Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Troy Hunt breidt verzameling uitgelekte wachtwoorden uit naar half miljard

Beveiligingsonderzoeker Troy Hunt, bekend van zijn site Have I Been Pwned, heeft zijn bestaande dataset van 306 miljoen uitgelekte wachtwoorden uitgebreid met nog eens 200 miljoen wachtwoorden. Organisaties kunnen deze lijsten gebruiken om wachtwoorden te controleren.

Zijn verzameling draagt de naam Pwned Passwords en stelt de wachtwoorden beschikbaar in gehashte vorm. Dat gebeurt aan de hand van het sha-1-algoritme, dat weliswaar niet bijzonder veilig is, maar volgens Hunt voldoende is om te voorkomen dat de plaintextwachtwoorden zomaar zijn te achterhalen. De totale database omvat 8,8GB aan wachtwoorden en bevat daarnaast een teller die per wachtwoord aangeeft hoe vaak dit in de totale verzameling van de onderzoeker voorkomt. Zo komt 'abc123' bijvoorbeeld meer dan 2,5 miljoen keer voor, schrijft Hunt in een blogpost.

Daarin legt hij verder uit dat de toegevoegde wachtwoorden voornamelijk afkomstig zijn uit de dump van de Onliner-spambot, die uit ongeveer 711 miljoen records bestond en naast e-mailadressen ook wachtwoorden bevatte. Daarnaast gebruikte hij een verzameling van 1,4 miljard plaintextinloggegevens, die enige tijd geleden de ronde deden op het dark web, maar daarvoor al beschikbaar waren via torrentlinks op Reddit. Die verzameling was samengesteld uit verschillende datalekken.

De nieuwe verzameling, aangeduid als V2, is direct of via een torrent te downloaden. Hunt roept mensen op dat laatste te doen, omdat hosting van de dataset kostbaar is. Daarnaast heeft de onderzoeker zijn api-pagina bijgewerkt met informatie over het uitlezen van de nieuwe dump. Ook de webdienst, die online kwam bij de eerste variant, is nog steeds te gebruiken. Hunt stelt de wachtwoorden ter beschikking in de hoop dat organisaties die bijvoorbeeld een website beheren, ze gebruiken om mensen te waarschuwen die een wachtwoord gebruiken dat al eens is uitgelekt. Het is niet aan de raden om ergens een wachtwoord in te vullen dat nog actief wordt gebruikt, waarschuwt Hunt.

De onlineversie van Pwned Passwords met input 'hunter2'

Door

Nieuwsredacteur

63 Linkedin Google+

Reacties (63)

Wijzig sortering
Via de volgende link kun je je username of e-mail adres invoeren en zien of je voorkomt in de/een datalek: https://haveibeenpwned.com/

Je kunt sinds een tijdje ook zoeken op wachtwoorden: https://haveibeenpwned.com/Passwords

In het geval van een sensitive breach, kan je niet openbaar zoeken, maar moet je dat doen met behulp van authenticatie. Dat kan bijvoorbeeld via e-mail. Meer informatie hierover is hier te vinden: https://haveibeenpwned.com/FAQs#SensitiveBreach

Via deze link kan je jezelf laten notificeren als jouw gegevens ineens wel voorkomen in een databreach: https://haveibeenpwned.com/NotifyMe

En ook via deze website, kan je jezelf uitschrijven (opt-out) voor de database van haveibeenpwned.com. Dat kan hier: https://haveibeenpwned.com/OptOut

Zie de FAQ voor info over hoe de website met jouw gegevens omgaat: https://haveibeenpwned.com/FAQs

Voor de beheerders is er een Domain Search optie. Nadat je hebt bewezen dat je beheerder bent van een bepaald domein krijg je van e-mailaccounts binnen dat domein te zien of ze bij bekende breaches betrokken zijn. Als systeembeheerder kun je dan je medewerkers informeren. Aangezien mensen geneigd zijn wachtwoorden te hergebruiken kan zo'n lek immers gevolgen hebben voor andere accounts van je bedrijf. Dat kan via de volgende link: https://haveibeenpwned.com/DomainSearch

[Reactie gewijzigd door AnonymousWP op 22 februari 2018 15:05]

Je kunt sinds een tijdje ook zoeken op wachtwoorden: https://haveibeenpwned.com/Passwords
Interessant is hierbij dat ze sinds kort gebruik maken van een vorm van k-anonymity.

Het initiele probleem is dat je geen wachtwoorden wilt kunnen loggen. Je kunt je wachtwoord naar de site sturen, maar dan beschikt de site over je password, dus dat is niet zo handig. De volgende stap is het sturen van een (SHA-1) hash van je wachtwoord, maar als de site die hash in de database vindt kan hij in theorie ook het originele wachtwoord erbij halen (immers, die wachtwoorden zijn gelekt).

Via de range API (wat de wachtwoordsearch op de site client-side gebruikt) stuur je eigenlijk alleen maar de eerste 5 tekens van de hash. Het resultaat is dan alle password hashes die beginnen met die 5 tekens, alsmede een count van hoe vaak de passwords waren gevonden. Aan de hand van die resultaten kun je dus zien of jouw wachtwoord(hash) er ook tussen staat, en het enige wat de site kan weten is de eerste 5 tekens van de hash van je wachtwoord, meer niet.

Wel interessant, mijn huidige standaardwachtwoord (die ik eigenlijk alleen nog maar gebruik voor mijn wachtwoordmanager en mijn Windows account) staat er gelukkig niet tussen. Maar mijn oude wachtwoord die ik tot een jaar of 10 geleden nog wel gebruikte voor veel zaken, heeft 3 hits.

[Reactie gewijzigd door .oisyn op 22 februari 2018 15:17]

Een wachtwoord wat ik al jaren gebruik (sinds 2001, voor niet privacy-gevoelige doeleinden), is niet gelekt, maar een variatie op dat wachtwoord (letters vervangen voor cijfers bijvoorbeeld) wel. Dat is wel klote, dus gauw even overal veranderen.

[Reactie gewijzigd door RVervuurt op 22 februari 2018 15:18]

gauw even overal veranderen.
Daar zit 't grootste probleem. Elke site een eigen, uniek wachtwoord. Always. Lang leve passwordmanagers.
Ik gebruik al een paar jaar een wachtwoordmanager, maar voor die tijd gebruikte ik dat wachtwoord dat gelekt is.

Tot nu toe altijd gehad van “komt goed, ik ga binnenkort die wachtwoorden vervangen”, maar nu gaat het ook echt gebeuren.
gelukkig is mijn paswoord ook nog niet gelekt!

allyourbasearebongtousisastupidtransltionerrormadeinavideog@m3
En als toevoeging voor Devs, je kan de lijst met wachtwoorden ook downloaden voor implementatie in een eigen omgeving (gehashed natuurlijk). Je kan dan de SHA1 hash van een door een gebruiker voorgesteld wachtwoord vergelijken met de lijst, als het wachtwoord al voorkomt in de lijst dan kan je de gebruiker bijvoorbeeld forceren om een ander wachtwoord te kiezen. Meer informatie in zijn blog en de NIST richtlijnen voor best practices waarin aangeraden wordt om deze manier van controle op een valide wachtwoord te gebruiken.

[Reactie gewijzigd door Mmore op 22 februari 2018 15:01]

In eerste instantie had ik zoiets van "Maar, een nieuwe gebruiker med dat wachtwoord, hoeft toch in die combinatie niet voor te komen in de database?", waarna ik bedacht dat hackers deze database ook kunnen downloaden en dus veel makkelijker kunnen bruteforcen.
Eigenlijk geef je nu aan welke menuopties er zijn als je op het hamburgermenu drukt op de site: https://haveibeenpwned.com/
:P

[Reactie gewijzigd door Kiswum op 22 februari 2018 15:12]

Tsja, op mobiel is het een hamburgermenu; op de pc niet. Het is altijd handig om wat informatie toe te voegen en sommigen hebben geen zin om de hele site door te spitten, dus tja.
Op de pc is het nog eenvoudiger, maar goed je zit wel op Tweakers hè. Op een kopje/titel klikken staat voor ons niet gelijk aan een site doorspitten ;)
"penis", This password has been seen 40,099 times before. Wauw.
Zoek voor de aardigheid eens op ' qwerty ' Goed voor meer dan 3,5 miljoen...
'12345678' wordt 2.68 miljoen keer gevonden |:(
...woops

[Reactie gewijzigd door computerjunky op 26 februari 2018 15:10]

Laatst nog een conversatie gehad met deze man op Twitter. Ik kreeg namelijk een mail van Have I Been Pwned dat mijn email adres was gevonden in een pastebin leak. Ongeveer 900 emails waren in deze leak zichtbaar voor mij waaronder de geassocieerde wachtwoorden.

Volgens hem maakte het niet uit dat hij via deze service 900 accounts deelt met alle mensen die Have I Been Pwned meldingen aan heeft staan. Ja, fijn dat ik op de hoogte ben, maar niet fijn dat een potentieel grote groep andere mensen nu ook mijn wachtwoord weet.

https://i.imgur.com/Xe1rsk9.jpg
Sorry voor de offtopic, maar naar mijn mening helpt deze man leuk mee aan het verspreiden van gevoelige info.

[Reactie gewijzigd door Basxt op 22 februari 2018 16:29]

Volgens mij realiseer je je niet dat die informatie al publiekelijk leesbaar is. Iedereen kan actief de paste sites monitoren om emailadressen en wachtwoorden te scannen die erop gedeeld worden. Het enige wat de site doet is jou ervan op de hoogte stellen als jouw mailadres er tussenstaat.

Het is ook niet dat Troy Hunt die data heeft gedumpt op een paste site. Die data is gedumpt door anderen, en voor iedereen inzichtelijk.

[Reactie gewijzigd door .oisyn op 22 februari 2018 15:24]

Uiteraard, dat probleem zal altijd blijven. Ik ben alleen van mening dat het delen val zulke lijsten niet verstandig is. Mensen die zich niet hebben aangemeld voor zulke meldingen zijn nu dus ook de dupe, waar normaal een leaker/hacker en wat snoopers de wachtwoorden zullen weten zijn dat nu tientallen dan niet honderden mensen.
waar normaal een leaker/hacker en wat snoopers de wachtwoorden zullen weten
Even een factcheck voor je als je wachtwoord dmv "Have I Been Pwned" geopenbaard is. Dan durf ik je te garanderen dat jouw wachtwoord al lang bekend is bij 1.000 zij het niet 10.000 hackers/scammers. Dus daarin maakt "Have I Been Pwned" weinig verschil in behalve dat jij als gebruiker gealarmeerd word. Probeer je alstublieft te realiseren dat security by obscurity helemaal geen security is.

[Reactie gewijzigd door encryped op 22 februari 2018 16:58]

Hoe kom je erbij? Ik en vele andere die notificaties ontvangen hebben deze mail niet gekregen, want we staan niet in de Paste.

Je doet net alsof Troy het hele Internet op de hoogte heeft gebracht dat het wachtwoord van Basxt en 899 anderen online staat. Hij heeft slechts 900 geheel kosteloos en zonder eigen belang geinformeerd dat de spammers en hackers allang met hun wachtwoorden aan de haal zijn.

Dus zie totaal je probleem niet. Als jij je veilig voelt door niet geinformeerd te worden meld je je toch af voor de notificatie?
Deze redenatie staat ook wel bekend als 'security through obscurity' en werkt in niets mee met het daadwerkelijk veilig houden van zaken.
En indirect doe je zelf nu precies het zelfde ;-). Die lijst staat namelijk nog gewoon op pastebin en is eenvoudig te vinden naar aanleiding van jou screenshot. EDIT: screenshot inmiddels verwijderd :)

Echter, zoals .oisyn al aangeeft, het staat al online voor iedereen. De beste man stuurt je een notificatie zodat jij actie kan ondernemen. Het is nu aan jou om dat zo snel mogelijk te doen.

[Reactie gewijzigd door Jay-v op 22 februari 2018 16:44]

Neehoor, dit lijstje is verwijderd. Of jij moet een copy hebben gevonden. :) Maar snap jullie punt wel.

[Reactie gewijzigd door Basxt op 22 februari 2018 16:38]

Ben bij haveibeenpwnd altijd een beetje huiverig dat ze mn wachtwoord nu WEL hebben omdat ik het daar heb ingevuld. Doe t wel maar dat neemt het gevoel niet weg
Als je de FAQ leest:
Are user passwords stored in this site?

No. The intention of the site is to map email addresses and usernames to data breaches and storing the passwords here would do nothing to achieve that end.
Ze hebben een lijst met emailadressen en een lijst met wachtwoorden, welke niet gekoppeld zijn aan elkaar.
De gegevens zijn gebaseerd op bestaande 'lekken'. Hoe zou de koppeling gemaakt moeten worden? Enige optie is een dictionary attack, maar echt zinvol zal dat niet zijn.
Ik vind dat je hier nogal kort door de bocht gaat. Je gelooft de eigenaar van de site op zijn woord dat ze die koppeling niet maken, maar dat kun je niet controleren.

Wat wel te controleren is, is het feit dat de site je wachtwoord hasht, vervolgens alleen de eerste 5 tekens stuurt naar https://api.pwnedpasswords.com/range/, die vervolgens een lijst met hashes teruggeeft die beginnen met die 5 tekens. Aan de clientside (dus in jouw browser) wordt vervolgens gekeken of de hash van jouw wachtwoord er tussen staat, en zo ja hoeveel hits die heeft. De site zelf ontvangt dus nooit jouw wachtwoord, of een volledige hash ervan.
Alleen maar als je 100% vertrouwen hebt in de eigenaar van de site.

Als iemand zoekt of zijn emailadres in de database voorkomt en enkele seconden daarna wordt er een paswoord gecontroleerd vanop hetzelfde ip adres, dan kan je toch al eens met die twee proberen op sites zoals facebook (om maar iets te zeggen)
Net zo zenuwachtig als je bent als je het bij de website waar je het gebruikt zelf invuld? Troy Hunt is heel transparant en duidelijk over het gebruik. Er zijn maar weinig websites waar de beheerder zo bekend is. Op het moment dat je een username & password aanmaakt bij een andere website met vage voorwaarden moet je dat maar afwachten.
Precies. In elk ander geval zou ik ook niet gauw m'n wachtwoord op een andere site intikken, maar Troy Hunt is betrouwbaar
Zegt Troy Hunt. En zijn vrienden. En de vrienden van zijn vrienden, want hun vriend zegt dat Troy Hunt betrouwbaar is. En daar zit een journalist tussen die zegt dat Troy Hunt betrouwbaar is want hij heeft een vriend die Troy Hunt kent en die zegt dat hij betrouwbaar is :)

Oke, tinfoil hat er weer af..

Ik denk hetzelfde als StefanSvD; ik heb zo'n beetje voor iedere login wel een uniek password die ik ter plekke kan samenstellen.
Een variant op "TWEAKERS-plus-een-sterk-password-er-achter" voor deze site bijvoorbeeld. Ik ben altijd op mijn hoede dat iemand aan de hand van een voorbeeld kan uitpuzzelen hoe ik dat samenstel en daarmee al mijn unieke passwords kan herleiden. Een robot zal dat denk ik missen maar een mens is slimmer daarin.

[Reactie gewijzigd door WaterFire op 22 februari 2018 15:46]

Voor mij geldt meer: Troy Hunt is betrouwbaar, zeggen de cybersecurity experts wiens mening ik op vertrouw :P

Ikzelf gebruik ook verschillende wachtwoorden voor elke login, maar dan echt volledig random. En als ik m'n "oude" wachtwoorden opzoek in haveibeenpwned's database zie ik dat ik er goed aan gedaan heb dat consistent door te voeren
Voor mij geldt meer: Troy Hunt is betrouwbaar, zeggen de cybersecurity experts wiens mening ik op vertrouw :P
Daar is Troy zelf het niet mee eens: Trust nothing
Op het moment dat je een username & password aanmaakt bij een andere website met vage voorwaarden moet je dat maar afwachten.
Daar zit veel minder risico aan dan een wachtwoord, feitelijk een afspraak tussen twee partijen, met een derde partij te delen, zolang je maar verschillende wachtwoorden voor verschillende websites gebruikt.
En dan? Ze hebben een string. Wat kunnen ze daar mee aanvangen? Het is niet alsof je een wachtwoord moet combineren met een gebruikersnaam en de site waarop je dit gebruikt. En je wil niet weten hoeveel junk er in die site wordt ingegeven om gewoon te proberen.
Dat gebeurt aan de hand van het sha-1-algoritme, dat weliswaar niet bijzonder veilig is, maar volgens Hunt voldoende is om te voorkomen dat de plaintextwachtwoorden zomaar zijn te achterhalen.
https://www.security.nl/p...r+Hashcat+sterk+verbeterd

Een beetje password cracking cluster weet hier wel raad mee.Als iemand zich even kwaad maakt en een goede setup tot z'n beschikking heeft dan is een groot deel van de hashes wel teruggerekend in afzienbare tijd. Mensen blijven slechte wachtwoorden gebruiken, dat zie je ook al aan deze set als je wat standaard varianten er in checked (P@ssw0rd bijvoorbeeld).
Het gaat er ook niet om dat het veilig is, maar om eventuele persoonlijke gegevens te beschermen.
Een wachtwoord als PietjePuk of geboortedatum icm naam wordt zo wel voldoende beschermd.
Het punt was meer dat iemand die de hardware tot z'n beschikking heeft deze lijst kan uitrekenen en simpelweg weer online kan gooien. Zo zijn we (deels) denk ik ook aan de lijst met 1.2 miljard plain-text accounts gekomen.
Inderdaad. Dat is ook 1 van de redenen voor Hunt om het zo te doen: Elke serieuze cracker heeft snellere manieren om deze lijst te vinden, omdat hij de lijst juist uit hun handen heeft gevist.
Wij gebruiken hier ook 8x gtx1080. De hoeveelheid hashes (wachtwoorden) per seconde die je kunt checken is echt bizar.... Alles onder de 10 karakters is peanuts.
[...]


https://www.security.nl/p...r+Hashcat+sterk+verbeterd

Een beetje password cracking cluster weet hier wel raad mee.Als iemand zich even kwaad maakt en een goede setup tot z'n beschikking heeft dan is een groot deel van de hashes wel teruggerekend in afzienbare tijd. Mensen blijven slechte wachtwoorden gebruiken, dat zie je ook al aan deze set als je wat standaard varianten er in checked (P@ssw0rd bijvoorbeeld).
Fijn dat je de database kan downloaden. Het is altijd interessant om te zien. No way dat ik in een online checker m’n wachtwoorden invul. :P
Oeps. Ik heb 1 van m'n wachtwoorden al ingegeven. Kunnen ze daar nog iets mee zonder een gebruikersnaam dan? De grote sites hebben toch al voorzieningen waardoor je een wachtwoord niet oneindig kunt proberen?
Als je jezelf uit de database wilt verwijderen, kun je hier de opt-out doen: https://haveibeenpwned.com/OptOut
En wat helpt dat? :) lol
Nou, dan hoef je ook geen angst te hebben dat als de database van Hunt wordt gehackt, je er in staat.
Je hoeft alleen de eerste 5? karakters van je hash mee te geven.
Je password: "password"
Als je die hashed met sha1 dan wordt password "5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8"
Je stuurt vervolgens "5baa6" naar de site toe en je kan kijken of de hash voorkomt.
Wat @Loggedinasroot hierboven zegt is precies wat de wachtwoord checker op https://haveibeenpwned.com/Passwords doet. Je wachtwoord wordt dus niet opgestuurd naar de site. Dit is eenvoudig te controleren met de devtools in je browser (F12)

[Reactie gewijzigd door .oisyn op 22 februari 2018 15:26]

correctbatteryhorsestaple komt niet zo heel vaak voor
Tuurlijk, iedereen weet natuurlijk dat hunter2 het veiligste wachtwoord op het net is.

http://bash.org/?244321
This password has been seen 16,092 times before
Aldus Have I Been Pwned voor "hunter2" :P
damn je was me voor :o
https://xkcd.com/936/

Al was het de 'horse' die correct was, niet de battery die correct was ;)
Vandaar dat de correctbatteryhorsestaple misschien helemaal niet voorkomt.

[Reactie gewijzigd door daan! op 22 februari 2018 14:46]

@WhatsappHack

Doet me vermoeden dat je geen "vapourware" soort van ww gebruikt ;)
Gewoon “qwerty” natuurlijk, omdat zelfs m’n vijanden niet voor mogelijk houden dat ik zo achterlijk zou zijn om dat te gebruiken - dus dat wachtwoord probeert men niet eens meer. Daarmee is het een heel veilig wachtwoord geworden :P Ahw snap, nu niet meer. ;(

[Reactie gewijzigd door WhatsappHack op 22 februari 2018 15:07]

Soort van brengt mij bij het volgende ... for the love of god....

Ergens typ ik het ww in op tweakers voor dit account. Volgens mij is het jaren oud.

Ben ik nu aan te klagen voor een stupide ww of hoe zit dat nu?

Via mijn pw into tweakers lalala
zelfs het wachtwoord 'correcthorsebatterystaple' is al meer dan 100 keer gep0wned..
https://xkcd.com/936/

[Reactie gewijzigd door daan! op 22 februari 2018 14:44]

Maar even downloaden. Ik gebruik per site een uniek wachtwoord, dus kan gelijk zien welke sites dubieus zijn.
Om passwords aan te maken maak ik altijd gebruik van http://passwordsgenerator.net/. Als het secure moet zijn dan plak ik desnoods alle gegenereerde passwords aan elkaar. Dit gebruik ik dan voor Plesk / Cpanel en dat soort omgevingen. Wanneer er andere methodes voorhanden zijn dan password beveiliging gebruik ik certificaten.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Samsung Galaxy S9 Dual Sim OnePlus 6 Battlefield V Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*