Oude forumserver Trillian is gehackt

Een server van im-leverancier Trillian is gehackt. Het gaat om een oude server, waarvan de informatie tussen de 3 en 14 jaar oud is. De hack had te maken met kwetsbaarheden in vBulletin. Via dezelfde kwetsbaarheid wist de aanvaller data van een WordPress-blog te stelen.

Trillian Astra screenshot (620 pix) Het datalek vond plaats op 4 juli jongstleden op een enkele server die het oude blog en forum serveerde. Data van gebruikers van het instant-messagingprogramma Trillian staat hier los van. De blog en het forum stonden nog online als archief. Het lek kwam volgens Trillian de volgende dag aan het licht, waarna de enkele machine permanent uitgezet werd.

De gestolen informatie bestaat uit een gebruikersdatabase met gesalte en met md5-gehashte wachtwoorden van zowel de WordPress-blog als het vBulletin-forum. Tenzij vroegere gebruikers van het forum of de blog al jaren hetzelfde wachtwoord en dezelfde gebruikersnaam gebruiken, schat Trillian de mogelijke problemen laag in.

Gebruikers die in het verleden actief zijn geweest op de blog of het forum hebben in de tussentijd een e-mail ontvangen op het bij Trillian bekende e-mailadres. De oude server, en daarmee ook het oude forum en de blog blijven offline.

IT-banen

Reacties (75)

pven 6 juli 2016 07:50

Tenzij vroegere gebruikers van het forum of de blog al jaren hetzelfde wachtwoord en gebruikersnaam gebruiken, schat Trillian de mogelijke problemen laag in.

Die kans is natuurlijk vrij groot. Ik persoonlijk ben de laatste maanden druk bezig om al mijn wachtwoorden in een random-string van tussen de 20 en 30 karakters te wijzigen. Maar ja: Trillian stond dus niet op die lijst, omdat dat account uit beeld was.

Security, het blijft lastig.

Tortelli

@pven • 6 juli 2016 08:52

Hoe onthoud je praktisch gezien de wachtwoorden?.

Jelv @Tortelli • 6 juli 2016 09:15

Met een password manager die je extra goed beveiligd met iets wat je weet (goed wachtwoord wat je kan onthouden) en met iets wat je hebt (hardware of software sleutel, yubikey bijvoorbeeld).

Binnenkort komt SQRL van GRC uit, dit is een authenticatie oplossing zonder wachtwoord.

Managers:
LastPass
1Password
KeePass
Dashlane

Hardware sleutels:
YubiKey
Nitrokey

Software sleutels:
Google Authenticator
Authy
FreeOTP

[Reactie gewijzigd door Jelv op 24 juli 2024 21:15]

RoestVrijStaal @Jelv • 6 juli 2016 10:17

Maar nu ga je ervan uit dat die password managers geen bugs bevatten.

Mijns inziens verplaats je nu het probleem op één hoop en hangt het van de ontwikkelaar van die password manager af of al je wachtwoorden veilig zijn.

Als één website gekraakt is en ze hebben het wachtwoord van je account van die site; balen.

Als de opslag van je machine(s) het begeven waardoor de gegevens van je password manager zoek zijn of malware / (staats)hackers kraken je password manager; grote ramp met kans op identiteitsdiefstal als extraatje erbij.

kzin

@RoestVrijStaal • 6 juli 2016 11:03

Maar nu ga je ervan uit dat die password managers geen bugs bevatten.

Mijns inziens verplaats je nu het probleem op één hoop en hangt het van de ontwikkelaar van die password manager af of al je wachtwoorden veilig zijn

Ook die password managers kunnen bugs bevatten. Sommige password managers hebben meerdere ontwikkelaars, en de source code is vrij beschikbaar. KeePass bijvoorbeeld is beschikbaar voor windows, osx, linux, android. De bedenkers brengen (volgens mij) alleen een windows versie uit, en de linux versie wordt door een andere groep uitgebracht, die daarbij de code goed onder de loep hebben genomen.
Mijn keepass bestand mag verminkt raken, want ik heb nog een backup. De harddisk mag onherstelbaar crashen, want ik gebruik keepass zowel op mijn windows PC, als op mijn linux laptop, en ik sync ze regelmatig, met backup.
Als een van beide gestolen wordt, zal ik best even schrikken, maar het master password is meer dan 25 tekens uit niet bestaande woorden.
Het grootste risico is malware, die wacht tot ik het bestand geopend heb, en dan probeert data te stelen. Bijvoorbeeld op het moment dat het wordt ingevuld op een webpagina.

Maar als je er geen vertrouwen in hebt, moet je ze uiteraard niet gebruiken, Gebruik bij passwords alleen iets waar je zelf vertrouwen in hebt, en wat een community ook als veilig aanmerkt. Correct Horse Battery Staple blijkt toch niet zo veilig als het eerst lijkt.

z1rconium @Jelv • 6 juli 2016 09:33

Het zijn goede suggesties maar het grote probleem is dat je over de jaren vele accounts hebt aangemaakt, weet je die allemaal nog ?

Kijk ik in mijn keychain (osx) dan zie ik 658 accounts/passwords die daar zijn opgeslagen sinds 2009. Zet je die allemaal handmatig over ? Gros zal al niet meer werken en een deel zal er niet in staan.

De administratie is het grootste drama, zeker als je favoriete app er mee stopt.

Anoniem: 673310 @z1rconium • 6 juli 2016 10:39

Ik schrijf ze op de oude manier op en bewaar deze in een schrift. Werkt nog perfect.

defixje @Anoniem: 673310 • 6 juli 2016 10:56

Totdat je huis af fikt, of je morst koffie over je schrift enz. met een PasswordManager heb je dat niet (zoals LastPass of andere)

wica @defixje • 6 juli 2016 11:31

Afhankelijk van PasswordManager, ben je deze data ook kwijt bij het afbranden van je huis.

Of vertrouw jij een cloud dienst zomaar ergens op Internet om je wachtwoorden veilig te bewaren?

defixje @wica • 6 juli 2016 11:47

LastPass is een cloud dienst

Cave_Boy @defixje • 6 juli 2016 13:41

En toen was LastPass gehacked...
Er zijn altijd manieren te vinden.

latka @Cave_Boy • 6 juli 2016 18:14

Dikke crypto op de keydb met een achterlijk lange wachtwoordzin?

Anoniem: 166774 @defixje • 6 juli 2016 22:22

Die is laatst gehacked. heb er alles weggehaald, en weiger mijn spullen op andermans machine te zetten.

defixje @Anoniem: 166774 • 12 juli 2016 11:26

Heb je hier een bron van ?

irritantrotjoch @defixje • 6 juli 2016 20:57

Voordat je huis affikt maak je met je mobiel een foto van het schriftje en slaat de foto's op bij Google foto's of je stuurt ze naar je email account.

geewizz25 @irritantrotjoch • 6 juli 2016 22:54

Sarcasme aan: Nou.....dat lijkt mij best wel veilig..

vooral bij Google/Gmail.
Waarom niet op Flickr o.i.d.

Sarcasme uit.

[Reactie gewijzigd door geewizz25 op 24 juli 2024 21:15]

Anoniem: 673310 @defixje • 6 juli 2016 15:32

Usb stickje, kan ook verloren gaan, zie talloze voorbeelden.
en in de cloud, tsja, onveiliger kan niet.
En op digitale media opslaan/op je eigen pc, ook talloze voorbeelden dat het verloren kan gaan.

TimVdE @z1rconium • 6 juli 2016 10:06

Daarom dat je best een password manager gebruikt die alles in je eigen beheer laat, dan kan je favoriete app er niet zomaar mee stoppen

Ik heb veel goede dingen gehoord over Pass, maar zelf nog niet gebruikt omwille van de administratie om alles over te zetten, inderdaad. Plan 't ergens in de komende weken wel te doen

defixje @TimVdE • 6 juli 2016 10:55

Heb het even gebruikt, totaal waardeloos dat Pass. Elke keer naar je terminal om een pass op te vragen enz. Ik heb liever iets als LastPass en co,

TimVdE @defixje • 6 juli 2016 16:33

"The community has even produced a cross-platform GUI client, an Android app, an iOS app, a Firefox plugin, a Windows client, a pretty Python QML app, a nice Go GUI app, an interactive console UI, Alfred integration (1) (2) (3), a dmenu script, OS X integration, git credential integration, and even an emacs package."

Android app + Firefox-plugin, meer heb ik niet nodig

Op dit moment staan al mijn wachtwoorden in mijn browser, en dat is ook de plek waar ik ze 99% van de tijd nodig heb.

StackMySwitchUp @z1rconium • 6 juli 2016 09:55

De belangrijkste zijn de plekken waar je ofwel authenticatie-data (je e-mail provider), danwel persoonlijke gegevens of credit card data opgeslagen hebt. Als je die allemaal hebt gehad, dan is het ergste wat ze kunnen krijgen je e-mail icm username en een oud wachtwoord. Lijkt me niet de meest gevoelige informatie in deze tijd van data mining.

Anoniem: 673310 @StackMySwitchUp • 6 juli 2016 16:18

Keer gehad als ex-klant van SOE (Sony Online, nu Daybreak) dat ze klantgegevens van kanten uit de Benelux bewaarden op een oude server zonder encryptie. naam, compleet CC nummer incl controle cijfer, adres, email etc etc, de hele mikmak. Ik speelde destijds Star Wars Galaxies in 2003 tm 2005. Daarna geen klant meer geweest bij hun.

Kwamen ze enkele weken erna mee naar buiten omdat ze niet anders meer konden. Meteen mijn Credit Card laten blokkeren en een nieuwe aangevraagd, accountgegevens bij SOE gereset (en later laten verwijderen).
Minder dan een week erna, kapotgespamd door SOE dat derden probeerden mijn account password te laten resetten.

Je kan niet voorzichtig genoeg zijn en erop vertrouwen dat anderen dat wel zijn met jouw info.

TD-er

@z1rconium • 6 juli 2016 09:51

Als je voor al je actieve accounts een uniek wachtwoord gebruikt, zal het risico van een hack elders klein blijven.
Het ergste wat zou kunnen gebeuren is dat iemand die inbreekt op site A, ook op site B zou kunnen inloggen, maar als het goed is, zijn beide ongebruikt door jou.
Dat kan nog steeds tot vervelende situaties leiden, zoals iemand die zich voordoet als jou (via prive-berichten, enz.) en mensen probeert op te lichten.

ILUsion @z1rconium • 6 juli 2016 10:54

Eigenlijk moet je ze wel handmatig omzetten. Ik heb dat een zestal jaar geleden ook gedaan met, als ik me niet vergis, alle wachtwoorden uit mijn Firefox of Chrome laten overzetten naar LastPass en dan enkele middagen gespendeerd om alle 600-tal wachtwoorden in random strings te veranderen.

En uiteindelijk is dat het wel waard: bij een nieuwe hack (en ja, ik heb mijn wachtwoorden al teruggevonden in die lijsten, bv. bij Domino's Pizza), weet je dat andere accounts nog veilig zijn. Wat ik zelf bij LastPass ook handig vind en elke maand eens doorloop is de security checkup: die controleert automatisch op dubbel voorkomend wachtwoorden, onveilige wachtwoorden, gelekte wachtwoorden en kan ook voor sommige sites je wachtwoord automatisch laten aanpassen (al werkt dat niet altijd even vlekkeloos).

De accounts die je niet meer weet, tja, dat is inderdaad een risico, maar de hoeveelheid schade die je daar kan aanrichten is volgens mij miniem. Als het echt belangrijke accounts zijn (bank, mail, ...), dan mag ik hopen dat je er zelf ook iets voorzichtiger mee omgesprongen bent en die bent blijven gebruiken. Sowieso is dat geen goede reden om je actieve accounts beter te gaan beheren.

Nickname55 @Jelv • 6 juli 2016 09:53

Probleem is dan dat als je een keer op school / werk bent, je nergens in kunt loggen. Want je heb de login gegevens niet bij de hand.

WK100 @Nickname55 • 6 juli 2016 09:58

Ik gebruik Dashlane en ik heb dat probleem niet. Mijn mobieltje heeft de app geïnstalleerd en als ik op 'show password' klik ben ik zo ingelogd.

Cartman!

@Nickname55 • 6 juli 2016 10:05

LastPass (en anderen ook zover ik weet) hebben gewoon mobile apps dus ook elders kun je er gewoon bij

Haan @Nickname55 • 6 juli 2016 10:06

Ik gebruik zelf 1Password, dat staat geïnstalleerd op m'n desktop, tablet en op m'n telefoon. De database staat in Dropbox, waardoor het netjes synct en je dus eigenlijk altijd bij je wachtwoorden kan.

Freekers @Jelv • 6 juli 2016 11:05

'Kleine' kanttekening bij SQRL: De maker/bedenker van SQRL is Steve Gibson van GRC. Steve heeft nou niet bepaald een goeie trackrecord m.b.t. security. Natuurlijk is hij zelf van mening dat hij er alle verstand van heeft, maar echte security experts, met aantoonbare ervaring, spreken veel van zijn bevindingen tegen.
Meer info:
http://attrition.org/errata/charlatan/steve_gibson/
http://web.archive.org/we.../http://www.grcsucks.com/
https://allthatiswrong.wo.../steve-gibson-is-a-fraud/
Persoonlijk zou ik dus ver verwijderd blijven van deze security tool.

Jelv @Freekers • 6 juli 2016 12:00

Oude links... maar dat ziet er uit als een trol die hem persoonlijk aanvalt. Hij is gewoon een programmeur en mediafiguur en hij maakt zeker ook fouten, maar naar mijn mening wel betrouwbaar en sowieso van goede wil. Luister al een tijd naar zijn podcast Security Now en GRC's SpinRite heeft mijn harde schijf ook een keer gered van een vroege dood. Daar niks dan goeds over.

Over SQRL. De standaard is nog niet gepubliceerd, maar zal helemaal open en gratis zijn. Daar valt nog weinig over te zeggen. Het idee is simpel. Je autheticeert je met een website via SQRL (app op mobiel of software op pc) waardoor je geen inloggegevens meer nodig hebt. Klinkt als een prima oplossing voor user/pass problemen.

ultimate-tester @Jelv • 6 juli 2016 13:32

SQRL zal volledig verbonden zijn aan jouw smartphone. Heb je jouw smartphone niet bij de hand, kun je niet inloggen. Verlies je jouw smartphone, kun je niet meer inloggen. Heb je geen internet op jouw smartphone, kun je niet inloggen. Wordt jouw telefoon gejat, dan is het aan de beveiliging van de smartphone om jouw "inloggegevens" veilig te houden. Zo fantastisch te vertrouwen vind ik het dus niet. Daarnaast vertrouw ik geen enkele mafkees die al zijn programma's in pure assembly schrijft. Doe normaal en schrijf het gewoon in een hoger level programmeertaal (C of C++ voor mijn part). Dit zou hetzelfde zijn als zeggen dat je jouw programma's nog voor 16-bit schrijft omdat dit minder geheugen in beslag neemt.

Jelv @ultimate-tester • 6 juli 2016 14:02

Je kan een QR back-up maken, voor in je testament bijvoorbeeld. Daarmee kan je een installatie weer herstellen. Hij is inderdaad een beetje maf, maar als je zijn SpinRite software erbij haalt snap je wel weer waar dit vandaan komt. Voor nieuwe SpinRite gaat hij ook eigen OS erbij bouwen. Maar dit is compleet offtopic, zal als versie 1 uitkomt wel een topic op GoT aanmaken.

[Reactie gewijzigd door Jelv op 24 juli 2024 21:15]

pven @Tortelli • 6 juli 2016 09:37

KeePass, maar er zijn ook nog enkele andere goede alternatieven

wolver1ne @pven • 6 juli 2016 08:02

Je bent beter af met een passphrase, want die is marginaal beter en harder te cracken dan een random string.

pven @wolver1ne • 6 juli 2016 08:04

Ik heb er uiteraard over nagedacht, en volgens mij maakt het weinig uit of ik een zooi random karakters of een passphrase gebruik. Alles is te cracken.

vide @pven • 6 juli 2016 08:21

Als het puur om het kraken van een hash gaat, dan is een passphrase inderdaad eigenlijk niet zoveel beter dan willekeurige karakters. Dat is omdat de entropie van een passphrase lager is dan die willekeurige karakters: in een zin volgen tekens elkaar niet willekeurig op, maar zit er een patroon is (woorden en op nog hoger niveau zinsstructuren, je zin heeft een onderwerp en werkwoord, ...). Met dictionary attacks kan er rekening mee gehouden worden dat je een zin gebruikt. Je zou een algoritme kunnen schrijven dat woordsequenties genereert die op zinnen lijken.

De obligate XKCD referentie geeft dit ook aan. Ook wordt dit in het "What If" boek aangekaart (in een andere vorm, de vraag is hoeveel unieke tweets mogelijk zijn): in typisch geschreven Engels mag je 1 tot 1.2 bits entropie per letter rekenen.

Je zou dus denken dat passphrases heel veilig zijn, maar als die niet lang genoeg zijn, is dat dus niet waar.

Somoghi @vide • 6 juli 2016 12:30

En heeft de taal waarmee je de phrase maakt er nog iets mee te maken? Ik kan me niet voorstellen dat nederlands nu zo'n prioriteit heeft bij het kraken van passwords

Armin @Somoghi • 6 juli 2016 19:28

Betreft woordenboeken kraakmethoden niet, maar zo werken passwoord krakers ook niet. Die zoeken patronen.

En Nederlandse woorden en Engelse woorden hebben heel veel dezelfde lettergrepen. Plus die express-spelfout die jij maakt, is wellicht juist een heel lettergreep van trendy woord in het Italiaans. Etc.

Wat structureel elke keer tot vervelends toe

bniet begrepen wordt doreo de mensen die passphrases aandragen als veilige wachtwoord methoden is dat password krakers, rainbow tables, brute force, etc niet meer de hoofdmethoden zijn. Dat zijn patrooon/token zoekers.

Dus een wachtwoord als XyLofoOn123? wordt bijvoorbeeld gekraakt omdat Xy Lofo en 123? wellicht heel populaire patronen zijn. Of wellicht het woord 'foOn' hoe raar dat ook lijkt. Dit omdat mensen nu eenmaal bewust en onbewust veel patronen gebruiken. Als je die password patroon databases bekijkt zitten daar heel veel rare patronen bij, waarbij je je niet kunt voorstellen dat die veel voorkomen. Maar ja, er zijn dan kennelijk veel mensen die 'slim' probeerden te zijn. Vraag duizend mensen een getal of letter op te noemen, en het blijkt dat het niet random is. Vraag ze expliet een willekeurig getal/letter te noemen, en het is nog steeds niet willkeurig.

Het menselijke breid is namelijk door miljoenen jaren evolutie ontzettend goed in het bedenken en herkennen van patronen. Dat zit letterlijk ingebakken in ons DNA. Dat is echter niet handig bij het bedenken van sterke wachtwoorden. $_/-\o_$

Merk tenslotte op dat het wachtwoord zelf in de passwoord-database kraak beveiliging minder belangrijk is dan soms gedacht. Als de site zoals hier MD5 had maakt het toch geen bal uit, en wordt je super sterke wachtwoord nog vaak gekraakt. Gebruikt men echter een goed algorithme, unieke salt en lekker veel rounds is zelfs een simpel wachtwoord vaak nog heel moeilijk te kraken.

robvanwijk @Somoghi • 7 juli 2016 00:53

Ik kan me niet voorstellen dat nederlands nu zo'n prioriteit heeft bij het kraken van passwords

Minder dan Engels natuurlijk, maar ik zou er maar niet vanuit gaan dat je "onkwetsbaar" bent met een Nederlandstalige passphrase. Je kunt wel lekker makkelijk zeggen dat er 16 miljoen Nederlanders zijn op 7 miljard mensen in totaal en dat niemand zoveel moeite gaat doen voor een doelgroep van 0,23%, maar dat is te kort door de bocht.

Je kraakt wachtwoorden immers niet voor de lol, maar om er iets mee te bereiken. Als we aannemen dat "iets" vaak geld zal zijn dan moet je niet kijken naar het aantal personen, maar over hoeveel geld we beschikken. Ik weet niet of het de beste maatstaf is, maar een eenvoudige die wel het punt duidelijk maakt: ons bruto nationaal product is een slordige 800 miljard euro per jaar (17e van alle landen ter wereld; ongeveer 1,15% van het wereldwijde BNP).

Daarnaast zijn het niet alleen Nederlanders die Nederlands spreken; je hebt ook nog half België, een heleboel mensen in onze voormalige koloniën en heel veel (kinderen van) emigranten. Van iemand die meerdere talen spreekt zou het me niet verbazen als ze een passphrase kiezen in een taal anders dan Engels (of Chinees, Spaans, etc), juist omdat het moeilijker te kraken is. Maar daarmee worden "kleinere" talen juist nuttig om in je wachtwoordkraker op te nemen.

SunnieNL

@pven • 6 juli 2016 08:14

20-30 karakters is ook vrij veel. Echt belachelijk veel websites accepteren niet eens meer dan 10 tekens en als ze dat wel doen, kappen ze het wachtwoord vaak gewoon af.

Oreios @wolver1ne • 6 juli 2016 08:14

En dan gebruik je die ene passphrase op een website dat zonder jou weten alles plain text opslaat. Paar maanden later geraakt een hacker binnen en heeft ie een hele database aan usernames en wachtwoorden.

Laat vervolgens scriptje draaien om te zien welke ervan nuttig zijn door ze op verschillende applicaties te testen. En boem, jou passphrase werkt ook op je mailbox. Nu heeft hij al jou wachtwoorden.

* Met uitzondering van 2FA

DiehardRick @Oreios • 6 juli 2016 08:23

Daarom moet je ook een passphrase per site / account genereren. Kun je die niet allemaal onthouden (ik heb zo'n 80 unieke wachtwoorden dus dan word het lastig) dan zul je ze in een wachtwoordmanager moeten opslaan. Aangezien je dan weer met één zwak punt zit moet je hiervoor ook een goed en lang wachtwoord gebruiken en 2FA.

Oreios @DiehardRick • 6 juli 2016 08:29

Zo hoort het inderdaad. Daarom gebruik ik lastpass en overal 2FA waar mogelijk.

Ik zie het nut niet in van een passphrase als je toch allemaal random passwords hebt voor elke site die je gebruikt met uitzondering van je passwoord manager. Zolang hij maar lang genoeg is en je de woorden uitbreid met een bredere dataset.

DiehardRick @Oreios • 6 juli 2016 08:49

Soms is het prettig als het wachtwoord wel een beetje te onthouden is. Het overkomt mij vaak genoeg voor dat ik ergens moet inloggen waar ik de passwordmanager alleen op mijn telefoon ter beschikking heb. Dan ben ik blij dat ik geen random gegenereerde strings gebruik, want dat wordt lastig overtypen.

Blokker_1999

Websites en community's

@wolver1ne • 6 juli 2016 08:28

Maakt niet uit, ben al vele websites tegengekomen waarbij een passphrase te lang is voor hen. Ik laat lastpass in eerste instantie altijd een wachtwoord genereren van 100 tekens (because i can) en dat zie ik vaak gewijgerd worden.

Jelv @wolver1ne • 6 juli 2016 09:02

Als je ziet hoe tools als hashcat verbeteren (md5 wordpress 5,036,677 pogingen per seconden) en hoe moeilijk het is om goed te beveiligen kan je beter van een lek uitgaan.

Een uniek wachtwoord per site is dan nodig, maar dan heb je weer een password manager nodig. Of liever helemaal geen wachtwoord maar een oauth. Binnenkort komt SQRL van GRC uit, dit is hier een oplossing voor. Google werkt ook aan iets vergelijkbaars.

Gropah @wolver1ne • 6 juli 2016 09:41

Je hebt opzich wel gelijk, maar ga jij voor elke website een unieke passphrase verzinnen die niet een standaard zin is met een variatie op basis van de websitenaam (oid), waarbij je ook nog moet onthouden welke websites dit niet kunnen handelen door rare/domme eisen aan het wachtwoord? Dan kun je beter overstappen op een passwordmanager en die genereren random strings ipv random zinnen

TimVdE @wolver1ne • 6 juli 2016 10:14

Gegeven een passphrase en een hoop random tekens van dezelfde lengte, is de tweede natuurlijk veel moeilijker te kraken. De passphrase is vooral makkelijker te onthouden en leent zich daarom beter tot een grotere lengte. Maar als je een password manager gebruikt: ga vooral voor de random tekens

Armin @wolver1ne • 6 juli 2016 19:16

Je bent beter af met een passphrase, want die is marginaal beter en harder te cracken dan een random string

Volstrekt 100% onjuist.

Het meest veilige wat je kunt hebben is een echte (pseudo)random wachtwoord met maximale lengte horende bij het onderliggend ehash/encryptie algorithmen.

Zoals al talloze malen op tweaker besproken zijn passphrases een zeer, zeer, slecht advies.

Dit omdat aanvallen op gekraakte wachtwoorden altijd gaan via patronen. Hoe midner patronen hoe veiliger. Het ide dat een pasphrase veilig is, is gebaseerd op 10+ jaar oude opvattingen van password kraken toen men brute force en rainbow tables gebruikte.

Passphrases bieden niet meer bescherming tegen brute force, dan een echt random wachtwoord omdat het onderliggende algorithme de lengte toch afkampt op de lengt van dat algorithme.

En passphrases hebben meer patronen dan echte random wachtwoorden.

Passphrasses zijn gebaseerd op het diee dat het dan makkelijk te onthouden is. Echter de non-Tweaker (en ook veel wel Tweakers) gaan dan patronen gebruiken omdat zo'n lange passphrase toch wel lastig is.
Sommige denken slim te zijn en selectief iets te veranderen, maar dan nog gebruik je bewust en onbewust patronen. En zelfs als je als men random probeert te zijn gebruik je nog steeds patronen. Zo werkt de mens. Wat jij bovendien bedacht hebt hebben duizenden anderen ook al eens bedacht en die wachtwoorden liggen al op straat. De password kraak tools zijn dus getuned met jouw slimme ideeen betreft passphrases.

Nu is een passphrases veiliger dan een kort wachtwoord of de standaard "Mijnwachtwoord1." regel die veel website hanteren, maar minder extra veilig dan je denkt. En dus veel midner veilig dan een echt computer gegenereerd random wachtwoord.

desmond @pven • 6 juli 2016 12:25

[...]Security, het blijft lastig.

Ja.

Microsoft heeft een heel aardig paper geschreven over wachtwoord-policies. Er is veel meer te halen door risico-gebaseerde maatregelen te treffen, bijvoorbeeld door afhankelijk van IP en/of locatie extra validaties aan gebruikers te vragen.

Koen Hendriks 6 juli 2016 07:51

Ik denk dat ze niet moeten onderschatten hoeveel mensen jaren lang hetzelfde wachtwoord gebruiken. Al helemaal omdat het in een MD5 hash is opgeslagen (met salt?) is het niet lastig deze te brute forcen.

The Zep Man

Websites en community's

@Koen Hendriks • 6 juli 2016 08:03

Al helemaal omdat het in een MD5 hash is opgeslagen (met salt?) is het niet lastig deze te brute forcen.

Uit de tekst:

e gestolen informatie bestaat uit een gebruikersdatabase met gesalte en met md5-gehaste wachtwoorden van zowel het Wordpress-blog als het vBulletin-forum.

Het valt dus wel mee, zeker voor zo'n oude foruminstallatie. Her is slordig, maar had betreffende de opslag van de wachtwoorden een stuk erger kunnen zijn.

Firefly III @The Zep Man • 6 juli 2016 08:06

MD5 hashes zijn, gesalt of niet (want die zit er toch bij), in no-time te kraken.

frickY @Firefly III • 6 juli 2016 08:16

Er is vrij snel een collission te vinden. Daar kun je vervolgens echter niet mee inloggen, want die wordt nog gesalt.

Firefly III @frickY • 6 juli 2016 08:31

Nee. De salt wordt doorgaans aan het wachtwoord geplakt en die wordt vervolgens gemd5't. De salt is doorgaans publiek en wordt bij het wachtwoord opgeslagen. Of, er is één salt voor alle wachtwoorden, en die staat in de config.

frickY @Firefly III • 6 juli 2016 08:56

Daarom; als je een colission vind en ermee inlogt, wordt er een salt op geplakt, volgt er toch een andere hash uit en kun je niet inloggen.

Als de bij de hash behorende salt ook bekend is dan gaat dit inderdaad niet op.

ro8in @Firefly III • 6 juli 2016 08:12

Mwa dat is niet helemaal waar, dan moet je ten eerste weten wat de salt is en als je die al weet moet je toevallig wel dat stukje waar die vandaan komt ook gedownload hebben(hoeft niet perse uit de user table te komen), ten tweede moet je dan voor elke user een aparte rainbow table maken. Wat het doel van rainbow tables weer een beetje voorbij schiet.

[Reactie gewijzigd door ro8in op 24 juli 2024 21:15]

Firefly III @ro8in • 6 juli 2016 08:32

De salt wordt doorgaans bij het wachtwoord opgeslagen, plaintext, want die heb je nodig om de hash uit te rekenen. Dat proces is dus makkelijk opnieuw op te zetten.

Rainbowtables voor MD5 zijn behoorlijk achterhaald. Het bruteforcen van de daadwerkelijke waarde en de rest wegpleuren is praktisch sneller dan zo'n tabel doorzoeken.

mikesmit @Koen Hendriks • 6 juli 2016 08:05

Met een onbekende salt of random salt erbij duurt bruteforcen alsnog knap lang. Echter zonder salt is een wachtwoord snel te achterhalen via een rainbowtable

vide @mikesmit • 6 juli 2016 08:30

Dat valt serieus tegen: een moderne videokaart kan zo'n 10 miljard MD5 hashes per seconde controleren.

Je moet er bovendien vanuit gaan dat eventuele salts ook in de handen van de aanvaller zijn: om een wachtwoord de controleren moet de site die ook hebben. Dus een unieke salt per gebruiker is bij de hash van het wachtwoord opgeslagen. Als je nog een extra salt van de applicatie toevoegt, zit die mogelijk niet in de databank, maar ergens in een bestandje op de server dat gelezen kan worden door de applicatie, dus ook vatbaar voor een dump.

watercoolertje @vide • 6 juli 2016 08:52

Met 1 zn kaart doe je er dus 34028237000000000000000000000 seconden over

Dat is 393845340000000000000000 dagen...

Dat is 1079028300000000000000 jaar

Om het dus in een jaar te doen heb je 1079028300000000000000 van die GPU's nodig...

Uiteraard ga ik er nu (om te rekenen) van uit dat je alle hashes berekend voordat je de juiste vind. Dus het zal in werkelijkheid wel wat sneller gaan

vide @watercoolertje • 6 juli 2016 09:10

Als je dwaasweg bruteforce alle wachtwoorden (alfanumeriek) van 8 tekens gaat proberen, dan duurt dat ongeveer 6 uur. Maar dat is net wat er niet gebeurt: de lijst wordt enorm ingekort door gebruik te maken van woordenboeken en substitutieregels: de meeste wachtwoorden worden binnen een paar minuten gevonden.

Lees anders eens volgend artikel op Ars Technica om te begrijpen hoe de meeste wachtwoorden zeer snel gekraakt worden. Dat is er één uit 2013, dus ondertussen gaat het nog een stuk sneller, zeker nu er nog een hoop extra password dumps zijn geweest.

Uiteraard is dat ene wachtwoord van 20 willekeurige tekens zeer langzaam (of zo goed als niet) te kraken, maar daar gaat het niet om: als je 90% van de wachtwoorden binnen een paar uur hebt, heb je al meer dan genoeg materiaal om veel mensen het leven zuur te gaan maken. Die paar mensen met bijzonder sterke wachtwoorden zullen waarschijnlijk ook net die mensen zijn die voor elke site een ander uniek, sterk wachtwoord maken waardoor ze dus veel veiliger zijn.

mad_max234 @vide • 6 juli 2016 09:59

Een hash heeft altijd volledig aantal bits in gebruikt, bijv. een 256bit hash is altijd 256bit lang ongeacht hoelang je paswoord is. Jij zit verkeerd te denken, jij denk aan aanval op de website zelf, dit gaat nu over gestolen MD5 paswoorden.

Nog niet wakker, je hebt gelijk, MD5 is MD5 dus je bent niet afhankelijk van de website, eerst even bakje doen om goed wakker te worden.

[Reactie gewijzigd door mad_max234 op 24 juli 2024 21:15]

Cerebriform 6 juli 2016 09:33

Wat is een im-leverancier?

WK100 @Cerebriform • 6 juli 2016 10:04

im staat voor instant messaging. Gewoon een leverancier van een soort chatprogramma dus

[Reactie gewijzigd door WK100 op 24 juli 2024 21:15]

GeeBee @WK100 • 6 juli 2016 18:57

Inclusief de mogelijkheid om het oude MSN en ICQ bijvoorbeeld in één schil te hebben.
Vroeger veel gebruik van gemaakt... Ohoh...

[Reactie gewijzigd door GeeBee op 24 juli 2024 21:15]

SunnieNL

6 juli 2016 08:16

Waarom zou je bij een forum in archief functie uberhaupt nog de gebruikersnamen en wachtwoorden op slaan? Dat forum is archief en wordt niet aktief gebruikt. Dat je gebruikersnamen niet kan veranderen snap ik omdat die waarschijnlijk gebruikt worden in het forum zelf. Maar emailadres en wachtwoord in die database had gewoon allemaal leeg gemaakt kunnen worden, of naar iets wat random is gegenereerd.

Blokker_1999

Websites en community's

@SunnieNL • 6 juli 2016 08:26

De wachtwoorden hadden gewist moeten zijn. Gebruikersnamen en e-mail adressen kunnen nog van pas komen indien je een gebruikersnaam wenst te linken aan gebruikersnamen die op je nieuwe forum actief zijn.

Anoniem: 669957 @Blokker_1999 • 6 juli 2016 09:03

of gehashed, dan controleert de computer alleen of de hash overeenkomt met de password hash. dat zou ook nog veiliger geweest zijn.

ultimate-tester @Anoniem: 669957 • 6 juli 2016 13:24

Ik lees dat u ook het artikel heeft gelezen? Aan de wachtwoorden was een salt toegevoegd alvorens het te hashen.

M.l. 6 juli 2016 14:20

Trillian, dat heb ik ook nog op mijn U3-stick gebruikt. Kon je lollige regels instellen dat als iemand op MSN online kwam dat jouw account direct werd ingesteld op offline weergeven en ook weer andersom.

ManIkWeet 6 juli 2016 08:02

Hmm, ik heb al zo'n 8 jaar een vergelijkbaar wachtwoord... Maarja kleine variaties houden de hackers wel tegen

Aan de andere kant is mijn email adres al een miljoen keer gelekt, met spam als gevolg

TERW_DAN @theMob • 6 juli 2016 08:48

Gaat dit over het Tweakers.net forum? Het lijkt zo, maar helemaal duidelijk is het niet.

Nou, er staat groot "Trillian" in de titel van het nieuwsbericht.... waar zou het dan over gaan?

stresstak @TERW_DAN • 6 juli 2016 12:34

.. waar zou het dan over gaan?

Over Trillian. Maar als Tweakers vaag bekend staat om het gebruik van godennamen' of zo, en je hebt die niet allemaal paraat, dan zou Trillian net zo'n 'god' kunnen zijn als Apollo, Zeus, Wodan of Alllah.

Als morgen Artemis gehackt wordt, kan dat wat mij betreft net zo goed een dienst, een server of een uitzendbureau zijn.

Op dit item kan niet meer gereageerd worden.

Oude forumserver Trillian is gehackt

Lees meer

IT-banen

Reacties (75)

Sorteer op:

Weergave: