Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Nederlander wil ook in andere landen aandacht voor wachtwoorden met zoekmachine

De Nederlander die vorige week een zoekmachine voor wachtwoorden online zette maar vervolgens weer onbereikbaar maakte, wil ook in Duitsland en België op deze manier om aandacht voor 'internetveiligheid' vragen. De Nederlandse versie is middels weer online.

De Nederlander, die zichzelf aanduidt als D0gberry, zegt tegen het AD dat hij zijn actie ziet als een 'internetveiligheidscampagne'. Hij ziet de actie als een 'enorm succes' en zegt dat 'de rest van de wereld nog wel een wake-upcall nodig heeft'. Zo zouden mensen nog steeds vatbaar zijn voor misbruik omdat hun wachtwoorden in uitgelekte databases te vinden zijn. Hij verklaart verder dat hij ervoor heeft gekozen om een deel van de gebruikersnamen en wachtwoorden in zijn zoekmachine te tonen, omdat hij daarmee mensen wil aanzetten tot actie.

De reden voor het offline halen van de dienst was dat hij zich zorgen maakte over de juridische gevolgen. Maar na een blogpost van ict-jurist Arnoud Engelfriet, waarin hij geen bezwaren voor het op deze manier publiceren van gedeeltelijke wachtwoorden ziet, zegt D0gberry dat er geen reden meer is om de site offline te houden. Op de zoeksite schrijft hij dat er afgelopen vrijdag 1,3 miljoen zoekopdrachten op de site werden uitgevoerd, die zijn server van tien dollar niet aankon. Inmiddels heeft hij aanpassingen gedaan.

De database zou bestaan uit 1,4 miljard inloggegevens, waarvan 3,3 miljoen Nederlandse. Dit soort databases, die doorgaans zijn samengesteld uit lekken van grote diensten als LinkedIn en Dropbox, zijn al langer op internet te vinden. Een recente rondvraag van Tweakers onder bedrijven als Marktplaats en Bol.com wees uit dat de beschikbaarheid van dit soort databases niet direct leidt tot een toename in accountmisbruik.

Er zijn ook diensten die mensen op basis van hun gebruikersnaam of wachtwoord laten controleren of hun gegevens zijn uitgelekt, zoals Have I Been Pwned van de beveiligingsonderzoeker Troy Hunt. Het is doorgaans aan te raden een uniek sterk wachtwoord voor verschillende accounts te gebruiken, wat eenvoudiger is met een wachtwoordmanager.

Door Sander van Voorst

Nieuwsredacteur

05-04-2018 • 17:55

147 Linkedin Google+

Reacties (147)

Wijzig sortering
In zijn database staan een paar hele oude en allang veranderde wachtwoorden van mij. Haveibeenpwned geeft me meer. Idem voor mijn vrouw: 6 hits op haveibeenpwned en 0 bij gotcha.
Ik ben nog niet onder de indruk.
Volgens mij zit het verschil in dat Gotcha alleen iets toont daar waar je plain wachtwoord uitgelekt is. En HaveIBeenPwned alles waar je emailadres in voor komt (ook als je wachtwoord hashed is).
Je kunt ook op password zoeken bij HaveIBeenPwned dus dat heeft niks met je email adres te maken.
Ik snap niet helemaal waarom je op mij reageert want dat zeg ik toch ook niet? Gotcha geeft alleen resultaat als je email + plain password combinatie gelekt is. HaveIBeenPwned laat alles zien. Dus ook situaties waarin jouw email + hashed wachtwoord gelekt zijn. Logisch dat dat er meer zijn maar ik zou mij toch echt meer zorgen maken om die 1e hit bij Gotcha waarin je wachtwoord al ontcijferd en aan je email gekoppelt is.

En een leuke extra dat je op wachtwoorden kan zoeken. Dat zegt alleen helemaal niets over mijn gebruikte combinaties. Behalve dat iemand anders dat wachtwoord blijkbaar ook gebruikt.

[Reactie gewijzigd door .SnifraM op 6 april 2018 20:55]

Omdat ze het hadden over password, niet over email.
Voor mij staan er ook verouderde wachtwoorden in, ik weet niet precies wanneer ik dat wachtwoord had met die beginletters maar dat is voor mij echt al weer een poaar wachtwoorden terug.

De gegevens welke er vian mij staan blijken af te komen van Linkedin en Monsterboard.
Je moest eens weten hoe veel mensen lang hetzelfde wachtwoord gebruiken. Deze database is dus écht wel relevant.
Aparte reactie, je vind het vervelend dat de eerste 2 tekens van je wachtwoord worden getoond, maar dat hetzelfde e-mail adres met volledig wachtwoord op websites als pastebin staan 'boeit' je niet?

Ik vind het juist WEL handig dat ik kan controleren of mijn gegevens uitgelekt zijn. Om die reden heb ik notificaties van HaveIBeenPwnd aan staan. Helaas kan ik dan niet controleren welk wachtwoord uitgelekt is, dan moet ik wel alles aanpassen. Op de website hierboven wordt een wachtwoord uit 2010 gebruikt, daar hoef ik mij geen zorgen om te maken.
Op websites als pastebin staat dit soort spul nooit echt langer dan een dag of 2, echter de kopie die daarvan rondzwerft bestaat wel nog ergens, daar kan ik best mee leven ja. En er zijn al genoeg zichzelf bewezen sites waar je kan controleren of je gegevens gelekt zijn, zonder dat ze deze gegevens vervolgens gedeeltelijk aan jan en alle man laten zien, dus ik vind het NIET handig van deze pipo.
Ik vind het behoorlijk onbeschoft om die gegevens online te zetten, hij heeft daar niets mee te maken en heeft zeker niet het recht om het publiekelijk te maken.
Stuur dan als je die mensen iets duidelijk wilt maken een mail dat hun gegevens voor het grijpen liggen.
Want nu kan men kwaad doen bij andere terwijl dat niet de bedoeling is. Als je iets duidelijk wilt maken kan dat op meerdere manieren..en dit is niet de juiste vind ik.
Zijn allemaal online te vinden dus kwaadwillenden hadden allang de beschkiing over deze combo's - maar dan zonder de ***'s.

Prima dat dit gebeurt, dit probleem krijgt al veel te lang veel te weinig aandacht. Het is alleen jammer dat de teneur steeds is om de consument erop te wijzen dat hij zijn gedrag moet veranderen, terwijl het de website(database)s die gehackt zijn.

Zo'n email/ww combotje boeit me verder weinig, werkelijke persoonsgegevens vind ik veel pijnlijker - bijv. je personalia incl. betaalgegevens die iedereen al bij 100.000 webshops ingevuld heeft. Zonder die gegevens in te vullen kun je niks bestellen en als consument kun je ook het security beleid van betreffende shop niet controleren dus de bal moet in dat geval echt bij de shops liggen.

Gelukkig komt de nieuwe AVG eraan, hopelijk zet die zoden aan de dijk. Zullen vast nog wel een paar rechtszaken (en failliete webshop ondernemers) overheen gaan voor het zo ver is, helaas.
Het is alleen jammer dat de teneur steeds is om de consument erop te wijzen dat hij zijn gedrag moet veranderen, terwijl het de website(database)s die gehackt zijn.
Maar het zijn toch echt de consumenten zelf die overal hetzelfde wachtwoord invullen. En er hoeft maar 1 site te zijn waar je zo'n hergebruikt wachtwoord had om toegang te geven tot alle andere sites met datzelfde wachtwoord.
Zo'n email/ww combotje boeit me verder weinig, werkelijke persoonsgegevens vind ik veel pijnlijker - bijv. je personalia incl. betaalgegevens die iedereen al bij 100.000 webshops ingevuld heeft.
Dat email/ww combotje geeft je bij zat webwinkels toegang tot eerdere bestellingen, incl. adres en betaalgegevens.
Ik zat hier al op te wachten, want ik wil heel graag weten welk wachtwoord van mij bekend is. En nu ik het weet heb ik de wachtwoorden van een paar websites meteen gewijzigd.

Mijn dank gaat uit naar D0gberry.

[Reactie gewijzigd door stuffie123 op 5 april 2018 20:26]

Hm, ik heb helaas niet hetzelfde. Ja mijn email en wachtwoord staat er tussen, echter zijn de eerste 2 letters van al mijn wachtwoorden hetzelfde, daarna veranderden de letters pas. Dus nu weet ik nog niet waar het lek zit en welk wachtwoord ik moet veranderen.
Je kan https://haveibeenpwned.com/Passwords
Heeft nu een tijdje wachtwoord checker.
Dus je vult het wachtwoord in wat je hebt en dan kijkt die of die ergens in de database voor komt.
Vind het ook een betere website aangezien je niet iemands anders wachtwoord kan zien ook niet twee. Alleen dat die gehackt is.
Misschien ben ik paranoide, maar een site waar ik mijn wachtwoorden moet invullen, nee, sorry, dat is een no-go.
Je vult je emailadres, en ziet dan of je wachtwoord gelekt is, dus dat kan prima.

Voor de rest heb je gelijk, vul inderdaad nooit ergens je wachtwoord in. Behalve je eigen wachtwoord manager en de site waarop hij gebruikt wordt om mee in te loggen. Voor de rest zijn er geen uitzonderingen (voor de "leek").

Dus ook geen "controleer je wachtwoord sterkte" dingen.
https://haveibeenpwned.com/Passwords
je kan ook naar beneden scrollen en de database downloaden.
en dan natuurlijk gewoon even een eigen stukje code maken om het te testen.
Mja bij Gotcha zie ik de eerste 2 letters en herken dat ww. Bij je link van pwned is dat wachtwoord onbekend..
Toch niet dezelde database.
klopt, ik heb ook twee verschillende resultaten. Wel in haveibeenpowned en niet in de ander. Maar gebruik al jaren niet meer het ww van de eerste.
Ik heb de database inmiddels gevonden op internet. Onder deze video staat de link:

https://www.youtube.com/w...oeLwmKPjAZrxGstCBu4H&t=0s

Dus dan kun je het zelf controleren.

Admin-edit:geen links plaatsen naar handleidingen die illegaal materiaal bevatten of zo kunnen verkregen

[Reactie gewijzigd door TheCapK op 5 april 2018 23:58]

Zijn allemaal online te vinden dus kwaadwillenden hadden allang de beschkiing over deze combo's
Dit is niet waar, de gegevens zijn al lang en breed overal verdwenen omdat iedereen 5 jaar geleden z'n ww's al heeft aangepast, leuk dat scriptkiddo nummer 1 een oude download in zn archief vond, doet verder niets af aan het feit dat de gegevens niet meer online staan.

Dat gezegd hebbend, blijft het wel een pijnpuntje dat meneer maar even de eerste tekens en de lengte van die wachtwoorden openbaar maakt, dat maakt het voor scriptkiddo's wel erg makkelijk om ergens een oude account over te nemen.
En Have I Been Pwned dan? En die van de politie?

Als je een beetje had gelezen, wordt niet alles weergegeven, maar een klein deel..

[Reactie gewijzigd door AnonymousWP op 5 april 2018 18:07]

Bij de politie vul je je email adres in en worden de gegevens in een email verstuurd. Je kunt dus alleen informatie opvragen van je eigen email adres.

Bij HIBP zijn gevoelige (bijv pornosites) breaches ook middels emailverificatie afgeschermd. Daarnaast moet je voor de domain search bevestigen dat je de domeinhouder bent.

Dit alles is bij gotcha.pw dus niet het geval. Je kunt hele domeinen zoeken. Verder zijn met de twee letters best wel wat email adressen en wachtwoorden te achterhalen.

Een aantal voorbeelden: Tweakers.net, viva.nl, geenstijl.nl en fok.nl

Ik haal er zo een paar uit met wachtwoorden 123456, 0987654321 of hun eigen naam/email adres.

Oh enne Arnoud Engelfriet, misschien geen wachtwoorden hergebruiken?

[Reactie gewijzigd door Skyaero op 5 april 2018 18:16]

Dat zijn dummies, maar dank je.
Zolang de bron niet vermeld wordt maakt het toch echt niet uit of het nu om een porno site gaat danwel om een nieuwssite.
- HIBP toont geen wachtwoorden
- die van de politie mailt naar het adres wat je controleert

Beide nogal een groot verschil met bovenstaande site.

Als je een beetje had nagedacht, word bij alle sites niets aan de bezoeker getoond, behalve bij deze aandachtstrekker flapdrol.
Ik ben geen jurist maar volgens mij kan je ook strafrechtelijk vervolgt worden als je dit op het internet zet.

Hij het beter via het Tor netwerk openbaar kunnen maken.
Wat zet hij dan online? Ik zie geen namen, email adressen, wachtwoorden of andere persoonsgegevens. Wel een hoop letters en sterretjes. Maar nét voldoende om te zien of ik of bekenden gevaar lopen.
Ik bedoel als hij de email addressen en wachtwoorden online zet zonder obfuscation
Ze stonden al online. Kwaadwillenden wisten het al.
Dankzij hem weten de potentiële slachtoffers het nu ook.
Maar nu maak je het wel heel makkelijk om wachtwoorden te gaan gokken voor fun. Als ik(mag niet) mijn vriend wachtwoord zou willen gaan veranderen voor fun bij Gmail bijvoorbeeld. Dan kunnen de eerste letters al heel veel helpen.
Dit is nou juist de grap, je hoeft de wachtwoorden niet te gokken want die staan al online. Deze site heeft alleen het fatsoen om de wachtwoorden\accounts nog deels af te schermen.

Verder hoor ik er in mijn omgeving toch wel wat mensen over met vragen of opmerkingen, dus de bewustwording lijkt wel te werken :)

Ik ben een aantal jaar terug overgestapt op een wachtwoordmanager en het is een hele verademing, je hoeft je accounts niet meer te onthouden, allerlei extra info kan je ook direct opslaan bij je account en alles is doorzoekbaar! Ik snap nog steeds niet dat ik dat niet veel eerder gedaan heb :X
Ik zie het een beetje als popcorntime(het prenciepe niet hoe ilegaal het is).
torrents waren er altijd al maar popcorntime maakte het zelfs voor de simpelste persoon makkelijk.
Verder zoals andere zeggen zou ik nog steeds liever zien dat hij gewoon je de gehackte emails emailt.
Inplaats van het voor iedereen toegankelijker te maken.
Meeste mensen die ik ken snappen niet hoe een database bestand werkt. maar via deze website zouden ze wel gewoon kunnen kijken waar iemands gehackte wachtwoord mee begint.

Snap dat wachtwoordmanager makkelijker en beter is. maar of je hiervoor een zoekmachine moet hebben om mensen dat te laten gebruiken vind ik ook overbodig.Het blijft hun keuze en je zou zelfs gewoon de website erbij kunnen zetten waar het wachtwoord is gehackt(indien mogelijk) inplaats van het wachtwoord zelf).

Ik snap ook dat dit in het begin hel veel in het nieuws kwam en dat dat goed is. Maar ik denk dat de database daarna ook nog openhouden op deze mannier niet nodig is.
Die mail zou ik dan als fake spam zien. En de gegevens zijn al publiekelijk. Vind wel net actie. Je moet boos zijn op LinkedIn enzo die slecht met je gegevens omgaan.
De gegevens waren al publiek maar niet zo makkelijk te vinden. Ook kon je niet (tenzij je de database had) delen van mensen wachtwoorden zien. Have I been pwned had hier al alles voor staan. Met sommige data breatches die je niet makkelijk op internet kon vinden.
Het was al publiek, alleen niet zo makkelijk beschikbaar ...
Groot verschil
Misschien moet je iets meer tijd nemen dan de vier minuten na het publiceren van dit artikel, en lezen wat er staat.
De email adressen en wachtwoorden zijn grotendeels gemaskeerd. De exacte gegevens zijn dus niet zomaar te achterhalen. En tóch kun je hier zien of jouw account of dat van collega's gevaar loopt.
Ja dankzij deze site zijn de mensen die er voorheen niets van wisten op de hoogte en op andere sites die niet zo vriendelijk zijn als deze kneus van die site hebben de wachtwoorden zonder sterretjes staan.dus voordat je bijdehand gaat lopen zeuren hier en denken dat je met iets nuttigs aankomt moet je eerst je eigen reactie even na lezen voordat je op plaats reactie drukt
hoe kan dit iemand kwaad doen precies?
en deze gegevens zwerven al jaren online rond, hij heeft niet bepaald iets nieuws online gezet
Mijn vermoeden is dat de schrijver van de reactie waar je op reageert denkt dat alle gegevens getoond worden als je je emailadres invoerd. Zou dat het geval zijn (is niet zo maargoed) dan kan iedereen met het grootste gemak bij je gegevens door simpelweg je emailadres in te voeren.

Dit is niet het geval natuurlijk. Op haveibeenpwned staat alleen dat je email in een database voorkomt. Het kan dus eigenlijk geen kwaad. Het is ook wel goed dat mensen zich beginnen te realiseren dat als die webshops en dergelijke waar ze ingeschreven staan (met hetzelfde wachtwoord) zwakke plekken zijn in de veiligheid van hun gegevens.

Wat ik wel jammer vind is dat er naar de consument wordt gekeken terwijl die zijn persoonlijke beveiliging vaak gewoon op orde heeft. Als je gegevens gelekt zijn is dat via grote diensten als linkedin en dropbox. Die zouden in mijn beleving toch beter moeten weten. De waarschuwing is goed maar de verwoording zou anders kunnen. Door aan te geven dat als je je gegevens ergens invult je geen zicht meer hebt op de beveiliging ervan. Daarbij wordt de oorzaak niet bij jou gelegd terwijl de boodschap toch duidelijk blijft. Maar ach, ik schrijf ook maar wat ik denk. ;)
Al jaren ? Dus mijnemail adres van een half jaar oud staat er ook tussen ?
ehh..wut... waar in mijn reactie doel je op?

Heb je wel gelezen waar ik op reageerde?
En ik vind het onbeschoft hoe gemakkelijk en onveilig sommige mensen omgaan met hun login-gegevens want dat doet afbreuk aan mijn inspanningen om wel verantwoord bezig te zijn op het Internet.

Ik vind het geen verkeerde actie want die gegevens waren altijd al beschikbaar voor degene die er echt slechte bedoelingen mee hebben. En laat dit een handjevol mensen er toch toe doen besluiten om een password manager te gebruiken.
Voor mijn account bij de 400ste webwinkel zal het me echt een worst wezen of ze hier het wachtwoord van hebben. Zonder mijn random reader kunnen ze er toch niks mee. Ik heb 1 'trash' wachtwoord dat ik voor random fora/webwinkels e.d. gebruik en daarvan boeit het me echt niet dat deze bekend is. Zou niet weten wat ze er mee zouden kunnen, al hadden ze nog zoveel kwaads in gedachten.
Hoewel ik deels hetzelfde gevoel heb moet je het toch niet zo licht opvatten denk ik. Bij veel webshops kan je jouw vorige bestellingen inzien, soms met adres/betaalgegevens. Er zijn zat plaatsen waar deze gegevens genoeg zijn om op rekening te bestellen of via een acceptgiro. Die dan dus bij jou op de mat kan belanden. Pakketje zelf naar een of ander wazig adres en daar ga je.

Daarnaast kunnen genoeg kleine stapjes samen toch weer voor problemen zorgen. Denk aan de journalist van Wired wiens iCloud account gehack (en gewist) werd door een hacker die 'zijn' identiteit verifieerde bij Apple door gegevens op te geven die hij gevonden had in de journalist z'n Amazon account.
Link
Denk maar niet dat als iemand iets op rekening besteld via mijn account dat ik hier ook maar een cent van hoef te betalen. Zo zijn we in Nederland natuurlijk niet getrouwd. Dat is het risico van de webshop, de consument is heel goed beschermd.
Het kost je wel veel tijd als ze jouw wachtwoord te pakken krijgen, genoeg gasten die bijvoorbeeld op iemands anders naam via afterpay of iets dergelijks "betalen" en dan het pakket laten afleveren bij een tpg ophaalpunt. Vervolgens heb jij opeens een paar weken later een berg aanmaningen en als je daar niet actie op onderneemt een deurwaarder. Mag je alles gaan uitleggen en dat kost je een berg tijd. Dus ik zou zeggen: voorkom het voor zover het kan, als je een password manager neemt is het bij het aanmaken van een nieuwe account al gelijk voor je ingevuld, je hoeft niks te onthouden, maar je voorkomt wel eventuele overlast, want hoe goed je beschermd bent, het kost je wel een boel ergernis en helemaal als je adres op een zwarte lijst komt, dan levert nog maar amper een winkel en zie dat maar weer recht te krijgen.

[Reactie gewijzigd door Hobbykok op 5 april 2018 22:13]

En als die wachtwoordmanager gehackt wordt heb je alsnog alle wachtwoorden onder één wachtwoord staan...dat is toch ook geen veiligheid?
Het is altijd een vraag van risico inschattingen. Vandaag de dag is het hacken van sites een dagelijks gebeuren, er zullen ook meer wachtwoorden en accounts gelijkt zijn dan wij kunnen checken via dit soort sites, dus denk niet automatisch dat als je ergens niet in staat dat je wachtwoord niet bekend in de louche wereld.

De gemiddelde mens kan (begrijpelijk) niet meer zelf verantwoordelijk om gaan met zijn wachtwoorden, het zijn er teveel, er zijn teveel regels, etc. Het veilig kunnen omgaan met wachtwoorden heeft ook degelijk met gebruikersgemak te maken, wordt het namelijk te lastig om het "veilig" op te slaan, dan wordt een gemiddeld mens lui, en gaat hij het steeds minder gebruiken.

Het komt ook altijd neer op een stukje vertrouwen. Ik vertrouw erop dat als ik een bedrijf betaal om mijn wachtwoorden veilig te houden, het in hun belang is om dat zo goed mogelijk te doen. Ze zullen betere veiligheids maatregelen kunnen nemen die voor onszelf te complex of te veel tijd en moeite kosten.

Dus ook in het ergste geval dat een wachtwoord manager gehackt wordt, zullen zij er alles aan doen om je zo snel mogelijk op de hoogte te stellen, en je wachtwoorden te laten aanpassen (ik gebruik zelf lastpass, en die kunnen voor sommige sites zelfs automatisch wachtwoorden veranderen met 1 druk op de knop).

Het is dus een afweging van risico. Denk jij dat jij het zelf beter kan (en geloof me, echt veilig zelf je wachtwoorden bewaren op een gebruiksvriendelijke manier is moeilijker dan je misschien zou denken) dan moet je dat doen.
Ik vind mijzelf (ego) behoorlijk slim op IT gebied, ik ben web developer en breed geïnteresseerd op 'IT' gebied, maar zelfs ik vind mijzelf niet in staat mijn eigen wachtwoorden te beheren, met alles wat ik er nu over snap, en welke verborgen gevaren er zijn (staan in een aantal comments gemeld in deze thread).

Absolute veiligheid bestaat niet, maar je moet kijken naar waar de grootste kansen liggen dat je het fout kan doen, en dat zijn er nogal wat als je het zelf probeert. Vandaar dat ik de keuze heb gemaakt voor een manager als lastpass die gebruikersgemak hoog heeft staan, maar daardoor minder veilig is als somige andere wachtwoord managers, die veiliger zijn, maar meer tijd en werk kosten.

Maar ik kan je vrijwel garanderen dat je beter uit zal zijn 'in the long run' met een manager dan dat je het zelf doet.

Tenzij in de toekomst blijkt dat alle wachtwoord managers je wachtwoorden verkopen ofzo, maar dat is dus precies wat ik bedoel met vertrouwen/risico analyse en hoe groot je je "aluminium hoedje" wilt maken :)
Daar gebruik ik dus een Yubi-key voor, om te zorgen dat niet alleen mijn master-wachtwoord maar ook die Yubi-key nodig is voordat het met AES-256 versleutelde wachtwoordbestand gedecodeerd en gebruikt kan worden. Two factor authentication is voor mij een acceptabele middenweg tussen maximaal gebruikscomfort en maximale beveiliging.
Waarom de dienst van D0gberry anders dan websites die eerder hebben bestaat? Waarom dit het nu opeens een 'hot-topic', terwijl LeakedSource en HaveIBeenPwned praktisch hetzelfde doen.
Omdat HaveIbeenPwned niet laat zien welk wachtwoord.. ik ben erg blij met deze tool want ik ben er zojuist achter gekomen dat mijn PayPal wachtwoord nog in het publieke domein rondzwierf (want ook ik gebruikte vroegah 1 ww voor meerdere websites)
Maar je kunt wel zoeken op je wachtwoord https://haveibeenpwned.com/Passwords

Ik snap overigens wel dat ze niet gekoppeld worden aan email adressen, maakt het een stuk eenvoudiger om het volledige wachtwoord te raden (in veel gevallen in ieder geval).
Ja ook lekker slim om daar dan je wachtwoord in te vullen... Ga je zoeken naar je wachtwoord. "niet gevonden in de database, maar nu wel muhahahaha". Je zou willen kunnen zoeken naar de gebruikersnaam of e-mailadres en dan precies zoals gotcha.pw doet de eerste twee tekens laat zien. Je weet dan al voldoende in menig geval.

[Reactie gewijzigd door Chip. op 5 april 2018 18:59]

Ik snap je reactie wel, en in 99% van de gevallen zou je gelijk hebben.

Maar als je even onderzoek had gedaan dan weet je dat Troy Hunt heel goed te boek staat en dat ingevoerde wachtwoorden niet worden opgeslagen en door gebruik van https ook moeilijk te onderscheppen zijn.

Daarnaast zou je wel heel dom zijn om als beveiligings expert zoiets te flikken. Dan kun je je carriere wel gedag zeggen en een baantje bij McDonalds nemen.
Om hier aan toe te voegen, Troy Hunt zelf raad ook allerminst aan de website zo te gebruiken. Ik meen dat je de lijst van SHA hashes ook kan downloaden om offline te checken of jouw wachtwoord tussen zit.

Verder werkt de online check ook zo dat jouw wachtwoord nooit jouw machine verlaat. Er wordt een hash van gemaakt, een klein deel van die hash wordt opgestuurd en de API antwoordt met alle hashes die op de server staan die met dezelfde bits beginnen. Vervolgens kan dan lokaal worden gecheckt of jouw hash daar ook tussen staat. Het probleem met de website zomaar gebruiken is dat je wél moet vertrouwen dat het daadwerkelijk zo verloopt en niet ondertussen de JavaScript ergens is aangepast om toch het wachtwoord door te sturen.
Een knop met 'wachtwoord toevoegen' lijkt me wel handig. ;)
Hoe meer het laat zien, hoe sneller mensen wakker worden - is denk ik de hoop.

Eigenlijk zou zo'n dienst je gewoon een e-mail moeten sturen: "Je wachtwoord voor tweakers.net is gevonden. Het is: abc123." Pas dan zal bij mensen echt het zweet uitbreken en actie afdwingen. Maar goed, daar zitten weer andere haken en ogen aan en wordt mogelijk gezien als spam.
Ik denk als ik morgen een mail stuur naar Jan of Truus met je wachtwoord van ING is hatseflats1! Dat je erg boze reacties gaat krijgen. Ze dan eerder mij gaan verdenken dan de persoon die de wachtwoorden in eerste instantie heeft los gekregen.
Je kan via "notify me" op HIBP je email opgeven, mocht je email dus ergens in een lijst gevonden worden dan krijg je bericht.
Privacy en het beveiligen van je gegevens is momenteel een hot-topic, dus de media en hun zogenaamde experts springen er maar al te graag bovenop. Is niet erg trouwens, zolang het maar voor meer bewustzijn zorgt.

[Reactie gewijzigd door JoeyPrr op 5 april 2018 18:24]

Waarom moet er maar 1 dienst zijn die iets doet? Die dienst krijgt een monopolie. Bij Facebook en Cambridge Analytica zien we hoe gevaarlijk een onlineplatform met een monopolie is. Mensen die bij Facebook weg willen kunnen dat praktisch niet, tenzij ze een groot deel van Social Media willen afzweren. Instagram en Facebook zijn verreweg de grootste partijen op dit moment qua open social media (tegenover bvb Whatsapp wat meer gesloten is).
Ik zie dat mijn email adres gevonden is met één wachtwoord die ik nu nog gebruik :O Misschien weer eens tijd om alle wachtwoorden te veranderen.
Daarmee refereer je dat je dat wachtwoord bij alle diensten gebruikt :p.
Ik gebruik meerdere levels user accounts, email adressen en wachtwoorden en deze segregatie heeft mij altijd goed geholpen.

Voor mij is Gmail het belangrijkste account en de bijhorende wachtwoord is altijd anders dan van de rest, on top, maak ik ook o.a. bij Gmail ook gebruik van two-factor authenticatie (Authy). Linked-In heeft deze ook. Gekaapte password heeft geen nut.

Mocht er er een account van mij lek zijn, dan gaat het vaak om accounts voor onschuldige websites, forums waarbij ooit in het verre verleden ooit een account heeft bestaan of waar het mij weinig kan boeien als er iets gebeurd. Crucialere websites krijgen een sterkere wachtwoord en vaak hebben crucialere websites ook een Email verificatie mechanisme in zitten voor het aanpassen van wachtwoorden of email adressen.

Voor mijzelf maak ik dan ook geen druk, ik zit goed.

Wat ondertussen heel belangrijk is geworden, is mijn/jouw telefoon ivm two factor. Om deze reden ben ik in 2016 naar een iPhone overgetapt, ze zijn sterk in het onderhouden van de security updates. Android is naar mijn mening niet 100% betrouwbaar meer. Door de diversiteit lopen de security updates altijd flink achter en omdat je Samsung S7 alweer te oud is wordt dit niet meer voorzien van updates, gaat er bij mij niet in.
Wat ondertussen heel belangrijk is geworden, is mijn/jouw telefoon ivm two factor. Om deze reden ben ik in 2016 naar een iPhone overgetapt, ze zijn sterk in het onderhouden van de security updates. Android is naar mijn mening niet 100% betrouwbaar meer. Door de diversiteit lopen de security updates altijd flink achter en omdat je Samsung S7 alweer te oud is wordt dit niet meer voorzien van updates, gaat er bij mij niet in.

Waarmee je insinueert dat er een reëel risico zou bestaan dat iemand malware verspreidt met als doel om 2FA van websites of diensten te kunnen omzeilen. Waarbij voor het gemak maar even vergeten wordt dat ze dus voor ze zo ver zijn al achter jouw inloggegevens zijn gekomen, al dan niet via social engineering? Oh nee, die malware heeft volgens jou ook al je hele telefoon overgenomen die 24/7 jouw input aan het monitoren is. Want dat is inderdaad wat er aan de lopende band gebeurt op Android telefoons /s .

Ik wil niet zeggen dat het niet mogelijk is, dat is het vast wel, alleen denk ik dat dit dermate veel tijd, moeite en risico kost en dat het dermate weinig oplevert voor iemand die hiertoe in staat is, dat dit in werkelijkheid geen rol zou moeten spelen op je keus van telefoon, zeker niet bij iemand die beveiliging belangrijk vindt (en dus geen jailbreak/root op zijn telefoon heeft).

Nogmaals, je hebt helemaal gelijk dat beveiliging erg belangrijk is en dat mensen hier zich niet genoeg bewust van kunnen zijn, maar om de telefoons erbij te betrekken is onnodig, niets toevoegend en zelfs een beetje provocatief en jouw citaat valt mijns inziens daarom onder FUD
Bij veel diensten gebruiken mense' wel hetzelfde denk ik.

Die site vond op men emailadres 2 wachtwoorden die ik al een tijdje niet meer gebruik.
Vind het wel raar want op men gmail vind hij niets en daar heb ik men ww nog nooit veranderd.
Dat kan en hoeft toch echt niet meer. Tools als Lastpass, 1Password, etc. maken dat overbodig. Het hoeft je niet eens geld te kosten.
En dus moet gewoon iedereen een wachtwoordmanager gebruiken ;)
Wat vind je precies raar? Als geen enkele site waar jij je gmail adres hebt gebruikt om te registreren is gehackt dan ligt het ook niet op straat hè.
Op zich is dat natuurlijk een goede zet, maar een password manager in gebruik nemen is veruit de beste oplossing. Zie https://laatjeniethackmaken.nl/ onder het kopje wachtwoorden.
Jammer dat ik vanuit het buitenland niet mag zoeken in de database. Als ie aandacht wil uit het buitenland, is het misschien wel zo handig om het ook mogelijk te maken vanuit het buitenland.
blijkbaar gedaan om het verkeer terug te dringen, servertje stond te blazen :P
Ik wil het best wel voor je doen, welke e-mail adressen wil je controleren?
Gebruik je een proxy.
HaveIBeenPwned geeft betere resultaten als je het mij vraagt
Het is opzich fijn om te weten om welk wachtwoord het gaat, tenminste als je overal hetzelfde wachtwoord voor gebruikt.

Daarbij is het sowieso af te raden om overal hetzelfde wachtwoord voor te gebruiken

[Reactie gewijzigd door MrWouterNL op 5 april 2018 18:06]

ik zou het fijner vinden als ik wist wat de bron is :P
Zeker, ik was laatst weer aan de beurt. Top site.
ik krijg bij deze een gecensureerde versie van de mail die ik heb gebruikt en het wachtwoord...van welke site komt dat vraag ik me dan af, en het ww komt me ook niet bekend voor(ik gebruik generated PW's)
O dat ken ik niet. Ik heb mn email opgegeven en krijg gewoon mail als ik ergens tussen zit.
nee ik bedoel de nederlandse, niet HIBP
Wat een slechte site. Het idee vind ik goed en ondersteun het ook.
Maar dit moet niet zonder meer mogelijk zijn, voor een heel domein opvragen.
https://gotcha.pw/search/tweakers.net

Bij https://haveibeenpwned.com/ moet ik te minste nog bevestigen dat ik rechten heb op dat domein.
Door middel van een e-mail adres wat in mijn whois staat, TXT record in mijn DNS of een stukje code op mijn site te zetten.

/edit
Wat mij ook opvalt, als je een e-mail adres van een persoon die je kent opgeeft. Dat je dan best wel het wachtwoord kan raden :)

[Reactie gewijzigd door wica op 5 april 2018 18:19]

Wat mij ook opvalt, als je een e-mail adres van een persoon die je kent opgeeft. Dat je dan best wel het wachtwoord kan raden
Als jij hun wachtwoorden kan raden aan de hand van 2 tekens dan hebben zij zeer slechte wachtwoorden, maar gelukkig heb jij de eer ze daar even op te wijzen.
hehe, nee het zijn ex collega's, dus niet meer mijn taak.
Ben het verder met je eens dat het zeer zwakke wachtwoorden zijn.
Ah, "Oops The search is disabled for your country. Sorry!" Ik dacht eens even testen, helaas niet mogelijk vanuit Ierland.
Gebruik gewoon even een gratis VPN plugin van Chrome ofzo. Ik zit in Azie en heb net via Hola even gekeken.
"Wil je weten of er persoonlijke data uitgelekt is? Vul dan even je emailadres in terwijl je ingelogd bent op een random VPN server." 8)7
Ik sta er tussen hoor. :)
Weliswaar een wachtwoord dat ik een aantal jaar geleden voor het laatst heb gebruikt. Lijkt niet heel erg actueel te zijn.

[Reactie gewijzigd door Besottedorb op 5 april 2018 18:05]

Dat is ook niet echt het punt. Dit soort databases wordt gewoon bijgevuld met nieuwe gegevens uit lekken/hacks etc.

Daarna is het gewoon een kwestie van proberen welke combinaties werken. En aangezien veel mensen vrolijk t zelfde ww gebruiken.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True