Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Hack bij forum CD Projekt Red trof 1,9 miljoen accounts - update

Een datalek bij de Poolse videogameontwikkelaar CD Projekt Red heeft ertoe geleid dat 1,9 miljoen accounts op straat liggen. Die accounts bevatten gebruikersnamen, e-mailadressen en hashed en salted wachtwoorden.

HaveIBeenPwned.com maakt het lek vandaag bekend op Twitter en zet daar direct de kanttekening bij dat 67 procent van de accounts al in andere databases op de site terug te vinden was. Waarschijnlijk doelen de beheerders van de website daarmee specifiek op de e-mailadressen. Gebruikers die getroffen zijn door het datalek doen er goed aan om hun wachtwoorden te veranderen en dit ook te doen op alle sites waarvoor ze hetzelfde wachtwoord gebruiken.

CD Projekt Red, de ontwikkelaar van de bekende Witcher-games, maakte eind vorig jaar al bekend dat een oude forumdatabase 'mogelijk geopend en gekopieerd is door een derde partij die geen toegang zou mogen hebben'. Nu blijkt dat dat inderdaad gebeurd is. Hoe oud de database precies is, is niet bekend.

Update, 1-2: CD Project Red heeft in een eigen verklaring bekendgemaakt dat het op de hoogte is van het lek en dat het om een oude forumdatabase gaat. In tegenstelling tot wat HaveIBeenPwned schreef, zegt de ontwikkelaar dat de wachtwoorden met md5 waren gehasht en niet met sha-1.

Door Mark Hendrikman

Nieuwsposter

31-01-2017 • 12:00

49 Linkedin Google+

Reacties (49)

Wijzig sortering
Beetje knullig om wachtwoorden te hashen met sha1.
sha-1-hashed en salted wachtwoorden
PBKDF2 zou beter zijn, maar het is tenminste salted.

SHA-1 is 'OK' als hashingfunctie voor wachtwoorden, waarbij natuurlijk opgemerkt moet worden dat je niet alleen een hashingfunctie moet gebruiken. SHA-1 heeft een grotere kans op false positives t.o.v. langere hashes, maar het zorgt er niet voor dat je sneller het originele wachtwoord kan herleiden als bijvoorbeeld PBKDF2 is toegepast, zelfs niet met de (voornamelijk theoretische) zwakheden van SHA-1.

[Reactie gewijzigd door The Zep Man op 31 januari 2017 12:14]

Daarenboven ging het over een oude forumdatabase (wel geen informatie over hoe oud precies), niet echt zo evident om wachtwoord opslag te gaan veranderen zonder iedereen een nieuw wachtwoord te laten invoeren.
Je kan gewoon de oude salted hash encapsuleren m.b.v. PBKDF2 en een nieuw hash algritme. Natuurlijk moet je het salt nog wel bewaren. Controleer vervolgens bij het inloggen wanneer de gebruiker voor het laatst diens wachtwoord heeft gewijzigd.

Wachtwoord is gewijzigd na de migratie? Gebruik gewone login:
wachtwoord -> PBKDF2 -> Controleer opgeslagen waarde.

Wachtwoord is niet gewijzigd na de migratie? Gebruik alternatieve login:
wachtwoord -> SHA-1(wachtwoord + salt) -> PBKDF2 -> Controleer opgeslagen waarde.

Zo hoef je gebruikers geen nieuw wachtwoord in te laten vullen.

Leuk feitje: Tweakers.net gebruikt dit principe ook. Er was ooit een wachtwoordmigratie, maar de oude wachtwoorden werken nog steeds. Zie dit voor meer informatie.

[Reactie gewijzigd door The Zep Man op 31 januari 2017 12:23]

Neen. Van de bekendmaking van CDPR:
It’s the old database we used to run the forum before we migrated to the login system powered by our sister company -- GOG.com.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True