Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 76 reacties

De Russische site Rambler blijkt in 2012 doelwit van een hack te zijn geweest. De gegevens van bijna 100 miljoen accounts van de portal, zoekmachine en webmailaanbieder zijn online verschenen. De wachtwoorden waren in klare tekst opgeslagen.

Het gaat om e-mailadressen, wachtwoorden en icq-nummers van in totaal 98.167.935 accounts, die bij een hack op 17 februari 2012 werden buitgemaakt. De e-mailadressen bestaan uit de accountnamen, gevolgd door @rambler.ru. Omdat de wachtwoorden onversleuteld waren opgeslagen, kon LeakedSource een lijst opstellen van de meestgebruikte wachtwoorden.

Met name bijzonder eenvoudige wachtwoorden als 'asdasd', '123456' en '000000' bleken populair.  Dit is vaak het geval, wat niet alleen op slecht wachtwoordgebruik wijst, maar ook op de kans dat het in veel gevallen om wegwerpaccounts gaat.

LeakedSource ontving de gestolen dataset via dezelfde contactpersoon die de Last.fm-hack bij de site kenbaar maakte. De hack is de zoveelste in een reeks. Veel omvangrijke hacks vonden jaren geleden plaats, maar worden nu pas bekend.

Hack Rambler.ru

Moderatie-faq Wijzig weergave

Reacties (76)

Het lijkt alsof er steeds meer en meer partijen gehackt worden. Het lijkt vooral zo, want ook deze hack vond weer jaren geleden plaats. Als ik deze berichten zo zie begin ik toch steeds meer te denken dat wachtwoorden niet meer het antwoord zijn in deze tijd.

Het is vrijwel onmogelijk om zelf wachtwoorden te onthouden wanneer je voor iedere dienst een uniek wachtwoord gebruikt (om schade bij dit soort hacks te voorkomen), waardoor je geforceerd wordt een password manager te gebruiken, maar dan is dat meteen weer de zwakste schakel in je beveiliging. Weten ze dat te kraken dan ben je royally fucked.

Ik heb wel eens vaker aan een soort nfc chip gedacht die jou personal identifyer wordt. Wil je bij een site inloggen: even je kaartje voor je pc houden en klaar. Sommige mensen kunnen bezwaar hebben tegen de privacy, maar verkoop die kaartjes gewoon bij de supermarkt en registreer ze niet op de persoon. Dan alleen nog en oplossing voor wanneer je er een kwijt raakt of hij stuk gaat.

[Reactie gewijzigd door s1h4d0w op 6 september 2016 09:20]

Ik heb wel eens vaker aan een soort nfc chip gedacht die jou personal identifyer wordt. Wil je bij een site inloggen: even je kaartje voor je pc houden en klaar.
https://www.yubico.com/faq/yubikey/?
Ah, kijk eens! Maar dit zal dan wel weer iets zijn dat niet universeel met alles te gebruiken is of wel? Het is natuurlijk onmogelijk maar het mooiste zou gewoon zijn om globaal over te stappen naar een systeem zonder wachtwoorden. Gewoon alle belangrijke software ontwikkelaar, browser makers, etc. zeggen "vanaf 2025 moeten wachtwoorden weg zijn" of iets dergelijks.
Alles met een USB-poort, volgens mij doen die dingen een toetsenbord na, dat werkt op de meeste computers wel ;)
Klopt, maar kan ik ermee ook bijv. op het forum van mijn lokale hobbyclub inloggen? Er worden een hele hoop standaarden voor inloggen aangehaald, maar werkt een simpel username en password veld ook? Mij zeggen zaken als Yubico-OTP en OATH-OTP niet veel.
Ik zou eens kijken naar Web Authentication , dat is de html standaard in ontwikkeling gebaseerd op FIDO 2.0. Deze zou inloggen via dongles en biometrische gegevens mogelijk maken.

[Reactie gewijzigd door hendrickbert op 6 september 2016 11:41]

Het gaat mij ook niet zozeer om de mogelijkheden die bestaan, maar de support door websites. Dit is een draft, dus nog niet klaar of geïmplementeerd. En zelfs wanneer dit aan slaat zal het jaren duren voor een redelijk deel van de websites dit ondersteunt. Het gaat mij om iets dat ik overal kan gebruiken. Dus voor iedere applicatie, website, op iedere platform of OS, etc. Maar dat bestaat helaas (nog) niet.

De reactie ging over de YubiKey, maar die zal dus momenteel nutteloos zijn voor het linkje dat je gaf.

[Reactie gewijzigd door s1h4d0w op 6 september 2016 11:46]

De meeste websites ondersteunen nagenoeg niks, moeten op een nagenoeg non-existent budget zo snel mogelijk uit de grond gestampt worden en zullen vaak ook nooit een pentest ondergaan, om over upgrades en correct beheer nog maar niet te beginnen...
True, dus wellicht iets dat door browsermakers kan worden ingezet, net zoals het verplichten van https nu. Gelukkig is er een initiatief zoals Let's Encrypt maar dat wordt natuurlijk ook gesteund door diezelfde browsermakers.
Inderdaad, maar rust in het feit dat je niet de enige bent die het allemaal makkelijk en/of veiliger en beter wil.
http://www.dongleauth.info/ heeft een overzicht van diensten die U2F (een FIDO 1.0 standaard) ondersteunen. Browser support is ook alleen nog Chrome, omdat U2F begon als een intern project bij Google onder de naam 'Gnubby'.

Aangezien FIDO 2.0 nu gestandaardiseerd wordt bij het W3C als de Web Authn-API verwacht ik dat daar wel bredere support voor zal komen. De missie van FIDO is inderdaad om wachtwoorden overbodig te maken

In tegenstelling tot de oude Yubikeys die wwwhizz noemt werkt U2F met public key cryptography, wat veiliger is dan een 'simpele' OTP. Een onderdeel van het U2F-protocol is het voorkomen van phishing. Technische details in deze presentatie: https://www.youtube.com/watch?v=YSTsgldazSU
GSMA Mobile Connect is wat je zoekt.
yubikey is in mijn ogen ook geen ideale oplossing.
Ik heb begrepen dat er in ieder geval in de versie die ik had (2 jaar geleden) een fout in waardoor de opgeslagen key vrij eenvoudig extract kon worden.

Sla je complete wachtwoord op en iemand komt aan je key, heb je ook pech.
Er is te weinig aanbod voor twee fasen authenticatie i.c.m. een youbey.

Maar je reactie is terect, als er een authenticatie chip bestaat voor een groot publiek dan is yubikey het wel

Zo zijn er nog een paar
http://www.makeuseof.com/...entication-less-annoying/

[Reactie gewijzigd door josipbroz op 6 september 2016 09:34]

Doe gewoon geen wachtwoord. E-mailadres invullen en je krijgt een inloglink toegemaild die altijd werkt. Klaar! :D

Jij hoeft geen wachtwoord te onthouden, en kan altijd die inloglink opnieuw opvragen. En bij een hack hoeft alleen die link ongeldig gemaakt te worden. Simpel!
Maaaaar... hoe log je dan in bij je email dienst, met een wachtwoord? En wat als je email onderschept wordt of men daar toegang tot weet te verschaffen, ben je ook meteen alles weer kwijt. Lijkt mij dan net zo veilig als een password manager, je hebt een centraal punt en wanneer dat bemachtigd wordt is er meteen toegang tot alles.
En zo'n login link volgt ook een bepaalde logica, dus kwaadwillenden kunnen de link die zij zelf hebben ontvangen proberen aan te passen om zo onder een ander account in te loggen.
Ligt er weer aan, hier zijn zaken voor te bedenken.

Ten eerste moet de link natuurlijk een voldoende grote "unieke code" bevatten dat er ontelbaar veel mogelijkheden zijn. Dit is heel gemakkelijk aangezien het geen code of wachtwoord is dat iemand moet onthouden.

Daarna wanneer je zoveel foutieve links gebruikt dan wordt je een tijd geblokkeerd (zoals het invullen van een verkeerd wachtwoord x aantal keer).

En als laatste moeten die links natuurlijk netjes opgeruimd worden. Zodra een login link wordt aangevraagd wordt deze in de database gezet en is hij bijv. een kwartier geldig. Wordt de link gebruikt of niet gebruikt binnen 15 min dan is deze niet meer geldig.

Dan wens ik een kwaadwillende veel succes om dit te brute forcen. Combineer de code met een unique identifyer voor de user en dan moeten ze wel héél erg veel geluk hebben om er in te komen. Maar evengoed, je email is dan de zwakste schakel.

[Reactie gewijzigd door s1h4d0w op 6 september 2016 10:44]

Nee joh, voor enkele belangrijke dingen zoals je email, je bankrekening en je DigiD hou je een wachtwoord. Zorg gewoon dat die paar wachtwoorden sterk zijn, en al die webshops en nieuwssites en forums hoeven helemaal geen wachtwoord te hebben.

Als iemand toegang heeft tot je email heb je nu hetzelfde probleem! Ik kan namelijk een wachtwoordherstel doen als ik bij je email kan. Dat kan nu al, overal. Tenzij je twee-factorauthenticatie aan hebt, maar dat heb je niet voor je forum, webshop of nieuwssite.
Het lijkt ook wel dat 2012 een productief jaar is geweest voor de hackers... Ben benieuwd of dat ergens aan te relateren is.

Mbt jouw nfc oplossing, heb ik ook wel eens aan gedacht maar krijg dat maar eens goed met al die websites op internet :( had graag gezien dat ik een centrale inlog had via een smartcard oplossing en dat ik daar ook een overzicht heb van welke gegevens beschikbaar zijn en welke applicaties het gebruiken. Eigenlijk een soort digid met smartcard, iets wat er nu hopelijk ook aankomt.
Ik heb wel eens vaker aan een soort nfc chip gedacht die jou personal identifyer wordt. Wil je bij een site inloggen: even je kaartje voor je pc houden en klaar. Sommige mensen kunnen bezwaar hebben tegen de privacy, maar verkoop die kaartjes gewoon bij de supermarkt en registreer ze niet op de persoon. Dan alleen nog en oplossing voor wanneer je er een kwijt raakt of hij stuk gaat.
Dan verplaats je het naar een object. Niet veel veiliger dus. Want je kunt die chip gewoon kwijtraken zoals je zelf ook al zegt.

Nog even los van dat een NFC chip (behalve dat het fancy en modern klinkt) niets meer is dan een veredelde barcode. Ook die kan gebruteforced/gehacked/ingezien worden. Kwestie van tijd.

IMO is biometrisch het antwoord. Het is mij bijvoorbeeld een raadsel waarom een (goede Iphone style) fingerprint scanner niet al jaren standaard is op elke desktop en laptop. Dan waren passwords, formulieren, etc nooit meer nodig geweest.
Totdat je je vingers brand aan de ovenschaal....
Dan kun je ineens niet meer inloggen.
Je vingerafdrukken kun je ook (tijdelijk) kwijtraken.

Daarnaast kun je je vingerafdrukken niet wijzigen, dus als iemand jouw vingerafdruk weet te repliceren, kunnen zij altijd met jouw gegevens inloggen.
Biometrisch is dus zeker niet het antwoord.

Sterker nog: Er is niet 1 antwoord en er is niet 1 oplossing.
Totdat je je vingers brand aan de ovenschaal....
Dan kun je ineens niet meer inloggen.
Je vingerafdrukken kun je ook (tijdelijk) kwijtraken.

Daarnaast kun je je vingerafdrukken niet wijzigen, dus als iemand jouw vingerafdruk weet te repliceren, kunnen zij altijd met jouw gegevens inloggen.
Biometrisch is dus zeker niet het antwoord.

Sterker nog: Er is niet 1 antwoord en er is niet 1 oplossing.
Allemaal wel heel erg ver gezocht. Verder type je denk ik ook niet erg lekker een password in wanneer je je vingers zo erg verbrand dat er op geen van je 5 vingers nog een afdruk te maken is?

Een vingerafdruk repliceren is extreem moeilijk mits de scanner van goede kwaliteit is. Die herkent namelijk of er een levende vinger van een mens tegen de scanner gehouden wordt of niet. Hier is inmiddels met de smartphone scanners flink onderzoek naar gedaan, waarbij de iphone scanners prima blijken (Samsung's scanners zijn dan weer relatief makkelijk voor gek te houden).
De eerste 2 dagen is het misschien wat moeilijk typen, maar dat wordt ook best snel beter, maar je vingers moeten nog wel steeds genezen.

Het 'kwijtraken aan derden' van die vingerafdruk is en blijft een groter risico. De iPhone scanners lijken misschien prima, maar hoe hard is daar al serieus onderzoek naar gepleegd? Denk je werkelijk dat de verschillende inlichtingen en opsporings diensten een dergelijke scanner niet om de tuin kunnen leiden (om nog maar te zwijgen van mensen met volledig malafide bedoelingen).

Nee, biometrie is geen oplossing, hoogstens een deel van de oplossing.
http://nos.nl/artikel/212...n-door-chemotherapie.html

Verbranden is niet de enige manier om je afdruk onleesbaar te maken. Ikzelf heb op m'n telefoon problemen gehad omdat er in m'n duim een heel aantal (zeer oppervlakkige) sneetjes zaten na onvoorzichtig knutselen.

Wmb is een vingerafdruk overigens geen wachtwoord, maar een gebruikersnaam: onveranderlijk en publiek beschikbaar. Je hebt gelijk dat 't relatief moeilijk is een 'gestolen' (opgeraapte?) vingerafdruk werkelijk te gebruiken, maar het is niet onmogelijk en dus kwestie van tijd en geld (en dus belang).
Wmb is een vingerafdruk overigens geen wachtwoord, maar een gebruikersnaam: onveranderlijk en publiek beschikbaar. Je hebt gelijk dat 't relatief moeilijk is een 'gestolen' (opgeraapte?) vingerafdruk werkelijk te gebruiken, maar het is niet onmogelijk en dus kwestie van tijd en geld (en dus belang).
Helemaal mee eens. En laat dat belang in de meeste gevallen van "de mailbox van" de meeste gebruikers naar mijn inschatting nou minder zijn dan de moeite die het kost om een (goede) scanner voor de gek te houden.

Als je fysiek moet gaan knutselen dan houdt het voor de meeste crackers/hackers al snel op. De meeste huidige password-lekken zijn veel makkelijker en massaler voor crackers dan het 1 voor 1 namaken van vingerafdrukken om accounts te hacken.
Mooie, dat dacht ik dus ook. Maar dat valt reuze mee.

Laatst ook behoorlijke verwondingen aan mijn vinger(s) maar de finger print scanner werkte gewoon hoor. Daarbij is je vinger afdruk uniek en blijft altijd hetzelfde (mits de verwondingen niet erg schrijnend zijn (3e graads of echt meerdere huidlagen weg).

Ok, uit onderzoek blijkt dat het misschien wel veranderd in de loop van jaren, maar dat is verwaarloosbaar klein binnen een bereik van 5 jaar, echter kan het misschien ook gewoon een fout marge zijn in meet apparatuur? Dus af en toe verversen van je afduk(ken) is aan te raden misschien.

Daarbij lijkt het mij logisch, net als bij de iPhone, dat je meerdere prints registreert, afhankelijk van hoe je je telefoon, laptop of tablet vast hebt om het gemak te maximaliseren.
Een NFC chip is meer dan een veredelde barcode. Je kan een NFC chip bijvoorbeeld zo instellen dat je een wachtwoord nodig hebt voordat je de data kan krijgen, en dat als er teveel foutieve pogingen gedaan worden, dat alle data dan verwijderd wordt. Klinkt misschien extreem, maar op die manier wordt bruteforcen al praktisch onmogelijk.

IMO is biometrisch juist niet het antwoord. Aan de ene kant omdat ze soms makkelijker na te maken zijn dan gedacht wordt (http://arstechnica.com/se...sing-photos-of-her-hands/), aan de andere kant omdat je een beetje moeilijk kan wisselen op het moment dat er gegevens bij websites lekken. Als daarmee dan (gedeeltes van) je vingerafdruk nagemaakt kunnen worden, ben je alleen nog maar verder van huis.
Dan eerder een irisscan ofzo, die laat je niet aan je glas bier in het café zitten.
Nee inderdaad, die zit slechts op elke foto die ooit van je gemaakt is en al dan niet online voor iedereen te zien is :P

De kracht van biometrisch zit hem niet in het feit dat je vingerafdruk en iris "geheim" zijn, het zit hem erin dat (mits de scanner van hoge kwaliteit is) het inloggen alleen werkt als een mens het doet en als de juiste mens het doet.
Als je het namaken van een iris al een gevaar vindt, vind ik het wel vrij bijzonder dat je vingerafdrukken als authenticatiemiddel zonder blikken of blozen voorstelt ...
Irisscan kun je neem ik aan wel zo doen dat je rond moet kijken om alles te capturen, maar inderdaad, ook niet volledig fool proof (hoewel een foto die goed werkt een stuk lastiger te verkrijgen is dan een werkende vingerafdruk).
YouTubers worden gehacked omdat de hackers Tmobile, AT&T etc opbellen en tweede sim vragen, dan de pass reset doen. Dus dat argument is ook wel de deur uit, 't is niet zo moeilijk blijkbaar.

Verder, iris scan is ook niet zo makkelijk en veilig als je denkt, plus, niet iedereen kan deze afgeven om verschillende redenen. Als je trouwens toch al een target bent en ze volgen je de kroeg in om je vinger afdruk te krijgen, dan is het maar een stap verder om je pilletje in dat biertje te stoppen en je hoofd voor je telefoon te houden. Just sayin'.
De hack heeft 4 jaar geleden al plaatsgevonden, het komt enkel nu pas naar buiten...
En je punt is? Heb je mijn reactie wel gelezen?

De eerste twee zinnen:
Het lijkt alsof er steeds meer en meer partijen gehackt worden. Het lijkt vooral zo, want ook deze hack vond weer jaren geleden plaats.
En toch twijfel ik aan het verhaal.


Er zijn recent meer berichten naar buiten gebracht over hacks rond die periode, 2012.

Daarbij is er elke keer een wat twijfelachtig verhaal over dat de wachtwoorden die niet goed waren opgeslagen.


Het is gissen, maar een optie is dat verschillende database zijn gekopieerd en dat de beveiliging recent is gekraakt en/of dat de capaciteit om te bruteforcen dusdanig goedkoop is dat het lonend is geworden.


Een andere optie is dat onder het oppervlak nog meer speelt,
nieuws: Obama zegt geen wapenwedloop op internet te willen
Verleden heeft al talloze malen aangetoond dat regimes niet schromen om twijfelachtige methodes te gebruiken.
Dus je denkt dat databases gehackt zijn met versleutelde wachtwoorden, en dat ze nu jaren later eindelijk alles hebben kunnen ontsleutelen? Interessante stelling als ik eerlijk moet zijn. Maar ik weet niet of het helemaal klopt.

Bijv. bij de Dropbox hack laatst waren de wachtwoorden versleuteld met sha1 en een salt. sha1 is gemakkelijk te kraken, maar met een salt is dat al wat moeilijker. Als het nu aan het licht komt, waarom zouden ze dan de database uitbrengen met de nog versleutelde wachtwoorden?
Salt is alleen geen wondermiddel en als het niet goed gebruikt wordt is het een extra drempel dat relatief makkelijk genomen kan worden.

Wanneer je het goed wilt doen zul je het op individueel niveau (gebruiker) moeten toepassen, alleen dan kan er (praktisch) niemand meer bij, inc eigenaren(bedrijf) en overheden.


Tweede optie is om dezelfde salt te gebruiken voor alle gebruikers, gezien de capaciteiten die je als consument kunt genereren zal het wat langer duren maar het is dan een kwestie van dagen ipv uren.

Andere optie is dat de salt gekoppeld is met een andere database die zogeheet anoniem zou moeten zijn. Vb zijn adres, woonplaats, geboortedatum, etc. Als die niet zo anoniem blijkt en die koppeling gemaakt wordt is ook alles verloren.


Veel gissen maar zeker niet onmogelijk ondanks alle uitspraken. Belangrijkste daarbij is dat de bedrijven geen duidelijke uitspraak over de beveiliging, de hackers hebben we ook niet gehoord.
Een salt voorkomt meestal alleen rainbow tables en is normaal gesproken gebruiker specifiek. Anders heb je bij een hack alsnog aan 1 salt genoeg om alles te matchen. In het geval van een (al dan niet apart opgeslagen) persoonlijke salt, wordt dit een lastiger klusje.
Ik kan mij niet herinneren dat dat er stond, mogelijk heb je die edit net gedaan toen ik mijn reactie plaatste, gezien de tijden.
Nope, die edit was het toevoegen van de laatste alinea, dat stond er al meteen. Denk dat je gewoon iets te snel wilde zijn.
Niet wilde, maar was ;).
Dat zegt hij ook, het lijkt zo omdat het nu pas naar buiten komt. Met die hack van DropBox net zo. Dat was ook al jaren terug, maar pas nu wordt het bekend.
Ik gebruik een Password Key Card. Dat is een kaartje met een unieke code welke je password als het ware versleuteld (zie hier meer info, geen spam).
Per site heb ik een makkelijk te onthouden woord, welke ik versleutel met deze key. Dat maakt mijn password voor die site. Best makkelijk en veilig.

[Reactie gewijzigd door Kars op 6 september 2016 09:35]

Hoezo zou dat perse veilig zijn. Je zit nog steeds met een set van karakters van x lang. Okee, een brute-force attempt kan geen dictionary-poging meer doen, maar als je dit gebruikt om een wachtwoord van 8 karakters te maken is het nog steeds onveilig.
Klopt, laat ik het 'veiliger' noemen.
Het password begint al met 4 karakters waardoor er sowieso een kleine letter, hoofdletter, cijfer en leesteken wordt gebruikt.
Als je daarna nog een eigen woord versleuteld (bijvoorbeeld 'gezichten' voor FB) kom je op een 13 karakter password (met alle tekens door elkaar).

Waar het om gaat, is dat men niet overal hetzelfde wachtwoord voor gebruikt of een te makkelijk te herleiden wachtwoord.
Dan pak ik liever een password manager en laat ik die een wachtwoord genereren van een maximaal aantal karakters dat mogelijk is voor de betreffende site/applicatie. Continu met een kaartje zitten klieren zou ik helemaal gek van worden :P
Maargoed, dat is een persoonlijke keus natuurlijk.
Dus, als je twee keer een G hebt in je startwoord, vervangt die key card het tweemaal met dezelfde letter? En de lengte van het uiteindelijke wachtwoord is altijd de lengte van je startwoord + 4 karakters? Dat kun je nauwelijks een versleuteling noemen dus. ;)

[Reactie gewijzigd door gday op 6 september 2016 11:19]

Ik gebruik tegenwoordig verschillende wachtwoorden.
1 voor mijn primaire mail. (Hier gaat mail van DUO, bank enz.. Naar toe)
1 voor mijn spammail.
1 voor webshops enzo.
Webshops, en andere accounts heb ik allemaal aan mijn spammail gekoppeld. De bank, mail van de huurbaas, DUO, belasting, Studielink enzo gaat weer naar mijn primaire mailadres. Op deze manier moet men sowieso twee wachtwoorden van me hebben om iets voor elkaar te krijgen. Uiteraard let ik op welke gegevens ik online zet. Ik zit er zelfs aan te twijfelen om een aparte rekening te openen voor online aankopen maar ik vraag me af of dit een meerwaarde heeft.

Ik vraag mij wel af of dit soort hacks al bekent waren bij de instanties die er iets van horen te weten en dit niet aan de burger vertelt is. Of zijn dit nu propaganda dingetjes om de biologische (irisscanner, vingerafdrukscanner) toegang tot accounts te promoten?
dan ken je een vriend van mij nog niet, die had alleen al meer dan 100 gehackte databases (o.a nexus mods en Myspace)
Ik keur dit uiteraard ten zeerste af, en het is erg vervelend als je dit overkomt, maar het laat wel zien hoe slecht de websites tegenwoordig zijn beveiligd. Hij hackt soms ook websites om de mensen vervolgens op de hoogte te stellen van de krakkemikkige beveiliging.
Echt ongelooflijk dat dat gewoon mogelijk is tegenwoordig.
Die zijn gewoon openbaar beschikbaar. Doe maar stoer met je vriend, maar die databases kan je ongeveer gewoon van thepiratebay halen.
nee hoor, zelf gehacked. Sommige zoals LinkedIn zijn gekocht maar de rest is allemaal zelf gehacked, daar kan jij nog wat van leren.

[Reactie gewijzigd door jasper290x op 6 september 2016 11:49]

Je noemt anders precies de hacks die al een paar jaar lang op haveibeenpowned staan.
nee hoor, dat waren een paar uitzonderingen. maar noem jij maar even 127 database's op waarvan je weet dat ze gehackt zijn. Goedkopesigaretten.nl is er 1 van, en de rest ga ik je natuurlijk niet vertellen :p
Mijn tip... gebruik een password manager, maar niet helemaal. Kies een standard makkelijk wachtwoord bv tweakers, maar voeg daar ergens een lees teken in bv twe_akers. Gebruik nu een manager om per site een wachtwoord te genereren, dat word dan bv TRFee%#gd&hfd

Wil je inloggen dan vul je je eigen generiek wachtwoord in, en voegd dan het site specifieke wachtwoord daar aan toe. dus... twe_akersTRFee%#gd&hfd

Mocht je manager gehackt worden, dan kunnen ze er niks mee....
Een password manager 'hacken' van jou en mij is voor een 'hacker' geen eer aan te behalen. Dat is anders dan met een site als Rambler.ru, LinkedIn of wat dan ook. Daar maak je naam mee.

Daarom zal het wel loslopen met het hacken van je lokale password manager.

Een ander verhaal is natuurlijk weer cloud-based password managers. Die zou ik mijden als de pest.
Jij denkt in cirkels. Je denkt dat wachtwoorden niet langer goed genoeg zijn. Daarna denk je dat een nieuw foefje wel veilig zal zijn. En dat wordt ook gehackt. Net zoals elke beveiliging omzeilt kan worden. En daarna denk je dat weer een ander foefje de boel weer repareert.

Waar je eigenlijk naar verlangt is een ouderwetse sleutel. Die pas op één deur. En die kan ook gekopieerd worden, maar is een stuk materiaal, niet digitaal. Zelfs een dief met uitgebreide werkplaats die heeft geen belang om jouw sleutel te delen met andere dieven. Dan snijdt ie zichzelf in de vingers want jouw huis kan maar een keer leeg.

Alleen een idioot zet zijn NAW op de huissleutel. Maar met ICT kan dat niet anders.

Veiligheid is een gok en een illusie in netwerk structuren.

Hoe lang we nog in cirkels blijven denken... zolang we nog nut zien in netwerk structuren. En dus zal beveiliging altijd gekraakt worden.
Wat mij opviel was dat er een slecht beleid was om de wachtwoorden op te slaan(ik zou ze hashen in ieder geval) en ook zulke simpele wachtwoorden toe te staan.
Zal de rest van hun protocol ook zo half geweest zijn? Misschien simpeler te hacken daardoor.
Wat mij opvalt is dat er de laatste tijd allemaal dumps online komen van hacks uit 2012
  • Linkedin
  • Brazzers
  • Deze
is dit toeval? of zit er een soort van verjaringstermijn op?
( dat de hack er was , was bekend, maar de details komen nu naar buiten )

[Reactie gewijzigd door Meneerik op 6 september 2016 10:03]

Ik denk dat het in de eerste plaats een kwestie van leeftijd is. Data die in 2012 is verzameld is nu 4 jaar oud en de waarde daalt snel. Steeds minder usernames/mailadressen/wachtwoorden/accounts worden nog gebruikt. Hoe lager de waarde hoe groter de kans de data onbewaakt op internet komt te staan.
Volgend jaar kunnen we dus vooral hacks uit 2013 verwachten.

Het zou kunnen dat het nog iets met met Snowden te maken heeft.
Het Snowden-verhaal speelde begin 2013. De halve wereld ontdekte toen voor het eerst op wat voor een grote schaal er gehackt wordt. Toen is een hoop beveiliging toegevoegd en een hoop hackers afgesneden. Deze data komt allemaal van vlak voor dat moment.
Deze lijst is wel van 2012 maar ze kunnen hem nog goed gebruiken met brute force aanvallen over meerdere proxies. Ik snap niet dat mensen tegenwoordig nog voor zo'n eenvoudig wachtwoord gaan. Helemaal met tools als keypass, lastpass etc.
Het zijn niet allemaal tweakers, en ook bij tweakers zul je zulke wachtwoorden tegenkomen.

[Reactie gewijzigd door Sharkoon op 6 september 2016 09:26]

Ik snap niet dat mensen tegenwoordig nog voor zo'n eenvoudig wachtwoord gaan.
Wegwerpaccounts. Snel registreren onder @mailinator.com om je artikeltje ofzo te kunnen lezen en daarna nooit meer inloggen.
Wat een inconsistente tabel. HoofdLetters, kleine letters, camelCase, under_score. Bah bah.
* Zou dat komen door dat er door de tijd heen verschillende programmeurs aan mee werken? Dit kan ook wel eens een reden zijn dat er "leaks" inkomen.

[Reactie gewijzigd door Casmo op 6 september 2016 09:38]

Haha precies wat ik dacht, wat een ongelofelijk slechte database structuur.
We moeten af van wachtwoorden voor alle accounts. Dat is gewoon veel te veel gedoe. Waarom niet e-mailadres invullen en dan krijg je een e-mailtje met een inloglink die je altijd kan gebruiken?

Het is meer dan voldoende voor 90% van de plekken waar je een account krijgt, zoals webshops, forums en nieuwssites. En dan hoef jij geen wachtwoord te onthouden, dan kan dat wachtwoord dus ook niet op straat komen te liggen. Bij een hack hoeft alleen dat unieke token ongeldig gemaakt te worden (en dus moet iedereen even een nieuwe inloglink aanvragen).

En onthoud dan een sterk wachtwoord voor cruciale diensten zoals je email, DigiD en je bankrekening.

[Reactie gewijzigd door Virtlink op 6 september 2016 10:53]

Dit is ook mijn favoriete oplossing. Ik wil graag zelf een keer proberen om dit te verwerken in mijn webapps :)
Gelukkig kom ik nog uit de tijd dat je van al je vrienden en familie nog hun telefoonnummer moest onthouden, dus een 10 -20 verschillende wachrwoorden onthouden lukt ook (nog) wel.
Tevens zweer ik bij de "beste" i.t. tools out there....pen en papier .
Mijn "little blackbook" word door mij bewaakt :)
Dat een woord als "cfreyjdf" (oftewel сфреыйдф, oftewel Freud) op de 7e plaats staat met een gebruik van 237,009 verbaast me.
Een goede oplossing zal zijn iets met je smartphone of een combinatie van bio en smartphone. Vinger afdruk + sms code of gezichts herkenning + code(kan ook zoals de autenthicator van blizzard)
Vingerafdruk is ook niet echt veilig. Je kunt het zo namaken. Eigenlijk valt alles te onderscheppen/te misbruiken.
Daarom de combinatie. En zoiets als een smartphone iedereen heeft er 1 en sommige slapen er zelfs mee dus altijd in de buurt.
Zou nooit me vingerafdruk doen!!!!
Beetje lastig als je je vingerafdruk moet veranderen omdat de data is uitgelekt.
2012, het magische jaar deze zomer.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True