Gegevens van 640.000 accounts fontwebsite DaFont liggen op straat

Kwaadwillenden wisten de servers van DaFont.com binnen te dringen en de database met gebruikersgegevens te stelen. Onder andere wachtwoorden kwamen daardoor op straat te liggen. Die bleken met het zwakke md5 gehasht te zijn en daarmee gemakkelijk te kraken.

Het gaat om de gebruikersnamen, e-mailadressen en wachtwoord-hashes van 699.464 accounts. In totaal gaat het om bijna 640.000 e-mailadressen. Sommige gebruikers hadden waarschijnlijk meerdere accounts. Een anonieme bron voorzag ZDNet van een sample van de gegevens.

Volgens de persoon werd de database al verhandeld op ondergrondse markten, waarna hij zelf ging kijken op DaFont.com en erachter kwam dat de site kwetsbaar was voor aanvallen via sql-injectie. Na het downloaden van de gegevens, wist hij 98 procent van de wachtwoorden te achterhalen, vanwege het gebruik van md5, dat al langer bekendstaat als een zwak algoritme.

De gegevens zijn ook toegevoegd aan de site Have I Been Pwned, waar gebruikers kunnen controleren of hun data op straat is komen te liggen. De beheerders van DaFont.com hebben nog niet gereageerd op de bevindingen.

IT-banen

Reacties (146)

146

144

Wijzig sortering

TweakerPas 19 mei 2017 10:13

Als iedereen nu ook eens gebruik zou gaan maken van een password manager en voor elke website een ander gebruikersnaam / wachtwoord combinatie zou gebruiken. Dan zouden die databases met wachtwoorden een behoorlijk stuk minder waard zijn op de zwarte markt.

World Citizen @TweakerPas • 19 mei 2017 10:41

Nou... Het kan zijn dat ik het nog steeds niet snap.. maar een "master password" klinkt mij tot op het bot als eng aan. Zeker op de PC van "gebruikers" die vaak helemaal al slecht beveiligd zijn.

Ik zou zeggen dat als je systeem zelf niet waterdicht is qua updates en beveiliging etc.. dat je het grootste gat ooit hebt gecreëerd... Een keylogger die via maleware binnenkomt helpt je hele beveiliging om zeep.

Dus ja voor beheerders die hun systemen up te date hebben zeg ik... wellicht kun je het doen.
Voor alle andere gebruikers zou ik het nog niet een durven te adviseren.

Maar... Wellicht mis ik iets.

[Reactie gewijzigd door World Citizen op 24 juli 2024 16:27]

NSG @World Citizen • 19 mei 2017 11:51

Alleen een master password is in mijn ogen ook schijnveiligheid. Ik gebruik zelf lastpass met 2FA.

Als 2e factor kan ik heb ik Lastpass Authenticator die een 6 cijferige code genereert. de app heb ik ook nog beveiligd met mijn vingerafdruk (dus je zou kunnen zeggen dat het 3FA is). Sinds kort heb ik ook een PQI My Lockey. die ik als 2FA alternatief gebruik in mijn laptop, werkt prima in Chrome.

Daarnaast heb ik waar mogelijk (o.a gmail, facebook, outlook en dropbox) ook 2FA ingesteld. Dan heb ik 2FA in het kwadraat?

[Reactie gewijzigd door NSG op 24 juli 2024 16:27]

xs4me @NSG • 19 mei 2017 15:33

Ik vertrouw alleen zo'n bedrijf als LastPass niet met mijn informatie. Amerikaans bedrijf, patriot act enzo ... Bovendien hebben ze jaarlijks allerlei security breaches.

Niet dat 't geen uitkomst biedt voor mensen die anders hetzelfde wachtwoord gebruiken of het steeds vergeten. Maar of het nou echt de oplossing is.

Persoonlijk heb ik zo'n m'n eigen manier met verschillende email adressen en wachtwoord algoritmes. stores@anoniemdomein voor webwinkels, software@ etc.
Op die manier kun je sowieso op belangrijkheid of categorie, naast wachtwoord, ook nog een ander email adres koppelen.

Is volgens mij veiliger dan zo'n 3e partij, wat ook niet altijd handig is in alle situaties ivm afhankelijkheid lastpass ipv je hersenen die je doorgaans altijd bij je hebt.
(tenzij je teveel gezopen hebt kan 't weleens een nadeel zijn ;-))

[Reactie gewijzigd door xs4me op 24 juli 2024 16:27]

Mayonaise @xs4me • 19 mei 2017 18:41

Daarom gebruik ik ook een aparte wachtwoord voor mijn emails en die sla ik niet op in lastpass. Op deze manier kan ik alsnog mijn accounts redden in geval van een breach.

TimvH @xs4me • 19 mei 2017 17:55

Noem een breach bij LastPass waarbij account/wachtwoorden etc. zijn gelekt.
Veel succes met je zoektocht.

Je kan zeggen dat een lokale passwordmanager als lastpass veiliger is, maar een keepass database verkrijgen is lang niet zo moeilijk als de database van lastpass alhoewel de keepass database waarschijnlijk beter beveiligd zal zijn maar dit is enkel een gok.

xs4me @TimvH • 19 mei 2017 19:27

Dat zeg ik toch niet.
Moet 't altijd eerst fout gaan voordat mensen nadenken?
Hoe ben jij er zo zeker van dat je gegevens veilig zijn? Gesloten code, patriot act, wiki leaks etc zijn genoeg aanleiding om niet zo goed van vertrouwen te zijn.

[Reactie gewijzigd door xs4me op 24 juli 2024 16:27]

sxbrentxs @xs4me • 21 mei 2017 18:39

Aan de andere kant - die breaches die worden gevonden en gepatched. En dat met rap tempo. Imo zegt dat meer dan het feit dat er breaches zijn. Want er zijn overal breaches. Daarnaast is LastPass een soort gem als het neerkomt op zwarte marktwaarde dus het is vanzelfsprekend dat ze veel aandacht trekken en mensen hebben die telkens proberen om dat gouden gat te vinden en erdoorheen springen.

xs4me @sxbrentxs • 29 mei 2017 09:47

Daarom is 't dus beter dat je 't zelf doet. Minder opvallend, je valt niet op in de massa. Veel veiliger. Je redenatie bewijst juist m'n punt ;-)
Daarnaast vind ik het gebruik zonder 3rd party helper ook nog 's veel handiger. Het kost alleen 1x wat meer tijd om 't even goed op te zetten voor jezelf.

Q-collective

@NSG • 19 mei 2017 12:37

Bingo! Tweefactor authenticatie is echt van essentieel belang. Het is makkelijk op te zetten, makkelijk in gebruik en dit soort database lekken zijn redelijk waardeloos geworden.

De meeste mail providers ondersteunen ook 2FA, zet het daar juist ook aan! Want de meeste wachtwoorden resets gebeuren via je mailbox...

Edit:
Die PQI My Lockey heeft m'n interesse gewekt. Weet je hoe goed dat op Linux werkt?

[Reactie gewijzigd door Q-collective op 24 juli 2024 16:27]

NSG @Q-collective • 19 mei 2017 14:15

Linux? Geen idee, out-of-the-box werkt het in elk geval niet. Wat ik wel weet is dat er een Synaptics sensor in zit en onder Windows werkt met de Synaptics WBDI driver, dus misschien dat je met wat googlen achter het antwoord kan komen

TweakerPas @World Citizen • 19 mei 2017 10:48

Een password manager hoeft niet perse een stuk software te zijn, je kan ook alles ouderwets lekker in een notitieboekje zetten. Leer daarnaast gewoon een manier om je wachtwoorden te onthouden voor de sites die je het meeste gebruikt. Denk hierbij ook aan woorden in de wachtwoorden. Stel dat je als wachtwoord V1s33ND#deur65! zou hebben gebruikt. Dan heb je een wachtwoord van 15 tekens, kleine letters, kapitalen, speciale tekens. En voor jezelf onthoud je "vis eend deur 65" het is uiteindelijk gewoon een kwestie van zelf een beetje moeite nemen.

Uiteindelijk is het gewoon zo dat het van 2 kanten moet komen. De website behoort uiteraard goed beveiligd te zijn, maar de persoon die gegevens aanlevert hoort ook na te denken over wat er gebeurd als die gegevens naar buiten komen, en hoe het te voorkomen is dat er met die gegevens ook andere gegevens te achterhalen zijn.

LEiPiE @TweakerPas • 19 mei 2017 10:55

En wellicht is "vis eend deur 65" op zich al net zo'n goed wachtwoord, zie https://xkcd.com/936/

Verwijderd @LEiPiE • 19 mei 2017 11:57

vergis je niet hoe zwak dit soort wachtwoorden zijn. Brute force is het wachtwoord inderdaad erg lang, maar het concept dictionary attack bestaat ook: pak gewoon de woordenlijst van de taal erbij en combineer deze allen. Bovendien worden niet alle woorden in de taal even vaak gebruikt. Stel dat je een combinatie neemt 4 woorden. Waarschijnlijk zijn die woorden allemaal 1 van die 10.000 meest gebruikte woorden. Dan heb je dus 10.000^4 combinaties. Voeg naar nog 2 decimalen aan toe en je komt uit op 10^18 mogelijke wachtwoorden.

Een gtx 1080 doet voor MD5 ongeveer 200 miljard 25 miljard wachtwoorden per seconde:
https://passwordrecovery....-1080-hashcat-benchmarks/
Daarmee duurt het dus ongeveer 2 16 maanden om jouw wachtwoord te kraken met 1 videokaart. Veilig genoeg om je tijd te gunnen je wachtwoorden te wijzigen, maar alleszins niet veilig. Echter is het wel zo dat er nu meer dan 1 persoon zit te hameren op die wachtwoordlijst en je kan ook gewoon pech hebben dat jouw wachtwoord net gevonden word na een maand.

edit: goed lezen Rudy, het betreft 8 van die kaarten in de benchmark. 16 maanden dus.

Verder leuk leesvoer over de distributie van unieke woorden:
https://nl.wikipedia.org/wiki/Wet_van_Zipf
https://en.wikipedia.org/wiki/Heaps'_law

[Reactie gewijzigd door Verwijderd op 24 juli 2024 16:27]

Verwijderd @Verwijderd • 19 mei 2017 14:02

In dit voorbeeld ga je ervan uit dat je vooraf precies weet welk type wachtwoord een gebruiker heeft:

- Vier veel voorkomende woorden aan elkaar geplakt.
- Twee cijfers op het einde.

Wanneer je dit soort aannames vooraf kan maken beperk je het aantal te berekenen wachtwoorden zeer sterk: Je weet immers dat je enkel combinaties van 4 woorden met 2 cijfers aan het einde hoeft te berekenen. Combinaties met 3 woorden of drie cijfers aan het einde kan je volledig buiten beschouwing laten. De "16 maanden" conclusie geldt dus enkel wanneer je zeker weet dat een gebruiker een specifiek type wachtwoord gebruikt.

Als je het type wachtwoord bekend is, is ieder wachtwoord eenvoudig(er) te berekenen waarbij geldt dat meer aannames de berekening eenvoudig maken. Een MD5 hash van een wachtwoord van 10 karakters met enkel speciale tekens heeft een factor minder berekeningspogingen nodig als je weet dat je enkel 10 karakter lange wachtwoorden hoeft te berekenen en cijfers en letters hierbij kan negeren.

Bij ieder wachtwoord geldt dat de veiligheid afhangt van de complexiteit en de gokbaarheid van het wachtwoord. Wachtwoorden als "viseenddeur65" werken prima zolang niet iedereen hetzelfde type wachtwoord gebruikt. Wachtwoord vereisten worden precies hiervoor gebruikt: Door criteria aan een wachtwoord te stellen blijft het aantal mogelijke wachtwoorden zo groot mogelijk en wordt voorkomen dat wachtwoorden als "password" gebruikt kunnen worden.

iceheart @Verwijderd • 19 mei 2017 13:18

Aan de andere kant houden dictionary attacks snel op te werken als de spelling wat afwijkt -het aantal te proberen permutaties loopt met V1s33ND#deur65! voldoende uit de klauwen dat het meer ernstig zou verbazen als een DA dat zou kraken. En volgens mij met iets minder creatieve spelling ook al wel.
Dat viseenddeur geen bruikbaar WW is heb je inderdaad wel helemaal gelijk in.

supersnathan94 @iceheart • 19 mei 2017 19:44

1337speak, all caps, camelcase en andere vormen van permutaties zijn ook gewoon algoritmes voor. Het is gelukkig niet zoals bij mastermind dat je na iedere poging weet of er goede posities tussen zaten.

Je moet het dus in 1 keer goed doen.

Daarnaast werkt software zoals hashcat alleen offline. Online zijn er vaak vertragingen en time outs ingebouwd zodat je een paar pogingen per seconde kunt doen ipv 20 miljard.

iceheart @supersnathan94 • 20 mei 2017 00:08

Dat is ook precies m'n punt, met zoveel opties (en vooral ook als je net even je eigen 'dialect' 1337-maar-dan-niet voert) wordt dat wél een onpraktisch aantal. wel met meerdere ongerelateerde woorden als basis.

Munters @LEiPiE • 19 mei 2017 11:40

Op zich een goed punt. Alleen wordt dit voorbeeld al heel vaak afgekeurd:
- spaties verboden -> ok, dan wordt het viseenddeur65
- moet ook hoofdletters bevatten -> VisEendDeur65
- mag niet eindigen op een cijfer -> Vis65EendDeur
- Moet een speciaal teken bevatten -> VisEendDeur65!
en dan zie ik ook al met enige regelmaat de eis dat er niet 3x hetzelfde teken achter elkaar geplaatst mag worden.

Belachelijke eisen die er alleen maar voor zorgen dat de wachtwoorden opgeschreven gaan worden.

Cis @Munters • 19 mei 2017 15:01

En om de 6 maanden moet je je wachtwoord aanpassen, waardoor op site A viseenddeur65 nog wordt gebruikt, op site B al 68. En op site C mocht het niet langer dan 12 tekens zijn, dus dan wordt het 6 op het eind.

NaoPb @LEiPiE • 19 mei 2017 11:26

Goed punt.

Een lang wachtwoord (wachtwoordzin) zonder al die eisen voor vreemde en speciale tekens kan net zo veilig zijn.

Wat maar weer eens aangeeft hoe onzinnig sommige wachtwoordeisen zijn. Zorg gewoon dat mensen een wachtwoordzin gebruiken, dan kunnen ze hun wachtwoord tenminste onthouden.

[Reactie gewijzigd door NaoPb op 24 juli 2024 16:27]

preske @TweakerPas • 19 mei 2017 11:06

En dan moet je nog onthouden dat er een in voorkwam, en een # en een uitroepteken.

debroervanhenk @World Citizen • 19 mei 2017 11:23

Ik heb een Veracrypt-container met daarin voor elke website een tekstbestand met wachtwoord. Die container laad ik alleen als ik een wachtwoord nodig heb, daarna sluit ik hem weer af.

Ik ben het met je eens dat een passwordmanager eng is, omdat er één plek is waar alles fout kan gaan. Zeker als het lekker ergens “in de cloud” is. Nadeel van mijn methode is wel dat ik alleen op mijn eigen pc toegang tot de wachtwoorden heb, maar dat ongemak heb ik er graag voor over.

SED @World Citizen • 19 mei 2017 13:01

Kijk eens hier.. niet duur en mooie aanvulling.
https://www.yubikeyshop.nl/
En hier een aardige combinatie daarvan:
https://lastpass.com/yubico/

Anonymoussaurus @TweakerPas • 19 mei 2017 10:20

Dat lijkt zo simpel, maar dat is het blijkbaar niet. Een vriend van mij claimt meer dan 20 e-mail adressen te hebben voor games en al dat soort dingen. Ik zei "je gebruikt zeker ook geen programma om je wachtwoorden in op te slaan? En als je je wachtwoord vergeet, maak je zeker een nieuw account aan...?" Zijn antwoord was "ja. Zo zie je dus, dat mensen niet eens weten of zo'n programma überhaupt bestaat, laat staan het opslaan van wachtwoorden.. Ze hebben er gewoon lak aan omdat het ze niets interesseert. Als ze worden gehackt - lekker boeie - ze maken gewoon een nieuw account aan

raro007 @Anonymoussaurus • 19 mei 2017 10:48

als ik een account maak op een website met een wachtwoord manager, kan die het later ook in een spel client invoeren?
op windows en android?

insomniac @raro007 • 19 mei 2017 11:05

kort: ja.
langer:
ik gebruik zelf keepass op windows, en in combinatie met keepassdroid ook werkend op android. Ik gebruik zelf 1 sleutelbestand, en deel deze via m'n eigen cloud.
Via android kan je je username en wachtwoord even in het geheugen laten plaatsen en daarna plakken op de juiste plek.
Met firefox onder windows gebruik ik de keefox plugin. Wachtwoorden generen en terughalen (automagisch) vanuit het zelfde sleutelbestand.
Nu zullen er wel meer van dit soort programma's zijn, maar deze werkt goed voor mij. Heb dan ook niet veel behoefte om ze allemaal te proberen

Trasos

@insomniac • 19 mei 2017 14:38

Bij keepassdroid heb ik gemerkt dat het gekopieerde wachtwoord gewoon op het klembord blijft staan. In Windows gebruik ik vaak de autotype-functie. Die is ideaal.

GabrielWB @Trasos • 19 mei 2017 16:46

Klopt. Je kunt echter de klembord timeout (en ook de applicatie timeout bij inactiviteit) veranderen in de instellingen.

De laagste instelling is 30 seconden.

Trasos

@GabrielWB • 19 mei 2017 18:34

Hmm, dan werkt dat niet echt dus bij mij. Het staat nu ingesteld op 5 minuten. Als ik nu het klembord bekijk zie ik allemaal oude wachtwoorden. Dit is nu op mijn S8 en was ook al op mijn S6. Bij jou werkt het wel?

Edit: heb de setting eens getoggled en nu werkt het wel. Thnx!

Edit 2: het werkt dus toch niet... Er komt wel de melding dat het klembord gewist is, maar dat blijkt dus helemaal niet het geval.

[Reactie gewijzigd door Trasos op 24 juli 2024 16:27]

wauwwie @raro007 • 19 mei 2017 10:57

Je kan het wachtwoord in je wachtwoord manager gewoon inzien, en overtypen.

Dat een 16 karakters lang wachtwoord, bestaande uit letters, cijfers en symbolen, wat lastiger is dan "Gehe1m!" is duidelijk. Maar je hoeft het normaal gesproken maar één keer te doen.

ATS @raro007 • 19 mei 2017 14:39

Ja. Je kan de wachtwoorden ook copy/pasten tenslotte. Een heel enkele keer werkt dat niet als een developer denkt slim te zijn en iets ontwikkelt waarin je niet kan pasten omdat dat "veiliger" is, maar meestal werkt dat prima.

* ATS gebruikt LastPass met 2FA

SpoekGTi @Anonymoussaurus • 19 mei 2017 10:32

Met een kleine wijziging in de inlognaam/email en hetzelfde password waar ze altijd mee inloggen immers een nieuw account heeft geen policy nog actief van dit wachtwoord heb je al gebruikt.

xxxneoxxx @SpoekGTi • 19 mei 2017 12:02

Mijn hersens kraken ervan..

Stoelpoot @Anonymoussaurus • 19 mei 2017 10:43

Inderdaad ja. Vorige week na opnieuw wachtwoordherstel voor mn ouders te hebben gedaan maar eens hard gezegd "Nee, nu gaan we echt hier eens naar kijken, in plaats van elke keer 50x te gokken." Binnen een avond waren ze beiden om. Het is gewoon niet publiek genoeg en nog steeds te technisch. Jammer dat instanties niet meer doen om dit in het spotlight te zetten als de enige echte optie om je accounts goed te beveiligen, samen met 2fa. De bewustheid bestaat gewoon niet.

Verwijderd @Anonymoussaurus • 19 mei 2017 10:57

Zo ken ik er ook genoeg die geen wachtwoorden onthouden en bij iedere login de wachtwoord vergeten functie gebruiken om een nieuw eenmalig wachtwoord in te stellen.

Verwijderd @Anonymoussaurus • 19 mei 2017 11:43

In MacOS is dat gewoon een feature.. ik heb voor elke site een ander password. en dat is allemaal opgeslagen in een encrypted keychain.

Q-collective

@Verwijderd • 19 mei 2017 12:34

Ik ken de functionaliteit, maar ik vind het toch bij lange na niet zo gebruiksvriendelijk als LastPass bijvoorbeeld. Bovendien, en dat is een groot punt voor mij, is het niet cross-platform. Ik heb niks aan die iCloud Sleutelhanger op mijn Linux desktop.

thePiett

@TweakerPas • 19 mei 2017 10:54

Is er een degelijke password manager die niet elke week gehacked wordt die goed draait op Linux en die je velden automatisch vult in Chrome?

[Reactie gewijzigd door thePiett op 24 juli 2024 16:27]

SpoekGTi @thePiett • 19 mei 2017 11:00

Dan wordt je weakest link het autoaanvullen.....als je machine unlocked ergens staat...

Ik ben blijf met een password manager die ik moet openen met een wachtwoord waaruit ik kan het wachtwoord kan c/pen en die het klembord leegt bij afsluiten password manager.

Ik gebruik zelf SplashID van Splashdata (Schaamteloze plug) werkt x-platform, alleen dus geen autoaanvullen in browsers as far as i know.

thePiett

@SpoekGTi • 19 mei 2017 11:08

Dan wordt je weakest link het autoaanvullen.....als je machine unlocked ergens staat...

Dat maakt me niets uit. Er is altijd wel een weakest link, en dat ben ik liever zelf dan de partij waar de data staat

Thanks voor de tip, ik ga SplashID eens checken.

Peetz0r @thePiett • 19 mei 2017 13:09

Als het autoaanvullen in chrome belangrijk is, dan zou ik de assword functie van chrome zelf gewoon gebruiken.

Beter nog, pak chromium. Dat is 99% hetzelfde, maar dan opensource. Zit over het algemeen in de repo's van je linux distro.

Als je iets anders dan chrome wilt gebruiken, kan ik keepass(x) aanraden. Werk prima op elk platform. Ik gebruik keepass 2 op windows op mijn werk en keepassx 2 op linux privé en "keepas 2 android" de offline versie op mijn telefoon.

Nooit issues mee gehad, werkt op elk platform helemaal prima en helemaal offline, etc.

En er zijn ook nog een hele berg plugins voor, waar ik totaal geen ervaring mee heb, maar er staan er meerdere tussen voor chrome en andere browsers.

moozzuzz @TweakerPas • 19 mei 2017 10:38

ik heb een emailadres per site (type: website.com@mijndomeinnaam.com), maar teveel pwden zijn écht te vermoeidend

reaper_unique @TweakerPas • 19 mei 2017 11:00

Toeval wil nu dat ik sinds afgelopen weekend Dashlane in gebruik heb genomen en ondertussen grote kuis heb gehouden.
Zit nu nog "maar" aan 275 accounts die ik over de jaren heen heb gespaard. Net op tijd lees ik nu. Ik ken nu enkel nog mijn erg lange en uitgebreide master password (dat opgeschreven en verborgen heb in mijn huis). Ik heb geen flauw idee meer wat de wachtwoorden zijn voor al die sites. Alle wachtwoorden of (pseudo)random via grc password generator of echt random d.m.v. dobbelstenen

[Reactie gewijzigd door reaper_unique op 24 juli 2024 16:27]

Robby517 @TweakerPas • 19 mei 2017 11:02

Beetje veel overhead lijkt mij en ik denk niet dat je ooit het grootste deel van de mensen zo ver krijgt. Weet je wel op hoeveel websites we geregistreerd zijn? Ik heb geen tijd om dat allemaal te managen en overal mij wachtwoord eens per 30 dagen aan te passen.

Als we nu als dev/management of wie er ook over gaat eens allemaal onze verantwoordelijkheid zouden nemen en overal 2FA implementeren?

Dan moet het gedrag van mensen minder ingrijpend veranderen en hebben we een veel betere oplossing volgens mij.

Ik kreeg toevallig vandaag een melding dat iemand op mijn Facebook probeert te geraken. Snel even 2FA aangezet, inclusief voor alle diensten waarvoor ik hetzelfde wachtwoord gebruik. Snelle oplossing met heel veel resultaat en weinig frustraties. Helaas zijn er nog heel veel websites die dit niet ondersteunen.

SilentLucidity @TweakerPas • 19 mei 2017 12:52

Het probleem van de password manager is dat wanneer zij gekraakt worden je nog verder van huis bent. Dan hebben ze al je verschillende wachtwoorden die je heel snel moet veranderen. Bij deze kraak moet je op andere sites gaan proberen (dan wel geautomatiseerd) of je met de gegevens in kan loggen.
Ik gebruik verschillende wachtwoorden, maar gebruik ze wel meer dan een keer. Gelukkig weet ik wel welk wachtwoord ik waar gebruik. Als dat dan misgaat, hoef ik alleen de accounts met hetzelfde wachtwoord te veranderen.
Een ander bijkomend probleem is apps die wachtwoorden gebruiken. Heel vervelend dat die wachtwoord beheer programma's niet wachtwoorden kunnen invullen in apps, nog niet totdat de Auto-fill API in Android O afgerond is en werkt. Dan is het nog zo dat pas over 5 jaar android O de meest gebruikte Android versie zal zijn.

Daniel_Elessar @TweakerPas • 19 mei 2017 12:07

Heb je gelijk in maar veel mensen doen dat niet. En ook al zou je dat doen heb moet je toch ook je dingen gaan veranderen met een hack zoals hier beschreven staat. Het is leuk dat je een paswoord manager hebt maar als de website zijn zaken niet helemaal op orde heeft maakt dat dus geen fluit uit

En kunnen ze je password en username daar stelen. Want zover ik weet is er geen enkele password manager die dat tegen kan gaan

Ryan1981 @TweakerPas • 19 mei 2017 12:37

Ik heb geen ervaring met paswoord managers. Kun je als je hier gebruik van maakt overal en altijd inloggen? Of ben je afhankelijk van of de manager geinstalleerd is, je internet hebt, je telefoon bij je hebt, etc.

ATS @Ryan1981 • 19 mei 2017 14:42

Het is geen magie. Je kan niet inloggen als je niet op een of andere manier bij je gegevens kan, hetzij via internet, hetzij omdat ze al op je telefoon of een gegevensdrager staan die je bij je hebt.

theduke1989 @TweakerPas • 19 mei 2017 12:59

Ik heb dat niet, ik heb alles nu gecodeerd thuis liggen! Ik log ook daarom alleen thuis in op de nodige websites! Facebook/email etc dan kan nog wel overal maar daar blijft het ook bij!

pim @TweakerPas • 19 mei 2017 13:27

Al die tweakers die wachtwoord manager omhoog voten

Levend in hun technische bubbel, niet snappend dat dit veels te omslachtig en technisch is voor de gemiddelde gebruiker.

Bitmaster @TweakerPas • 19 mei 2017 16:39

Verwerk een paar letters uit de naam van het domein in het wachtwoord.

Boost9898 19 mei 2017 10:13

Fijn weer, kan ik wéér dingen gaan aanpassen omdat bedrijven te beroerd zijn om te investeren in een goede beveiliging. Dit kan toch niet meer vandaag de dag, kom op zeg! Bedrijven die getroffen worden zouden een boete moeten krijgen die 1,5x duurder is dan een flinke beveiliging (laten) aanleggen. Dan kijken ze wel uit, en is de consument een stuk beter af.

TweakerPas @Boost9898 • 19 mei 2017 10:39

Mensen kunnen wel allemaal lekker gaan wijzen naar bedrijven, maar als iedereen te laks is en niet wil stilstaan bij het feit dat de huidige criminaliteit steeds meer verschuift van de straat naar internet. Dan moeten mensen ook zelf maar een beetje op de blaren gaan zitten. Het is nu eenmaal bekend dat informatie geld waard is.

Je bent zelf verantwoordelijk voor de informatie die jij deelt met derden. Als mensen er dan zelf voor kiezen om overal maar dezelfde gegevens in te vullen, terwijl er vaak genoeg nieuws voorbij komt dat er weer gegevens op straat liggen. Dan is het natuurlijk wachten tot jezelf een keer aan de beurt bent. Wil je geen password manager, of kent men dit niet? Bij de bruna verkopen ze kleine notitieboekjes, daar kun je ook heel handig je inloggegevens in kwijt. Ook handig bij je overlijden, dat nabestaanden dan via dat boekje bij je gegevens kunnen!

Net als ransomware, het komt in het nieuws, het is bekend. Maar veel zijn te lui, te beroerd of hebben geen geld over voor een goede virus / malware / ransomeware beveiliging. Ondertussen blijven ze wel lekker alles maar klakkeloos aan klikken met wat in hun mailbox komt, en lopen ze vervolgens te tieren als ze geïnfecteerd raken...
Terwijl het gewoon een kwestie van tijd is dat ze geïnfecteerd raken,

Zenomyscus @TweakerPas • 19 mei 2017 12:21

Hoewel ik het volledig met je eens bent, is het naar mijn mening in dit geval niet echt aan de orde. Wat mij betreft mag je hier toch echt naar DaFont wijzen. Je weet als gebruiker vaak niet hoe een bedrijf alle data opslaat. Je kunt dan zeggen dat gebruikers voorzichter moeten zijn, maar om dat te controleren voor alle bedrijven die een account willen (lees allemaal) is niet te doen.

Daarnaast weet je vooraf ook niet wat de mogelijkheden zijn. Ik wil graag oude accounts verwijderen, maar zelden is die optie aanwezig. Of ze bieden de optie, maar 'je kunt altijd nog terug'. Wat inhoud dat ze de data niet verwijderen, maar gewoon een status 'inactief' neerzetten. Als gebruiker kun je daar niks mee en dat heeft niets met laksheid te maken. Natuurlijk kies je er zelf voor om je gegevens aan een derde partij te geven. Dat mensen daar veelal erg makkelijk in zijn is zeker niet goed, maar veel data is gewoon nodig om een bepaalde mate van functionaliteit aan te bieden. Denk aan een username of mailadres met wachtwoord. Zelfs al kan een bedrijf mij nu overtuigen wat betreft hun security, het zegt niets over de veiligheid een paar jaar verder. Bedrijven worden overgekocht, er kan vanalles gebeuren.

En natuurlijk, je kunt ervoor kiezen nergens een account voor aan te maken. Maar dat is geen oplossing van het probleem: namelijk dat bedrijven niet zorgvuldig omgaan met de data van gebruikers. Zolang dat niet veranderd blijf ik wijzen naar bedrijven (maar neem ook echt wel mijn verantwoordelijkheid voor de overige zaken).

Het enige wat ik nu kan doen is besluiten geen account aan te maken. Zo min mogelijk invullen doe ik altijd al, maar voor veel zaken kom je er niet omheen. ICT en dan met name security blijft een 'probleem' bij bedrijven, ze nemen het gewoon niet serieus.

servicedb @Boost9898 • 19 mei 2017 10:15

Of je neemt een password manager en hebt voor elke website een apart wachtwoord. Voorkomt dat je het overal moet aanpassen met een hack en daarmee hanteer je voor je zelf een veiliger wachtwoord beleid.

Da_Teach @servicedb • 19 mei 2017 10:18

In before "totdat de password manager gehakt wordt".

Maar je hebt groot gelijk. Ik gebruik al jaren lastpass (en dan is het discutabel of je dat gevaarlijk vindt of niet) en heb op (bijna) geen website hetzelfde wachtwoord.

Zelfs al zou LastPass gehackt kunnen worden dan is het nog steeds veel veiliger dan hetzelfde wachtwoord op verschillende sites. Puur en alleen al om het feit dat een bedrijf als LastPass gewoon veel meer tijd steekt in beveiliging dan bijv. een DaFont.

kakanox @Da_Teach • 19 mei 2017 10:37

Ik weiger dus een online password manager te gebruiken. Mijn wachtwoorden staan achter een VPN, en dan op een machine die alléén daarvoor gebruikt wordt.

Voordat men daar binnen is... gaat ff duren.

Da_Teach @kakanox • 19 mei 2017 11:04

Gebruikersgemak is niet heel goed te vinden in jouw oplossing. Alleen het feit dat er een apparaat 24/7 aanstaat om je wachtwoorden op te slaan zegt al dat het geen oplossing is voor de 'normale medemens'.

Die gaan voor gemak, daarom hebben zoveel mensen hetzelfde wachtwoord op zoveel sites. Vroeger hoorde ik ook tot deze categorie.

Lastpass mag dan wel niet 100% secure zijn maar is nog steeds 1000x beter dan overal hetzelfde wachtwoord. En het geeft gebruikersgemak, iets wat zo belangrijk is voor beveiliging. Als iets 'te veel moeite' kost gaan mensen dat niet doen.

kakanox @Da_Teach • 19 mei 2017 12:13

Ik roep ook niet dat het een oplossing voor iedereen is. Feit is wel dat ik over gegevens beschik die niet in de verkeerde handen mogen vallen, en er dan dus van me verwacht mag worden dat ik er iets zorgvuldiger mee omga.

Overigens draait er op het apparaat dat aan staat een hypervisor, en staat er dus een virtuele server aan voor die wachtwoorden. Het stroomverbruik is dus hooguit iets hoger dan in andere gevallen.

[Reactie gewijzigd door kakanox op 24 juli 2024 16:27]

armageddon_2k1 @kakanox • 19 mei 2017 11:13

Klinkt als een wat creatievere manier van security through obscurity. Update je je VPN geregeld? Update je de sandboxomgeving? Update je de machine binnen de sandbox? Altijd? Direct? Ook als je op vakantie bent? Een wachtwoordkluis die altijd aanstaat klinkt als een mooie target namelijk.

Heel veel lagen met allemaal mogelijkheden tot 0-days. Ik kan niet inschatten hoeveel veiliger het is dan een LastPass, maar het is ook niet te zeggen dat het wél veiliger is.

Nee, dan liever een programma dat gebruikt maakt van geauditte encryptie technieken en als core business beveiliging heeft.

[Reactie gewijzigd door armageddon_2k1 op 24 juli 2024 16:27]

kakanox @armageddon_2k1 • 19 mei 2017 12:20

Er verwijzen binnen mijn netwerk twee poorten door naar de machine in kwestie (poort 445 bijvoorbeeld niet

). Op die machine staat, op een versleuteld volume, een versleuteld bestand dat gelezen wordt door een password manager.
Verder is de enige manier om te zorgen dat de machine in kwestie niet up to date is en/of valse updates binnenhengelt de updateserver van de fabrikant van het OS onbereikbaar maken of op zo'n manier hacken dat er valse updates over de lijn gaan. Zelfs als dat al zo is, dan zou je waarschijnlijk hetzelfde moeten doen bij de fabrikant van mijn firewall om het echt gevaarlijk te maken.

Als laatste heb je door die machine te hacken alleen mijn wachtwoorden. Die zijn best wat waard, maar niet zóveel dat het interessanter is om deze machine te hacken dan bijvoorbeeld LastPass.

Wat ik niet fraai vind aan LastPass is het feit dat iedereen al zijn wachtwoorden daar opslaat. Mijn oplossing is in zoverre beter dat men heel veel moeite zou moeten doen om alléén mijn wachtwoorden te krijgen.

Als men LastPass te grazen heeft heeft men meteen wachtwoorden van de halve wereld. Met beveiliging die waarschijnlijk niet veel zwakker is dan die van LastPass zijn mijn wachtwoorden om die reden veel minder interessant.

[Reactie gewijzigd door kakanox op 24 juli 2024 16:27]

ATS @kakanox • 19 mei 2017 14:47

Als LastPass gehacked wordt heeft men de encrypted wachtwoordbestanden van de gebruikers. Alleen heeft LastPass zelf daar de sleutels niet bij. Die heeft iedereen zelf. De database zal dus alsnog gebruiker voor gebruiker gekraakt moeten worden om toegang tot de eigenlijke wachtwoorden te krijgen. Als er gebruik gemaakt is van een sterk encryptiealgoritme, waar ik wel vanuit ga, dan dan je bijzonder weinig met die database.

kakanox @ATS • 19 mei 2017 15:44

Hoewel je een goed punt hebt heb ik daar twee opmerkingen bij:
1a) Er vanuit gaan dat men een sterk encryptiealgoritme gebruikt vind ik eigenlijk niet goed genoeg.
1b) Als je de encrypted passwords hebt zou je wel uit kunnen zoeken welke interessant kunnen zijn (een account van donald.trump@whitehouse.gov, bij wijze van, is de moeite) en dan kijken of je alleen die kan bruteforcen.
2) Een wachtwoord moet ook op een gegeven moment ontsleuteld worden. In het geval van LastPass gebeurt dat in je browser. Dat is dus ook de plek voor een hacker om zich op te richten. Voorbeeldjes:

https://www.hackread.com/lastpass-hacked-this-time-for-good/

In mijn geval zal je je in sommige gevallen moeten richten op mijn clipboard, en in sommige gevallen zelfs op toetsenbordaanslagen.

[Reactie gewijzigd door kakanox op 24 juli 2024 16:27]

Stoelpoot @Da_Teach • 19 mei 2017 10:48

> In before "totdat de password manager gehakt wordt".

Vergeet dus ook je primaire email adres NIET in je WW manager te zetten

Omdat daar al je recovery mails op komen.

Da_Teach @Stoelpoot • 19 mei 2017 11:20

2-step authentication ftw

(zowel op mijn gmail als op lastpass)

Stoelpoot @Da_Teach • 19 mei 2017 11:23

En waar heb je de recovery codes voor als je 2fa ooit uit valt, telefoon kapot bvb?

NSG @Stoelpoot • 19 mei 2017 12:01

Die print je uiteraard uit en stop je ergens in een kluis

LollieStick @Da_Teach • 19 mei 2017 10:38

Doe mij dan toch maar gemengd of rundergehakt

Theoretisch zou je vanuit het oogpunt van veiligheid voor elk account waar dan ook een ander wachtwoord moeten hebben. In de praktijk werkt dat echter voor geen meter...

[Reactie gewijzigd door LollieStick op 24 juli 2024 16:27]

ATS @LollieStick • 19 mei 2017 14:53

Met een wachtwoordmanager werkt dat dus juist wel.

Maar eigenlijk wil je helemaal af van het apart moeten inloggen op elke site. Je wil dat je zelf kan kiezen welke door jou vertrouwde provider gebruikt wordt voor authenticatie (inclusief je eigen service, als je dat wil). Daar log je in, en de UI van die service vraagt toestemming welke gegevens er gedeeld mogen worden met de vragende site.

Webgnome @servicedb • 19 mei 2017 10:18

Dat is leuk een password manager maar dat voorkomt niet bij dit soort lekken dat je e-mail adres / gebruikersnaam op straat komt te liggen. Daar sta je dan met je supadupa sterk wachtwoord en een mailbox vol met spam.

armageddon_2k1 @Webgnome • 19 mei 2017 11:17

Daarom dus een apart email adres voor elk account. Dat kan bij Google makkelijk met [naam]+[randomstring]@gmail.com. True, niet elke site accepteert het.

Krijg ik spam binnen op dat adres weer ik meteen wie de culprit is en is het zo afgesloten.

Dorank @armageddon_2k1 • 19 mei 2017 12:32

En spammers hebben geen weet van de betekenis van een + in een emailadres.

armageddon_2k1 @Dorank • 19 mei 2017 13:32

Fair enough ;-)
Daarom ook mijn eigen Synology Mailserver met:
[sitenaam]@[eigendomein.nl].

Voila.

croc @armageddon_2k1 • 19 mei 2017 12:34

Filtert een beetje spammer niet automatisch alles tussen + en @gmail.com? Gmail wordt zo vaak gebruikt dat het iig wel de moeite zou zijn om even een replace over je mail database te laten lopen lijkt me.

mr.paaJ @armageddon_2k1 • 19 mei 2017 15:56

Als ik een spambot was zou ik die +iets toevoeging gewoon niet gebruiken, dan stuur je het gelijk naar het juiste adres.

Blaise @Webgnome • 19 mei 2017 11:23

Daarvoor heb je een spamfilter. Ik gebruik al jaren een e-mailadres dat open en bloot op internet staat en ontvang veel spam, maar dat belandt netjes in de ongewenste email map, terwijl belangrijke mailtjes daar nog nooit in beland zijn.

servicedb @Webgnome • 19 mei 2017 13:23

Dat zeg ik toch niet? ;-). Wat ik zeg is dat je daarmee tenminste verschillende wachtwoorden makkelijk kan bijhouden zodat slechts één wachtwoord als schade valt.

Verder is spam weer een ander ding.

Iva Wonderbush @servicedb • 19 mei 2017 10:17

Of je zorgt ervoor dat je website beveiligd is zodat niet 3 miljard mensen een ww manager moeten gebruiken.

Ik gebruik zelf Lastpass, maar als ik een website online zet ga ik geen banner voor hun neus zetten met "Download nu Lastpass want ik was te lui om mijn website veilig te maken!"

Stoelpoot @Iva Wonderbush • 19 mei 2017 10:44

Daar kan ik wel voor zorgen, maar anderen niet. Ik ben het met je eens, maar wachtwoorden hergebruiken is ook geen stijl. Je hebt toch ook niet dezelfde sleutel voor alle sloten waar je in kan van je werk tot aan je fiets?

ATS @Stoelpoot • 19 mei 2017 14:55

Dat niet, maar alle deuren van mijn huis hebben wel dezelfde sloten, en binnen liggen de sleutels van de rest. Dus in feite heb ik inderdaad 1 masterkey.

unglaublich @Iva Wonderbush • 19 mei 2017 10:21

Of ben jij te lui om je eigen gegevens veilig te stellen? Hypocrisie ten top.
Veiligheid komt voort uit inzet door alle partijen.
Eigenlijk zouden browsers alle password schermpjes on-invulbaar moeten maken en alleen met een password manager moeten werken.

Boost9898 @unglaublich • 19 mei 2017 10:26

Zo werkt het niet, jij vertrouwt je gegevens toe aan een organisatie, zij moeten dat veilig stellen. Je kan toch ook niet op iedere website een anders postadres invullen? Volgens jouw redenatie zouden we dus allemaal een postbus moeten aanschaffen om daar spullen af te laten leveren en een extra telefoonnummer. Want: "Of ben jij te lui om je eigen gegevens veilig te stellen?". Hypocrisie ten top, niet?

Zoop @Boost9898 • 19 mei 2017 10:44

Absoluut waar dat een organisatie goed met je gegevens dient om te gaan.

Maar dit soort zaken blijft toch wel gebeuren, je kan wel willen dat de wereld ideaal werkt, maar dat gaat nooit gebeuren. Een stukje gezond verstand van de gebruikers zou het nut en lucrativiteit van dergelijke hacks een stuk minder maken. Puur de schuld bij de organisaties leggen is wel naief.

Je vergelijking gaat niet echt op, als je het met iets tastbaars wilt vergelijken, vergelijk het dan met sleutels en sloten.
Denk je dat het verstandig is dat je voor je huis, fiets, auto etc allemaal dezelfde sleutel zou gebruiken?
Ondanks dat mensen gewoon goed met je spullen om moeten gaan, is het gewoon ontzettend gevaarlijk.

Verantwoording ligt zeker ook deels bij je zelf.

Stoelpoot @Boost9898 • 19 mei 2017 10:47

Maar goed, natuurlijk is er een steekje laten vallen met beveiliging. Maar je hebt toch ook niet voor elke deur waar je een sleutel voor hebt dezelfde sleutel? Of moet je zus nu oppassen dat ze de sleutel van je ouders voor je garagebox niet kwijtraakt omdat jouw auto dan gestolen kan worden?

Boost9898 @servicedb • 19 mei 2017 10:18

Dat is geen oplossing, dat is het probleem omzeilen. Als er in jouw auto een lampje gaat branden kan je ook twee dingen doen. Of je zoekt uit waardoor het komt en repareert het. Of je plakt het lampje af, want dan heb je er geen last van toch? Beetje krom.

servicedb @Boost9898 • 19 mei 2017 13:18

Het probleem omzeilen of voorkomen? Het is bekend dat websites worden gehacked en dat het gebeurd. Het is bekend dat ook wachtwoord beheerders gehacked kunnen worden. Het is ook bekend dat overal hetzelfde wachtwoord gebruiken niet goed is. Het is bekend dat phising websites ook wachtwoorden aftrochelen.

Het is maar net welke afweging je maakt. Persoonlijk kies ik liever voor verschillende wachtwoorden en veiligheid. Hoe veel anderen hun best ook doen, gehacked kunnen worden is altijd mogelijk.

De vergelijking met een auto lampje gaat trouwens niet helemaal op. Immers ben je niet perse van een derde afhankelijk om het te laten branden (bijv ouderdom). Stel je komt in een ongeluk, dan heb je toch ook een airbag als damage control? En sommige modellen hebben meer air bags. Het is ook maar net wat je kiest.

[Reactie gewijzigd door servicedb op 24 juli 2024 16:27]

Verwijderd @Boost9898 • 19 mei 2017 10:18

Het niet hergebruiken van wachtwoorden is de beste manier om jezelf te beschermen tegen dit soort lekken. Dat wel doen geldt inmiddels gerust als een bad practice. Daarmee wordt het niet alleen tijd naar DaFont te kijken, maar ook de hand in eigen boezem te steken. Misschien wordt het zelfs wel tijd voor een boete voor cosumenten

Boost9898 @Verwijderd • 19 mei 2017 10:24

Ja tuurlijk, is helemaal goed. Omdat een bedrijf zijn zaakje niet op orde heeft krijgt de consument een boete. Dus jij vind het kunnen dat een bedrijf gewoon een online database mag hebben zonder (goede) beveiliging?

Verwijderd @Boost9898 • 19 mei 2017 10:34

Je begrijpt me niet goed. Beide partijen hebben hun eigen verantwoordelijkheid. DaFont moet worden dat zijn techniek volgens redelijk recente best practices is ingericht. De consument dient ervoor te zorgen dat zijn wachtwoorden veilig en niet herbruikt zijn, ook volgens best practices die al sinds tijden gelden. Door wachtwoorden te herbruiken loopt de consument opzettelijk het risico dat zijn andere accounts misbruikt worden bij een lek.

Als beide partijen verantwoordelijkheid nemen, gaat het lang niet zo snel mis.

Boost9898 @Verwijderd • 19 mei 2017 10:41

Ik als consument moet zelf mogen bepalen of ik een wachtwoord 1, 10 of 100 gebruik. Tuurlijk loop je een groot risico wanneer je één wachtwoord meerdere malen toepast, dat is logisch en bekend. Daar ben ik het zeker mee eens.
Maar, waar ik het niet mee eens ben is dat de consument dat zou 'moeten'. Als bedrijven een goede beveiliging hebben is dit niet nodig. En dan spreken we nu alleen nog maar over wachtwoorden, iets wat je continu kan aanpassen.

In het geval van persoonlijke gegevens gaat die vliegen niet op. Je kan niet bij iedere organisatie een ander e-mailadres, woonplaats, straat, huisnummer en telefoonnummer opgeven. Dit probleem ligt toch echt in handen van het bedrijf.

Verwijderd @Boost9898 • 19 mei 2017 11:19

Nogmaals, het zijn twee losse zaken. Het bedrijf moet zijn verantwoordelijkheid nemen, maar de consument ook. Daar doet geen wanbeleid van 100 bedrijven iets aan af. Als je zelf de maatregelen niet neemt, ben je zelf ook verantwoordelijk. Daarnaast is het ook best dom om jezelf volledig afhankelijk te maken van een bedrijf, want het is zo makkelijk om problemen te voorkomen.

De relevantie van je persoonlijke gegevens is nihil, want die hoef je bij DaFont niet op te geven.

Crahsystor @Boost9898 • 19 mei 2017 10:20

Zo'n boete veranderd niets. Ze berekenen het risico. Als de pakkans te laag is, maakt het niets uit wat de boete is. Want de kosten (beter uitgaven) voor beveiliging zijn dan wel zeker, de opbrengsten zijn onzeker.
Als bij zo'n datalek de directie nu direct hoofdelijk aansprakelijk zou zijn (wetswijziging) dan verandert het. Dan is het opeens geen risico meer voor alleen het bedrijf, maar ook degenen die beslissen dat md5 ook wel goed genoeg is al zegt er 'iemand van IT' van niet. De pakkans mag in dat geval voor het bedrijf gelijk blijven, voor de directie stijgt die dan enorm; het bedrijf kan men zich niet meer achter verschuilen.

sypie 19 mei 2017 12:04

Dan toch eindelijk maar eens LastPass geïnstalleerd. Het wordt me nu iets te gek met al die lekken en hacken.

Aangezien ik ook een luie computeraar ben en regelmatig wachtwoorden recycle denk ik dat daar maar eens een einde aan moet komen zo langzamerhand. Sommige gerecyclede wachtwoorden zijn al meer 15 jaar oud en op meerdere plaatsen gebruikt.

ATS @sypie • 19 mei 2017 15:56

Als je je wachtwoorden erin hebt zitten, ga dan eens naar je Vault en doe de Security Challenge. Dan krijg je tips en opties om de situatie te verbeteren. In theorie kan je hem zelfs je wachtwoorden zelf laten updaten, maar bij mij werkt dat vaak niet.

Liberteque @sypie • 19 mei 2017 12:56

Knap stukje zelfreflectie, ik gebruik zelf ook LP icm met hun Password generator om te voorkomen dat je toch onbewust een bepaald systeem gaat hanteren wat mss weer makkelijker is om varianten te raden..

Prepared to be flogged sensless.. ;-)

Verwijderd 19 mei 2017 10:23

Die bleken met het zwakke md5 gehasht te zijn en daarmee gemakkelijk te kraken.

Te kort door de bocht.
De md5 van mijn wachtwoord is bijvoorbeeld f505f7747279e3add0fca25ce046752b. Is dat nu makkelijk te kraken?

Capital_G @Verwijderd • 19 mei 2017 10:34

Dat is niet hoe dat werkt. Hashing methodes werken o.a. op basis van collision resistance. Met andere woorden: bij een goed hash algoritme moet het buiten-proportioneel moeilijk zijn om een collision te vinden. Dat wil zeggen, twee inputs (of wachtwoorden) die dezelfde hash genereren.

Bij md5 en sha1 is aangetoond dat het niet moeilijk genoeg is om een collision te vinden voor een gegeven hash.

Unipuma @Capital_G • 19 mei 2017 12:02

Behalve dat hier gesuggereerd wordt dat de wachtwoorden van de gebruikers op straat liggen.

Dat is niet waar. Omdat het met MD5 gehashed en er een collision kan optreden kan dus iemand met een andere string dan het oorspronkelijke wachtwoord inloggen op de site. Maar daarmee weet je nog steeds het oorspronkelijke wachtwoord niet.
En aangezien ze al waren binnengedrongen op deze site heeft het dus geen enkele toegevoegde waarde, anders dan dat, indien een gebruiker hetzelfde wachtwoord gebruikt op een andere site en deze site ook een MD5 encryptie gebruikt, je dus zou kunnen inloggen op deze site op basis van een string die ook op de MD5 matched.

Maar je kunt nog steeds niet achterhalen wat het oorspronkelijke wachtwoord was.

moozzuzz @Capital_G • 19 mei 2017 10:44

Maar stel je hebt in 1998 een website met md5 hashes gestart. Deze is inherent onveilig. Hoe "upgrade" je dan seemlessly naar een -vandaag- veiliger manier?

hackerhater @moozzuzz • 19 mei 2017 10:51

Makkelijkste manier :
Zorg dat je site beide manieren ondersteund
user login :
1) Check tegen nieuwe algoritme
2) Indien geen match check tegen oude algoritme
3) Indien match, zet plain text wachtwoord om naar nieuwe versie en sla deze op.

Dan worden de wachtwoorden omgezet op het moment dat gebruikers inloggen.
Na een half jaar of zo, zet je een random wachtwoord bij de gebruikers die nog niet ingelogd hebben.
Die gebruiken maar wachtwoord reset.

[Reactie gewijzigd door hackerhater op 24 juli 2024 16:27]

Ryangr0 @moozzuzz • 19 mei 2017 10:49

Alle md5 hashes met een hogere kwaliteit opnieuw hashen lijkt me het voor de hand liggende antwoord.

Junketsu @Ryangr0 • 19 mei 2017 10:57

Dus je wilt een extra hash-stap inbouwen? Wachtwoord -> MD5 -> SHA512?

Ed Vertijsment @moozzuzz • 19 mei 2017 11:11

Maak een column in je db met hash_algorithm o.i.d. vul deze met "md5".
Schrijf een nieuw hashing systeem die een BESTAAND VEILIG algoritme gebruikt. Maak hiernaar een reference met iets als CURRENT_HASH_ALGORITHM
Zorg ervoor dat iedere keer dat een gebruiker inlogt, de input volgend hash_algorithm geverifieerd wordt.
Zorg ervoor dat iedere keer dat een gebruiker inlogt, de input volgens hash_algorithm geverifieerd wordt.
Als geldige login en hash_algorithm !== CURRENT_HASH_ALGORITHM maak nieuwe hash met CURRENT_HASH_ALGORITHM en update je in je db de hash en hash_algorithm.

Iedere keer dat een hashing systeem kwetsbaar blijkt en een betere beschikbaar is doe je dit.

Voorbeeld van waar dit gedaan wordt: https://docs.djangoprojec...words/#password-upgrading.

[Reactie gewijzigd door Ed Vertijsment op 24 juli 2024 16:27]

hackerhater @Verwijderd • 19 mei 2017 10:26

Vergeleken met fatsoenlijke hashing algoritmes wel.

Riuujin @Verwijderd • 19 mei 2017 10:27

Vrij simpel volgens mij, even googlen en https://md5.gromweb.com/?...47279e3add0fca25ce046752b heb je wat er instaat.

Edit: Verkeerd gekeken kan het inderdaad niet ontcijferen.

[Reactie gewijzigd door Riuujin op 24 juli 2024 16:27]

Junketsu @Riuujin • 19 mei 2017 10:55

"Provided MD5 hash could not be reversed into a string: no reverse string was found."

wouteramf @Riuujin • 19 mei 2017 11:09

Die website maak gebruikt van standaard (simpel) wachtwoord database
dus gewoon door middel van brute force attack.

Ziet jouw wachtwoord er zo uit: @unglau%blich3 dan is kan zeer klein dat door die website gekraakt wordt.

Stoelpoot @Verwijderd • 19 mei 2017 10:51

Ja, want dat heb je snel berekend. Dat is gemakkelijk te brute-forcen als je uitgaat van een gemiddelde wachtwoord lengte van 8 tot 10 karakters.

croc @Stoelpoot • 19 mei 2017 12:40

Je kan een collision berekenen, maar je bent nooit zeker dat je het originele password te pakken hebt. Toch een grote en niet onbelangrijke nuance.

Verwijderd @croc • 22 mei 2017 00:13

Een collision berekenen is inderdaad iets anders. Kan ook al schadelijk zijn maar is in principe minder erg.

Ik vraag me trouwens wel af hoe makkelijk zo'n collision te berekenen is met md5. Ik weet dat je een gegeven stuk data (een bestand) kunt manipuleren zodat je er iets in kunt veranderen en het toch dezelfde md5 hash houdt.

Maar een gegeven md5 zonder oorspronkelijke data (zoals in mijn voorbeeld), is het ook makkelijk om daar data bij te genereren met de gegeven md5 hash?

Verwijderd @Stoelpoot • 22 mei 2017 00:10

Ik loof €10000 euro uit voor degene mijn password weet te brute-forcen uit bovengenoemde hash.

Snel berekend zei je toch? Succes

AOC 19 mei 2017 10:27

Misschien dat ik eens een .txt bestandje aanmaak zodat ik alle tips meteen kan copy/pasten bij een dergelijk nieuwsbericht.

1. Maak gebruik van KeePass (maak gebruik van keyfile en sterk wachtwoord wat je kan onthouden)
2. Sla in KeePass enkel je wachtwoorden op + eventueel een deel van het wachtwoord dat je achteraf aanvult door een vaste reeks tekens
3. Maak gebruik van Gmail om verschillende aliassen te maken per site/login.
4. Sla in KeePass als Username/E-mail enkel een hint op dat jij zelf goed kan onthouden.
5. Probeer je opgeslagen entry ook opvallend te maken in de zin als 'Mail A' i.p,v, 'outlook.com'

Ik heb een structuur als waterkoker.e-mail-a@gmail.com, waterkoker.e-mail-aa@gmail.com. Username/e-mail sla ik nooit volledig op in KeePass maar ik gebruik altijd een hint. De hint mail-a is voor mij genoeg om te weten welk mail adres ik volledig dien in te vullen. Daarnaast zijn de entry's bij mij ook een hint. Ik sla geen wachtwoorden op onder de entry 'outlook.com' maar b.v. 'mailclient a'.

Iemand die je database heeft zal dat niet zo snel raden me dunkt. Tenzij diegene naast je database ook andere tools heeft laten draaien als keyloggers etc

[Reactie gewijzigd door AOC op 24 juli 2024 16:27]

Melkie @AOC • 19 mei 2017 10:41

Als jou iets overkomt, kan je familie helaas nergens bij...

AOC @Melkie • 19 mei 2017 11:06

Lastige inderdaad, dan schrijf je, voor offline gebruik, alle hints uit als aanvulling op de digitale database

erg omslachtig wat dat betreft. Eigenlijk zou elke website een soort machtiging optie moeten hebben oid dat indien persoon x te overlijden komt persoon y gerelateerd aan x toegang krijgt om zo belangrijke zaken af te kunnen handelen.

La1974 @AOC • 19 mei 2017 11:55

Pffff. De balans tussen gebruiksgemak en veiligheid is hier wel doorgeslagen naar het laatste.

Het zal ongetwijfeld super veilig zijn maar ik vind het gemak van 1Password die voor mij de benodigde gegevens van een site invult wel erg handig.

Calamor @AOC • 19 mei 2017 12:00

Dat zijn wel handig tips. Zelf gebruik ik voor een wachtwoord een formules. Vast deel met variabel deel van het bedrijf/website en afhankelijk van het bedrijf/website hoe belangrijk het is de formule.
Maar dat is ook wel eens nodig om de te veranderen om de zoveel tijd.
Maar waar ik nog niet overdacht had is de vraag en antwoord. Dat is vaak wel het zelfde. Daar stond ik nog niet bij stil, ook komt dit niet heel vaak meer voor, maar door een melding op Have I been PWNED en ik wel wakker geschut. Denk dat ik daar een goede formules ga verzinnen en denk ook maar KeePass ga gebruiken of misschien wel ouderwets een boekje.

cilfour 19 mei 2017 10:30

Dit nieuws bericht versterkt mijn gevoel dat elke database vroeg of laat een keer opstaat ligt. Dit is voor mij ook de reden waarom ik steeds selectiever ben geworden waar ik mijn email adres en persoonsgegevens achterlaat.
Ik kies daarom ook steeds vaker voor dump adressen of niet mijn echte gegevens waar mogelijk.
Wachtwoorden bedenk ik zo zoveel mogelijk volgens deze comic van deze comic van xkcd.

Stoelpoot @cilfour • 19 mei 2017 10:49

Tja, daar heeft Murphy dan ook een wet voor bedacht

Overigens, denk ook eens aan een wachtwoord manager. Zolang je daar dan maar geen Correct Paard Batterij Nietje als wachtwoord gebruikt.

Munters @cilfour • 19 mei 2017 11:51

Tip als aanvulling:
Als je weer eens een site tegenkomt die je eenmalig gebruikt en waar je je verplicht moet registreren, kijk dan eerst even op bugmenot.com, voordat je weer een 10-minute mailadres aanmaakt.
(En maak je er wel eentje aan, voer die dan in in bovengenoemde site!)

RobinJ1995

19 mei 2017 10:31

"MD5 password hashes" -- Cool, dus wanneer komt de rechtzaak tegen DaFont? Minstens even crimineel als het hacken zelf als je het mij vraagt.

cracking cloud @RobinJ1995 • 19 mei 2017 11:27

Ze hebben geeneens SSL op de inlogpagina en de wachtwoord reset functie verraadt of een emailadres wel/niet bestaat in hun systeem (account enumeration). Dus alle red-flags die je kan verzinnen kun je hijsen bij deze club,

[Reactie gewijzigd door cracking cloud op 24 juli 2024 16:27]

Tjeerd 19 mei 2017 10:50

Het verbaast me niets. Ik ken ook bedrijven die zelfs vandaag de dag niet eens de wachtwoorden gehashed opslaan met de gedachte/filosofie "ja, je kunt wel de wachtwoorden versleutelen, maar de beveiliging eromheen moet goed zijn en je moet voorkomen dat mensen in of bij de database kunnen komen". En dan praat ik over softwareontwikkelaars die dat zeggen die op een hoop vlakken echt wel weten waar ze over praten; maar ik kan er niet bij dat diezelfde mensen toelaten dat hun toepassing wachtwoorden onversleuteld opslaat. Het is volgens mij al een jaar of twintig bijna de standaardeis dat je wachtwoorden altijd versleuteld gehashed
moet opslaan en de laatste jaren zelfs zwaardere versleuteling hashing moet gebruiken. Hoe goed je je site ook zelf denkt te hebben beveiligd/gebouwd, kan er altijd een zwakheid zitten in het framework dat je gebruikt of de server waar je op draait enzovoorts.

[Reactie gewijzigd door Tjeerd op 24 juli 2024 16:27]

innerchild @Tjeerd • 19 mei 2017 11:54

Ik ken ook genoeg gebruikers hier op tweakers die geen virus scanner gebruiken onder het mom van ik weet wat ik doe..

ATS @Tjeerd • 19 mei 2017 15:06

Eh nee. Als je wachtwoorden versleuteld gaat opslaan, dan heb je het echt niet begrepen. Gehashed, met een salt, absoluut. Maar niet versleuteld.

Tjeerd @ATS • 19 mei 2017 19:07

Je hebt gelijk, aangepast om verwarring te voorkomen.

Verwijderd 19 mei 2017 13:18

Dit is al de tweede PHP website vandaag waar over lees met een SQL Injection bug er in.

Willen jullie PHP prutsers alsjeblieft ophouden met dingen in elkaar te flansen en dit overlaten aan echte programmeurs die hier voor opgeleid zijn?

We moeten echt af van dat hobbyisme bij het maken van websites. Laat website designers websites ontwerpen en laat software ontwikkelaars de web applicaties maken die er achter draaien. Anders blijven we dit soort knullige hacks zien.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 16:27]

sugarlee89 19 mei 2017 13:23

Ik gebruik voor zulke diensten altijd onzin mail adressen en dan heet ik opeens Arnold Stallone.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (146)

Sorteer op:

Weergave: