×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Accountgegevens miljoenen Bit.ly- en Kickstarter-gebruikers verschijnen online

Door , 106 reacties, submitter: SlideR NL

De dienst 'Have I been pwned' heeft miljoenen accountgegevens van datalekken uit 2014 van zowel Bit.ly als Kickstarter toegevoegd aan zijn database. De beide diensten maakten de datalekken destijds al bekend, maar nu zijn de gegevens online verschenen.

Have i been pwnedBij Bit.ly betreft het datalek 9,3 miljoen unieke e-mailadressen, gebruikersnamen en wachtwoorden die met name via sha1 en voor een deel via bcrypt gehasht zijn. Bit.ly maakte in mei 2014 bekend dat het slachtoffer van een hack geworden was waardoor gebruikersgegevens gestolen waren.

In het geval van Kickstarter gaat het om bijna 5,2 miljoen accounts, waarvan de e-mailadressen en met sha1 gehashte wachtwoorden op straat zijn komen te liggen. Deze hack vond in februari 2014 plaats en is toen ook door Kickstarter gemeld. Zowel Bit.ly als Kickstarter adviseerden gebruikers destijds hun wachtwoord te wijzigen.

De dienst 'Have I been pwned' heeft de gestolen accountgegevens aan zijn database toegevoegd zodat gebruikers kunnen controleren of het hun accounts betreft. De reden dat de dienst nu aandacht aan de hacks geeft, is waarschijnlijk dat het de databases met gestolen gegevens nu pas online heeft aangetroffen.

Door Olaf van Miltenburg

Nieuwscoördinator

06-10-2017 • 11:01

106 Linkedin Google+

Submitter: SlideR NL

Reacties (106)

Wijzig sortering
Op deze pagina's meer informatie over de lekken:Via de volgende link kun je je username of e-mail adres invoeren en zien of je voorkomt in de/een datalek:

https://haveibeenpwned.com/

Je kunt sinds een tijdje ook zoeken op wachtwoorden: https://haveibeenpwned.com/Passwords

Via deze link kan je jezelf laten notificeren als jouw gegevens ineens wel voorkomen in een databreach: https://haveibeenpwned.com/NotifyMe

En ook via deze website, kan je jezelf uitschrijven (opt-out) voor de database van haveibeenpwned.com. Dat kan hier: https://haveibeenpwned.com/OptOut

Zie de FAQ voor info over hoe de website met jouw gegevens omgaat: https://haveibeenpwned.com/FAQs

Voor de beheerders is er een Domain Search optie. Nadat je hebt bewezen dat je beheerder bent van een bepaald domein krijg je van e-mailaccounts binnen dat domein te zien of ze bij bekende breaches betrokken zijn. Als systeembeheerder kun je dan je medewerkers informeren. Aangezien mensen geneigd zijn wachtwoorden te hergebruiken kan zo'n lek immers gevolgen hebben voor andere accounts van je bedrijf. Dat kan via de volgende link: https://haveibeenpwned.com/DomainSearch

[Reactie gewijzigd door AnonymousWP op 6 oktober 2017 11:07]

Via de volgende link kun je je username of e-mail adres invoeren en zien of je voorkomt in de/een datalek:
Helaas geen catch-all ondersteuning. ;(

Verder een top project. De eigenaar van Have I Been Pwned? heeft een goede track record en kun je dus vertrouwen met je e-mail adressen. Aanrader om je inderdaad aan de melden voor de pushberichten.

[Reactie gewijzigd door Jerie op 6 oktober 2017 14:37]

An hoe helpt dat als ik bijv jerie+tweakers@gmail.com als catch-all heb? Niet. Want dat werkt alleen als je eigenaar bent van het domein. Leuk voor een bedrijf oid.
Dan is het geen catch-ALL ;)
Waarom niet? Hoe heet het dan? Gmail e.a. e-mail providers ondersteunen dit.

Ah, het heet anders:

Subaddress Extension
https://tools.ietf.org/html/rfc5233

Tja, dat werkt dus niet.

Catch-all werkt wel, als je kunt bewijzen dat je eigenaar bent van het domein.

[Reactie gewijzigd door Jerie op 6 oktober 2017 16:17]

De eigenaar van Have I Been Pwned? heeft een goede track record en kun je dus vertrouwen met je e-mail adressen.
Dat weet je nooit, maar hoeft ook niet. Hij heeft je logins al dus wel of niet aanmelden maakt technisch geen verschil.

[Reactie gewijzigd door FvdM op 6 oktober 2017 19:35]

Wauw! Dat van de wachtwoorden wist ik nog niet. Ik ben op 3 verschillende websites sinds 2013 "gepowned" (wist ik als) maar met welk wachtwoord ik "gepowned" was wist ik nog niet... tot nu

Thanks!
Dit maakt nog maar weer eens duidelijk zichtbaar dat het heel erg belangrijk is om op elke site een ander (sterk) wachtwoord te gebruiken!

Veel te veel mensen gebruiken het zelfde wachtwoord op verschillende plekken waardoor je bij een datalek direct ook toegang tot andere diensten kunt krijgen.
Sterkte doet er niet toe als one-way-hashing algoritme niet goed is en niet salted is.

Bovendien verleg je daarmee risico naar iets waar je toch geen inzicht van hebt.

Combinatie van elk website/account ander wachtwoord + periodiek veranderen van wachtwoord is een betere strategie.

Als je maandelijks je wachtwoorden zou veranderen en ergens zijn er miljoenen login gegevens verdwenen is de kans vrij klein dat men toegang tot je account hebben gehad in de periode dat wachtwoord hetzelfde was.

Two factor authentication maakt het stelen van alleen password files zinloos.
Het periodiek aanpassen van wachtwoorden, of toch het aanraden ervan, wordt in de laatste paswoord guidelines van NIST (en ik geloof GCHQ) afgeraden omdat het leidt tot een algemene daling van de kwaliteit van de wachtwoorden.
Succes met het bedenken en onthouden van tientallen unieke wachtwoorden die je elke maand moet veranderen. Dan gaan mensen alsnog zwakke wachtwoorden gebruiken of opslaan op manieren die ieder hun eigen beperkingen en risico's hebben...
Het is makkelijker dan je denkt.


B.v.:

Tweakers.net
Hardware.info
Tomshardwarepage

102017TWdef@ultp@ssword
102017HAdef@ultp@ssword
102017TOdef@ultp@ssword

Je hoeft ze niet te onthouden omdat je password manager in je browser hebt.

En als je ooit handmatig moet invoeren hoef je alleen conventie te onthouden.

Alleen in gevallen dat ze specifiek jou moeten hebben, zal er niemand zijn die je wachtwoord gaat analyseren en achter je password strategie komt.

Alleen bij 2 factor authenticatie ben je beter.
dus volgende maand gebruik jij 112017TWdef@ultp@ssword
nee hier zit geen enige logica in wat een hacker zelf nooit kan bedenken.. ongelofelijk
Als iemand je persoonlijk gaat targetten mischien. Maar dan is de sterkte van het originele wachtwoord de beveiliging.

Waar het hier echter over gaat is dat één password op straat komt te liggen vanwege een grootschalige hack op een site. Dan zijn ze niet uit op één persoon als doelwit en zullen ze dus ook helemaal niet nadenken over jouw persoonlijke algoritme. Ze hebben een enorme bak met EMail/password combinaties. En zodra één daarvan niet meer werkt gooien ze die gewoon weg en ben je dus weer veilig.
Regex die op verschillende datumnotaties zoekt en een replace actie met wat mogelijke anderere data volgens die notatie is zo gemaakt. Hetzelfde geld voor de afkorting of de eerste letters van een website waar de inlog geldig voor is. Je hoeft echt geen heel geavanceerde hacker te zijn om op dit niveau wat variaties van wachtwoorden te achterhalen.

Je loopt dus wel wat meer risico dan alleen persoonlijke targeting. Dat het risico kleiner is klopt wel, maar volledig veilig voor geatomatiseerde targeting is het niet.
Ja, als het plaintext zou zijn is dat inderdaad een dingetje. Maar gelukkig worden passwords (over het algemeen!) gehashed en gesalt opgeslagen.

Je zou dan eerst al de passwords moeten decrypten en dan nog eens je regex los moeten laten in de hóóp dat iedereen dezelfde datumnotatie gebruikt (wie zegt dat je 07102017 gebruikt en geen 10-07.2017 of 10_07/2017 of wat ook).
Realiseer je dat het hier over miljoenen user/pass combinaties gaat. Daarvan vallen er honderduizenden uit doordat ze verandert zijn. Dan blijven er alsnog miljoenen over die wél werken.

Waarom zou je ook maar een seconde besteden aan het achterhalen van een algoritme als je miljoenen slachtoffers hebt waar je helemaal geen tijd aan hoeft te besteden? Zeker als je geen flauw idee hebt hoe effectief je gaat zijn met je besteedde tijd?

Nee, geen hond die die moeite gaat doen. Ieder beetje moeite wat een hacker daar in steekt had hij beter kunnen steken in het misbruiken van al die gegevens die hij al wél werkend heeft.
Zie reactie van croga hieronder.

Zolang ze niet jou moeten hebben is het veilig genoeg.

Ik vind het knap dat jij uit 2 letters een andere website/domein kunt halen.
Het zijn waarschijnlijk de enige websites die 'ie bezoekt :Y)
totdat er iemand is die van alle weggegooide wachtwoorden een algoritme bedenkt en zo wel achter een wachtwoord kan komen..

als miljoenen mensen het zo zouden doen, dan is een algoritme schrijven zo gedaan.
Maar dan is de sterkte van het originele wachtwoord de beveiliging.
Als het vorige wachtwoord gelekt is is ook dat "orginele" wachtwoord geen beveiliging....
De hacker weet niet dat jij maandelijks het wachtwoord wijzigt. Voor hetzelfde geld doe je dit dagelijks of jaarlijks of om de 40 dagen. Ook geeft hij aan dat het nooit heilig is, maar dit brengt je wel in de gelegenheid om paswoord te onthouden. 30 verschillende sites 30 dieren onthouden is niet handig. Als ik op tweakers het wachtwoord 1980Varkens! heb dan zou dit prima werken. Maar wat nu als ik 30 sites heb... naast dat mijn dierenkennis opraakt en ik dus dubbele wachtwoorden gebruik is het ook nog lastig te bepalen welk wachtwoord ik voor welke site heb. complexe wachtwoorden werken niet en zijn vaak net zo makkelijk te kraken of lekken net zo hard. Een wachtoord als V8&nah heeft net zo weinig waarde als het lek als 102017TWdef@ultp@ssword (wat wel te onthouden is). Daarnaast worden complexe wachtwoorden ook ergens opgeslagen, wat dus weer een extra beveiligingslek is.

Daarnaast worden vaak grote hoeveelheden gelekt. 9 van de 10 keer controleren de hackers niet handmatig of het wachtwoord wel goed is, maar gebeurt dit via een script.

[Reactie gewijzigd door grote_oever op 6 oktober 2017 11:57]

De hacker weet niet dat jij maandelijks het wachtwoord wijzigt.
Als er een overduidelijke datum-aanduiding in een wachtwoord zit weet hij dat wel.
9 van de 10 keer controleren de hackers niet handmatig of het wachtwoord wel goed is, maar gebeurt dit via een script.
Overduidelijke datums in een wachtwoord zijn makkelijk via een script te ontdekken en te manipuleren.
Dat zegt hij toch ook.
Alleen in gevallen dat ze specifiek jou moeten hebben, zal er niemand zijn die je wachtwoord gaat analyseren en achter je password strategie komt.
jij denkt dat wanneer er een hack plaatsvind van een miljoen accounts, dat ze van die miljoen niet alleen het wachtwoord wat ze hebben proberen, maar ook nog eens alle verbastering van dat wachtwoord?

Ik denk dat ze nog eerder scannen of er van die miljoen iemand binnen de quote500 zit dan dat ze van jouw Hondje123 ook nog even Hondje456, Hondje234, Hondje124 en Katje123 proberen.
Droom lekker verder. Ik wil alleen maar zeggen dat het mogelijk is. Er zijn vast gekken op deze wereld die wel even verder kijken dan hun neus lang is.
pasword manager in browser is nuteloos als je uw pc/tablet/smartphone formateerd.

2 factor heb ik keer geprobeerd tot ik een nieuwe build op mijn telefoon installeerd en de miserie van terug toegang krijgen heb moeten ondergaan.
Nee danku

trouwens paswoorden zijn niet het hoofddoelwit van dit soort acties maar de emails om spam te kunnen sturen.
Onzin, wachtwoorden zijn zeker wel het hoofddoel, email adressen zijn bijvangst. Toegang hebben tot een mailbox van iemand kan een schat aan extra data opleveren (inclusief meer mail adressen om te spammen).
2 factor heb ik keer geprobeerd tot ik een nieuwe build op mijn telefoon installeerd en de miserie van terug toegang krijgen heb moeten ondergaan.
Nee danku
Er zijn een aantal 2 factor apps waarmee het mogelijk is een backup te maken van de codes, of zelfs meerdere devices te gebruiken, zelf gebruik ik Authy
Nieuwe telefoon of rom, veilig inloggen in authy en alles werkt weer.

[Reactie gewijzigd door Zer0 op 6 oktober 2017 14:05]

Gebruik wachtwoord zinnen. Makkelijker te onthouden en vele malen sterker.
Niet te doen als je voor elke site een ander wachtwoord wil. Password manager is de beste optie.
Waarom de moeite nemen om ze herleidbaar te maken naar de site die je bezoekt? Als je dan toch de password manager gebruikt, gebruik die dan ook gelijk om een goed random wachtwoord te genereren.

Dan ben je nog beter af dan met jouw systeem, want zelfs bij analyse van meerdere gelekte wachtwoorden kunnen ze je patroon niet herkennen, want dat is er niet.

Of 2FA per sé beter is weet ik niet - 2FA is vatbaar voor sociale praktijken, maar het kan wel een vals gevoel van veiligheid geven waardoor het opeens weer acceptabel lijkt om een wachtwoord als 'Hallo123' te gebruiken. 2FA is alleen echt veiliger als het bijbehorende wachtwoord ook gewoon voldoende sterk is.
Ik vertrouw password managers niet.

Single point for failure :)
SPOF hangt van je toepassing af. Je kunt meerdere password managers gebruiken, en/of meerdere password kluizen binnen dezelfde password manager. Ik doe beide.

Wachtwoorden onthouden is natuurlijk ook een SPOF: jijzelf. Mocht ik onverhoopt komen te overlijden dan weet mijn vrouw hoe ze in mijn password managers kan komen en kan ze toegang krijgen tot mijn accounts. Zonder password manager wordt dat lastiger.
Geen spof maar spff.

Was geen typo, notice the smiley.

Password managers bevatten ook lekken en zijn op zichzelf intressante targets.
Password managers bevatten ook lekken en zijn op zichzelf intressante targets.
Vandaar
Je kunt meerdere password managers gebruiken, en/of meerdere password kluizen binnen dezelfde password manager.
SPFF en SPOF komt aardig op hetzelfde neer, lijkt me. Er is één punt waar het mis kan gaan, zowel vanuit mezelf gezien als vanuit de theoretische aanvaller gezien.

Vanuit mij gezien zou ik de password safe kwijt kunnen raken. Vanuit de aanvaller gezien zou de encryptie van de password safe gekraakt kunnen worden of iets in die richting. Vandaar dus: meerdere password managers, meerdere kluizen. Als er een gekraakt wordt ligt niet alles op straat.
Ik werk met een VM in QubesOS waar al m'n paswoorden op staan. VM heeft geen Netwerkaansluiting.
Redelijk veilig.
Ik kan wel via de QubesOS de paswoorden kopiëren naar de VM waar ik ze nodig heb.
24-characters random strings.
Lijkt me erg moeilijk om dat mis te laten gaan.
Ook geen problemen meer met IP lekkende Tor browsers omdat alles via een Tor VM proxy gaat.
02017TWdef@ultp@ssword
102017HAdef@ultp@ssword
102017TOdef@ultp@ssword
Een zeer slecht advies. Character replacement is absoluut niet veilig (hier houdt vrijwel elke password cracker rekening mee) en in bovenstaande gevallen is het zeer eenvoudig af te leiden wat een ander wachtwoord zal zijn. Je hebt in dit geval hooguit één, max twee wachtwoorden nodig om de reeks te doorzien. In feite maak je hiermee een volgend wachtwoord juist behoorlijk zwakker ipv sterker.

[Reactie gewijzigd door Bor op 6 oktober 2017 11:55]

Het is makkelijker dan je denkt.
Mijn probleem is het veranderen van wachtwoorden. Het onthouden hebben we inmiddels redelijk opgelost met passwordmanagers. Het veranderen van een wachtwoord is een stuk lastiger, zeker als je dat voor honderden uiteenlopende sites wil regelen. Er zijn wel passwordmanagers die er iets mee doen, maar daar heb ik niet zo veel vertrouwen in.

@ajolla: het gaat me om de interactie met websites en andere systemen. Idealiter zou ik iedere drie maanden mijn wachtwoorden veranderen. Ik heb echter geen zin om (met de hand) op honderden sites in te loggen alleen om het WW te veranderen. Er zijn wel passwordmanagers die proberen ook dit deel af te vangen, maar dat is meer geluk dan wijsheid en niet iets waar ik op zou durven vertrouwen.
Ik wil niet iedere 3 maanden alle 1500 sites waar ik een login heb afgaan om daaar

[Reactie gewijzigd door CAPSLOCK2000 op 6 oktober 2017 13:30]

Mijn tekstbestandje heeft daar totaal geen moeite mee.
Vandaar ook dat de NIST in z'n laatste herziening van password guidelines dit ook gedropped heeft: het is veel beter om een voldoende sterk wachtwoord te hebben, dan een wachtwoord dat je regelmatig verandert (bron).

Mensen die een wachtwoord regelmatig moeten veranderen, gaan na 1 of 2 keren vanzelf een simpeler wachtwoord nemen dat net aan de regeltjes voldoet (Twe@kers01 iemand?) en dan gewoon een cijfertje ophogen. Het idee erachter (dat je gestolen password niet lang gebruikt kan worden) wordt daardoor compleet omzeild (welke hacker gaat niet gewoon even de cijfertjes ophogen als het eerste password niet werkt).
Volgens mij heb je het advies verkeerd begrepen. Het is nog steeds verstandig om regelmatig te wisselen en vreemde tekens en zo te gebruiken maar je moet mensen er niet toe dwingen. Onder dwang gaan mensen het systeem saboteren. Vrijwillig wisselen omdat je het zelf wil blijft beter dan nooit wisselen.
Inderdaad. Password Managers kunnen ook gehackt worden waardoor je direct al je wachtwoorden kwijt bent. Ook zoiets als keepass is niet veilig. Website kan tenslotte gehackt worden waarna er een gemodde versie van Keepass op geplaatst wordt die vervolgens door iedereen gedownload wordt.
Voor mij is de beste optie altijd nog 2fa of zelfs 3fa.
Ook zoiets als keepass is niet veilig. Website kan tenslotte gehackt worden waarna er een gemodde versie van Keepass op geplaatst wordt die vervolgens door iedereen gedownload wordt.
Daar heb je dus repositories / app stores en signed binaries voor.
Ach maar zolang iedereen maar perse z'n toestel wil rooten/jailbreaken en eigen App Stores vanuit een of andere schimmige Russische ontwikkelaar wil gaan gebruiken, who cares :)

Nee joh, gratis apps gebruiken die je normaliter moet betalen, what could possibly go wrong.
Helaas heeft CCleaner aangetoond dat in het geval van Windows zelfs dit niet garandeert dat het veilig is. Als ze voor het compilen gehacked worden dan kan het alsnog mis zijn. Natuurlijk gebeurd dit bijna nooit, maar er is een kans.
Dan gebruik je een wachtwoord manager die je vervolgens beschermd met MFA en waarvan je het wachtwoord iedere paar maanden aanpast. Bij alle andere sites gebruik je dan [randon gegenereerde wachtwoorden van 20+ tekens], zo doe ik het tenminste...
Ja, dat random gegenereerde is leuk, zo doe ik het ook bij sommige sites. Maar welke keus maak je?
  1. Elke keer uitloggen en het wachtwoord kopiëren en plakken als je moet inloggen bij de dienst/site?
  2. Het wachtwoord opslaan zodat je alleen maar op "inloggen" hoeft te drukken (wat ook weer een beveiligingsrisico is)?
Een beetje wachtwoord manager heeft een browser plugin die de velden voor je invult.
En die hebben ook al veelvuldig lekken laten zien. De koppeling tussen login-omgeving en password manager moet zo veel mogelijk vermeden worden.

Mijn browser slaat mijn wachtwoorden niet op en accepteert bewaart ook geen cookies (op die van een paar uitverkoren sites na dan). Even de password manager erbij pakken is echt niet zo veel moeite.
Ooit bedacht dat je clipboard gewoon openbaar toegankelijk is voor alle geïnstalleerde programmas?

Als je bang bent dat de koppeling tussen browser pwmanager lekt, zou ik me daar minstens zo druk over maken.
Het staat 5 seconde op het clipboard. En als er malware op mijn PC staat heb ik wel ergere zorgen dan dat ie mijn clipboard in de gaten houdt.

Het punt met de koppeling met de browser is dat er opeens een externe partij zomaar bij kan. De exploits die er waren lieten het toe om een willekeurige website passwords uit je password safe te laten halen zonder jouw toestemming.

Websites vertrouw ik niet zonder meer. De software die ik op mijn pc heb draaien wel.
Ja, en dat is ongeveer hetzelfde als bij puntje 2. Ikzelf maak geen gebruik van die optie, maar moet je daarvoor geen wachtwoord invoeren ter authenticatie? Anders brengt het alsnog een beveiligingsrisico met zich mee.
ja eenmalig als je de browser start
Dat ligt aan de password manager. Ik moet iedere keer als ik hem paar minuten niet gebruikt heb weer authentiseren op de PW Manager. Als ik wachtwoord kopieer-plak dan wordt die na 90 sec weggegooit, dus moet ik opnieuw kopieer-plak doen als ik hem weer zou willen kopieeren.
Veiligheid en luiheid gaan niet samen. :(
Ik doe dat bij elke site en kopieer/plak het wachtwoord. Meestal gebruik ik gewoon mijn (externe) Password manager die de gegevens voor me invult.
Schrijf ze op papier en stop ze in een boek. Veiliger dan dat krijg je het niet. Wachtwoordmanagers zijn minder betrouwbaar voor mijn gevoel dan een stukje papier (inbreken in je huis kan gebeuren, maar geen dief door een willekeurig boek gaat lopen zoeken naar papier). En pluspunt van opschrijven is dat je het sowieso makkelijker onthoudt.
Een goede strategie is om de naam van de website in je wachtwoord te doen. Zo heb je altijd een uniek wachtwoord per website, met een pre/post-fix die je evt elke maand kan veranderen.
Sterkte doet er wel degelijk toe, ook als het algoritme zwak is en niet salted, de korte 4-letter-woorden-passwords haal je er snel uit dan, maar lange passwords met alle mogelijke ASCII-tekens erin ga je ook daar niet heel snel uithalen.

Maar dat neemt niet weg dat je alsnog voor elke dienst een ander wachtwoord moet gebruiken natuurlijk. En een fatsoenlijke password manager erbij.
1 aantal wachtwoord (hash) algortimes gebruiken maar een beperkt aantal tekens. B.v. eerste 8 lengte maakt in dat geval niet uit bovendien weet jij in meeste gevallen niet welke hash algoritme in gebruik is.

2 rainbow tables bevatten hashes (nvt salted hashes).
1 aantal wachtwoord (hash) algortimes gebruiken maar een beperkt aantal tekens. B.v. eerste 8 lengte maakt in dat geval niet uit bovendien weet jij in meeste gevallen niet welke hash algoritme in gebruik is.
Tja, dan heb je wel echt een excessief slecht algoritme te pakken ja. Zelfs het zwakke MD5 doet het beter dan dat. Ik kan me niet voorstellen dat je bij gelekte data van websites vaak zwakkere algoritmes dan MD5 tegenkomt, behalve die enkele uitzondering waarbij er helemaal geen hashing gebruikt is.
2 rainbow tables bevatten hashes (nvt salted hashes).
Als je een lang wachtwoord hebt is de kans groot dat een rainbow table je een collission geeft met een korter wachtwoord. Daarmee is dus niet zozeer je wachtwoord gelekt, maar een collissions bij gebruik van het zwakke algoritme. Die collission gaat als het goed is bij andere sites niet werken die de beveiliging beter op orde hebben.

Alsnog natuurlijk geen excuus om overal hetzelfde wachtwoord te gebruiken, maar wel reden te meer om wel een sterk wachtwoord te gebruiken.
Waarom zou die colission niet werken? De echte site berekent toch op dezelfde manier de hash?
De echte site wel ja. Een andere site waar je hetzelfde wachtwoord gebruikt hebt hopelijk niet.
Combinatie van elk website/account ander wachtwoord + periodiek veranderen van wachtwoord is een betere strategie.
Gezien de hoeveelheid accounts die de gemiddelde internetgebruiker tegenwoordig heeft, is voor elke site een random sterk password onthouden niet haalbaar (je brein kan het gewoon niet aan). Ik zou het dus geen betere strategie noemen.

Dat kun je dan weer overlaten aan een password manager maar dan geldt nog steeds dat je elke maand door al die tientallen websites heen moet om de passwords te vervangen. Dat kunnen die tools niet automatisch, dus ook dat is niet realistisch. Plus:
Bovendien verleg je daarmee risico naar iets waar je toch geen inzicht van hebt.
En natuurlijk is de betreffende tool een single-point of failure.

Wat ook een probleem is in dit veld is voortschrijdend inzicht en ook vaak een gebrek aan kennis. De passwords van de Kickstarter hack uit 2014 waren SHA1 salted. Maar ja:
https://crypto.stackexcha...r-password-hashing-secure
SHA-1 in itself was never safe for password hashing. The hash algorithm itself doesn't have a work factor parameter nor does it have a salt as input. These are requirements for run-of-the-mill passwords that do not have as much security as a good symmetric key.
<snip>
However attacks just get better, never worse. So if possible, even in the above scenario, you should move away from SHA-1 to SHA-2/SHA-3. Or choose a password hash function that doesn't rely on a secure hash at all.
Dat jouw sterke passwords dus een paar jaar terug veilig opgeslagen zijn, betekent niet dat ze nu / in de nabije toekomst nog veilig zijn. En dat gaat er dus al vanuit dat de initiële encryptie veilig was.

Persoonlijk zie ik alleen two-factor authentication (of liever three-factor in de toekomst) als oplossing voor deze problematiek. 'Wat je weet' is wat het makkelijkst buitgemaakt wordt en op dit moment veelal de enige beveiliging. 'Wat je hebt' zien we voornamelijk bij banken en op gaming accounts in de vorm van SMS-codes en companion apps. Iets meer algemeen zou prettig zijn; een USB-dongle die door browsers gebruikt kunnen worden als extra authenticatielaag bijvoorbeeld. 'Wie je bent' is in opkomst maar vaak als vervanging van 'Wat je weet' in plaats van als aanvulling erop (fingerprint to unlock). Daarnaast is het, voor zover ik weet, nog niet bruikbaar voor in-browser authenticatie. Dat we toch die kant op moeten is wat mij betreft wel duidelijk...het huidige systeem van vrijwel uitsluitend passwords is gewoon niet houdbaar op de langere termijn.
[...]
Gezien de hoeveelheid accounts die de gemiddelde internetgebruiker tegenwoordig heeft, is voor elke site een random sterk password onthouden niet haalbaar (je brein kan het gewoon niet aan). Ik zou het dus geen betere strategie noemen.

Dat kun je dan weer overlaten aan een password manager maar dan geldt nog steeds dat je elke maand door al die tientallen websites heen moet om de passwords te vervangen. Dat kunnen die tools niet automatisch, dus ook dat is niet realistisch.
Automatisch aanpassen kunnen ze niet, maar wel laten verlopen.

Bovendien, áls je voor álles een ander wachtwoord gebruikt is het niet heel relevant om elke maand overal je wachtwoord aan te passen. Reden om je wachtwoord periodiek aan te passen is voornamelijk dat als hij uitgelekt is hij gebruikt kan worden om toegang tot dat en andere accounts te krijgen.

Met random passwords is de kans op uitlekken vrij klein - je onthoudt hem zelf waarschijnlijk al niet eens dus anderen ook niet. Dat betekent dus dat het uitlekken al moet gebeuren via de dienst waar je hem voor gebruikt, en dat komt doorgaans snel aan het licht. Elk lek waar jouw account bij betrokken is is natuurlijk wél een reden om je wachtwoord aan te passen.

Voor de rest hangt de noodzaak aardig af van de gevoeligheid van de website. Voor medische of financiële zaken is het veel belangrijker dan voor een discussieforum, om maar eens wat te noemen. Op basis daarvan kun je een schema instellen voor het periodiek wijzigen van wachtwoorden.
[...]
Persoonlijk zie ik alleen two-factor authentication (of liever three-factor in de toekomst) als oplossing voor deze problematiek.
Zullen we biometrische factoren er alsjeblieft buitenhouden? Ze zijn gewoon niet geschikt. Ze zijn vast en niet aanpasbaar. Dat geld in mindere mate ook al voor de 'wat je hebt' maar daar heb je in ieder geval nog de mogelijkheid om iets aan te passen mocht het een keer mis gaan. Er zijn al diverse lekken van biometrische informatie bekend, en er zijn ook al demonstraties van hoe de sensoren om de tuin te leiden zijn.
Dat we toch die kant op moeten is wat mij betreft wel duidelijk...het huidige systeem van vrijwel uitsluitend passwords is gewoon niet houdbaar op de langere termijn.
Ik zie 2FA als nuttig alternatief voor mensen die zorgvuldig omgaan met password managers te veel moeite vinden, maar uitsluitend password zijn absoluut niet onhoudbaar en hebben nog altijd sterk mijn voorkeur. Een wachtwoord biedt je de mogelijkheid om er een eigen invulling aan te geven - feitelijk gebruik ik daar al 2FA omdat ik mijn "master password" moeten weten en mijn key file en password safe moet hebben.

2FA mag best aangemoedigd worden en standaard aan staan, maar ik hoop van harte dat ik de mogelijkheid blijf houden om uitsluitend met wachtwoorden te werken.
Ik vind eDentifier van de ABNAMRO wel goed.
Biometrische data is wat mij betreft een aanvulling. De aanvaller moet een extra stukje informatie hebben om hetzelfde doel te bereiken, dus dat wordt moeilijker. Ze wegzetten als 'gewoon niet geschikt' is te makkelijk, voor echt high-security systemen worden ze ingezet en dat zou echt het geval niet zijn als het 'gewoon niet geschikt' zou zijn.

Het probleem met password managers is niet de veiligheid van de aanbiedende partij. Het probleem zit in de beveiliging van de devices waarop de clients gebruikt worden. Zorgvuldig omgaan met een password manager wordt teniet gedaan door een keylogger die via een infected banner op website x op een systeem is terechtgekomen. Daarnaast wordt die password manager natuurlijk op de smartphone gebruikt die natuurlijk up-to-date is met beveiligingsupdates en nooit connect naar publieke WiFi-netwerken, etc., etc.

Daarnaast gaat het een keer gebeuren dat één van de password managers gehackt wordt. Ze zijn een te interessant target voor diverse groeperingen.

Dit artikeltje geeft het dilemma wel aardig weer:
https://gizmodo.com/am-i-...ssword-manager-1711673486

Een recenter artikeltje waarom je nooit browser-extensions van een password manager moet gebruiken:
https://www.networkworld....r-browser-extensions.html

Persoonlijk hanteer ik het systeem met een aantal sterke tot zeer sterke passwords voor verschillende categorieën van sites (met site-specifieke variaties op het basis-password voor die categorie). Dit in combinatie met 2FA op de high-impact sites (bank, DigiD, dat soort werk). Voor dit systeem is een hoop te zeggen:
https://gizmodo.com/the-c...7858.915620038.1434459206

Wellicht is een combinatie met password-managers (meervoud!) de allerbeste optie; de eerste password manager voor alle sites die alleen maar basic info als email adres en naam opslaan, een tweede password manager voor sites die bv. ook thuisadres of telefoonnummer hebben en daarnaast zeer sterke password (en 2FA, indien mogelijk) voor alles waar bv. financiële transacties mee gedaan kunnen worden.
Biometrische data is wat mij betreft een aanvulling. De aanvaller moet een extra stukje informatie hebben om hetzelfde doel te bereiken, dus dat wordt moeilijker. Ze wegzetten als 'gewoon niet geschikt' is te makkelijk, voor echt high-security systemen worden ze ingezet en dat zou echt het geval niet zijn als het 'gewoon niet geschikt' zou zijn.
Ok, 'gewoon niet geschikt' is wellicht te kort door de bocht. Het succes op dit moment is echter te danken aan dat het vaak ter vervanging van wachtwoorden wordt gebruikt en het zou hoogstens in aanvulling op moeten gebeuren. Voor high-security zaken zou je dan inderdad op 3FA komen. Maar voor de gemiddelde consument zou dat niet aan de orde moeten zijn.
Het probleem met password managers is niet de veiligheid van de aanbiedende partij. Het probleem zit in de beveiliging van de devices waarop de clients gebruikt worden.
[...]
En dat is dan ook waarom ik zei 'zorgvuldig omgaan met password managers'. Dat kost wat moeite. Maar het dwingt je niet om aan bepaalde eisen van de aanbieder te voldoen zoals een specifieke app, het delen van een telefoonnummer of e-mailadres. En dat zou altijd een alternatief moeten blijven.
Wellicht is een combinatie met password-managers (meervoud!) de allerbeste optie; de eerste password manager voor alle sites die alleen maar basic info als email adres en naam opslaan, een tweede password manager voor sites die bv. ook thuisadres of telefoonnummer hebben en daarnaast zeer sterke password (en 2FA, indien mogelijk) voor alles waar bv. financiële transacties mee gedaan kunnen worden.
Dat doe ik dan ook. De belangrijkste passwords heb ik in een Mooltipass met een chipkaart. Dan heb je direct 2FA ingebakken. Maar dat weet de partij aan de andere kant niet.

Overige passwords heb ik in categorieën uitgesplitst over verschillende password safes. Werkt prima en komt niemand tussen. Laat die server-side 2FA maar zitten dan.
Netjes bezig dan! Maar laten we wel wezen, you are the 1% (of waarschijnlijk 0.001% ofzo). De mensen die op sites als dit komen denken hier nog wel over na...maar de gemiddelde internetgebruiker? Daarom ben ik juist voorstander van 'easy to use 2FA' voor dit soort logins. M'n (schoon)ouder moeten nu toch ook al passwords gebruiken voor hun internetgebruik. Multi-device password managers gaat 'em echt niet worden. Dan liever een dongle die ze aan het device kunnen hangen in combinatie met wat minder sterke wachtwoorden.
Sterkte doet er niet toe als one-way-hashing algoritme niet goed is en niet salted is.
Sterkte doet er zeker toe, ook wanneer er helemaal niet gehashed wordt. Een sterk wachtwoord maakt brute forcen moeilijker en tijdrovender. Hashing en salting is natuurlijk nodig maar beschermt eigenlijk alleen tegen uitlekken. Een simpel wachtwoord is vele malen makkelijker te raden of te achterhalen dan een sterk wachtwoord. Je wilt toch niet alleen bescherming tegen het uitlekken van databases / password tabellen?
Bruteforcen doet men alleen nog bij salted hashes. De rest doen ze.met rainbow tables.
Two factor authentication maakt het stelen van alleen password files zinloos.
In theorie maakt two way factor het stelen van password niet zinloos gezien je de twee factor authenticatie daarmee kunt verlagen naar één factor. Immers, wanneer je het wachtwoord hebt weet je één van de twee factoren al.
Ik heb juist één wachtwoord dat ik gebruik voor dit soort diensten, waarvan ik weet dat ie in rainbow tables voorkomt. Wat kan je überhaupt doen met mijn bitly account? Zelfde geld voor random fora. Hoogstens plaatsen ze wat spam en word het account verbannen.
Hoogstens plaatsen ze wat spam en word het account verbannen.
Een account is in vele gevallen een soort digitale identiteit. Jij bent, net als de betreffende website, verantwoordelijk voor het beschermen hiervan. "Hoogstens verbannen" kan een behoorlijk probleem zijn wanneer (zoals veel sites doen) je hierna niet opnieuw kunt / mag registreren (dat is hier ook zo). En wat als mensen uit jouw naam berichten / ongewenste content posten / uploaden etc. Een slecht idee dus.
Of kinderporno plaatsen, of Holocaustdenialberichten. Maak maar aannemelijk dat je gehackt bent.
dat is toch voor veel mensen geen realiteit.
ikzelf heb 3 wachtwoorden voor persoonlijk gebruik gaande van "zwak"/matig/sterk. (zwak is nog steeds alfanum/cap/special)

afhankelijk van welke website gebruik ik verschillende gegevens.
Zo is mijn zwak wachtwoord gepowned, en kan je met mijn PSN-acc aanmelden op mijn ooit bestaande habbohotel; maar met die gegevens raak je niet in mijn mailboxen.
Mijn matig is in geen enkele breach gevonden en mijn sterk ook niet.
Op zich is het niet erg als je user in een breach wordt gevonden, want daar kun jij zelf natuurlijk niets aan doen. Wat wel fijn is is dat je wachtwoord voor die ene breach vervolgens nergens anders toepasbaar is.
tja een wachtwoord manager dan maar :/ ik ben het wel met je eens dat het stom is allemaal, login met wachtwoord is gewoon stom
Je hoeft het niet voor iedere site te doen. Je kunt site ook classificeren qua risico en per klasse 1 wachtwoord gebruiken.
Waarmee je in feite het probleem alleen maar een klein beetje spreid (namelijk per risico klasse). Hergebruik van wachtwoorden is nooit een goed advies. Geen enkele best practise of security expert zal je dit adviseren.
Bij Kickstarter is er wel meer gelekt dan enkel mail/pass:
While no credit card data was accessed, some information about our customers was. Accessed information included usernames, email addresses, mailing addresses, phone numbers, and encrypted passwords. Actual passwords were not revealed
Zie https://www.kickstarter.c...ckstarter-security-notice

[Reactie gewijzigd door Slonzo op 6 oktober 2017 11:06]

Dat is de lek van 2014 en niet deze :)
Er is geen nieuwe hack, dit zijn de gegevens van 2k14 die online zijn verschenen.
2k14 of 2014 ... waarom zou je het zo typen als op de eerste manier? Het is echt niet dat het nu zo'n lang woord is dat je het moet afkorten op zo'n manier. :?
Het gaat over wachtwoorden. Misschien dacht hij dat het zo sterker was?
Jawel. Staat zelfs in de tekst:
De dienst 'Have I been pwned' heeft miljoenen accountgegevens van datalekken uit 2014 van zowel Bit.ly als Kickstarter toegevoegd aan zijn database. De beide diensten maakten de datalekken destijds al bekend, maar nu zijn de gegevens online verschenen.

[Reactie gewijzigd door AnonymousWP op 6 oktober 2017 17:18]

Ah right, iets te snel gelezen my bad.
De gegevens die nu zijn verschenen zijn die van het lek van 2014.
Heel erg fijne dienst, haveibeenpwned. Mijn gegevens hebben tot nu toe bij 14 hacks en in 6 pastes gezeten, maar gelukkig zit ik niet tussen deze twee hacks. Gelukkig bij Kickstarter dan geen cc gegevens gehackt, dan zit je dieper in de penarie.
De dienst 'Have I been pwned' heeft de gestolen accountgegevens aan zijn database toegevoegd
dus daar hebben ze miljoenen/miljarden wachtwoorden (evt encrypt) en emailadressen bij elkaar verzameld?

Een makkelijke goudmijn (ookal zijn ze al gelekt) voor een hacker die evt wat analyses erop los wil laten, losse databases verkrijgen en aan elkaar knopen kost meer tijd
"De dienst 'Have I been pwned' heeft de gestolen accountgegevens aan zijn database toegevoegd zodat gebruikers kunnen controleren of het hun accounts betreft. "

Ook handig voor hackers. Hoef je nog maar 1 db te hacken. Daarnaast handig dat je de informatie op meer plekken te kunnen benaderen.

[Reactie gewijzigd door ReneWouters op 6 oktober 2017 11:59]

Ik zag gisteren al hackpogingen langskomen op Mn server met het adres dat ik gebruik voor kickstarter, maar toen ik gisteren keek op haveibeenpowned stond die er nog niet tussen.

Verklaart wel waarom ze er opeens mee in willen loggen :)
Je wachtwoord moet sowieso per website anders zijn. Om het voor jezelf niet te moeilijk te maken moet je voor jezelf een logische algoritme creeren. Dingen die specifiek aan een site zijn gelinkt.

bijvoorbeeld de 2e letter toevoegen van de url, een letter van de kleur van de logo toevoegen (helaas meestal blauw). een rekensom maken van de website creation jaar - jouw geboortedatum (dan moet je weer zoeken). een categorie toevoegen (zoals een S voor social media) of laat sommige van deze dingen de volgorde van je wachtwoord bepalen. Je zal misschien iets langer bezig zijn met inloggen. maar dat ben je opzich met een 2 way verificatie ook. (en dit zou je ook moeten activeren). verzin iets moois voor jezelf. Probeer het dusdanig zo te verstoppen dat een hacker jouw opbouw niet in een keer herkend. volledig het woord tweakers achter je wachtwoord plakken is best simpel te herkennen. letters weglaten of +1 char is al moeilijker

[Reactie gewijzigd door pray2win op 6 oktober 2017 12:48]

Gelukkig gebruik ik al jaren een ''spam'' mail met bijbehorende spam wachtwoord. Deze gebruik ik voor site's waarvan ik het niet belangrijk vind dat deze gehacked wordt.
en vandaag zal er nog een SHA1 wachtwoorden pakket duidelijk worden als Disqus ook verkocht is. Nog eens 17m erbij.

https://haveibeenpwned.com/PwnedWebsites#Disqus


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*