×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Nederlandse politie zet eigen variant 'have I been pwned' online

Door , 193 reacties

De Nederlandse politie heeft een site online gezet waarmee gebruikers kunnen controleren of hun mailadres in een database stond die de politie bij criminelen in beslag heeft genomen. De site geeft niet direct resultaat, maar stuurt een mail naar het ingevoerde adres.

De redenering is dat als criminelen een e-mailadres in handen hebben, de computer van de gebruiker mogelijk malware bevat en er vermoedelijk meer gestolen is, zoals wachtwoorden. Daarom bevat de mail van de Nederlandse politie gelijk advies over vervolgstappen om te nemen, meldt de organisatie. De functionaliteit van de site doet denken aan 'have I been pwned', een bekende site om te checken of het eigen mailadres onderdeel is geweest van een datalek.

Wanneer gebruikers een adres invoeren op de site van de politie, krijgen zij binnen een paar minuten een e-mail als hij voorkomt in de database. Als dat niet het geval is, gebeurt er niets. Dat is vermoedelijk om te voorkomen dat kwaadwillenden de site gaan bestormen met miljoenen mailadressen en zo erachter komen welke mailadressen in de database staan.

Er staan momenteel 60.000 e-mailadressen in het bestand en dat worden er mogelijk in de komende tijd meer. De politie mag de gebruikers van de getroffen mailadressen naar eigen zeggen niet actief informeren, omdat het daarmee privacywetgeving zou overtreden. Als mensen een mailadres zelf invullen om te checken of het in de database staat, mag dat wel.

De politie volgt met dit initiatief een vergelijkbaar Duits idee dat al enige tijd bestaat. Het is onbekend bij welke inbeslagnames de politie de data heeft gevonden waarmee zij nu de database heeft gevuld. De site staat online op Politie.nl.

Door Arnoud Wokke

Redacteur mobile

28-07-2017 • 07:56

193 Linkedin Google+

Reacties (193)

Wijzig sortering
Check dan gelijk ook Have I been Pwnd als je toch al bezig bent.
Potver. Ik ben keihard gepwned. Dank!
Ik ook, maar gebruik het wachtwoord van mijn e-mail nergens anders voor en heb het sindsdien al een keer aangepast. Geeft dus verder niks denk ik...
Het gaat (meestal) niet om je email account, maar om het account die je bij die dienst hebt (waar je mogelijk wel je email als username hebt).
Je moet dus je wachtwoord aanpassen op de diensten waar jij in "gepwned" bent. Sowieso zou je wachtwoord voor iedere dienst die je gebruikt verschillend moeten zijn, maar op zijn minst moet je een uniek wachtwoord voor je mail gebruiken.
Las dit artikel eerst op het AD en daar staat ook geen link bij.

Zie dat daar nu ook een link staat.

[Reactie gewijzigd door hotabibber op 28 juli 2017 08:27]

Goed idee, even toegevoegd. Dank je wel :)
Toevallig al het 2e artikel van vandaag wat kritieke informatie mist ;)

Grappig dat kritiek altijd een -1 krijgt, hoe waar het ook is...

[Reactie gewijzigd door AntonyterHorst op 28 juli 2017 10:26]

Ik zie de kritiek toch echt een +3 hebben.

Het nutteloos reageren met alleen een emo. Of het gewoon zwart maken van de redactie zonder gegronde reden krijgt inderdaad een -1(terecht). Maar wil je over mismoderatie praten ben van harte welkom op Het kleine-mismoderatietopic deel XXVIII
Verschillende media schrijven over hetzelfde, wat een verrassing
geen bericht is goed bericht...dus ik moet er maar op vertrouwen dat hun systeem werkt en mijn e-mail daadwerkelijk nergens in voorkomt?
Dat is vermoedelijk om te voorkomen dat kwaadwillenden de site gaan bestormen met miljoenen mailadressen en zo erachter komen welke mailadressen in de database staan.
Dat kun je toch voorkomen door bijv. niet meer dan 3 queries binnen een x aantal minuten toe te staan al dan niet met recaptcha?
plus: het komt binnen op het e-mailadres dat je invoert. dus info@tweakers.net krijgt het mailtje. niet dubieuze.hacker@darkweb.com, dus die reden is onzin.
Dat doen ze al
Recaptcha hebben ze :)
Hoe dan? Je kan toch een neutrale boodschap op de site weergeven? ' U krijgt een email over uw status' of iets dergelijks?

Als je het ver wilt trekken zou een aanvaller die toegang heeft tot je mailbox snel de politie mails kunnen verwijderen en de gebruiker denkt dat hij/zij veilig is.
Stuur dan altijd een E-mail. dan weten de Criminelen het niet. Maar weet je als gebruiker wel dat je request goed is afgehandelt.
Zegt toch weinig eerlijk gezegd. Je email adres kan ook in handen zijn gekomen door doorverkoop.

Laatst voor de gein eens een nieuw emailadres aangemaakt en me geregistreerd bij marktplaats. Binnen een dag kreeg ik al 10 tallen spam mailtjes. Zelfs bedrijven die je zou moeten kunnen vertrouwen verkopen je email adres gewoon door. Dus dat je bij een hacker in een database staat wil niet zeggen dat je ook daadwerkelijk gehacked bent of malware draait.

Er zijn duizenden manieren hoe hackers aan je email adres kunnen komen.
Inderdaad, e-mail adres zegt niet zoveel, tenzij bekend is dat het uit een hack van website X komt.
Heb je op marktplaats een zichtbaar mailadres geplaatst in een advertentie ?
ik krijg geen spam via MP
Ik ga er niet van uit dat MP jou adres meteen heeft doorgespeeld naar anderen. Ik denk eerder dat bots jou adres hebben weten te genereren.
Ja. Lijkt me ook niks mis mee verder. Als je emailadres er niet in staat, wat verwacht je dan nog meer van de politie?

En "nergens in voorkomt"... nee, niet echt. Zoals ook netjes op de site zelf staat overigens. Er wordt immers alleen gechecked in databases van opgerold netwerken. Wat er in (nog) niet-opgerolde netwerken staat kan de politie immers niet weten.

Dus nee, het is geen garantie, maar het is wel een handig hulpmiddel.
Maar wat Pizzafried probeert te melden. is wat als je er wel in voor komt maar door een bug dan wel technische fout geen E-mail krijgt? Dan vind ik een melding van helaas we hebben uw e-mail in onze data base gevonden. bla bla bla. U krijgt nog een E-mail van ons.

Het gebeurt regelmatig dat automatische verstuurde E-mail niet aankomen.
De reden is heel simpel: omdat iedereen een willekeurig adres in kan vullen, ook al is dat van een ander. Als men dan op de site al aangeeft dat het adres aangetroffen is, kan die ander (die dus niet de eigenaar van het adres is) dat ook zien.

En dat mag dus niet zomaar, omdat dat een schending van de privacy is, staat ook gewoon in het artikel ;)

En handmatig sturen gaat de politie denk ik niet doen, beetje veel werk met vele tienduizenden mails die dan gestuurd moeten worden.

Het is een stukje extra service, niet een recht ofzo dit. Je moet dus ook niet alleen op dit soort zaken vertrouwen.
Doe dan altijd een E-mail sturen. Weet je direct dat iemand anders je gezocht heeft.

En tuurlijk is het Extra service. Maar het is nu in mijn ogen een stukje extra service die geen drol voor stelt. Maar ongetwijfeld een flinke smak geld heeft gekocht.


https://haveibeenpwned.com/

Geeft op mijn email 5 Breaches. Die van de politie weet ik niet. Want ik weet niet of mijn request goed is aangekomen.

[Reactie gewijzigd door loki504 op 28 juli 2017 08:26]

dan moeten ze gewoon altijd een bevestigingsmail sturen, en duidelijk maken dat je een mail krijgt. als je m dan niet krijgt, weet je dat het niet goed ging. aan de andere kant, als iemand grappig denkt te zijn en jouw mailadres steeds invult, heb je straks je inbox vol met deze mailtjes

[Reactie gewijzigd door mjz2cool op 28 juli 2017 10:01]

De reden is heel simpel: omdat iedereen een willekeurig adres in kan vullen, ook al is dat van een ander. Als men dan op de site al aangeeft dat het adres aangetroffen is, kan die ander (die dus niet de eigenaar van het adres is) dat ook zien.
Wat dacht je van een systeem waarbij de site weergeeft "er is naar dit adres een email verstuurt; kijk in de email voor meer informatie". Dát er een email verstuurd is is niet geheim, dat doe je (in deze opzet) namelijk altijd, wat erin staat kan alleen de ontvanger zien. Rate limiters erop (elk emailadres kan maximaal één keer per week (ik roep maar wat) opgevraagd worden en vanaf elk IP-adres maximaal honderd email-adressen per dag (bijvoorbeeld)) en klaar. Als je echt hip wil zijn dan reset je de lijst van emailadressen die de afgelopen week zijn opgevraagd elke keer als je een nieuwe uitgelekte database toevoegt aan de site (zodat mensen die naar de site gelinkt worden vanwege een nieuwe grote hack meteen antwoord krijgen en niet eraan moeten denken (en dus vergeten) dat ze een paar dagen later terug moeten komen). Dat zou eenvoudig te bouwen moeten zijn en lijkt mij niet vatbaar voor geautomatiseerd / grootschalig misbruik.
Een bug is een technische fout...
Wat mij handiger lijkt is dat ze dan ook even een mailtje sturen met "er is niets gevonden" ofzo. Dan weet je zeker dat het mailtje niet in een spamfilter is gekomen.
Ik dacht meteen hetzelfde. Lijkt me een kleine moeite om een mail te genereren in alle gevallen. Als die nu ergens blijft hangen door wat voor filter dan ook weet je nog niets.

Natuurlijk komt het niet vaak meer voor maar toch raakt er wel een e-mail zoek, de oorzaak even in het midden gelaten.
Dit lijkt mij verder ook een mooi filtertje voor de politie, het overgrote deel van de adressen die ingeklopt worden zullen een Nederlands gebruik kennen. handig voor onderzoek.
Precies dat is ook het eerste dat ik dacht. niet echt goed over nagedacht. heb al het feedback formulier op de site ingevuld hier over.
Leuk, een goed wachtwoord is een willekeurige wachtzin; correct horse battery staple
Grappig dat ze dat hebben overgenomen daar.
https://xkcd.com/936/

[Reactie gewijzigd door maartenverbaan op 28 juli 2017 08:02]

Die site geeft bij mij een HTTPS cert error.
Dan ben je vermoedelijk gepwned. ;)
Ja leuke screenshot. De echte site heeft dat niet (meer)
En dan blijkt dat criminelen een dictionary attack doen op een hash waarbij de woorden doorlopen worden en van 1 woord naar 10 woorden gaat. Daar ben je denk ik nog vrij snel doorheen. Zou in ieder geval nog hoofdletter, cijfers en leestekens er doorheen gooien :)
Enig idee hoeveel meer woorden er zijn dan de beperkte hoeveelheid letters in het alfabet? Zeker als je er dan ook nog eens een woord in een andere taal of met afwijkende spelling er doorheen gooit is deze methode veel sterker dan een "sterk" wachtwoord
Een op een bepaalde logica gebaseerd wachtwoord is nooit sterker dan een willekeurige reeks van karakters, mits dezelfde lengte en karakterset.
Maar die lengte is juist veel groter doordat je woorden neemt. Niemand kan een willekeurige reeks van diezelfde lengte onthouden.
Bovenstaande zin bestaat uit slechts 4 posities. Dit is zo'n beetje het eerste waar ze naar kijken. Eerst de bekende passwords als admin123, password1234 enzo daarna dictionary/rainbowtabel attack en die dan icm leetspeak en wat random non alphanumerals en daarna de random shit. Met een besje prch doen ze dat op 4 machines parallel.

Random woorden gaat niet werken aangezien dit vaak de eerste dingen zijn die in je op komen. Derhalve zijn dit dan ook vaak gebruikte woorden.

Wat je wel kunt doen is een dergelijke zin gebruiken om een wachtwoord te genereren. Iedere computer kan bijvoorbeeld een MD5 of SHA-256 hash maken van een willekeurige invoer. Die hash gebruiken als pw is bijzonder veilig en zo goed als niet te kraken. Zeker niet als je er nog een prefix en suffix aan toevoegt van niet hexadecimale karakters.

Dan kun je dus altijd een pw onthouden en zelfs als je hem ergens opschrijft kan een aanvaller nog niets omdat hij de gebruikte algoritmiek niet kent. Zie het als een soort van 2FA. Iets wat je weet en iets wat je hebt.
Heel leuk dat je weet dat het vier woorden zijn, maar als die 4 woorden uit een lijst komen van 10.000 woorden heb je het even over 10.000^4 = 10.000.000.000.000.000 opties. Om datzelfde aantal opties te krijgen heb je (26 lowercase + 26 uppercase + 10 nummers + 15 karakters)^8.4813 = 9.997.554.663.661.419 nodig. Dat is juist het hele punt. De entropy is gelijk. 4 woorden random woorden is bijna 10x sterker dan 8 compleet willekeurige karakters.
Obsoluut niet. Technisch gezien misschien wel, maar de grap van dictionary attacks is juist dat ze vele malen sneller werken dan wat je nu zegt door het toegevoegde aspect van psychologie. Die 4 random woorden zijn namelijk totaal niet random.

Kijken we naar het zinnetje hierboven dan zijn het woorden die heel vaak worden gebruikt. Correct horse battery staple.

Denken we aan dieren dan is kat, hond paard, konijn, hamster een set woorden die vaak als eerste naar boven komen. Battery zit in ieder apparaat wat we gebruiken. En staple is random office equipment.

Wat je zegt is zeker waar, maar door slimme volgordes te maken op de manier waarop mensen "random" woorden verzinnen haal je ze er zo uit en heb je ineens veel minder mogelijke opties.

Er is een reden waarom dictionary attacks altijd beter werken dan random brute forcen.
Iedereen die het advies geeft om op deze manier je wachtwoorden te bouwen geeft het advies om die woorden niet zelf te bedenken. Het is lastig over de entropie te spreken als je niet willekeurig kiest, maar goed, niet willekeurig gekozen woorden moet je vergelijken met niet willekeurig gekozen traditionele wachtwoorden. En ja, laten we zeggen dus dat je eerste woord een willekeurig woord is uit de 3000 meest normale woorden (je zult waarschijnlijk niet zo willekeurig kiezen als een machine uit 10.000 woorden) en laten we zeggen dat ieder woord ongeveer 100 gerelateerde woorden heeft. Dus dan kom je nog steeds uit op 3.000.000.000 opties (eigenlijk 2910600000). Nu, volledig random staat dat gelijk aan 5 karakters alphanumeriek, maar waar we het over hebben is 3.000.000.000 non-random opties. Dus ja, als je een lijst pakt van de 3.000.000.000 meest voorkomende wachtwoorden dan denk ik dat je toch nog steeds wel slechter uitkomt dan met een passphrase.

Maar goed, non-willekeurige wachtwoorden vergelijken is bijna onmogelijk. Wat betreft correct battery horse staple, dat heeft Randall gewoon random gegenereerd.
En dan dus als je ergens wilt inloggen hash je eerst je veel te makkelijke wachtwoord? Nice. Dan krijg je dit als wachtwoord:

80178f789b33663830a7d2d5a049e9a14d445c330c43b4eee89bfb26ac3b8059

Als je dan zelf nog eventjes op een zelf te onthouden random plek een hoofdletter en leesteken toevoegt ben je koning keizer admiraal op gebied van wachtwoord.
sha256('jemoeder')

Je brengt ze in ieder geval van de wap: bij iedereen 5*sha256, bij jou 6*sha256 !?
Geen idee, ik heb gewoon een hash gemaakt op een random website. Maar blijkbaar kan jij het al eenvoudig terug vinden, aan de hand van een rainbow table vermoed ik?

Overigens is de output hexadecimaal dus ook niet superveilig.
Maar als jij op positie 1,5 en 10 een eigen gekozen karakter invoerd en de eerste letter met hoofdletter doet kunnen ze er al niet meer van uit gaan dat het gaat om hexadecimaal en heb je dus een makkelijk te onthouden pw met een entropy waar je u tegen zegt.

Zoals ik al zei het is de combi van verschillende factoren die het veilig maakt.
Of gooi 'm door AES en Base64 heen, dan tackle je ook gelijk de limiet van <30 tekens op zoveel sites en het voldoet aan de hoofdletter eisen.

'je moeder' wordt dan 'YGIrvcJPi28vrAqHFsfSog=='

voorbeeld
En voor die tip krijg ik dus een 0 voor _/-\o_

Maar dan heb je dus geen password manager nodig om overal in te kunnen loggen.
Ik ga deze wel onthouden en toepassen op de belangrijkste sites zoals paypal. Ik heb je tip even geboost.
Wat je wel kunt doen is een dergelijke zin gebruiken om een wachtwoord te genereren. Iedere computer kan bijvoorbeeld een MD5 of SHA-256 hash maken van een willekeurige invoer.
Hoe bereken je op (een schone installatie van) Windows een hash? Volgens mij wordt er geen enkele utility daarvoor meegeleverd en een online oplossing gebruiken (je wachtwoord naar een random site sturen) lijkt me onverstandig.
Dan kun je dus altijd een pw onthouden en zelfs als je hem ergens opschrijft kan een aanvaller nog niets omdat hij de gebruikte algoritmiek niet kent.
Dat is security through obscurity. Leuk als je de enige persoon bent die het doet, maar als dit ook maar enigszins populair wordt dan gaan password crackers er ook rekening mee houden.
Ik mag toch aannemen dat je via commandprompt een md5 hash kunt berekenen?

En ja dat kan: https://www.fourmilab.ch/md5

En je wachtwoord naar een random site sturen kan hiermee wel aangezien zij daar nog niets mee kunnen. Je hebt toch ook online password generators? De mensen die dat maken weten specifiek dat je dat gebruikt om een wachtwoord te maken dus de kans dat daar een keer wat fout mee gaat is veel groter.

Passwords an sich zijn security door obscurity.

Password crackers houden hier namelijk al rekening mee door als laatste gewoon plain bruteforcing te gebruiken. Alleen door je pw te veranderen in een hashstring van 32 karakters duurt het veel te lang om enigszins levensvatbaar te zijn.

En dan kan je zeggen okee ze genereren een extra hash bij een dictionary attack die ze vervolgens weer ingesten voor het cracken maar met de verschillende mogelijkheden die er zijn (een algoritme of 10) maak je daarmee je gehele password een exponent of 10 lastiger omdat ze iedere input met 10 verschillende algoritmes moeten proberen en dat dan weer hashen met de normale methode.
Ik mag toch aannemen dat je via commandprompt een md5 hash kunt berekenen?
Dat is geen antwoord op de vraag die ik stelde: "op *een schone installatie van* Windows". Dit zou betekenen dat je op elke nieuwe computer die je wilt gebruiken (en wat ik me net bedenk, misschien nog wel belangrijker, elke nieuwe smartphone) eerst extra software moet installeren voor je zelfs maar kunt proberen om op een online dienst in te loggen. Voor je eigen apparatuur geen probleem, maar op andermans of gedeelde machines zeer onhandig.
En je wachtwoord naar een random site sturen kan hiermee wel aangezien zij daar nog niets mee kunnen.
Je password in clear text over de lijn gooien lijkt mij vragen om problemen.
Passwords an sich zijn security door obscurity.
Dat is niet waar. Ja, je moet je password geheim houden, maar dat is secrecy. Je password ergens opschrijven omdat iemand die dat ziet toch niet weet welke bewerking ie erop moet uitvoeren voordat het bruikbaar is, dat is obscurity.
Password crackers houden hier namelijk al rekening mee door als laatste gewoon plain bruteforcing te gebruiken. Alleen door je pw te veranderen in een hashstring van 32 karakters duurt het veel te lang om enigszins levensvatbaar te zijn.
Behalve dan dat je voor een echte brute force-aanval op elke positie alle karakters moet proberen. Een test "gebruikt dit account een hash als password" hoeft alleen de tekens 0-9A-F te proberen (en daarna nog een keer er doorheen met 0-9a-f). Dat is al gigantisch veel minder dat zelfs 0-9A-Fa-f, om het over 0-9A-Za-z{speciale tekens} helemaal nog maar niet te hebben.

Daarnaast zou ik voorstellen om niet botweg alle mogelijkheden (alles wat een geldige hash zou zijn) te proberen, maar op dezelfde manier te werken als bij een gewone dictionary attack, alleen in plaats van "secret123" probeer je md5("secret123").
En dan kan je zeggen okee ze genereren een extra hash bij een dictionary attack die ze vervolgens weer ingesten voor het cracken maar met de verschillende mogelijkheden die er zijn (een algoritme of 10) maak je daarmee je gehele password een exponent of 10 lastiger omdat ze iedere input met 10 verschillende algoritmes moeten proberen en dat dan weer hashen met de normale methode.
Ik begrijp niet wat je hier bedoelt? Hoe wil je door het toevoegen van meer mogelijkheden (lineaire toename aantal pogingen) een exponentiële hoeveelheid vertragen veroorzaken...!?
"op *een schone installatie van* Windows"
ja dat is dus exact het antwoord dat je dan krijgt. bovenstaand tooltje is inderdaad een externe zie ik, maar deze is gewoon standaard aanwezig op MS software:
The CertUtil is a pre-installed Windows utility, that can be used to generate hash checksums
Daarnaast zou ik voorstellen om niet botweg alle mogelijkheden (alles wat een geldige hash zou zijn) te proberen, maar op dezelfde manier te werken als bij een gewone dictionary attack, alleen in plaats van "secret123" probeer je md5("secret123").
ja en als ik dus voor die site sha256 heb gebruikt werkt dat dus niet. Dat is dus wat ik bedoel te zeggen met dat het niet gaat werken met dictionary attacks. Zeker niet als daarna nog een aantal extra characters toevoegt zodat het niet meer direct de hash zelf is.
Ik begrijp niet wat je hier bedoelt? Hoe wil je door het toevoegen van meer mogelijkheden (lineaire toename aantal pogingen) een exponentiële hoeveelheid vertragen veroorzaken...!?
Ja ik ook niet meer helemaal moet ik zeggen. Iig maak je het een stuk lastiger.
RRYBG-FP742-WDVJJ-XF293-4QCKH
windows 98-installatie code :$

[edit]
(Beste voorbeeld voor willekeurige reeksen en het kunnen onthouden, zelfs na plusminus 15 jaar :+

[Reactie gewijzigd door Flipull op 28 juli 2017 10:28]

Dat komt omdat je die code (ivm de regelmatige installatie en herinstallatie) bij win98 vaak nodig had...

Ik merk dat ik nu niet eens het telefoonnummer van mijn vrouw kan onthouden (geen dementie ;) ). Staat in mijn contactenlijst.
Ik merk dat ik nu niet eens het telefoonnummer van mijn vrouw kan onthouden (geen dementie ;) ).
Zijn jullie van die mensen die elkaar bellen, zelfs als ze naast elkaar zitten ? :)
Ik denk het juist niet. Anders had ie het wel kunnen onthouden ;)
regdone=1

(windows installeren, opstarten in veilige modus, en dit in het register aanpassen :P )

Maarja dat is dan weer een kort wachtwoord :D

[Reactie gewijzigd door nexhil op 28 juli 2017 11:00]

En nu voor 140 accounts voor prive en werk een uniek wachtwoord
Het duurde wat langer want de machines waren langzaam in die tijd, maar er waren generatoren voor mogelijke codes om te proberen in illegaal verkregen versies.

Onthouden is een ander ding, dat wel.
Het gaat erom dat je een wachtwoord met woorden langer kan maken en zo makkelijker kan onthouden. Onthoud jij maar eens 14 random karakters.
Wel kan je een combinatie doen van Horse Battery Staple, om dictionary attacks nog meer tegen te gaan. Gebruik wat meer woorden en onthoud een paar letters, gebruik shift in intervals die je kan onthouden.

PaardenMarkt14ComputerStoreOne0One......

wordt:

PM!$csO)O....

Iets moeilijker om te onthouden dan "PaardenMarkt14Computer" omdat je dus meer woorden nodig hebt voor dezelfde lengte, maar na een paar keer typen vergeet je hem niet meer.
Ding is dus nou net dat je dat niet nodig hebt. Als paarden, markt, computer en store vier random woorden zouden zijn uit een lijst van 10.000 woorden (wat het erg duidelijk niet zijn in dit geval) dan kom je uit op een alphanumeriek wachtwoord van bijna 9 karakters. Of 8.5 karakters als je ook speciale karakers meeteld.

Dus ja, de vraag is dan wat je makkelijker vind om te onthouden:

PaardenComputerStoreMarkt (<- als die woorden random zouden zijn geweest)

of

PM!$csO)O

want beide zijn net zo veilig.
Behalve dat je een willekeurige lange reeks karakters niet kan onthouden. Zeker als je voor elke login een ander wachtwoord hebt.
En dan moet je ze weer ergens opschrijven. Of een password manager gebruiken. En dat is ook een risico.

En dan heb je er in dit geval nog niks aan, want de website is gewoon gehackt.
Behalve dat je het hebt over een andere lengte en karakterset. Stel je neemt een woordenlijst van 1000 woorden dan zijn er dus 1000^4 opties. Dat staat gelijk aan ~7 (6.695) volledig random kleine tekens, hoofdletters en cijfers. En pak je een woordenlijst van 10000 woorden dan is dat gelijk aan een alphanumeriek wachtwoord van ongeveer 9 karakters.

Dus wat is makkelijker te onthouden

laidcombinationpanasonicretail of A9usRwYRL

Beide hebben dezelfde hoeveelheid bits of randomness. Zelfs als je als aanvaller die woordenlijst hebt, en je weet dat het wachtwoord 4 random woorden uit die woordenlijst zijn, dan nog duurt het dus net zo lang om te brute forcen als die A9usRwYRL.
Er zijn 'iets' meer woorden dan letters, dus 4 woorden van variabele lengte is 'iets' lastiger dan een korter wachtwoord met random letters.
26 letters en duizenden woorden? Mooie definitie van iets.
Even rekenen:

Gemiddelde woordenschat ligt tussen de 45.000 en 250.000 woorden. Stel je kent 100.000 (=10^5) woorden.

Dus
1 woord: 100.000 hashes.
2 woorden 100.000^2 hashes.
3 woorden 100.000^3 hashes.
Etc.

Met 4 woorden kom je, voor het aantal mogelijkheden, op een getal van 20 nullen: (10^5)^4 = 10^20.

Stel mensen gebruiken alleen de 10.000 woorden van alledag. Dan komen we op 10^16 mogelijkheden, bij gebruik van 4 willekeurige woorden.


Even kijken bij wachtwoorden met letters (2*26), cijfers (10) en speciale tekens (20). Laten we dat afronden naar 100 tekens per positie (ruime overschatting). Minimaal 8 tekens; 10^2^8. Jep dat is even veel als 4 woorden, bij gebruik van allerdaagse woorden.

Bedenk echter dat mensen voor de 8 tot 12 teken wachtwoorden gewoonlijk een woord kiezen en dan de 0, 4 $ en ! gebruiken als letter substitutie eventueel aangevuld met twee cijfers. Dus dan zit je op orde 10^6 voor het normale wachtwoord, in plaats van orde 10^16. Vandaar dat 4 woorden laten kiezen zelfs al zijn het allerdaagse woorden veiliger is.

Uiteraard als een database geconficeerd is en het one-way versleutellingsalgoritme en het zout ook, tja, dan is het slechts een kwestie van tijd om ze te decrypten. Echter als het algoritme en zout niet achterhaald of herleidt wordt, is het knap lastig.

[Reactie gewijzigd door djwice op 28 juli 2017 10:18]

En hoe snel denk je dat een systeem dat hier doorheen gaat deze combinaties heeft uitgeput?
Want met 4 woorden bij een gemiddelde woordlengte van 10 tekens zit je op 40 tekens. Het aantal combinaties is, geef jij aan, 100.000.000.000.000.000.000, oftewel 100 triljoen of 10^20.
Stel ik pak het volgende:
  • a-z = 26
  • 0-9 = 10
  • -*... ≈ 28 bruikbare tekens(?)
Dan is dat 26+10+28 = 64 tekens per positie. Als ik dan dezelfde wachtwoordlengte neem van 40 tekens dan is dat dus 64^40 mogelijkheden toch?
Hoewel dus makkelijker te onthouden, heb je met puur tekens veel meer mogelijkheden omdat je bij hetzelfde aantal tekens van het wachtwoord niet vast zit aan bepaalde combinaties van tekens achtereen. Een normaal persoon zou het eventueel makkelijker kunnen onthouden en gemakkelijker een lang wachwoord maken op die manier, maar of het echt veiliger is durf ik wel te betwijfelen. Heb het alleen zelf nooit verder uitgezocht en weet ook niet of iemand het ooit heeft uitgezocht dus ik sta wat dat betreft ervoor open als het kan worden weerlegd, maar ik blijf er sowieso bij dat puur letters nooit een goed idee is om als wachtwoord te gebruiken.
De bedoeling is dat de authenticatie zo makkelijk is voor de eindgebruikef dat hij geen hulpmiddelen toevoegd die een groot risico vormen.

Bij wachtwoorden met de verlichting hoofd en kleine letters, cijfers en speciale tekens zien we dat mensen in de weer gaan met briefjes naast de computer, agenda notities of andere vorm waar ze het wachtwoord open en blood opslaan.

We zoeken naar een manier van authenticatie die past in bekende systemen (username/wachtwoord) waarbij mensen dit niet hoeven op te schrijven om te kunnen onthouden, en waarbij het toch sterk genoeg is om een hack/aanval te overleven.

Het is dus gedragsverandering wat we willen; geen onveilige geheugensteuntjes. Wellicht dat lange zinnen daarin kunnen helpen.

Kanttekening is uiteraard dat mensen (onbewust) gevoelig zijn voor priming. De woorden die ze kiezen zijn vaak afgeleidt van hun huidige context, labels op producten, straat namen, merken, namen van mensen, dan wel een fragment uit het boek, het nieuws dan wel de muziek die ze net consumeren.

[Reactie gewijzigd door djwice op 28 juli 2017 10:46]

Naast jouw berekening over het gebruik van woorden als wachtwoord: een aanvaller die een database met hashes probeert te kraken weet helemaal niet of jij een "klassiek" wachtwoord gebruikt of een wachtzin, daarbij zal hij dus voorlopig nog in eerste instantie uitgaan van de klassieke wachtwoorden. Daarnaast is de xkcd helaas niet perfect en kun je prima nog wat kleine aanpassingen maken aan een wachtzin die goed te onthouden zijn. Bedenk een gekke wachtzin:
"Twee goudvissen met een rugzak"
Dat zijn al 5 woorden, die weinig betekenis met elkaar onderling hebben (komen bijvoorbeeld niet uit een film of songtekst) maar onthoud makkelijker dan 4 willekeurige woorden. Daarnaast zitten er speciale tekens in, de spatie. Maar als je dit zinnetje een beetje fortified met makkelijk te onthouden dingen dan kom je al gauw op een nagenoeg onkraakbare variant.
"TWee_goudVISSEN meteen rugz@k"
Ja, op een dergelijk lange en random zin brengt zelfs l33t-speak extra bescherming.
Bedenk een gekke wachtzin:
"Twee goudvissen met een rugzak"
....
"TWee_goudVISSEN meteen rugz@k"
Ja, op een dergelijk lange en random zin brengt zelfs l33t-speak extra bescherming.
Weer wat geleerd, die letters vervangen heet dus l33t-speak :)

[Reactie gewijzigd door djwice op 28 juli 2017 10:55]

Even rekenen:

Gemiddelde woordenschat ligt tussen de 45.000 en 250.000 woorden. Stel je kent 100.000 (=10^5) woorden.
Dan ben je een wonderkind. De gemiddelde Nederlander kent ongeveer 14.000 woorden in zijn eigen taal, volgens een onderzoek van de universiteit van Gent (link niet meer beschikbaar, het onderzoek is afgelopen). Als je op andere onderzoeken googelt, krijgt je trouwens veel uiteenlopende resultaten: de een houdt het op 11.000, een andere gaat zo ver als 70.000. Maar nergens wordt er een woordenschat van meer dan 100.000 vermeld, en 250.000 zeker niet. De grote Van Dale bevat trouwens "maar" 225.000 trefwoorden.

[Reactie gewijzigd door Mr777 op 28 juli 2017 14:32]

De "Van Dale CD Rijm Rom" bevat 1 miljoen Nederlandse woorden.

Het is dus maar welke bron je als meeting neemt (mijn eigen sinterklaasrijmwoorden website bevatte er in 2002 slechts 40.000).

Veel onderzoeken sluiten vaktermen, namen van planten en dieren, producten, samenstellingen en vervoegingen uit van woordenschat. Dat lijk mij voor dit doel geen nuttige definitie.

Als je een sport beoefend komen er termen bij, als je in verschillende sectoren werkt, als je kinderen krijgt, als je een boek leest, als je een fiets, scooter of oud koopt, als je reacties leest, of gewoon met een ouder iemand in de bus een praatje maakt etc. etc.

De meeste hiervan worden in veel studies uitgesloten, dat lijkt mij onterecht, meer nuancering in taal zorgt er voor dat je nieuwe begrippen makkelijker kunt plaatsen. En deze daardoor in andere termen, laten we zeggen in de 10.000 dagelijkse woorden, uit kunt leggen.

[Reactie gewijzigd door djwice op 28 juli 2017 21:14]

De "Van Dale CD Rijm Rom" bevat 1 miljoen Nederlandse woorden.

Het is dus maar welke bron je als meeting neemt (mijn eigen sinterklaasrijmwoorden website bevatte er in 2002 slechts 40.000).
1 miljoen woorden zijn geen trefwoorden, in lexicografische termen "ingangen" genoemd. De grote Van Dale heeft 225.000 ingangen, maar als je alle woorden die na zo'n ingang komen erbij telt zullen dat er vast ook miljoenen zijn. Als Van Dale dus zegt dat hij 225.000 ingangen heeft, betekent dat dus 225.000 unieke woorden, zonder de woorden van de definities erbij te tellen. Dat rijmwoordeboek maakt wat reclame door gewoon alle woorden in z'n bestand te tellen, maar als je alleen de unieke ingangen telt kom je echt niet aan een miljoen. Tel het maar na. :-)
Die CD rijm rom in van Van Dale...
Ik zou zeggen pak jij de database er bij? Kun je zelf tellen.

Als je hier kijkt; http://taalunieversum.org...en-cijfers#hoeveelwoorden
heeft Nederlands miljoenen woorden.
En http://taalunieversum.org...en-en-cijfers#woordenboek
ze hebben er ruim 400.000 beschreven en 1,7 miljoen voorzien van een citaat.

[Reactie gewijzigd door djwice op 29 juli 2017 22:13]

Ik heb de database van de Van Dale 13e editie erbij gepakt: die bevat exact 244718 trefwoorden. Als je daar de homoniemen en de afkortingen van aftrekt kom je inderdaad in de buurt van de 225.000 die Van Dale claimt. Nogmaals, het gaat hier om de unieke trefwoorden (ingangen), niet over de woorden die gebruikt worden bij de definitie van een woord, dat zou zinloos zijn. Je kunt het woord "koffie" met twee woorden beschrijven, of met honderd als je wilt.

Uiteraard heeft het Nederlands (theoretisch) miljoenen woorden, omdat het een taal is die onbeperkte woordvormingsprocédés kent en de woorden met elkaar eindeloos samenstellingen kunnen vormen. Zo kan ik ter plekke de woorden "koffieschaardief" en "houtvezelnetwerkinstallateur" bedenken. Beide zijn perfect gevormde Nederlandse woorden, maar of die mogen meetellen als ingang in een woordenboek is nog maar de vraag. Mogelijk heeft die CD-rijm-rom een algoritme aan boord waarmee hij zelf samenstellingen kan maken, en dan kun je inderdaad zeggen dat hij "miljoenen woorden" kent. In zijn database zullen er in ieder geval geen miljoen unieke woorden zitten.

DIe 400.000 die je vermeldt betreffen niet de Van Dale, maar het Woordenboek der Nederlandsche Taal (WNT), een historisch woordenboek dat alle woorden uit de literatuur sedert de 16e eeuw beschrijft. Nogal logisch dat die er meer heeft dan de Van Dale, die zich beperkt tot woorden van de laatste 150 jaar.

Trouwens: ze hebben niet 1,7 miljoen woorden voorzien van een citaat. Lees het nog eens goed op de site, er staat: "De citaten waarmee de betekenissen worden geïllustreerd, lopen op tot 1,7 miljoen". Dat betekent dat ze dus in totaal 1,7 miljoen citaten hebben gebruikt om die 400.000 trefwoorden te illustreren. Nogal een verschil met wat jij beweert.

Heel kort en heel grof samengevat: het Nederlands van de afgelopen 150 jaar kent 225.000 woorden, het Nederlands sedert de 16e eeuw kent 400.000 woorden. En ja, daar kun je inderdaad miljoenen en miljoenen samenstellingen mee maken. Zoals de welbekende hottentottententententoonstelling, of het fictieve zandzeepsodemineraalwatersteenstralen, dat ooit echt in de Van Dale heeft gestaan.

[Reactie gewijzigd door Mr777 op 30 juli 2017 08:50]

Willekeurig is het niet meer en ken zo vijf mensen die dit als wachtwoord hebben.
Je snapt dat dit om het concept gaat he, je moet niet letterlijk 'CorrectHorseBatteryStaple' gaan gebruiken 8)7
Inderdaad, je moet minimaal 8 karakters gebruiken.
Zo heb ik al jaren SneeuwitjeEnDeZevenDwergen!
Ik moest lachen. :)

Politie stuurt alleen email als je in de DB staat, volgens mij kunnen ze beter altijd een mail sturen, mail wil nog wel eens verdwijnen in een Spam folder en dan weten mensen nog niets.
Ik vind in dit geval dat de privacyregels best overtreden mogen worden. Ofwel: Stuur gewoon iedereen in de DB even een mailtje!

Ik heb net 8 mailadressen ingevoerd voor mezelf en ma, en moest hiervoor 5 keer een captcha doen. Dat is wel begrijpelijk, maar kost ook weer extra tijd. 60k Mensen een mailtje sturen kost echt minder...
Dat is nou net het kip & ei verhaal. Wat is beter?

1. Privacy wetgeving verbiedt het.
2. Als overheden emails gaan sturen wordt het moelijker spam/fishing van echte mail te onderscheiden.
3. Criminelen gaan het dan weer misbruiken op 'gelijkende' spam emails te versturen met 'foute' linkjes.

Linksom or rechtsom lijkt me dit toch de iets betere oplossing.
Beter? 10 miljoen mensen gaan hun (vele) emailadressen checken in een database met 60.000 emails, of de mensen in de database met 60.000 emails krijgen allen een mailtje? Over verspilling gesproken...

'In dit geval' schreef ik dan ook.
LOL, privacy, aftapwet 2017.....
Voeg daar dan gelijk een mogelijkheid aan toe om een check te doen op domeinnaam.
Handig voor systeembeheerders en voor mensen die veel aliassen/adressen gebruiken.

(uiteraard niet voor domeinen van emaildiensten ;) en nadat je aangetoond hebt eigenaar van het domein te zijn, bijvoorbeeld naar het bij sidn geregistreerde adres)

[Reactie gewijzigd door xalvo op 28 juli 2017 10:02]

Moest ik spontaan een email krijgen met als onderwerp "uw adres is gehacked", dan verdwijnt die zonder te openen in de vuilbak.
De Nederlandse Politie wijst u erop dat uw adres mogelijk is teruggevonden op in beslag genomen hardware uw gegevens zijn mogelijk in bezit gekomen van criminelen ga naar de website van uw regionale politie en vul daar uw email adres in om dit te verifiëren daarna krijgt u een mail met tips en maatregelen die u kunt treffen.

*De overheid en de politie wijzen u erop dat we nooit berichten met links sturen en dat u ook nooit op dergelijke links moet klikken om phishing te voorkomen*

zo deze kan weg naar 60k adressen!

beetje jammer dat ze daar zelf niet op zijn gekomen 8)7 privacywetgeving is er om je te beschermen, niet om de overheid van zijn taken te ontslaan. BAH
Als ik een Paypal transacties mailtje krijg, log in ook even in op Paypal. Doe ik wel rechtstreeks, niet door een link te klikken. Het gaat erom dat je mensen laat nadenken over iets wat mogelijk gebeurt op/met hun PC. De mensen die dat nuttig vinden hadden waarschijnlijk zelf ook al wel iets in de gaten. De rest zal het ofwel een worst wezen, of was sowieso al niet geïnteresseerd in het bekijken van de politiedatabase, denk ik. Vroeger werd een zombie-PC door de ISP tijdelijk afgeknepen, of kreeg een mailtje, en dan nam de internetter vanzelf contact op. Dát noem ik service!
Daarnaast stuurt de politie eenmalig een mail als ik hef zo lees. Bij de volgende dataset mag je opnieuw handmatig controleren.
Maar dat is juist een slecht voorbeeld. Je gebruikt hier een combinatie woorden die met enige logica makkelijk achterhaald kan worden. Namelijk een filmtitel met permutatie voor hoofdletter op elk woord.)

CoccectHorseBatteryStaple is juist een idee dat je willekeurige woorden gebruikt zodat deze niet door een hacker algoritmisch in elkaar gezet kan worden maar dat hij/zij echt brute force moet gaan matchen op woorden of liever nog karaketers.

Wil je echt nog een stevig wachtwoord maken dan gebruik je niet 1 taal maar een combinatie van bijv nederlands duits en engelse woorden. dan is het echt nagenoeg onmogelijk voor een hacker om zonder brute force je wachtwoord te kraken.
Maar het zijn 8 karakters, zoals gevraagd :+

edit: sowieso zijn dit verkeerde wachtwoorden, en de tip om "CorrectHorseBatteryStaple" te gebruiken is ook niet handig, want dan werk je in de hand dat men alsnog op meerdere sites hetzelfde WW gaat gebruiken

Gebruik gewoon een passwordmanager naar keuze, en laat die een string genereren voor elke site
Zorg voor een password-app die op alle devices werkt, en eventueel zijn database sync'd om de data vers te houden.

[Reactie gewijzigd door FreshMaker op 28 juli 2017 09:18]

Een wachtwoord manager naar keuze? En wat zit daar dan voor organisatie achter? En hoe veilig gaan zij om met je gegevens?

Als je een wachtwoord manager gebruikt, kies dan een Open Source variant, waardoor eventuele problemen voor iedereen aan het licht komen en je zekerder bent van veiligere software.
Welk deel van "naar keuze" begrijp je niet dan ?

Dat is toch aan iedereen om zelf te beslissen wat of welke, net het is als plassen .... ga zitten of staan, maar kies er gewoon één
Welk deel van "naar keuze" begrijp je niet dan ?
Niet zo aanvallend hoor. Ik begrijp best wat "naar keuze" betekent.

Kies er niet "gewoon" een, maar lees je in en kies juist. Kies met verstand.
Ik zal anders ook zomaar een password manager maken. Gewoon, helemaal gratis bruikbaar. Ik verkoop alleen wel je gegevens.

Net zoals VPN/unblocked: "kies maar", en iedereen duikt massaal op Hola
Niet aanvallend, maar elk woord wordt momenteel afgewogen in de comments.
Zou ik een programma aanduiden, komt er commentaar op, want x is zoveel beter

Zo ook opensource vs closed ... waarom is opensource beter ?
omdat het woordje open er in staat ?
Niet elk stuk software wordt door de mangel gehaald, pas als er aanleiding is ( vermoedens ergens opgedoken ) duikt er iemand op.
Is het dan veiliger, ook als die persoon/groep niets vind ?
Of is het gewoon beter verscholen ?

De keuze is simpel te maken, doe onderzoek, doe je geen onderzoek ( zoals in jouw Hola voorbeeld ) dan is nog steeds niet Hola verantwoordelijk, maar de gebruiker zelf.
Er zijn 100 en nog een paar plaatsen te vinden waar je de boel kan nalezen, wat is beter, en waarom niet, maar dat is zoals deze riedel van reacties totaal niet gerelateerd aan het topic
Dit is een hardnekkig misverstand; open source software is absoluut niet per definitie veiliger. Het zou fijn zijn als men deze misleidende onzin niet meer verkondigde.
Logisch, maar een groot, open source password manager zal altijd veiliger zijn door de openbaar zichtbare software en fouten dan een closed source programma waar je geen inzicht hebt (of anderen die er meer van weten) over hoeveel lekken er misschien zijn.

Inderdaad niet alles.
Dat is nog steeds onzin, ook populaire open source software zit soms vol met bugs. Alleen omdat je de code kunt zien, wil niet zeggen dat daar ook dermate veel mee gedaan wordt dat het leidt tot software die veiliger is dan closed alternatieven.

Daarnaast kan een closed alternatief potentieel extreem goed en veilig gemaakt zijn, maar dat kun je gewoon niet goed vaststellen. Alleen daarom al loopt jouw veronderstelling mank; het zit (begrijpelijk overigens) puur tussen de oortjes.
Dan leer ik het volledig verkeerd op m'n ICT opleiding. Ik zal ze op de vingertjes tikken.
De meeste ICT opleidingen zijn dan ook best wel ruk. Als je een fatsoenlijk stel hersens hebt leer je in de real world wel hoe de vork echt in de steel zit ;)
Ik gebruik voor sommige dingen een password manager maar dingen als mijn PC en de sleutel van de password manager gebruik ik wel deze techniek. Meestal kijk ik om mij heen, pak de eerste x aantal voorwerpen die ik in een ruimte zie en gebruik dit als wachtwoord. Als ik het wachtwoord moet herinneren weet ik waar ik het wachtwoord heb aangemaakt en welke voorwerpen hier zouden kunnen zijn.
CoccectHorseBattery...
Een typefout is inderdaad ook een manier om onder brute-force uit te komen. :)

Als we dan toch geen hoofdletters moeten gebruiken op de plek waar de mens dat verwacht, moet dat hier dan ook niet ?
pssst....Met spaties is nog veiliger...
Ik gebruik GoedPaardBatterijNietje :)
Als je creatief bent dan pak je palindromen zoals: Eva, can I see bees in a cave? of Murder for a jar of red rum.
Dat zou ik dan weer niet doen, omdat palindromen logisch zijn en daardoor weer makkelijker te raden.

Het beste is inderdaad een password manager wachtwoorden laten genereren met spaties etc er in. Voor je hoofd wachtwoord gebruik je dan een wachtzin: "Het vorige Wachtwoord was TeSimpel te raden"

Of iets dergelijks. Je hebt dan spaties, waar de meeste bruteforce hacks al op stuk lopen. Je hebt hoofdletters en een niet-correct woord.

Daarnaast zou je het wachtwoord nog wel eens in de zoveel tijd moeten wijzigen, omdat er in theorie misschien een keer een app je wachtwoord afluisterd.
Er is daar nog onraad, Sire

A man, a plan, a canal. Panama.!
Dan zou het mooiste nog zijn 4 woorden in 4 verschillende talen
correto paard batterie staple
Dan zou het mooiste nog zijn 4 woorden in 4 verschillende talen
correto paard batterie staple
Meertalige dictionary attacks zal inderdaad nog wel een tijdje uitblijven.
Goeie.
Ok interessant, vooral de reden om dit zelf te bouwen ipv het kijken of je een bestaande mega database kan verlengen dan wel mag gebruiken. 60.000 is een schrijntje ten opzichte van have i been powned..... mag wat gekost hebben dit en het invoeren van je e-mail en wachten tot je een nail krijgt ruikt ook als data vergaring (eigenlijk voelt het uberhaupt zo)
Dit is duidelijk niet bedoeld als alternatief voor haveibeenpwned, maar juist enkel en alleen voor (verder niet nader genoemde) data die bij invallen door de Nederlandse politie in beslag genomen is: dus als bijvoorbeeld door een trojan gerund door zo'n dader je gegevens (waarschijnlijk) gestolen zijn.
En dan nog snap ik niet waarom je de gegevens niet zou uploaden naar HaveibeenPwnd. Straks zit je met 7 individuele databases waar je je allemaal voor moet inschrijven.
Haveibeenpowned is toch anders. Veel mensen staan daarin maar als je hierin voorkomt ben je zelf ook niet helemaal zuiver denk ik. Ik denk dat het hier bijv om adressen gaat van darknet market customers e.d.

Ik ben ook benieuwd wat er gebeurt als je er wel in staat. Een melding: Blijf waar u bent er komt direct een politieauto of meldt u aub zsm op het bureau :+
Waarom zou je niet zuiver zijn als je hier in voorkomt? Als je e-mailadres bij een crimineel naar bovenkomt omdat hij/zij jouw heeft opgelicht op b.v. marktplaats of je op een andere manier slachtoffer bent geworden van hij/zij die gearresteerd is...
Er zijn genoeg databases uitgelekt van websites die wel zuivere mensen gebruiken.
Zo heb ik 3 mail adressen die in hun database staan. 1 keer door de Adobe lek, 1 keer door een lek bij VK.com en 1 keer door de WIIU ISO website. Allemaal normale websites die iedereen kan gebruiken.
Zo staan er ook databases van Badoo, Linkedin en Myspace. Dit zijn geen darknet website.

Wat ik wel jammer vind is dat je nooit meer uit hun database gehaald wordt. De wachtwoorden voor mijn mail en overige accounts zijn al lang gewijzigd maar hij blijft altijd aangeven dat ik pwned ben.
Je zou eigenlijk een lijntje (API) moeten hebben tussen de DB en de getroffen sites. Zodra jij een nieuw wachtwoord hebt aangemaakt kun je dit dan laten verifieren. Dan zou het voldoende zijn om je wel te laten staan (voor de compleetheid van de DB) maar met een groen bolletje van 'veilig' erbij.
Dat is dus dezelfde privacy wetgeving, ze mogen niet zomaar jouw e-mail adres uploaden naar een externe database! Ik ben het met je eens dat het handig zou zijn. Ik heb het liefst dat ze het deden bij mijn e-mail adres als het erin voorkomt. En ik wacht nu dus ook op de tool die er gaat komen waarbij je bij de politie in 47 landen in 1x kan checken of je e-mail adres voorkomt.

Maar tegelijk kan je natuurlijk niet voor privacy wetgeving zijn, behalve als het ervoor zorgt dat jij wat meer moeite moet doen. Dus dat ze dit niet uploaden begrijp ik geheel.
Waarom ze niet uit zichzelf een mailtje mogen sturen begrijp ik dan weer niet helemaal.
Ik heb liever dat ze dit doen dan dat ze de database gaan delen met een particulier(bedrijf). En het aantal kan bij volgende onderzoeken natuurlijk vergroot worden als ze het blijven aanvullen :)
Er staan momenteel 60.000 e-mailadressen in het bestand en dat worden er mogelijk in de komende tijd meer.
Als je nu niet in de database staat maar jouw e-mailadres wordt later wel toegevoegd, krijg je dan nog bericht of moet je zelf opnieuw de controle uitvoeren via de site?
Dan moet je opnieuw checken. De politie mag je niet actief benaderen, omdat dat een schending van je privacy is, zoals het artikel al zegt.

Je checked dus alleen op een specifiek moment.
Los van de privacy issue, zou ik een mailtje vanuit de politie zien als phissing. Of het echte bericht moet op mijnoverheid staan.
Een direct resultaat is toch handiger. Ik wil het wel weten als een inmiddels gesloten mailaccount van mij in die database blijkt te staan. Maar mail checken op een gesloten account is toch een technologische uitdaging.
Een direct resultaat is toch handiger.
Dat zou idd wel een stuk sneller zijn, maar dan kom je wel in de knel met privacy-regelgeving.

Immers, iedereen kan een willekeurig emailadres invullen, dat hoeft niet per definitie de eigenaar van het adres te zijn. Die zouden dan ook te zien krijgen dat het genoemde adres in de database staat, en dat mag blijkbaar dus niet ivm privacy-wetgeving.
Dacht even dat de politie nu ook al PowNed beheerde... :+
De afdeling Cybercrime is behoorlijk aan de weg aan het timmeren, maar dat mag ook wel, want op dat gebied heeft de politie nog heel veel achterstand in te lopen.

Gewoon even een vraagje wat gelijk in mij opkomt: wat doet de politie vervolgens met die ingetoetste e-mailadressen, worden die opgeslagen?
Die worden opgeslagen met labels ‘schizofreen’, ‘niet digibeet’ met het ip adres van aanvragen. En daar wordt in elk vervolg onderzoek in gezocht voor mogelijke verbanden. :+
Hooguit met de tag "paranoïde" en "niet digibeet".
Beetje jammer... ;)
Ik vind de implementatie ook beter dan haveibeenpwned omdat ze je hier een bericht sturen naar je email terwijl je het bij haveibeenpwned meteen op de website ziet. Iets beter voor de privacy deze implementatie denk ik.

Wordt nog een wat met onze politie! Eerst die dark web operatie en nu dit. Kudos
Maar je weet niet of je Request goed is aangekomen. Het gebeurt toch met enige regelmaat dat bv een change password request bv niet aankomt.

Doe dan altijd een E-mailtje sturen.
Doe dan altijd een E-mailtje sturen.
Wat ook niet gegarandeerd aankomt.
Klopt. En als die na 5min niet aan komt doe je het nog een keer. Tot er wel 1 aan komt.
Beetje jammer dat je het volledige adres op moet geven.. Ik gebruik zelf een wildcard op mijn domein, en heb dus een oneindig aantal adressen. Voor mij onbruikbaar deze tool.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*