9 juni 2016 10:43

Heb ook al van neuzen gehoord, en een ander zeker lichaamsdeel. Helaas kan laatsgenoemde lastig in het publiek worden gebruikt

MaffeMaarten @GeoBeo • 9 juni 2016 10:55

Precies, Ik vind het een beetje raar dat de vingerafdruk overal als ultieme oplossing wordt gezien voor access control / authenticatie.

Je vingerafdruk kan je niet zomaar aanpassen als dat nodig zou zijn.
Je vingerafdruk laat je continu op vrij veel plekken achter.

.
Dit geld trouwens voor de meeste biometrische methodes. (gezichtsherkenning, spraakherkenning)
Alle geinige trucjes waardoor de applicatie eerst zeker kan weten of de vinger echt aan een levende hand vast zit worden ook één voor één overwonnen door hackers.
Volgens mij is een plastic kaartje met een goeie rfid chip erin voorlopig nog op heel veel manieren veiliger.

En on topic, voor online diensten, zou een private/public key oplossing best nog wel eens wat kunnen gaan worden op van de wachtwoorden af te geraken. (meer info - SQRL)

GeoBeo @MaffeMaarten • 9 juni 2016 12:58

En on topic, voor online diensten, zou een private/public key oplossing best nog wel eens wat kunnen gaan worden op van de wachtwoorden af te geraken. (meer info - SQRL)

Geniaal. Waar kan ik investeren?

Armin

Netwerk en systeembeheer
Security

@MaffeMaarten • 9 juni 2016 20:20

En on topic, voor online diensten, zou een private/public key oplossing best nog wel eens wat kunnen gaan worden op van de wachtwoorden af te geraken

Dat bestaat overigens ook al op veel plaatsen. Veel webdiensten werken op soorgelijke wijze waar men op een centrale plaats een 'token' (public key) krijgt welke een bewijs bevat wat gebruikt kan worden bij dienst A, maar niet dienst B. Wil je naar dienst B, zul je een nieuw/ander token moeten krijgen.

Het lijkt ook veel op de wijze waarom Windows login werkt in combinatie met SmartCards.

NullCrayfish @GeoBeo • 9 juni 2016 12:13

Even je vingers op een hete plaat leggen

Ik zou niet verbaasd zijn als ik een deze dagen een artikel voorbij zou zien komen waaruit blijkt dat de vingerafdrukken (en dan ook meteen maar digi-D, belastinggegevens etc.) van alle bewoners in een gemeente (of groter) vrij beschikbaar zouden zijn middels bijvoorbeeld SQL injection.

GeoBeo @NullCrayfish • 9 juni 2016 12:58

Ik zou niet verbaasd zijn als ik een deze dagen een artikel voorbij zou zien komen waaruit blijkt dat de vingerafdrukken (en dan ook meteen maar digi-D, belastinggegevens etc.) van alle bewoners in een gemeente (of groter) vrij beschikbaar zouden zijn

Sja, dit staat natuurlijk vast dat dit gaat gebeuren. De enige vraag is wanneer?

slijkie @AOC • 9 juni 2016 10:16

Klopt, begin mezelf hier ook aan te ergeren. Uiteraard weten veelal Tweakers wel wat ze moeten doen, maar 90+% van de rest niet. Vind het ook vreselijk irritant dat de 2FA plekken allemaal die vervelende Google Authenticator is. Ik wens of SMS (want als sim kapot is heb ik zo een nieuwe) of Hardware token (Yubikey bijv.) Heb zelf 2 Yubikey's, als 1 stuk gaat heb ik 1 backup. Met die Google Authenticator is je phone kapot en alles werkt niet meer. Oke, backup codes enz enz, maar kost allemaal veel maar ook veelste veel tijd. Die ik niet wil spenderen aan al deze onzin.

Word tijd dat er echt een goed systeem komt voor deze drama.

Fire69 @slijkie • 9 juni 2016 10:32

Ik gebruik de Google Authenticator hierdoor ook niet meer.
Ik ben overgestapt op Authy: https://play.google.com/s...etails?id=com.authy.authy
Kan je op verschillende devices zetten, dus als je phone defect is of zo, kan je nog via een ander toestel (tablet, ...) verder.

slijkie @Fire69 • 9 juni 2016 10:48

Bedankt voor de tip!

Cloud @Fire69 • 9 juni 2016 11:59

Die kende ik wel, maar ik wist niet dat dát het was wat Authy populair maakt. Dan ga ik Google Authenticator ook vervangen door Authy.

Goede tip, thanks!

MMaI @slijkie • 9 juni 2016 10:27

om deze reden sla ik de QR codes die je kan gebruiken voor de authenticator versleuteld op zodat een backup telefoon eenvoudig weer ingesteld kan worden

ATS @slijkie • 9 juni 2016 10:35

Ja, overzetten naar een nieuwe telefoon was inderdaad lastig. Ik had mijn oude nog (upgrade, geen vervanging omdat hij stuk of weg was), maar ik moest dus wel langs alle sites om opnieuw in te stellen. Dat is niet zo handig.

Aikon @slijkie • 9 juni 2016 10:35

Als je sim kapot is werkt het ook niet meer, een nieuwe sim heb je ook niet zomaar natuurlijk. Als je Yubikey kapot is ook niet. Ok, jij hebt dan toevallig een tweede, maar dan kan je net zo goed die backup-codes achter de hand houden.

Die backup-codes werken ideaal voor als je Google Authenticator niet werkt, maar je moet ze wel bij je hebben natuurlijk.

slijkie @Aikon • 9 juni 2016 10:48

Nou, die codes zijn toch anders, die 2e yubikey kan ik gewoon doorgaan zoals het was. geen aanpassingen of werk. Heb ze nu een tijdje, niks mis mee.

Aikon @slijkie • 9 juni 2016 10:50

Ja dat geloof ik. Maar je geeft aan dat backup-codes een pita zijn voor jou, maar een 2e yubikey is wel een prima oplossing. Het is allebei iets kleins wat direct werkt en je altijd bij je moet dragen in geval van nood. Ik zie het feitelijke verschil niet in gebruiksgemak.

bilbob @slijkie • 9 juni 2016 12:23

Als je selecteert dat je de qr niet kan scannen krijg je een key te zien.
Die kan je in Keepass zetten met de TOTP plugin zodat je die je logincode automatisch kan genereren.

Dezelfde code kan je ook gebruiken in Google Authenticator zodat die ook gewoon werkt.

Armin

Netwerk en systeembeheer
Security

@slijkie • 9 juni 2016 20:24

maar kost allemaal veel maar ook veelste veel tijd. Die ik niet wil spenderen aan al deze onzin.

Onlangs nog van telefoon gewisseld - iPhone 6 naar 6S. Het koste me 20 minuten om zowel de Microsoft als Google accounts om te zetten. In die tijd ren ik niet naar de telefoon-winkel om een nieuwe SIM te krijgen.

slijkie @Armin • 9 juni 2016 23:12

Snap je punt. Zelf heb ik in dit geval altijd al een backup sim liggen, nieuw in verpakking, vodafone bellen en activeren. Maargoed dat is dan niet heel gebruikelijk, geef ik toe

bonus @AOC • 9 juni 2016 10:22

Misschien is het beveiligen met wachtwoorden ondertussen achterhaald en moet er iets nieuws verzonnen worden.

Verwijderd @AOC • 9 juni 2016 12:20

Maar jij wil wel IOT, klopt?

AOC @Verwijderd • 9 juni 2016 13:07

Ik weet niet hoe ik je vraag moet interpreteren, maar bij deze hoe ik denk over IoT.

Als consument/persoon zijnde zit ik daar niet op te wachten omdat het voordeel daarvan mij ontgaat. De meeste toepassingen die bedacht zijn zie ik meer als gimmick.

Als bedrijf zijnde een prima concept om data binnen te harken die bij verschillende cases een overwegende factor kunnen hebben op het bepalen van een strategie. Verbeteren van doorstroming in verkeer e.d.

Ask! 9 juni 2016 10:02

Omdat de wachtwoorden als platte tekst zijn opgeslagen, is het aannemelijker dat ze zijn verkregen via malware, dan dat Twitter daadwerkelijk is gehackt.

bron: https://www.androidplanet.nl/nieuws/mogelijke-twitter-hack/

Gaan we weer

The Zep Man

Netwerk en systeembeheer
Security
Twitter

@PegOpDeWeg • 9 juni 2016 10:19

Dat is toch bijna niet te geloven dat er anno 2016 nog wachtwoorden 'as is' worden opgeslagen.

Het gaat hier om wachtwoorden die waarschijnlijk client-side zijn verkregen (via malware). Jouw computer moet wachtwoorden verwerken als plain text, omdat de meeste websites verwachten dat ze deze (hopelijk over een SSL/TLS sessie) als plain text ontvangen (als ze niet iets intelligents doen met behulp van JavaScript, maar dan moet het alsnog plain text ingevoerd worden).

Je kan natuurlijk plain text wachtwoorden in een password manager of in je browser met een master password stoppen en zo encrypted beveiligen, maar uiteindelijk moeten ze ergens plain text verwerkt worden op je computer om te gebruiken. Daar zijn ze kwetsbaar om gekopieerd te worden door malware.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 20:04]

Niemand_Anders @PegOpDeWeg • 9 juni 2016 10:36

SHA is een Secure Hashing Algoritme, geen encryptie algoritme!
Bij encryptie kun je data versleutel en daarna weer ontsleutelen.

Een hash is een unieke waarde waarmee slechts kan worden gecontroleerd of de data ongewijzigd(*) is gebleven. Data kan hier van alles zijn, zoals een bestand, maar dus ook een password..

De wachtwoorden zijn bij Twitter niet als plaintext opgeslagen, maar de malware heeft de wachtwoorden plaintext opgeslagen. Natuurlijk zou je de hash ook clientside kunnen genereren, maar nog steeds moet de gebruiker het wachtwoord gewoon in types. En malware kan natuurlijk gewoon een referentie naar de email/username en password velden aanmaken en op die manier de credentials ontfutselen..

*) SHA2(56) en SHA3 zijn nog wel veilig voor collisions, echter is het steeds eenvoudiger om collisions voor SHA1 te vinden. Een collision is de term welke wordt gebruikt om aan te geven dat twee verschillende data samples dezelfde hash opleveren. Als het aantal collisions voor een hash algoritme te groot wordt, is het mogelijk om een bestand zodanig te veranderen dat deze nog steeds dezelfde hash oplevert waardoor de hash geen controlerende waarde meer heeft..

Kenzi @PegOpDeWeg • 9 juni 2016 10:18

Misschien het artikel even lezen. Waarom zou malware vervolgens de verkregen wachtwoorden weer gaan encrypten? Dit heeft niks te maken of de website nou encryptie gebruikt of niet. Een malware programma stal de wachtwoorden direct uit de browser en deze zijn niet geencrypt opgeslagen.

Wolfos @PegOpDeWeg • 9 juni 2016 10:19

Heb je überhaupt de geciteerde tekst gelezen?

Het is aannemelijker dat ze zijn verkregen via malware, dan dat Twitter daadwerkelijk is gehackt.

Ofwel, iemand heeft waarschijnlijk malware geschreven die de plain text wachtwoorden onderschept direct als de gebruiker deze intypt.

[Reactie gewijzigd door Wolfos op 24 juli 2024 20:04]

Ram0n @PegOpDeWeg • 9 juni 2016 10:20

Het punt is juist dat dit mogelijk via malware op de client is gebeurd, bijvoorbeeld middels een keylogger. Dat Twitter dan serverside de wachtwoorden gehashed opslaat (wat ongetwijfeld het geval is) is dan niet meer relevant.

Maurits van Baerle

Twitter

@PegOpDeWeg • 9 juni 2016 10:20

Juist omdat het om wachtwoorden als platte tekst gaat is het waarschijnlijk niet een kwestie van het slecht opslaan van wachtwoorden. Het is daardoor waarschijnlijker dat het om verzameling middels een keylogger o.i.d is gegaan.

Dan kun je je wachtwoorden met de veiligste hash opslaan op de server, als de client besmet is kun je als aanbieder daar niet zoveel tegen doen.

TweakOverflow

@PegOpDeWeg • 9 juni 2016 10:23

Lezen is ook een lastig puntje inderdaad. Er staat duidelijk in het artikel én in de quote dat het aannemelijker is dat de wachtwoorden zijn verkregen door malware (op de computers van de gebruikers), dan dat Twitter is gehackt. En dan heb jij er niets aan als de website het wachtwoord het een salt etc opslaat.

Tweekzor @PegOpDeWeg • 9 juni 2016 10:27

Dat is best knap aangezien SHA-2 pas gepubliceerd is in 2001. Bovendien is hashing géén encryptie, encryptie kun je terugdraaien hashing niet.

frenkieh 9 juni 2016 10:00

10 bitcoin is op dit moment iets meer dan 5000 euro, dus dat is niet duur. Kwalijke zaak dit. Toch vraag ik me af hoeveel gebruikers hun wachtwoord veranderd hebben sinds 2015, waardoor de gegevens niet meer relevant zijn.

acst @frenkieh • 9 juni 2016 10:27

zeer weinig en het meerendeel zal hetzelfde wachtwoord ook gebruiken voor andere sites.

Hemera 9 juni 2016 10:42

Ik kreeg vannochtend deze e-mail van twitter, noem het toeval of niet:

We hebben gemerkt dat er onlangs is geprobeerd in te loggen op een ongebruikelijk apparaat of een ongebruikelijke locatie.
ALS JIJ DIT NIET HEBT GEDAAN
Beveilig je account door je wachtwoord nu te wijzigen.
Wachtwoord resetten
ALS JIJ DIT WEL WAS
Voor de veiligheid kunnen we je de volgende keer als je inlogt op je account een paar beveiligingsvragen stellen

Cloud @Hemera • 9 juni 2016 12:53

Als het klopt, dan zou ik je pc('s) meteen ook even checken op malware. Gezien de mogelijke oorsprong die in het nieuwsartikel gemeld wordt.

Hemera @Cloud • 9 juni 2016 16:09

Ik verwacht eerder dat ze de LinkedIn hack hebben gebruikt en ze hier mee me twitter hebben geprobeerd.

ComputerHoed 9 juni 2016 10:06

Ik vraag me af wanneer LeakedSource offline wordt gehaald door de autoriteiten.
Lijkt me niet echt legaal om toegang tot gehackte databases te verkopen.

Zeker als je meerekent dat de kerel achter LeakedSource zelf websites heeft gehackt om die databases te verkrijgen.

calvinturbo @ComputerHoed • 9 juni 2016 10:49

Hopelijk wordt het niet offline gehaald, want het zorgt voor security awareness.

acst 9 juni 2016 10:26

Gelukkig heeft Twitter two-factor authentication.

Anonymoussaurus

Security

@acst • 9 juni 2016 10:32

Tsja, dat zegt helaas vrij weinig. Mensen die het niet gebruiken, zijn de sjaak. Ik denk dat nog geen 25% van de slachtoffers gebruik maakt van two-factor authentication.

Anonymoussaurus

Security

9 juni 2016 10:30

Best goedkoop, ik had eerder boven de 15.000 verwacht. Hij kan natuurlijk ook bluffen. Want hoe weet je nou of hij liegt of niet? Daar kom je vrijwel niet achter. Totdat je 10 bitcoin hebt betaalt natuurlijk

orange.x 9 juni 2016 12:01

Gewoon even een hersenspinseltje:
Zou het niet makkelijk zijn als er een tool beschikbaar kwam, in de vorm van een plugin bijv, die de informatie die je bij een invoerveld invult automatisch voor je omzet naar een gehashde string wat overeenkomt met je wachtwoord.

Voorbeeld: Je default wachtwoord is welkom_@123. En voor iedere website gebruik je een combinatie van "iets" van die site + je default wachtwoord. Dus voor tweakers kan je dan bijv t.net gebruiken + je default wachtwoord. De tekst die je dan invoert bij het inloggen is dan "t.net+welkom_@123". En voordat je dan op de knop "inloggen" drukt zorgt die plugin ervoor dat je wachtwoord, al dan niet met nog een extra toevoeging die voor alle websites uniek is en verborgen zit binnen de plugin, gehashed wordt teruggezet in het invoerveld.

Als je je dan ergens voor het eerst aanmeld is je wachtwoord op die manier alvast 32 of 64 of hoeveel tekens lang ook. En het enige dat jij hoeft te onthouden is je default wachtwoord wat in principe altijd hetzelfde kan zijn + iets wat je altijd op die site terug kan brengen, dus bijv t.net. en een algemeen wachtwoord of login ergens voor die plugin. Die plugin hoeft dan ook verder totaal niets op te slaan, want die hashed alleen maar de ingevoerde gegevens van de input + een toegevoegde waarde die je ergens eenmaal opslaat. T.net zou in dit geval jouw username hebben + een gehashed wachtwoord, maar zou t.net gekraakt worden en ze het terughashen, krijgen ze alsnog een string met weer 32 of 64 tekens waar ze totaal geen zak mee kunnen.

Enige flaw die ik even snel kan bedenken is dat sommige wachtwoorden leestekens moeten bevatten en niet alle hashmethodes komen met die extra toevoegingen helaas...

[Reactie gewijzigd door orange.x op 24 juli 2024 20:04]

Verwijderd @orange.x • 9 juni 2016 13:23

Wat los je hiermee op zolang een grote massa mensen nog steeds slechte wachtwoorden blijft gebruiken?

welkom_@123 is een slecht wachtwoord, ongeacht hoe goed je het hashed en hoeveel site-afhankelijke salt je toevoegt.

orange.x @Verwijderd • 9 juni 2016 16:26

ik begrijp je punt van de makkelijkheid van het wachtwoord. Het zou dan alleen zo zijn dat het wachtwoord bij tweakers niet als dat wachtwoord bekend zal zijn, ook niet als het wachtwoord dat door tweakers neem ik aan gehashed opgeslagen wordt teruggebracht kan worden naar "zinvolle informatie" omdat het dan alsnog een hash is.

De enige manier zou anders zijn door gebruik te maken van een of andere beveiligde verbinding die tot stand is gekomen door gebruik van een vingerafdruk of ander vergelijkbaar materiaal. Het is onmogelijk om de gemiddelde gebruiker namelijk te verplichten om voor iedere site waar je in moet loggen een wachtwoord van 20 tekens te laten onthouden. Zelfs met het gebruik van 1pass of bijvoorbeeld Keychain hoef je eigenlijk niet eens meer na te denken en laat je wat genereren. Maar zodra je buiten de deur bent of geen toegang hebt tot dit gegevens ben je gewoon foetsie. Daarnaast om toegang te krijgen tot die keychain is vaak ook een simpel wachtwoord gebruikt.

Verwijderd @orange.x • 9 juni 2016 23:01

ik begrijp je punt van de makkelijkheid van het wachtwoord. Het zou dan alleen zo zijn dat het wachtwoord bij tweakers niet als dat wachtwoord bekend zal zijn, ook niet als het wachtwoord dat door tweakers neem ik aan gehashed opgeslagen wordt teruggebracht kan worden naar "zinvolle informatie" omdat het dan alsnog een hash is.

Maar als die hash wordt berekend op een algemene of bekende manier (zoals je zegt, "iets" van die site) kun je daarop nog steeds een dictionary attack toepassen.

Laat ik het zo zeggen: door hier een standaard voor te verzinnen, maakt het weinig uit dat de passwords voor iedere site weliswaar anders worden gehashed voordat je ze verstuurt, als dat 'voor iedere site anders' wel volgens het zelfde basisprincipe verloopt. Bijvoorbeeld hash van domeinnaam als salt gebruiken en dan hash van password+salt sturen. Je kunt dan gewoon de 100.000 meestgebruikte passwords proberen (dergelijke lijsten zijn overal te vinden) en gegarandeerd dat het een aantal keer raak is.

De enige manier zou anders zijn door gebruik te maken van een of andere beveiligde verbinding die tot stand is gekomen door gebruik van een vingerafdruk of ander vergelijkbaar materiaal.

Vingerafdruk is heel slecht als wachtwoord, onder andere omdat je het niet kunt veranderen. Zie ook dit artikel: Fingerprints are Usernames, not Passwords

Het is onmogelijk om de gemiddelde gebruiker namelijk te verplichten om voor iedere site waar je in moet loggen een wachtwoord van 20 tekens te laten onthouden. Zelfs met het gebruik van 1pass of bijvoorbeeld Keychain hoef je eigenlijk niet eens meer na te denken en laat je wat genereren. Maar zodra je buiten de deur bent of geen toegang hebt tot dit gegevens ben je gewoon foetsie. Daarnaast om toegang te krijgen tot die keychain is vaak ook een simpel wachtwoord gebruikt.

Passwords moet je sowieso niet verzinnen of onthouden, daar zijn mensen heel slecht in. Maar dat probleem met password tools zie ik niet zo? Ook al ben je buiten de deur, als je toegang hebt tot dingen waarvoor je je password nodig hebt, kun je ook toegang hebben tot je password tool (die dingen draaien op elk device, en veilig online end-to-end encrypted gesynced overal). Het enige is inderdaad dat je één goed master password nodig hebt, dat is dan het enige wat mensen moeten onthouden. Zolang je mensen op het hart gedrukt krijgt dat ze daar geen simpel of veelvoorkomend wachtwoord voor moeten nemen, lijkt me dat nog steeds de beste oplossing (praktisch en zeer sterk).

orange.x @Verwijderd • 10 juni 2016 07:31

Wat ik bedoel met dat site afhankelijke gedeelte is niet iets dat default bepaald wordt maar ook dat deel wordt door de gebruiker bepaald. Dus de ene persoon gebruikt t.net, de ander Tw34k3rS! Iets waarvan de gebruiker weet hoe hij dat toegevoegde vormgeeft en dat is voor iedere gebruiker hetzelfde.

Voor de plugin zou dan dezelfde regel gelden dat je inderdaad een goed masterpw nodig hebt om in te loggen bij de plugin. Maar het voordeel van de llugin is dat er alleen een gedeelte van die hash opgeslagen wordt en de rest van de logingegevens alleen bij de gebruiker bekend is en iemand die dus toegang heeft tot de plugin kan niet ineens automatisch overal inloggen!

Een gebruiker moet dan dus een paar dingen onthouden:
- zijn default pw bijv Welkom_@123!
- de manier waarop hij de bezochte website kan vertalen naar een pre-string, die voor iedereen zelf bepaald kan worden als je het maar kan onthouden. En gebruik je een voor jou logisch iets dat je bijv met de domeinnaam doet dan is dat dus niet direct te gokken
- een masterlogin voor de plugin voor als je bij een vreemde bent waar je dan apart in kan loggen.

Het lijkt mij veiliger toch.

jerkitout @orange.x • 10 juni 2016 09:02

Ik vind het opzicht een goed idee. Maar het is een beetje Security through obscurity. Het zal het moeilijk maken om op groot schaal de origineel wachtwoord te achterhalen, maar als de hacker een specific gebruiker als doel heeft, dan zal hij alleen voor die gebruiker de wachtwoord proberen te achterhalen door dictionary + rules. En als hij dan je custom rule vind, en je gebruikt hetzelfde string voor alle websites, kan hij dan al je wachtwoorden genereren.

orange.x @jerkitout • 10 juni 2016 09:13

Tuurlijk is het te kraken en zeker als je op de man gaat spelen. Het idee is meer om te voorkomen dat als er ergens data lekt of gestolen wordt en het gehashed is of niet dat je niet direct overal het bokje bent en van alles je wachtwoorden moet veranderen indien dat hetzelfde zou zijn. Je hoeft dit dan maar op 1 plek te doen. Dat was meer de insteek van de oplossing voor dat specifieke probleem.

In the end ben je nooit echt veilig en kan alles wel achterhaald worden. Als die plugin zo lek als een mandje zou zijn bij wijze van dan kan dat ook weer voor de nodige problemen zorgen.

davi79 9 juni 2016 13:54

Ik gebruik al jaren LastPass addon, hoef je maar 1 wachtwoord te onthouden de rest zal nooit gekraakt kunnen worden:)

innerchild 10 juni 2016 00:01

Wat trouwens ook grappig is, is het feit dat je ieder email adres kan controleren waar deze geregistreerd staat.

Neem een site zoals deze :

- https://www.leakedsource.com/main

Hiermee kan je dus in principe reverse gaan engineren.

Bv je kan dus kijken waar het email adres van bv je partner staat geregistreerd. Of je kan bv standaard email benamingen van bestaande bedrijven controleren. Neem een INFO of een ADMIN of iets in die geest.

Als voorbeeld :

info@gmail.com

MySpace.com has: 1 result(s) found. This data was hacked on approximately 2013-06-11 00:00:00 What is in this database?
Linkedin.com has: 1 result(s) found. This data was hacked on approximately 2012-06-05 00:00:00 What is in this database?
Adobe database has: 1 result(s) found. This data was hacked on approximately 2013-10-01 00:00:00 What is in this database?
Badoo.com has: 3 result(s) found. This data was hacked on approximately 0000-00-00 00:00:00 What is in this database?
VK.com has: 1 result(s) found. This data was hacked on approximately 0000-00-00 00:00:00 What is in this database?
Tumblr.com has: 3 result(s) found. This data was hacked on approximately 2013-02-28 00:00:00 What is in this database?
Fling.com has: 1 result(s) found. This data was hacked on approximately 0000-00-00 00:00:00 What is in this database?
VerticalScope Network (Vbulletin) (939 Websites) has: 3 result(s) found. This data was hacked on approximately 2016-02-01 00:00:00 What is in this database?
Twitter.com has: 3 result(s) found. This data was hacked on approximately 0000-00-00 00:00:00 What is in this database?
R2Games Users has: 1 result(s) found. This data was hacked on approximately 2015-03-01 00:00:00 What is in this database?
Unknown Emails has: 15 result(s) found. This data was hacked on approximately 0000-00-00 00:00:00 What is in this database?
000webhost has: 1 result(s) found. This data was hacked on approximately 0000-00-00 00:00:00 What is in this database?
lbsg.net Minecraft app has: 14 result(s) found. This data was hacked on approximately 2016-01-05 00:00:00 What is in this database?
HeroesOfNewerth.com Part 2 has: 1 result(s) found. This data was hacked on approximately 2012-01-01 00:00:00 What is in this database?
Gamigo.com has: 1 result(s) found. This data was hacked on approximately 2012-07-06 00:00:00 What is in this database?
Youporn.com has: 10 result(s) found. This data was hacked on approximately 0000-00-00 00:00:00 What is in this database?
Gmail Accounts has: 8 result(s) found. This data was hacked on approximately 2014-09-01 00:00:00 What is in this database?
Clapalong.com has: 1 result(s) found. This data was hacked on approximately 2013-09-10 00:00:00 What is in this database?
Flashflashrevolution.com has: 1 result(s) found. This data was hacked on approximately 2015-10-09 00:00:00 What is in this database?
Armyforceonline.com has: 2 result(s) found. This data was hacked on approximately 2015-06-05 00:00:00 What is in this database?
Gawker has: 1 result(s) found. This data was hacked on approximately 2010-12-01 00:00:00 What is in this database?
Hongfire.com has: 1 result(s) found. This data was hacked on approximately 2015-12-29 00:00:00 What is in this database?
Boostbot.org 2016 has: 1 result(s) found. This data was hacked on approximately 2016-03-28 00:00:00 What is in this database?
Boostbot.org Originally Clashbot.org has: 1 result(s) found. This data was hacked on approximately 2015-12-31 00:00:00 What is in this database?
More records found but hidden

Of zoek op internet naar leaked email adressen van bekende mensen :

Neem : selenagomez@studiofanmail.com

MySpace.com has: 1 result(s) found. This data was hacked on approximately 2013-06-11 00:00:00 What is in this database?
Tumblr.com has: 1 result(s) found. This data was hacked on approximately 2013-02-28 00:00:00 What is in this database?
PspIso has: 1 result(s) found. This data was hacked on approximately 2015-09-22 00:00:00 What is in this database?
Fragoria.com EU Users Table has: 1 result(s) found. This data was hacked on approximately 2015-11-14 00:00:00 What is in this database?
Fragoria.com has: 1 result(s) found. This data was hacked on approximately 2010-06-18 00:00:00 What is in this database?

The following results are provided free of charge!
Clean Results from Mate1.com (2015-10-17 00:00:00)
birthday: 1927-06-01
email: selenagomez@studiofanmail.com
last_login: 2009-12-21 21:22:39
username: hi8566
Real_Password: Reveal this result here
register_date: 2009-12-21 21:22:39

Ziet er naar uit dat dus selenagomez, uitgaande dat dit haar echte mail adres was toendertijd, druk bezig was op mate1.com. Een datingsite. Dus wat je zou kunnen doen in theorie is gaan zoeken naar deze gebruikersnaam en contact proberen te leggen met haar. Zoveel mogelijkheden beschikbaar..

Hiermee kan je interessante data naar voren halen.

Ik had eerlijk gezegd wel iets verwacht van een controle middel. Bv als je een email adres invoert dat je dan op dat email adres een link moet aanklikken om vervolgens het resultaat te mogen inzien....

[Reactie gewijzigd door innerchild op 24 juli 2024 20:04]

Op dit item kan niet meer gereageerd worden.

'Hacker verkoopt inloggegevens 33 miljoen Twitter-gebruikers voor tien bitcoin'

Lees meer

IT-banen

Reacties (109)

Sorteer op:

Weergave: