Troy Hunt breidt verzameling uitgelekte wachtwoorden uit naar half miljard

Beveiligingsonderzoeker Troy Hunt, bekend van zijn site Have I Been Pwned, heeft zijn bestaande dataset van 306 miljoen uitgelekte wachtwoorden uitgebreid met nog eens 200 miljoen wachtwoorden. Organisaties kunnen deze lijsten gebruiken om wachtwoorden te controleren.

Zijn verzameling draagt de naam Pwned Passwords en stelt de wachtwoorden beschikbaar in gehashte vorm. Dat gebeurt aan de hand van het sha-1-algoritme, dat weliswaar niet bijzonder veilig is, maar volgens Hunt voldoende is om te voorkomen dat de plaintextwachtwoorden zomaar zijn te achterhalen. De totale database omvat 8,8GB aan wachtwoorden en bevat daarnaast een teller die per wachtwoord aangeeft hoe vaak dit in de totale verzameling van de onderzoeker voorkomt. Zo komt 'abc123' bijvoorbeeld meer dan 2,5 miljoen keer voor, schrijft Hunt in een blogpost.

Daarin legt hij verder uit dat de toegevoegde wachtwoorden voornamelijk afkomstig zijn uit de dump van de Onliner-spambot, die uit ongeveer 711 miljoen records bestond en naast e-mailadressen ook wachtwoorden bevatte. Daarnaast gebruikte hij een verzameling van 1,4 miljard plaintextinloggegevens, die enige tijd geleden de ronde deden op het dark web, maar daarvoor al beschikbaar waren via torrentlinks op Reddit. Die verzameling was samengesteld uit verschillende datalekken.

De nieuwe verzameling, aangeduid als V2, is direct of via een torrent te downloaden. Hunt roept mensen op dat laatste te doen, omdat hosting van de dataset kostbaar is. Daarnaast heeft de onderzoeker zijn api-pagina bijgewerkt met informatie over het uitlezen van de nieuwe dump. Ook de webdienst, die online kwam bij de eerste variant, is nog steeds te gebruiken. Hunt stelt de wachtwoorden ter beschikking in de hoop dat organisaties die bijvoorbeeld een website beheren, ze gebruiken om mensen te waarschuwen die een wachtwoord gebruiken dat al eens is uitgelekt. Het is niet aan de raden om ergens een wachtwoord in te vullen dat nog actief wordt gebruikt, waarschuwt Hunt.

pwned passwords v2
De onlineversie van Pwned Passwords met input 'hunter2'

Door Sander van Voorst

Nieuwsredacteur

Feedback • 22-02-2018 14:37 63

22-02-2018 • 14:37

63

Lees meer

E-mailadressen en gehashte wachtwoorden Aptoide-gebruikers zijn uitgelekt
E-mailadressen en gehashte wachtwoorden Aptoide-gebruikers zijn uitgelekt Nieuws van 20 april 2020
Mozilla en Have I Been Pwned werken samen bij tool voor uitgelekte logins
Mozilla en Have I Been Pwned werken samen bij tool voor uitgelekte logins Nieuws van 26 juni 2018
Estse politie geeft database met 655.000 e-mailadressen aan Have I Been Pwned
Estse politie geeft database met 655.000 e-mailadressen aan Have I Been Pwned Nieuws van 11 juni 2018
Nederlander wil ook in andere landen aandacht voor wachtwoorden met zoekmachine
Nederlander wil ook in andere landen aandacht voor wachtwoorden met zoekmachine Nieuws van 5 april 2018
MyFitnessPal vraagt 150 miljoen gebruikers wachtwoord te veranderen na datalek
MyFitnessPal vraagt 150 miljoen gebruikers wachtwoord te veranderen na datalek Nieuws van 30 maart 2018
'Zevenhonderd documenten van Klacht.nl-gebruikers waren in te zien via Google'
'Zevenhonderd documenten van Klacht.nl-gebruikers waren in te zien via Google' Nieuws van 12 maart 2018
'Veertig procent van Nederlanders hergebruikt wachtwoord' - update
'Veertig procent van Nederlanders hergebruikt wachtwoord' - update Nieuws van 5 maart 2018
HaveIBeenPwned voegt inloggegevens van 26 miljoen nieuwe e-mailadressen toe
HaveIBeenPwned voegt inloggegevens van 26 miljoen nieuwe e-mailadressen toe Nieuws van 26 februari 2018
1Password gaat wachtwoorden controleren via Have I Been Pwned
1Password gaat wachtwoorden controleren via Have I Been Pwned Nieuws van 23 februari 2018
Mozilla-ontwikkelaar test Firefox-notificatie bij bezoek aan site met datalek
Mozilla-ontwikkelaar test Firefox-notificatie bij bezoek aan site met datalek Nieuws van 23 november 2017
'Database met gegevens van dertig miljoen Zuid-Afrikanen lekt uit'
'Database met gegevens van dertig miljoen Zuid-Afrikanen lekt uit' Nieuws van 18 oktober 2017
Online discussieplatform Disqus had in 2012 datalek
Online discussieplatform Disqus had in 2012 datalek Nieuws van 8 oktober 2017
Accountgegevens miljoenen Bit.ly- en Kickstarter-gebruikers verschijnen online
Accountgegevens miljoenen Bit.ly- en Kickstarter-gebruikers verschijnen online Nieuws van 6 oktober 2017
Onderzoeker vindt 711 miljoen e-mailadressen op Nederlandse spamserver
Onderzoeker vindt 711 miljoen e-mailadressen op Nederlandse spamserver Nieuws van 30 augustus 2017
Onderzoeker Troy Hunt stelt 306 miljoen uitgelekte wachtwoorden beschikbaar
Onderzoeker Troy Hunt stelt 306 miljoen uitgelekte wachtwoorden beschikbaar Nieuws van 3 augustus 2017
Nederlandse politie zet eigen variant 'have I been pwned' online
Nederlandse politie zet eigen variant 'have I been pwned' online Nieuws van 28 juli 2017
Meer producten en artikelen
Netwerk en systeembeheer Wachtwoord

Reacties (63)

-Moderatie-faq
63
63
48
5
1
3
Wijzig sortering
Anonymoussaurus 22 februari 2018 14:40
Via de volgende link kun je je username of e-mail adres invoeren en zien of je voorkomt in de/een datalek: https://haveibeenpwned.com/

Je kunt sinds een tijdje ook zoeken op wachtwoorden: https://haveibeenpwned.com/Passwords

In het geval van een sensitive breach, kan je niet openbaar zoeken, maar moet je dat doen met behulp van authenticatie. Dat kan bijvoorbeeld via e-mail. Meer informatie hierover is hier te vinden: https://haveibeenpwned.com/FAQs#SensitiveBreach

Via deze link kan je jezelf laten notificeren als jouw gegevens ineens wel voorkomen in een databreach: https://haveibeenpwned.com/NotifyMe

En ook via deze website, kan je jezelf uitschrijven (opt-out) voor de database van haveibeenpwned.com. Dat kan hier: https://haveibeenpwned.com/OptOut

Zie de FAQ voor info over hoe de website met jouw gegevens omgaat: https://haveibeenpwned.com/FAQs

Voor de beheerders is er een Domain Search optie. Nadat je hebt bewezen dat je beheerder bent van een bepaald domein krijg je van e-mailaccounts binnen dat domein te zien of ze bij bekende breaches betrokken zijn. Als systeembeheerder kun je dan je medewerkers informeren. Aangezien mensen geneigd zijn wachtwoorden te hergebruiken kan zo'n lek immers gevolgen hebben voor andere accounts van je bedrijf. Dat kan via de volgende link: https://haveibeenpwned.com/DomainSearch

[Reactie gewijzigd door Anonymoussaurus op 23 juli 2024 08:43]

.oisyn Moderator Devschuur® @Anonymoussaurus22 februari 2018 14:58
Je kunt sinds een tijdje ook zoeken op wachtwoorden: https://haveibeenpwned.com/Passwords
Interessant is hierbij dat ze sinds kort gebruik maken van een vorm van k-anonymity.

Het initiele probleem is dat je geen wachtwoorden wilt kunnen loggen. Je kunt je wachtwoord naar de site sturen, maar dan beschikt de site over je password, dus dat is niet zo handig. De volgende stap is het sturen van een (SHA-1) hash van je wachtwoord, maar als de site die hash in de database vindt kan hij in theorie ook het originele wachtwoord erbij halen (immers, die wachtwoorden zijn gelekt).

Via de range API (wat de wachtwoordsearch op de site client-side gebruikt) stuur je eigenlijk alleen maar de eerste 5 tekens van de hash. Het resultaat is dan alle password hashes die beginnen met die 5 tekens, alsmede een count van hoe vaak de passwords waren gevonden. Aan de hand van die resultaten kun je dus zien of jouw wachtwoord(hash) er ook tussen staat, en het enige wat de site kan weten is de eerste 5 tekens van de hash van je wachtwoord, meer niet.

Wel interessant, mijn huidige standaardwachtwoord (die ik eigenlijk alleen nog maar gebruik voor mijn wachtwoordmanager en mijn Windows account) staat er gelukkig niet tussen. Maar mijn oude wachtwoord die ik tot een jaar of 10 geleden nog wel gebruikte voor veel zaken, heeft 3 hits.

[Reactie gewijzigd door .oisyn op 23 juli 2024 08:43]

RVervuurt @.oisyn22 februari 2018 15:17
Een wachtwoord wat ik al jaren gebruik (sinds 2001, voor niet privacy-gevoelige doeleinden), is niet gelekt, maar een variatie op dat wachtwoord (letters vervangen voor cijfers bijvoorbeeld) wel. Dat is wel klote, dus gauw even overal veranderen.

[Reactie gewijzigd door RVervuurt op 23 juli 2024 08:43]

RobIII @RVervuurt22 februari 2018 18:56
gauw even overal veranderen.
Daar zit 't grootste probleem. Elke site een eigen, uniek wachtwoord. Always. Lang leve passwordmanagers.
RVervuurt @RobIII23 februari 2018 08:03
Ik gebruik al een paar jaar een wachtwoordmanager, maar voor die tijd gebruikte ik dat wachtwoord dat gelekt is.

Tot nu toe altijd gehad van “komt goed, ik ga binnenkort die wachtwoorden vervangen”, maar nu gaat het ook echt gebeuren.
KaiTak @RobIII23 februari 2018 01:40
gelukkig is mijn paswoord ook nog niet gelekt!

allyourbasearebongtousisastupidtransltionerrormadeinavideog@m3
Mmore @Anonymoussaurus22 februari 2018 15:00
En als toevoeging voor Devs, je kan de lijst met wachtwoorden ook downloaden voor implementatie in een eigen omgeving (gehashed natuurlijk). Je kan dan de SHA1 hash van een door een gebruiker voorgesteld wachtwoord vergelijken met de lijst, als het wachtwoord al voorkomt in de lijst dan kan je de gebruiker bijvoorbeeld forceren om een ander wachtwoord te kiezen. Meer informatie in zijn blog en de NIST richtlijnen voor best practices waarin aangeraden wordt om deze manier van controle op een valide wachtwoord te gebruiken.

[Reactie gewijzigd door Mmore op 23 juli 2024 08:43]

RVervuurt @Mmore22 februari 2018 15:19
In eerste instantie had ik zoiets van "Maar, een nieuwe gebruiker med dat wachtwoord, hoeft toch in die combinatie niet voor te komen in de database?", waarna ik bedacht dat hackers deze database ook kunnen downloaden en dus veel makkelijker kunnen bruteforcen.
Kiswum @Anonymoussaurus22 februari 2018 15:12
Eigenlijk geef je nu aan welke menuopties er zijn als je op het hamburgermenu drukt op de site: https://haveibeenpwned.com/
:P

[Reactie gewijzigd door Kiswum op 23 juli 2024 08:43]

Anonymoussaurus @Kiswum22 februari 2018 15:14
Tsja, op mobiel is het een hamburgermenu; op de pc niet. Het is altijd handig om wat informatie toe te voegen en sommigen hebben geen zin om de hele site door te spitten, dus tja.
Kiswum @Anonymoussaurus22 februari 2018 16:45
Op de pc is het nog eenvoudiger, maar goed je zit wel op Tweakers hè. Op een kopje/titel klikken staat voor ons niet gelijk aan een site doorspitten ;)
krosis @Anonymoussaurus22 februari 2018 16:55
"penis", This password has been seen 40,099 times before. Wauw.
Proxxima @krosis22 februari 2018 22:39
Zoek voor de aardigheid eens op ' qwerty ' Goed voor meer dan 3,5 miljoen...
vSchooten @Proxxima23 februari 2018 10:20
'12345678' wordt 2.68 miljoen keer gevonden |:(
computerjunky @Anonymoussaurus26 februari 2018 15:00
...woops

[Reactie gewijzigd door computerjunky op 23 juli 2024 08:43]

Basxt 22 februari 2018 15:09
Laatst nog een conversatie gehad met deze man op Twitter. Ik kreeg namelijk een mail van Have I Been Pwned dat mijn email adres was gevonden in een pastebin leak. Ongeveer 900 emails waren in deze leak zichtbaar voor mij waaronder de geassocieerde wachtwoorden.

Volgens hem maakte het niet uit dat hij via deze service 900 accounts deelt met alle mensen die Have I Been Pwned meldingen aan heeft staan. Ja, fijn dat ik op de hoogte ben, maar niet fijn dat een potentieel grote groep andere mensen nu ook mijn wachtwoord weet.

https://i.imgur.com/Xe1rsk9.jpg
Sorry voor de offtopic, maar naar mijn mening helpt deze man leuk mee aan het verspreiden van gevoelige info.

[Reactie gewijzigd door Basxt op 23 juli 2024 08:43]

.oisyn Moderator Devschuur® @Basxt22 februari 2018 15:22
Volgens mij realiseer je je niet dat die informatie al publiekelijk leesbaar is. Iedereen kan actief de paste sites monitoren om emailadressen en wachtwoorden te scannen die erop gedeeld worden. Het enige wat de site doet is jou ervan op de hoogte stellen als jouw mailadres er tussenstaat.

Het is ook niet dat Troy Hunt die data heeft gedumpt op een paste site. Die data is gedumpt door anderen, en voor iedereen inzichtelijk.

[Reactie gewijzigd door .oisyn op 23 juli 2024 08:43]

Basxt @.oisyn22 februari 2018 15:26
Uiteraard, dat probleem zal altijd blijven. Ik ben alleen van mening dat het delen val zulke lijsten niet verstandig is. Mensen die zich niet hebben aangemeld voor zulke meldingen zijn nu dus ook de dupe, waar normaal een leaker/hacker en wat snoopers de wachtwoorden zullen weten zijn dat nu tientallen dan niet honderden mensen.
encryped @Basxt22 februari 2018 16:57
waar normaal een leaker/hacker en wat snoopers de wachtwoorden zullen weten
Even een factcheck voor je als je wachtwoord dmv "Have I Been Pwned" geopenbaard is. Dan durf ik je te garanderen dat jouw wachtwoord al lang bekend is bij 1.000 zij het niet 10.000 hackers/scammers. Dus daarin maakt "Have I Been Pwned" weinig verschil in behalve dat jij als gebruiker gealarmeerd word. Probeer je alstublieft te realiseren dat security by obscurity helemaal geen security is.

[Reactie gewijzigd door encryped op 23 juli 2024 08:43]

Malarky @Basxt22 februari 2018 20:29
Hoe kom je erbij? Ik en vele andere die notificaties ontvangen hebben deze mail niet gekregen, want we staan niet in de Paste.

Je doet net alsof Troy het hele Internet op de hoogte heeft gebracht dat het wachtwoord van Basxt en 899 anderen online staat. Hij heeft slechts 900 geheel kosteloos en zonder eigen belang geinformeerd dat de spammers en hackers allang met hun wachtwoorden aan de haal zijn.

Dus zie totaal je probleem niet. Als jij je veilig voelt door niet geinformeerd te worden meld je je toch af voor de notificatie?
j-phone @Basxt22 februari 2018 23:22
Deze redenatie staat ook wel bekend als 'security through obscurity' en werkt in niets mee met het daadwerkelijk veilig houden van zaken.
Jay-v @Basxt22 februari 2018 15:53
En indirect doe je zelf nu precies het zelfde ;-). Die lijst staat namelijk nog gewoon op pastebin en is eenvoudig te vinden naar aanleiding van jou screenshot. EDIT: screenshot inmiddels verwijderd :)

Echter, zoals .oisyn al aangeeft, het staat al online voor iedereen. De beste man stuurt je een notificatie zodat jij actie kan ondernemen. Het is nu aan jou om dat zo snel mogelijk te doen.

[Reactie gewijzigd door Jay-v op 23 juli 2024 08:43]

Basxt @Jay-v22 februari 2018 16:29
Neehoor, dit lijstje is verwijderd. Of jij moet een copy hebben gevonden. :) Maar snap jullie punt wel.

[Reactie gewijzigd door Basxt op 23 juli 2024 08:43]

StefanSvD 22 februari 2018 14:41
Ben bij haveibeenpwnd altijd een beetje huiverig dat ze mn wachtwoord nu WEL hebben omdat ik het daar heb ingevuld. Doe t wel maar dat neemt het gevoel niet weg
gorgi_19 @StefanSvD22 februari 2018 15:01
Als je de FAQ leest:
Are user passwords stored in this site?

No. The intention of the site is to map email addresses and usernames to data breaches and storing the passwords here would do nothing to achieve that end.
Ze hebben een lijst met emailadressen en een lijst met wachtwoorden, welke niet gekoppeld zijn aan elkaar.
De gegevens zijn gebaseerd op bestaande 'lekken'. Hoe zou de koppeling gemaakt moeten worden? Enige optie is een dictionary attack, maar echt zinvol zal dat niet zijn.
.oisyn Moderator Devschuur® @gorgi_1922 februari 2018 15:07
Ik vind dat je hier nogal kort door de bocht gaat. Je gelooft de eigenaar van de site op zijn woord dat ze die koppeling niet maken, maar dat kun je niet controleren.

Wat wel te controleren is, is het feit dat de site je wachtwoord hasht, vervolgens alleen de eerste 5 tekens stuurt naar https://api.pwnedpasswords.com/range/, die vervolgens een lijst met hashes teruggeeft die beginnen met die 5 tekens. Aan de clientside (dus in jouw browser) wordt vervolgens gekeken of de hash van jouw wachtwoord er tussen staat, en zo ja hoeveel hits die heeft. De site zelf ontvangt dus nooit jouw wachtwoord, of een volledige hash ervan.
Kenhas @gorgi_1922 februari 2018 15:41
Alleen maar als je 100% vertrouwen hebt in de eigenaar van de site.

Als iemand zoekt of zijn emailadres in de database voorkomt en enkele seconden daarna wordt er een paswoord gecontroleerd vanop hetzelfde ip adres, dan kan je toch al eens met die twee proberen op sites zoals facebook (om maar iets te zeggen)
MuddyMagical @StefanSvD22 februari 2018 14:49
Net zo zenuwachtig als je bent als je het bij de website waar je het gebruikt zelf invuld? Troy Hunt is heel transparant en duidelijk over het gebruik. Er zijn maar weinig websites waar de beheerder zo bekend is. Op het moment dat je een username & password aanmaakt bij een andere website met vage voorwaarden moet je dat maar afwachten.
anargeek @MuddyMagical22 februari 2018 15:25
Precies. In elk ander geval zou ik ook niet gauw m'n wachtwoord op een andere site intikken, maar Troy Hunt is betrouwbaar
WaterFire @anargeek22 februari 2018 15:44
Zegt Troy Hunt. En zijn vrienden. En de vrienden van zijn vrienden, want hun vriend zegt dat Troy Hunt betrouwbaar is. En daar zit een journalist tussen die zegt dat Troy Hunt betrouwbaar is want hij heeft een vriend die Troy Hunt kent en die zegt dat hij betrouwbaar is :)

Oke, tinfoil hat er weer af..

Ik denk hetzelfde als StefanSvD; ik heb zo'n beetje voor iedere login wel een uniek password die ik ter plekke kan samenstellen.
Een variant op "TWEAKERS-plus-een-sterk-password-er-achter" voor deze site bijvoorbeeld. Ik ben altijd op mijn hoede dat iemand aan de hand van een voorbeeld kan uitpuzzelen hoe ik dat samenstel en daarmee al mijn unieke passwords kan herleiden. Een robot zal dat denk ik missen maar een mens is slimmer daarin.

[Reactie gewijzigd door WaterFire op 23 juli 2024 08:43]

anargeek @WaterFire22 februari 2018 16:32
Voor mij geldt meer: Troy Hunt is betrouwbaar, zeggen de cybersecurity experts wiens mening ik op vertrouw :P

Ikzelf gebruik ook verschillende wachtwoorden voor elke login, maar dan echt volledig random. En als ik m'n "oude" wachtwoorden opzoek in haveibeenpwned's database zie ik dat ik er goed aan gedaan heb dat consistent door te voeren
Zer0 @anargeek22 februari 2018 17:06
Voor mij geldt meer: Troy Hunt is betrouwbaar, zeggen de cybersecurity experts wiens mening ik op vertrouw :P
Daar is Troy zelf het niet mee eens: Trust nothing
Zer0 @MuddyMagical22 februari 2018 15:50
Op het moment dat je een username & password aanmaakt bij een andere website met vage voorwaarden moet je dat maar afwachten.
Daar zit veel minder risico aan dan een wachtwoord, feitelijk een afspraak tussen twee partijen, met een derde partij te delen, zolang je maar verschillende wachtwoorden voor verschillende websites gebruikt.
Blokker_1999
@StefanSvD22 februari 2018 14:57
En dan? Ze hebben een string. Wat kunnen ze daar mee aanvangen? Het is niet alsof je een wachtwoord moet combineren met een gebruikersnaam en de site waarop je dit gebruikt. En je wil niet weten hoeveel junk er in die site wordt ingegeven om gewoon te proberen.
Verwijderd 22 februari 2018 14:41
Dat gebeurt aan de hand van het sha-1-algoritme, dat weliswaar niet bijzonder veilig is, maar volgens Hunt voldoende is om te voorkomen dat de plaintextwachtwoorden zomaar zijn te achterhalen.
https://www.security.nl/p...r+Hashcat+sterk+verbeterd

Een beetje password cracking cluster weet hier wel raad mee.Als iemand zich even kwaad maakt en een goede setup tot z'n beschikking heeft dan is een groot deel van de hashes wel teruggerekend in afzienbare tijd. Mensen blijven slechte wachtwoorden gebruiken, dat zie je ook al aan deze set als je wat standaard varianten er in checked (P@ssw0rd bijvoorbeeld).
gorgi_19 @Verwijderd22 februari 2018 14:55
Het gaat er ook niet om dat het veilig is, maar om eventuele persoonlijke gegevens te beschermen.
Een wachtwoord als PietjePuk of geboortedatum icm naam wordt zo wel voldoende beschermd.
Verwijderd @gorgi_1922 februari 2018 15:03
Het punt was meer dat iemand die de hardware tot z'n beschikking heeft deze lijst kan uitrekenen en simpelweg weer online kan gooien. Zo zijn we (deels) denk ik ook aan de lijst met 1.2 miljard plain-text accounts gekomen.
Stoelpoot @Verwijderd22 februari 2018 15:14
Inderdaad. Dat is ook 1 van de redenen voor Hunt om het zo te doen: Elke serieuze cracker heeft snellere manieren om deze lijst te vinden, omdat hij de lijst juist uit hun handen heeft gevist.
useruser @Verwijderd22 februari 2018 14:55
Wij gebruiken hier ook 8x gtx1080. De hoeveelheid hashes (wachtwoorden) per seconde die je kunt checken is echt bizar.... Alles onder de 10 karakters is peanuts.
[...]


https://www.security.nl/p...r+Hashcat+sterk+verbeterd

Een beetje password cracking cluster weet hier wel raad mee.Als iemand zich even kwaad maakt en een goede setup tot z'n beschikking heeft dan is een groot deel van de hashes wel teruggerekend in afzienbare tijd. Mensen blijven slechte wachtwoorden gebruiken, dat zie je ook al aan deze set als je wat standaard varianten er in checked (P@ssw0rd bijvoorbeeld).
WhatsappHack
22 februari 2018 14:54
Fijn dat je de database kan downloaden. Het is altijd interessant om te zien. No way dat ik in een online checker m’n wachtwoorden invul. :P
Jiskefet296 @WhatsappHack22 februari 2018 15:04
Oeps. Ik heb 1 van m'n wachtwoorden al ingegeven. Kunnen ze daar nog iets mee zonder een gebruikersnaam dan? De grote sites hebben toch al voorzieningen waardoor je een wachtwoord niet oneindig kunt proberen?
Anonymoussaurus @Jiskefet29622 februari 2018 15:12
Als je jezelf uit de database wilt verwijderen, kun je hier de opt-out doen: https://haveibeenpwned.com/OptOut
Verwijderd @Anonymoussaurus22 februari 2018 19:10
En wat helpt dat? :) lol
Anonymoussaurus @Verwijderd22 februari 2018 19:16
Nou, dan hoef je ook geen angst te hebben dat als de database van Hunt wordt gehackt, je er in staat.
Loggedinasroot @Jiskefet29622 februari 2018 15:12
Je hoeft alleen de eerste 5? karakters van je hash mee te geven.
Je password: "password"
Als je die hashed met sha1 dan wordt password "5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8"
Je stuurt vervolgens "5baa6" naar de site toe en je kan kijken of de hash voorkomt.
.oisyn Moderator Devschuur® @Jiskefet29622 februari 2018 15:25
Wat @Loggedinasroot hierboven zegt is precies wat de wachtwoord checker op https://haveibeenpwned.com/Passwords doet. Je wachtwoord wordt dus niet opgestuurd naar de site. Dit is eenvoudig te controleren met de devtools in je browser (F12)

[Reactie gewijzigd door .oisyn op 23 juli 2024 08:43]

Loggedinasroot 22 februari 2018 14:39
correctbatteryhorsestaple komt niet zo heel vaak voor
Blokker_1999
@Loggedinasroot22 februari 2018 14:52
Tuurlijk, iedereen weet natuurlijk dat hunter2 het veiligste wachtwoord op het net is.

http://bash.org/?244321
.oisyn Moderator Devschuur® @Blokker_199922 februari 2018 14:59
This password has been seen 16,092 times before
Aldus Have I Been Pwned voor "hunter2" :P
daan! @Loggedinasroot22 februari 2018 14:45
damn je was me voor :o
https://xkcd.com/936/

Al was het de 'horse' die correct was, niet de battery die correct was ;)
Vandaar dat de correctbatteryhorsestaple misschien helemaal niet voorkomt.

[Reactie gewijzigd door daan! op 23 juli 2024 08:43]

KvanC 22 februari 2018 15:00
@WhatsappHack

Doet me vermoeden dat je geen "vapourware" soort van ww gebruikt ;)
WhatsappHack
@KvanC22 februari 2018 15:07
Gewoon “qwerty” natuurlijk, omdat zelfs m’n vijanden niet voor mogelijk houden dat ik zo achterlijk zou zijn om dat te gebruiken - dus dat wachtwoord probeert men niet eens meer. Daarmee is het een heel veilig wachtwoord geworden :P Ahw snap, nu niet meer. ;(

[Reactie gewijzigd door WhatsappHack op 23 juli 2024 08:43]

KvanC @WhatsappHack22 februari 2018 15:19
Soort van brengt mij bij het volgende ... for the love of god....

Ergens typ ik het ww in op tweakers voor dit account. Volgens mij is het jaren oud.

Ben ik nu aan te klagen voor een stupide ww of hoe zit dat nu?

Via mijn pw into tweakers lalala
daan! 22 februari 2018 14:43
zelfs het wachtwoord 'correcthorsebatterystaple' is al meer dan 100 keer gep0wned..
https://xkcd.com/936/

[Reactie gewijzigd door daan! op 23 juli 2024 08:43]

Jiskefet296 22 februari 2018 15:00
Maar even downloaden. Ik gebruik per site een uniek wachtwoord, dus kan gelijk zien welke sites dubieus zijn.
j-phone 22 februari 2018 23:37
Om passwords aan te maken maak ik altijd gebruik van http://passwordsgenerator.net/. Als het secure moet zijn dan plak ik desnoods alle gegenereerde passwords aan elkaar. Dit gebruik ik dan voor Plesk / Cpanel en dat soort omgevingen. Wanneer er andere methodes voorhanden zijn dan password beveiliging gebruik ik certificaten.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq