Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Verzameling met 773 miljoen e-mailadressen stond openbaar online

Een verzameling met 773 miljoen e-mailadressen en 21 miljoen unieke wachtwoorden heeft openbaar online gestaan. Dat zegt de oprichter van Have I Been Pwned, die de verzameling heeft toegevoegd aan zijn site.

De verzameling stond op webopslag Mega en een link was te vinden op een populair forum, meldt Troy Hunt. De collectie is nu offline en het is onbekend naar welk forum hij verwijst. De informatie komt uit veel verschillende bronnen en heeft daarom de naam Collection #1 gekregen.

In totaal bevatte de collectie bijna drie miljard records, maar veel daarvan bleken niet uniek. Na het opschonen bleven er 772.904.991 unieke mailadressen over. In de lijst van getroffen databases staan die van elf .nl-sites, maar geen daarvan is een grote of bekende site.

Het lijkt in alle gevallen te gaan om hacks van minstens drie jaar oud, waardoor het bij de wachtwoorden veelal gaat om oude wachtwoorden. Hunt raadt als gebruikelijk aan om een wachtwoordmanager te gebruiken, wachtwoorden geregeld te vernieuwen en waar mogelijk tweetrapsauthenticatie te gebruiken.

Screenshot van dump op webopslag Mega

Door Arnoud Wokke

Redacteur mobile

17-01-2019 • 06:55

201 Linkedin Google+

Submitter: Beordo

Reacties (201)

Wijzig sortering
De volgende elf NL en veertien BE websites staan in de lijst genoemd met de hackdatum. Verander je passwords mocht je met de site te maken hebben gehad na die datum:

Mär 10 2018 dordtyart.nl
Mär 10 2018 mindtaking.nl
Sep 18 2017 rp.phantasia.nl
Mär 25 2018 staffordshirebullterrierpedigrees.nl
Mai 13 2018 theoriesnelhalen.nl
Jan 5 2018 website.nts.nl
Dez 2 2017 www .bedrijfsnetwerk-topofholland.nl
Nov 22 2017 www .channels.nl
Mär 10 2018 www .dedijk.nl
Feb 4 2018 www .newminiclub.nl
Nov 24 2017 www .disneyinfo.nl

Dez 27 2017 adwsolutions.dealershoplive.be
1 apr. 2018 annapops.be
Mär 29 2018 aves.be
Apr 13 2018 conchology.be
Jan 5 2018 cskr .dealershoplive.be
Sep 5 2017 gbk .dealershoplive.be
Okt 11 2017 restohotel.be
Nov 3 2017 webshop .gncomputers.be
Mär 10 2018 www .allocreche.be
Dez 27 2017 www .autocameras.be
Nov 3 2017 www .bells.be
Mär 13 2018 www .deltaweb.be
Jul 22 2017 www .docteurpcs.be
Nov 18 2017 www .flinstones.be

[Reactie gewijzigd door Theo op 17 januari 2019 08:06]

Ik ben de hele pastebin-lijst van Mavericky even doorgelopen en heb in ieder geval nog www.naaldendraad.com gevonden.

Ik moet zeggen dat ik niet kan achterhalen waar mijn email adres nou vandaan komt, maar er staan wellicht ook wat oude hackgegevens in van oude(re) databases, zie bijvoorbeeld Feb 21 2017 STD_vB_31k.sql en Mär 11 2017 username_email_usd_btc_ltc.txt.

Zou handig zijn als er een manier was om je email op te zoeken in de lijst, dan kan ik zelf wel de website achterhalen aan de hand van het wachtwoord.
Ik gebruik hier weleens dehashed.com voor. Kost wel een paar euro om de daadwerkelijke gegevens te zien en soms als de gegevens uit een compilatie komen zie je niet altijd de bron website maar geeft wel (helaas) heel veel vrij.
Zie ook https://scatteredsecrets.com.
Dat mijn email uitgelekt is boeit me niet zo (krijg evengoed al SPAM :) ).
Als er een wachtwoord is van me is uitgelekt of gekraakt dan wil dat dat wel weten.

[Reactie gewijzigd door banaj op 17 januari 2019 20:14]

Je kunt je email invoeren op http://haveibeenpwned.com, krijg je direct te zien of je wel of niet pwnd bent.

Letop: gebruik van "+" alias in email adressen is *niet* ondersteund. Dus als je "ramoncito+tweakers@hotmail.com" hebt gebruikt, dan moet je die apart invullen (helaas).

Edit: mocht je willen dat "+" alias *wel* ondersteund moet gaan worden, stem dan aub even hier: https://haveibeenpwned.us...ations-for-email-addresse

(Ik ben zelf fervent gebruiker van de "+" alias voor accounts)

[Reactie gewijzigd door rkeet op 17 januari 2019 15:13]

Zou niet deze site raadplegen. Niet het risico lopen allemaal spam te ontvangen. Heb het met een nieuw aangemaakt email adres geprobeerd en ontvang allerlei troep sindsdien. Wees gewaarschuwd.
Dit is van Troy Hunt. Vrij betrouwbaar. Weet natuurlijk niet wat voor email adres je gebruikt hebt, maar indien dit met een eigen domeinnaam is dan kan een generieke naam al spam ontvangen. Ik zie zelfs bij traps vrijwel alle namen in het alfabet als ontvanger voorbij komen terwijl de naam net nieuw is. Mocht je een email adres als ajfheiosoxjdkrk@domeinnaam.nl gebruiken dan doe je het goed en dan is dit wellicht interessant voor andere Tweakers.
Dat lijkt mij een toevallige samenloop
in tijd van twee dingen die los staan van elkaar :) Ik heb de check al tijden geleden gedaan en ontvang niet meer spam dan normaal. Andersom ontvang ik wel spam op een nieuw adres dat ik nergens opgeef voor accounts.
Zou niet deze site raadplegen. Niet het risico lopen allemaal spam te ontvangen. Heb het met een nieuw aangemaakt email adres geprobeerd en ontvang allerlei troep sindsdien. Wees gewaarschuwd.
Ik heb ze al 2x geld gegeven omdat zo'n goede dienst verlenen.
Stuur Troy dan even een bericht. Hij reageert erg goed. Kan via hier: https://twitter.com/troyhunt

Even een PM en je hebt zo antwoord van 'em. Houdt rekening met tijdsverschil (Australie) en populariteit (2 dagen of zo als je pech hebt).
De volledige lijst kan je hier vinden:
https://pastebin.com/UsxU4gXA

Troy Hunt:
"I've reproduced a list that was published to the hacking forum I mentioned and that contains 2,890 file names. This is not necessarily complete (nor can I easily verify it), but it may help some people understand the origin of their data a little better."
Lijkt me dat Dealershoplive iets uit te leggen heeft... want bv. die laatste 2 zijn ook whitelabel dealershoplive.be websites..
De site van de winkel waar ik bij werk is ook van Dealershoplive. Net zoals bells.be de vorige winkel waar ik heb gewerkt.
Toch eens eventjes navragen.
Ik hoor een "common denominator" :+ huehuehue
Top lijst dank voor de post, is er ook ergens een .com lijst waar ik kan zoeken/kijken (voor mijn klanten). dankje.
Zorg even dat je "bash" op je Windows bak hebt (download hier:https://git-scm.com/), dan zelfde als in Linux:

- navigeer naar folder
- commando: cat filename.txt | grep .com

;)

p.s. - vervang desnoods ".com" met "domein.com" als je specifieker wilt zoeken

edit: typo

[Reactie gewijzigd door rkeet op 18 januari 2019 10:26]

Ik zit ff te scrollen en zie ook staan : belgium.trans-escorts.com
Dat lijkt me sowieso een privacygevoelige site, maar past ook in jou lijstje.

[Reactie gewijzigd door Robbierut4 op 17 januari 2019 16:02]

Ze spelen hoog spel, ik zou die mensen met die Staffordshirebullterrier site niet boos maken.
Het lijkt in alle gevallen te gaan om hacks van minstens drie jaar oud, waardoor het bij de wachtwoorden veelal gaat om oude wachtwoorden.
Sterke aanname, ik denk dat het overgrote deel van die wachtwoorden nog steeds zal werken. De meerderheid gebruikt nog steeds hetzelfde wachtwoord op verschillende plaatsen en hoe gemakkelijker hoe liever.
Als je gewoon op https://haveibeenpwned.com/Passwords kijkt zie je dat onozele wachtwoorden zoals incorrect (17.578), p@ssw0rd (50.431), password123 (116.847), password (3.645.804) gewoon belachelijk veel voorkomen.
Een belachelijk paswoord is geen slechte strategie voor een belachelijke site.
Als je een gratis link wil naar een krantenartikel, ga je geen 'echt' paswoord gebruiken.
Zeker.

Een site als Bugmenot.com voor dit soort sites, is altijd een aanrader.
En anders snel een account aanmaken via een wegwerpadres zoals mailinator.com + 'password'
Lang leve auto generate password van de grote passwordmanagers.
Op zich wel, maar als je niet weet van welke site je gegevens gestolen zijn, levert dat geen voordeel op. Het mailadres dat de klos is, gebruik ik voor ruim 300 site met allemaal een uniek redelijk lang (25-40 tekens als ze dat aksepteren) wachtwoord. Wordt toch een bult werk als je die allemaal moet aanpassen. Voor de gehackte sites zou het verplicht moeten worden de klanten/abonnees in te lichten. Dan kun je gericht die wachtwoorden aanpassen.
Nouja, het ergste is dat als je niet weet van een hack dat 1 van je accounts kan worden gebruikt door iemand anders. Over het algemeen is dat niet het doel van zo'n hack, de meeste hacks zijn om middels een slecht beveiligde site aan je email/paypal/social media wachtwoorden te komen want daar kunnen ze geld mee verdienen.

Sowieso geeft mijn passwordmanager aan hoelang geleden ik het wachtwoord heb aangepast. Na een jaar het aanpassen is sowieso verstandig, al kan ik me voorstellen dat dat best veel werk is met 300 sites.
Bizar dat 773 miljoen e-mailadressen slechts 21 miljoen unieke wachtwoorden hebben :o.

Edit: hmmm, blijkbaar stond mijn mailadres ook in die database. Ondanks dat ik recent mijn wachtwoord heb gewijzigd, ga ik dat toch maar weer even doen.

[Reactie gewijzigd door Bart ® op 17 januari 2019 07:08]

Ik vermoed eigenlijk dat nog steeds veel email adressen een uniek wachtwoord hebben. En dat er een klein groepje wachtwoorden is dat extreem vaak gebruikt wordt.

Ik ben wel benieuwd naar de top 1000 wachtwoorden of zo. Die zouden bij standaard complexiteit controles geweigerd moeten worden.

Tegenwoordig wordt ook vaak geadviseerd met pass phrases te werken. Hele zinnen dus. Die zijn eenvoudiger te onthouden, maar heel moeilijk te raden/brute forcen. Helaas voldoen ze vaak weer niet aan een policy die per se vreemde tekens wil.

[Reactie gewijzigd door KopjeThee op 17 januari 2019 07:16]

"Ik ben wel benieuwd naar de top 1000 wachtwoorden of zo"

...u vraagt, wij draaien:

https://www.theatlas.com/charts/NyL3uhCp

Dit komt uit de Ashley Madison hack van 2015.
:) Thanks!
Deze zijn dus sowieso verboden terrein voor iedereen.
Die 123456 is echt een enorme uitschieter. Ik nomineer hem voor de titel "Slechtste wachtwoord ooit".
1234?

That's amazing! I've got the same combination on my luggage!

(En dat was dertig jaar geleden, dus in al die tijd zijn de mensen zich er niet bewuster van geworden.)

[Reactie gewijzigd door zipje_en_zopje op 17 januari 2019 14:08]

Interessante lijst. Wat ik er vooral uithaal is dat vooral mensen uit Liverpool zich hebben aangemeld voor een tweede liefde en dat je ook de seizoenskaarthouders van de NY Yankees maar beter niet teveel moet vertrouwen.
Die hele policy van vreemde tekens is verschrikkelijk achterhaald en ik mail meestal het betreffende bedrijf waarom ze een systeem blijven vasthouden wat juist zorgt voor onveilige wachtwoorden.
Binnen bedrijven zie je dit gedrag nog steeds en zal niet snel veranderen vrees ik.
Haha moet je eens bij de ING aankloppen xD 1 keer gebeld omdat ik geen () ':%"*-_<>|\ mocht gebruiken. Excuus dat ik kreeg: kan onze database niet aan daarom een hard limiet op het aantal... Uhm dus jullie gebruiken geen hash/salt?! Want volgens mij heb je dan het hele probleem niet meer, toen wat stom geneuzel over dat die tekens niet veilig waren... Die tekens zijn volgens mij best safe, maar dat jullie die reden geven doet mij vermoeden dat jullie systeem gewoon niet save is (sidenote, dit was enkele jaren terug toen ik overstapte omdat zij mij wel koffie aanboden en de rabobank niet)
Op zich mag dat van mij, het stomme is alleen dat ze super lage maximum limieten hanteren.
Zoals 8-16 tekens met minstens een hoofdletter, cijfer en niet alfanumeriek. Mooie pass phrases of lange sterke wachtwoorden die je genereert mogen dan niet.. 8)7
Allemaal opties die het makkelijker maken voor een aanvaller.

"Ah,1 hoofdletter verplicht, vooraan. Cijfer verplicht? achteraan of leetspeak. Max en min zoveel karakters, begin maar met 8 en stop bij 16."

[Reactie gewijzigd door batjes op 17 januari 2019 14:07]

Ja dat is precies mij punt :) Naast onveilig ook irritant dat je gedwongen wordt om je veilige gegenereerde wachtwoord aan te passen, anders slikt ie hem niet.
Tuurlijk wel, maak van een I een 1 of!, gebruik operators voor woorden als groter/zelfde/kleiner/niet/of/etc (makkelijk te plaatsen in een zin), een a kan makkelijk een @ worden ga zo maar door

Edit: voor wie het niet begreep,, dit was bedoeld als toepassing op complete zinnen gebruiken in je password, daarnaast kun je ook woorden samenvoegen of kijken of ze enige overlap hebben waarbij je ze dus in elkaar kan smelten. Nogmaals een gegenereerd wachtwoord is altijd beter maar vrijwel altijd heeft dit ook 1 zwak punt: niet te onthouden waardoor je het toch ergens zal moeten opslaan.
zelf zijn mijn wachtwoorden overlappende combis van 2 of meer zinnen waarbij het uiteindelijke wachtwoord totaal onleesbaar is en minimaal 23chars lang is. Heb ze weleens getest op een brute force,, ook dictionaries attacks. Tot nu toe zijn mijn wachtwoorden in de afgelopen 15 jaar nog nooit gekraakt (maargoed geen enkel email adress van mij staat ook op powned dus slechtste advies ever? Niet in mijn mening, neem het niet als leidraad maar het kan een goede aanvulling zijn op. @johnbetonschaar @Pater91

[Reactie gewijzigd door Jan Bob op 17 januari 2019 13:14]

Bruteforce programma's hebben al jaren ondersteuning voor dit soort wachtwoorden, je gooit er een basis woord in en alle mogelijke combinaties ( leetspeak, 1! Op het eind etc ) worden geprobeert. Niet zo heel erg veilig dus :)
Over die passphrase methode bestaan wat misverstanden. De complexiteit haal je niet uit het aantal karakters (bijvoorbeeld 52 tot de macht 32=8,168E54), maar door het aantal woorden (bijvoorbeeld 2000 tot de macht 4=16E12). Het is dan ook geen alternatief voor een willekeurig password van hetzelfde aantal karakters, maar voor de veelgebruikte methode van een bestaand woord met wat aanpassingen zoals 'p8ssw00rd!'. Die geeft in theorie 64 tot de macht 10 = 1,153E18 mogelijkheden (dus beter dan de passphrase), maar in de realistischer is een berekening van aantal woorden x aantal variaties = 2000 x 100 = 2E5 (gevaarlijk laag).

Het hele probleem van code die de veiligheid inschat is die gebruik maakt van methodes die zwaar verouderd zijn. Er zijn password hacking wedstrijden waarbij ieder jaar weer nieuwe methodes geïntroduceerd worden en zo kan het zelfs zijn dat een passphrase van meer dan 100 letters gekraakt wordt als die uit een populair boek afkomstig is of veel als spreuk op het internet rondzwerft.

Tevens ook de reden dat het beter is om een password manager te gebruiken met gegenereerde wachtwoorden van veilige lengte. Er doet gewoon teveel onzin en halve waarheden de ronde over zelf verzinnen van halve waarheden en het zal lang niet iedereen altijd duidelijk zijn aan welke eisen voldaan moeten worden. Dan is een wachtwoordmanager een makkelijke en veilige oplossing.
Wachtwoord manager is in feite een ander mandje waar je al je wachtwoorden in opslaat. En heeft hetzelfde probleem....al je wachtwoorden zitten in dat mandje.

Goed, het zal moeite kosten om in dat "mandje" te breken, maar als dat gebeurt, ben je net zo goed het haasje. Als concept is het wachtwoord achterhaald, Het maakt niet zoveel uit hoe je dat probleem benaderd, je zit nog steeds met het probleem dat je wachtwoorden aan het gebruiken bent.

Alternatieven zoals biometrie blijken ook al te makkelijk om te vervalsen en zijn dus geen uitkomst, 2FA als concept is een behoorlijke verbetering, maar maakt gebruik van systemen die inherent onveilig zijn ontworpen (SMS) of (na enige "observatie") voorspelbare tekenreeksen.

We zitten helaas dus nog steeds vast aan het wachtwoord concept. Wachtwoord managers zijn de minst slechte optie. Geen goede optie, maar simpelweg de minst slechtste.

Dan zijn er 2 klasses van wachtwoord managers, online en offline. mijn voorkeur gaat dan uit naar de off-line versie, want dat betekent dat er iemand langs moet komen om zaken te achterhalen. Online versies kunnen in principe 24 uur per dag vanuit elke luie stoel worden benaderd.
Wachtwoord manager is in feite een ander mandje waar je al je wachtwoorden in opslaat. En heeft hetzelfde probleem....al je wachtwoorden zitten in dat mandje.
Niet echt hetzelfde. Het probleem dat een wachtwoordmanager oplost is niet dat er geen wachtwoorden meer worden gebruikt, maar dat er geen noodzaak meer is om een beperkte set eenvoudige wachtwoorden te gebruiken. Qua aanvalsmogelijkheden krijg je er feitelijk een aanvalsmogelijkheid bij, maar zeker bij off-line opslag bevindt die zich in dezelfde zone als de data zelf, een zone die je hoe dan ook al maximaal zal moeten beveiligen.

Verder zal authenticatie toch altijd een combinatie blijven van iets dat je weet (wachtwoord), iets dat je hebt(keycard) of iets dat je bent (biometrie). Elk van die drie kent zijn eigen risico's. Wat jij weet kan een ander ook te weten komen, wat je hebt kan een andere stelen en wat je bent kan geïmiteerd worden. De problemen met 2FA die je constateert zijn feitelijk slechte implementaties van 'iets dat je hebt' want garanderen door gebrek aan encryptie niet dat de code daadwerkelijk op jouw telefoon (uniek) aan is gekomen of maken gebruik van devices waar je feitelijk niet de exclusieve controle over hebt omdat er ook andere applicaties op draaien die toegang hebben tot de data en deze mogelijk doorsturen aan derden.
Dat is echt een van de slechtste password adviezen die er zijn, de meest voor de hand liggende replacements voor elke letter zijn in no-time te brute-forcen. Dat is ook precies waarom zoals ShellGhost hierboven al zegt het soort wachtwoord regels dat door 9 van de 10 sites wordt gevraagd compleet achterhaald is.
De meest lange en komplekse wachtwoorden helpen niet als de database met gebruikersnamen en wachtwoorden worden gejat. Dan is het een kwestie van knippen en plakken en dat gaat net zo makkelijk voor 123456 als voor hU#(%5wIfPI+oE1s\Y<r.Nr;];=<>#yf=`Np)|:b@/r)$qh:Ho[&bJk'-C:W[c^TK=NzG1*n-N'#n|zaO.ht]8dDD8j;sY2V>36zq]@R0z
Hopelijk slaat niemand onversleuteld wachtwoorden op. Over het algemeen kan je hooguit een bestand met accounts en versleutelde wachtwoorden buitmaken. Dan is de vraag: hoe makkelijk kan ik het wachtwoord raden? Je kunt je poging controleren door de versleutelde variant te vergelijken met die in je database. Dat raden gaat echt eenvoudiger bij makkelijke wachtwoorden.
Serieus, hoeveel verschillende wachtwoorden gebruik jij?
Tegenwoordig moet je bij zo veel sites wachtwoorden gebruiken dat je toch maar weer terug valt op standaard wacht woorden die je eigenlijk al 10 jaar lang aan het gebruiken bent, dus dat verbaast me niets.
ook stappen we over op woorden en namen die gemakkelijk te onthouden zijn en ja veel poezen honden en mensen hebben nu eenmaal dezelfde naam.

[Reactie gewijzigd door bamboe op 17 januari 2019 07:11]

Serieus, hoeveel verschillende wachtwoorden gebruik jij?
Tegenwoordig moet je bij zo veel sites wachtwoorden gebruiken dat je toch maar weer terug valt op standaard wacht woorden die je eigenlijk al 10 jaar lang aan het gebruiken bent, dus dat verbaast me niets.
ook stappen we over op woorden en namen die gemakkelijk te onthouden zijn en ja veel poezen honden en mensen hebben nu eenmaal dezelfde naam.
Prima als je dezelfde wachtwoorden gebruikt, maar er wel een passphrase er van. Je wachtwoord moet dan wel bestaan uit grote en kleine letters, leestekens en speciale tekens. Je kan bijv. de volgende wachtwoord gebruiken:
  • Pa$$w0rd!sN0t3nCrypt3d
  • P@$$w0rd1sN0tS@afe3nough
  • 3nCrypt3d1s@lway$B3tter
* Uiteraard zijn dit voorbeelden, gebruik is op eigen risico, aangezien de wachtwoorden al bekend zijn

Voor sites die niet voor mij van belang zijn én waarvan er geen gegevens aan gekoppeld zijn (behalve mailadres), gebruik ik een simpele wachtwoord. Maar voor belangrijke zaken (DigiD, bank, etc), gebruik ik wel verschillende wachtwoorden, puur uit voorzorg.

Wat Google nu in Chrome ook heeft staan, is dat Chrome zelf een wachtwoord genereerd en het opslaat in je account, waardoor je toch een goede wachtwoord hebt, zonder dat je het te hoeft onthouden.

En nogmaals, wachtwoorden als JantjeSmit1969 zijn al lang achterhaald en zijn geen goede wachtwoorden meer. Tenzij je het in l33t tekst het kan schrijven, dan houd je de hackers wel ff bezig :P

Het is dat mensen geen zin hebben om een nieuwe wachtwoord te onthouden of om de 45 / 90 dagen een andere wachtwoord te kiezen. Dat mensen en huisdieren vaak dezelfde naam hebben, wil nog niet zeggen dat je die namen ook moet gebruiken.

Je kan altijd het voorbeeld nemen van je huis, als je weggaat, dan doe je toch ook alle ramen en deuren op slot? Of heb je de ramen wel op slot, maar de deuren niet? Het liefst gebruik je dan nog 1 sleutel voor alle sloten, omdat je minder sleutels hoeft mee te nemen.
Je moet dan juist verschillende sloten hebben (liefst anti-inbraak, geeft nog geen garantie dat het niet gebeurd, maar de kans neemt wel af), ramen die niet zo makkelijk te openen zijn en stevige deuren met goede sloten.
Je advies is enorm achterhaald. Tweakers.net zelf heeft hier een paar jaar geleden een mooi artikel over geschreven. Dat lettersubstitutie systeem werkt echt totaal niet.

Het beste wachtwoordadvies is:
- Gebruik een lang willekeurig gegenereerd wachtwoord.
- Gebruik een uniek wachtwoord per website.
- Sla je wachtwoorden op in een wachtwoordmanager. Een ouderwets boek mag ook als je ze offline wilt houden. Als iemand dat boek steelt weet je dat meteen.
- Altijd 2-factor-authentication instellen indien mogelijk. Indien niet mogelijk, daarom zeuren bij het bedrijf.
Je advies is fors achterhaald. Je bent nogal overtuigd van de kracht van rare tekens in je passwords, terwijl de lengte veel belangrijker is. Passwords worden over het algemeen niet gekraakt of gevonden door proberen te "raden" wat jij bedacht hebt. Ze worden ofwel brute-forced, waarbij je rare tekens dus niets toevoegen, ofwel een brakke website lekt het en het blijkt dat je ze misschien elders ook gebruikt.
Ik gebruik overal unieke wachtwoorden voor. Tools zoals 1Password en de Keychain op iOS maken dat erg eenvoudig tegenwoordig. Als je bekend bent met dergelijke tools maar toch blijf je veel dezelfde wachtwoorden gebruiken, dan ben je gewoon lui
Ik gebruik pas sinds 2018 een Password manager. Waarom? Doordat ik mijn wachtwoorden niet in de cloud wil opslaan, ik wil wachtwoorden niet op een briefje noteren en met 5-6 verschillende wachtwoorden en enkele mail accounts kon ik me prima redden. Vooral als je veel van mobieltjes wisselt (op verschillende locaties dan thuis), dan is het fijn als je toch nog in bijvoorbeeld je mailbox kan.

Door de vele lekken, heb ik er vorig jaar voor gekozen om een paswordmanager te gebruiken en dan in de vorm van Enpass Password manager. Deze is cross platform te gebruiken en het belangrijkste is, is dat deze gewoon vanaf mijn NAS thuis kan draaien, althans, de bibliotheek staat op de NAS en niet lokaal op een pc.
Met 1Password kun je al die dingen al jaren. En op de site van Enpass zie ik het volgende:
Saves data locally on your device
Dus ik denk dat het wel lokaal staat. :)
Ik ben lui. Vaak hetzelfde wachtwoord. Of het email adres ook als wachtwoord gebruiken. Of willekeurig toetsen intikken en de volgende keer wachtwoord vergeten aanklikken.

In elk geval geen ww manager of 2fa.
Ik ben ook lui. Echter gebruik ik 1Password, heb voor elke login andere passwords en kan met 1 toetsenbordcombinatie die gegevens in laten vullen.
Het enige wachtwoord wat ik weet en hoef te weten is die van mn passwordmanager.
Lui, of gewoon andere prioriteiten ;)
Het is toch simpel om een standaard maar sterk wachtwoord te onthouden maar daar variabelen aan toe te voegen die je zelf kan herleiden?
Ik heb 100 procent unieke wachtwoorden die ik allemaal uit mijn hoofd kan intikken. Iemand die ze plain text ziet zal de oplossing niet zien.
Wel even ergens een aantekening voor de familie gemaakt natuurlijk voor het geval er een boom de weg op loopt.
Dat ligt er natuurlijk aan. Als jouw wachtwoord voor Tweakers "DitIsEenSterkWachtWoordTweakers1" is, en de website is dus de website is de variabele, dan had je netzogoed de variabele eruit kunnen laten. Als een hacker 1 of 2 wachtwoorden van je "vindt" kan hij zelf de rest herleiden.

Voor mij is 20 karakters random gegenereerd door BitWarden de standaard. Zaak is dan wel dat je een sterk master password gebruikt. Maar het zal je verbazen hoe snel je 1 string van 20 random karakters uit je hoofd kan leren als je hem een paar keer per dag typt.
Dat werkt alleen als de plain text wachtwoorden worden achterhaald. Kenmerken van websites welke (zeer waarschijnlijk) je wachtwoord als plaintext opslaan is beperkte lengte of dat bepaalde speciale karakters niet gebruikt mogen worden (zoals het euro teken)..

Rainbow tables achterhalen eigenlijk niet jouw wachtwoord. Wat men via rainbow tables doet, is eenzelfde hash creeren. Daarom is het belangrijk dat je een goed hash algoritme gebruikt waarvan het aantal collissions (twee strings welke dezelfde hash opleveren) extreem laag is. MD5 kent bijvoorbeeld teveel collissions, en men raad zelfs al SHA1 af en SHA256 of beter te gebruiken..

Begin 2017 waren CWI & Google medewerkers in staat om SHA1 collissions te vinden: https://shattered.io/
Ik zou toch echt verwachten dat iemand die al zo lang op Tweakers zit zou weten dat je gebruik hoort te maken van een wachtwoord manager. Ik heb de laatste jaren mijzelf op heel wat sites geregistreerd met telkens een uniek, lang, random wachtwoord. De enige waarvan ik mijn wachtwoord nog ken zijn PayPal en mijn email.
En je wachtwoord manager, hoop ik ;)
Dus als ik jouw wachtwoord manager heb heb ik alles van je . Dank je wel
Dat klopt, maar dat geld voor bijna alles.
"Als ik <dit> van jou heb, dan kan ik <dat> namens jou"

Dat is echter nog geen reden om 123456 als wachtwoord te blijven gebruiken. Het is wel een makkelijk tegen argument altijd. Ondoordacht, maar wel makkelijk.
Zo makkelijk kom je echt niet in een password manager.
-je moet het wachtwoord weten
-als het allemaal lokaal is moet je ook nog eens naar de computer toe
-op een tablet of smartphone heb je ook nog iets van gezichtsherkenning of vingerafdruk.

Kortom het is toch veiliger, makkelijker en betrouwbaarder om een password manager te gebruiken. Alles valt te hacken maar het is echt niet zo makkelijk te hacken als men denkt. Niet voor niets dat veel mensen en bedrijven lastpass, dashlane of 1Password gebruiken.
Alleen heeft een goede wachtwoordmanager tegenwoordig ook gewoon 2FA. Dus zo makkelijk kom je daar niet aan.
Je moet daar nog wel een wachtwoord of iets voor hebben om er in te komen. Dus veel succes met zijn wachtwoord manager.
ja en mijn keylogger heeft dat ook niet nodig want iedereen kopied / paste dat naar het clip board omdat het complex paswords zijn die in de manager staan dus je stuurt al je pasw direct door naar mijn mailbox. Zelfde als zonder pasw manager.

Meer werk voor jouw , net zo veel werk voor mij als ik een hacker zou zijn.

MFA voor een paswoord manager is ook niet alles heel rom slomp om in een password manager te komen.

pasw voor manager -> mfa voor je manager -> paswoordt voor de site -> mfa voor de site .

Enige echte enig sinds goede oplossingen zijn MFA , maar dan kun je in theorie gewoon overall het zelfde pasw nemen gezien het pasw eigelijk geen factor meer is.

Dus alleen MFA via OTP + salt en trusted device en je hebt geen pasw meer nodig als salt heb je dan je PIN die overall het zelfde kan zijn. Als men immer je device als heeft maakt dat ook niet meer uit.


Tevens heb ik in theorie jouw 2de factor niet nodig als ik jouw database heb. Uitgaand dat je default van 1 sec delay gebruikt heb ik alleen tijd nodig om je database te hacken. Dus zolang tijd voor de hack korter is als de tijd die jij gebruikt voor een pasw change zit ik nogsteeds goed

[Reactie gewijzigd door Scriptkid op 17 januari 2019 10:16]

Alleen hebben de meeste passwordmanagers tegenwoordig browserintegratie, waardoor voor het wachtwoord van een site zowel het toetsenbord als het klembord worden omzeild.
Alleen hebben de meeste passwordmanagers tegenwoordig browserintegratie, waardoor voor het wachtwoord van een site zowel het toetsenbord als het klembord worden omzeild.
En veel van die managers storen hun database in de manager cloud. Als je die hacked heb je in een keer all pasw van iederèn die die manager gebruikt.
Kopt. Maar die zijn zodanig beveiligd dat wanneer je de skills hebt om die te kraken, er veel aantrekkelijker doelwitten voor die skills te bedenken zijn.
Ik gebruik honderden verschillende wachtwoorden… Jij dus niet?
Als je wilt vasthouden aan je gekende paswoorden, maar dan toch een unieke modifier per site wilt, kan je zoiets doen:

[standaard gekend paswoord][url van de website][aantal letters in de url van de website + aantal tekens in je paswoord]

Op die manier kom je aan een complexer paswoord, dat toch gemakkelijk te onthouden is.
Ongeveer een 200 verschillende.....geloof me je hebt meer accounts dan je denkt als je er eens een avondje voor gaat zitten
Ik heb even mijn LastPass kluis gecheckt. Deze bevat nu 602 verschillende sites met - uiteraard - ook allemaal verschillende wachtwoorden. De meeste wachtwoorden zijn iets als "bZjg438et5F#sFD&" of "fa%!dEmcT8eu*c3e" of iets in die trent. Lastig te onthouden? Nee hoor, LastPass heeft er geen enkel probleem mee :+
Heel veel.
Daar ik heb de password manager voor.
Ik ken uit mijn hoofd maar twee wachtwoorden, dat is die van mijn mail, en die van mijn bitlocker wachtwoord vault.
De rest is allemaal uniek en heb ik geen weet van en moet ik opzoeken om te gebruiken.
Ik gebruik een stuk of honderd unieke wachtwoorden, allemaal minimaal 16 tekens, allemaal met hoofdletters, kleine letters, cijfers, en vreemde tekens, in een random volgorde.
Dan maak je jezelf het lastig. Een wachtwoord zoals ">Fhe34@ddf@#D14S" is voor jou als persoon lastig te onthouden. Terwijl een wachtzin "Doe mij 2 bier [eerste 4 letters van website]!" heel makkelijk te onthouden is voor jou al persoon, maar voor een computer net zo lastig te kraken is. Plus ieder wachtwoord is uniek voor elke site zonder dat je lijsten moet gaan onthouden.
Voor een aanval op basis van social engineering is zo'n wachtwoordzin een stuk eenvoudiger though, zeker als iemand jou persoonlijk kwaad wil doen. Een wachtwoord bestaande uit random karakters maakt ook deze aanvallen lastiger. Enige vereiste is wel dat je een wachtwoordmanager gebruikt.
Nope, langere wachtwoorden zijn _zoveel_ zwaarder om te kraken, dat ze opwegen tegen de factor dat het makkelijker te kraken is vanwege social engineering.
Iemand die jou persoonlijk kent zal echter nog altijd eenvoudiger een patroon kunnen vinden in je wachtwoorden dan dat bij random wachtwoorden een feit zou zijn. Toegegeven: een zeer kleine kans dat dit relevant is, maar desalniettemin steeds vaker een realiteit.
Nee, nee, nee. Gewoon nee.
Mijn wachtwoord is > 25 karakters lang omdat het een zin is. Door social engineering 25 karakters raden is niet een paar factoren, maar Aeon's moeilijker dan een korter wachtwoord. Dat komt omdat het aantal mogelijkheden exponentieel stijgt.
25 karakters is wellicht lastig te kraken, maar waarschijnlijk bestaat je zin uit maar een beperkt aantal woorden. Veel van je karakters hebben daarmee een voorspelbare volgorde en zijn zo uit een woordenboek te halen. Als ik me niet vergis kan op basis daarvan een wachtwoordzin veel eenvoudiger gekraakt worden dan de lengte in karakters doet vermoeden.
In de zin zitten wel gewoon kleine letters, hoofdletters, leestekens, en speciale tekens. Dat maakt dat voorspellen alweer een stuk lastiger. Maar dan nog blijft staan. Bij 1 extra karakter, stijgt het aantal mogelijkheden _exponentieel_. Als jij een bron kan vinden die aantoont dat randomness belangrijker is dan lengte, hou ik me aanbevolen.

Ik geloof namelijk heilig dat dit:

ikbennuoptweakersoverwachtwoordenaanhetpraten
Een beter wachtwoord is dan:
Tw8$2_^52n3t

Hoe simpel die eerste er misschien ook uit ziet.
Voor bruteforcen is een wachtwoordzinnen van 30 karakters lastiger dan een random password van 16 karakters. Een random password van 30 karakters is dan weer even moeilijk, op zijn minst.

Het probleem met die patronen is a) het is voor bekenden van je makkelijker te herleiden, en b) het is lastig om het juiste patroon toe te passen. Je moet altijd weer bedenken welke variatie je nu hebt toegepast, en als dat niet zo is, is je patroon te simpel en te voorspelbaar. Dan kan je nog beter werken met 'correct horse battery staple' of iets in die richting. Maar ook daar: ik kan rustig via de telefoon mijn wachtwoord voorlezen aan iemand en er zeker van zijn dat na het live ingetikt te hebben die persoon dat nooit meer kan reproduceren. Als ik telefonisch 'correct horse battery staple' of 'Doe mij maar 2 bier twea' voorlees weet die persoon dat volgende week nog. Het maakt het dus ook eenvoudiger om accounts tijdelijk te delen. Natuurlijk kan die persoon het opschrijven en meenemen, daar niet van. Het is geen echte beveiliging maar het helpt wel bij mensen die je wel vertrouwt maar alsnog geen onbeperkt toegang tot je accounts wil verlenen.

Groot voorstander van lange volledig random wachtwoorden dus, bijgehouden in een password manager. Ik voer nooit meer een verkeerd wachtwoord in, en als bijkomend voordeel hoef ik mijn gebruikersnamen ook niet meer te onthouden want die staan er netjes bij.

[Reactie gewijzigd door MadEgg op 17 januari 2019 10:00]

zeker waar, mits je bruteforce gebruikt.
er worden echter ook steeds vaker dictionaries gebruikt om passwords die jij nu aangeeft beter te kunnen kraken aldus deze numberphile video:
https://www.youtube.com/watch?v=7U-RbOKanYs
Ik geloof namelijk heilig dat dit:

ikbennuoptweakersoverwachtwoordenaanhetpraten
Een beter wachtwoord is dan:
Tw8$2_^52n3t
Klopt, maar dit wachtwoord:
2,}jb@f%8k+{KW#=kz6F\=3nPkdxGFY.jN@kv`&;{T&G?J

is dan weer veiliger dan
ikbennuoptweakersoverwachtwoordenaanhetpraten

deze 2 wachtwoorden hebben beide 46 tekens, maar de 2e is 'eenvoudiger' te kraken omdat daar bestaande woorden in staan.

* Edit; Quote erbij geplaatst

[Reactie gewijzigd door DiaZ_1986 op 17 januari 2019 10:33]

Als ik me niet vergis kan op basis daarvan een wachtwoordzin veel eenvoudiger gekraakt worden dan de lengte in karakters doet vermoeden.
Dat werkt met de huidige encryptiemethoden niet. Een 'e' wordt elke keer dat 'ie voorkomt in jouw wachtzin ge-encrypt naar wat anders, en woorden of zinsdelen die in plaintext op elkaar lijken worden ge-encrypt naar totaal verschillende ciphertext. Je kunt dus niet stukken wachtwoord achterhalen, zoals je in films ziet, waarbij het wachtwoord letter voor letter wordt gehackt. Dat werkt gewoon niet. Huidige encryptiemethoden geven vrijwel geen info weg over hoe dicht jouw gok ligt bij het echte wachtwoord.

Je kunt uiteraard wel ervan uitgaan dat een wachtzin bestaat uit woordenboekwoorden, en dan gaan bruteforcen op combinaties van woorden, maar dat zet niet echt zoden aan de dijk. Er zijn op die manier nog steeds 10^26 combinaties van 5 woordenboekwoorden te maken, ongeveer even veel als wanneer je 12 willekeurige ASCII-karakters combineert. En als iemand geen woordenboekwoord ertussen zet, maar een zelfverzonnen woord, lukt het helemaal niet.

[Reactie gewijzigd door Iknik op 17 januari 2019 11:13]

Maar een hacker weer toch niet hoe lang elk woord is?
Die ziet alleen een reeks van 25 karakters
Zonder informatie over de lengte of de complexiteit, maakt het niet zo veel uit of je wachtwoord uit 25 random tekens bestaat of uit 25 nullen. Tenzij je algoritme eerst één tot honderd keer de zelfde tekens doorloopt, daarna alle woordcombinaties uit woordenboeken van één tot X tekens en daarna pas de willekeurige tekencombinaties met oplopende lengte afgaat.
De suggestie van Theo, om 1 wachtwoordzin met een per site uniek variabel deel te doen, dek je daar niet mee af.

Casus: je vriend/vriendin/vrouw/whatever kent je wachtwoord voor je email (da's bijvoorbeeld "Doe mij 2 bier gmai") maar de relatie loopt stuk en je bent niet snel genoeg om je wachtwoorden te wijzigen. Deze persoon heeft door dat "gmai" de eerste 4 letters van "gmail" zijn en is slim genoeg (en daar hoef je niet bepaald slim voor te zijn) dat je dit mogelijk ook op andere websites hebt gedaan. Dus die persoon naar Facebook, en die kan daar inloggen met "Doe mij 2 bier face" of bij je bank met "Doe mij 2 bier rabo".

Dat is dan ook waar ik op reageerde: ik ben niet van mening dat wachtwoordzinnen per definitie slecht zijn, maar ze zijn in bovenstaand voorbeeld wel een oorzaak dat meerdere diensten gecompromiteerd worden.
Je kan natuurlijk ook een iets complexer 'algoritme' gebruiken om de websitevariabele te bepalen. Bijv het [aantal lettergrepen van de site], [letter n van de URL, waarbij n het voorgenoemde getal is], plus [de tweede letter van de url] en [positie van de eerste klinker]
Tweakers wordt dan 2ww3
Bol is 1bo2
AliExpress is 5xl1

Dat is al vrij lastig te kraken, maar wel makkelijk te onthouden.
Dit maakt het zeker wat complexer, echter ben ik zelf van mening dat als ik het kan onthouden vanwege patronen, dat iemand anders die patronen kan herleiden en de mate waarin veiligheid toegenomen is beperkt blijft.

Alles is beter dan p@ssw0rd, daar niet van, maar mijns inziens gaat er gewoon weinig boven enkel random gegenereerde wachtwoorden en een wachtwoordmanager, waarvoor je één zin hanteert die verder daadwerkelijk niemand kent. Wijzig die zin ook regelmatig. Voor een heel varia aan services waarbij anderen in zouden moeten kunnen loggen (Netflix bijv) is dit niet echt een probleem, want eenmaal ingelogd hoef je dit gedurende zeer lange tijd toch niet weer te doen.
@Theo: 4 karakters is te kraken binnen 42 microseconden.
Bron

Tenzij je een langer algoritme bedoelt :)

[Reactie gewijzigd door Stievydude op 17 januari 2019 10:09]

@Stievydude Het gehele wachtwoord in mijn voorbeeld is uiteraard geen 4 karakters, het is de variatie in wachtwoorden. :P I'm crazy but not stupid
In een paar posts terug gaf ik als voorbeeld het wachtwoord "Doe mij 1 bier [website]!"
Dat is dus voor tweakers "Doe mij 1 bier 2ww3!" Volgens jouw link is daar zo'n 1*10^29 secondes voor nodig (of 4*10^21 jaren)

Dan heb je, mocht je geen manager willen/kunnen gebruiken (bijv wanneer je veel met openbare pc's werkt of pc's zonder adminrechten) wel de mogelijkheid om gemakkelijk een sterk wachtzin te maken die uniek is voor iedere site, en niet zomaar te raden/kraken is door social engineering of een partner die wraak wil nemen en je wachtwoord van één site heeft gevonden..
Idd :) Ik hou het toch bij mijn wachtwoordmanager, Ik heb momenteel 366 sites in mijn verzameling :)

[Reactie gewijzigd door Stievydude op 17 januari 2019 12:15]

Misschien dat ik context mis, maar een wachtwoord als "Doe mij 1 bier 2ww3!" is verschrikkelijk makkelijk te kraken; kort, bevat woorden, voorspelbare patronen. Tweakers.net zelf heeft daar een paar jaar geleden een mooi artikel over geschreven.
Goede nuance! Helemaal mee eens. Mijns inziens moet je dus ook maar 1 zo'n 'makkelijk' te onthouden wachtwoord hebben, om je password manager te unlocken. (En die natuurlijk voor jezelf houden...)

[Reactie gewijzigd door FireDrunk op 17 januari 2019 08:45]

Eens met @FireDrunk! Dit vond ik altijd al een mooi treffend plaatje :)

https://pbs.twimg.com/media/DU9IDgEX0AAhK96.jpg

[Reactie gewijzigd door carpcrack op 17 januari 2019 13:26]

Jammer is dat veel sites (nog steeds) een mooi maximum hebben op het wachtwoord, bijv. max 8-16 lang. Dan houdt het snel op met zinnen als wachtwoord.
Een wachtwoordmanager is altijd +1, het 'soort wachtwoord' maakt daarvoor niet uit. Gebruik bij de wachtwoordenmanager het liefst 2FA.
Probleempje hiermee is wel dat de admin van die site heel makkelijk jouw ww kan raden voor andere sites.
Dat kan je als gebruiker niet zien en is, zoals al vaak is aangetoond, zeker geen gegeven.
Klopt, maar als het opgezet is door enig competente ITers, dan zullen ze geen wachtwoorden in plaintext opslaan.
Ik zou mijn wachtwoordbeleid niet laten afhangen van de competentie van IT'ers die een website beheren.
Dat raad ik ook niet aan, een passwordmanager is natuurlijk de juiste oplossing.
Dat raad ik ook niet aan, een passwordmanager is natuurlijk de juiste oplossing.
Dat wil ik best betwisten! Zodra je het hoofdwachtwoord weet heb je gelijk ook al je andere wachtwoorden te pakken. Ik zou eerder zeggen dat het een van de onveiligste manieren is om een wachtwoord in op te slaan.
Sorry? Ik ben zo'n IT'er en ik moet de programmeurs nog vaak even duidelijk maken dat ze net even iets verder buiten de doos moeten denken om in te schatten of het veilig is of niet. De rol van IT security ligt toch vaak bij de IT'er en niet bij de programmeur. Ik vind een password policy bedenken dan ook eigenlijk geen taak voor een programmeur.
Dat zou je zeker denken. Maar ook competente ITers maken fouten. En wat als iemand anders er komt te werken en denkt dat het een goed idee is om wachtwoorden te gaan loggen? Nee, ik zou zeker altijd uitgaan van de ergste situatie en gewoon zorgen voor een uniek, sterk wachtwoord.
Meestal gebeurt het hashen server side. Als beheerder of eigenlijk vanzelfsprekender een aanvaller van een site kan je natuurlijk prima wachtwoorden eerst afvangen alvorens ze gehasht worden.
Ik ga er toch wel stiekem vanuit dat @Bart ® gebruik maakt van een password manager.
Ik maak het mezelf totaal niet lastig, want ik heb een wachwoordmanager om die wachtwoorden te onthouden. Jouw systeem is juist supersimpel te kraken. Zodra er twee sites gehackt zijn waar jij een account hebt, is heel simpel te herleiden wat al je wachtwoorden zijn. Nadat immers je wachtwoord op Tweakers 'doemij2biertwea' blijkt te zijn, en je wachtwoord op motorforum.nl 'doemij2biermoto' is, dan is het natuurlijk geen rocket science om te bedenken dat je wachtwoord op ingbank.nl 'doemij2bieringb' is. Dat is bijna net zo onveilig als overal hetzelfde wachtwoord gebruiken...
Maar dan moeten ze al wel gericht gaan zoeken en niet geautomatiseerd alle gevonden combinaties op verschillende sites uitproberen.
Het is natuurlijk super simpel om een scriptje te schrijven dat checkt van alle e-mailadressen die vaker dan 1x voorkomen, of de wachtwoorden daarvan meerdere overeenkomstige tekenreeksen hebben. Daarna is het wel een stukje handwerk, maar ook niet al te veel.
Het is maar de vraag of dat de (geringe) moeite waard is. Ik heb het donkerbruine vermoeden dat de lijst langs een aantal sites halen al genoeg oplevert.
Dan maak je jezelf het lastig.
Je denkt dat ik ze zelf verzonnen heb? Of probeer ze te onthouden?
Dat beschermt je dus totaal niet als je in zo'n lijst als in dit artikel terecht komt. Dan zou je er zo uit kunnen afleiden dat je Gmail wachtwoord "Doe mij 2 bier gmai!" is.
Gelukkig hoef ik maar 1 wachtwoord te onthouden, die van mijn wachtwoord manager.
Hiervoor zijn wachtwoord managers bedacht :)
Ik doe het nog simpeler. Voor 99% van de sites waar ik een ww moet ingeven doe ik het volgende :

1 Ik genereer een ww via https://www.onlinewachtwoordgenerator.nl/
2 Vervolgens voer ik dat ww in
3 Ik sla het het ww NIET lokaal op
4 Moet ik na een tijdje weer inloggen, dan gebruik ik ww herstel en begin ik weer bij stap 1

Hierbij hoef ik EN niets te onthouden EN is mijn account veilig voor hacks

Voor die paar sites die ik vaak gebruik zet ik 2fa aan met een moeilijk ww.

Use the system !!!
Dan is het enige wachtwoord dat ze moeten kraken het wachtwoord van je emailaccount. Maar dat geldt natuurlijk voor elk systeem zonder 2FA.
Bijkomende complicatie is natuurlijk wel dat ze moeten weten welk emailaccount je voor die site hebt gebruikt.
Klinkt misschien kort door de bocht, maar als je een password manager hebt, en overal dus een uniek wachtwoord, hoe je je minder zorgen te maken over het wijzigen van wachtwoorden.
Maar hoe betrouwbaar zijn wachtwoordmanagers? Zijn die niet een heel aantrekkelijk doelwit. (Of begrijp ik de werking van ww managers niet goed en staat daar niks centraal opgeslagen of zit daar altijd two tier op?)
De wachtwoordmanagers met cloud storage zijn inderdaad heel aantrekkelijke doelwitten. Zelfs met de mogelijke 2FA. Vandaar ook dat deze door specialisten sterk afgeraden worden.
Vandaar ook dat deze door specialisten sterk afgeraden worden.
Ik ben benieuwd welke serieuze security specialist zo'n password service "sterk" afraad.
Er zijn altijd wel use-cases te bedenken waarbij het uitbesteden van iets aan een derde (maakt even niet uit wat) extra risicovol is. Als je Rutte of Trump heet en een bepaald doelwitprofiel hebt bijvoorbeeld kan je allicht beter niet zomaar data buiten eigen beheer huisvesten.
Maar als je wachtwoordmanagers gaat afraden voor Jan Modaal heb je denk ik in de essentie niet begrepen wat relatief veilig is welke use case.

Als alles getoetst moet worden aan Pentagon security normen voor top geheime informatie is alles onveilig, maar zo werkt de wereld niet.
Jan Modaal hoeft zijn belastingaangifte niet op te slaan met die dubbele swordfish miljard bit quantum encryptie die hoeft alleen maar ze zorgen dat zijn data niet door elke random scriptkid geëxploiteerd kan worden.

[Reactie gewijzigd door Koffiebarbaar op 18 januari 2019 11:03]

Wat een onzin. LastPass is altijd al een van de hoogst aangeschreven password managers geweest. Niemand heeft er iets aan als ze jouw cloud database zouden weten te bemachtigen.
True. Lastpass is hoog aangeschreven. Het is ook al een aantal keer lek geweest én misbruikt zodat de wachtwoorden van Lastpass gebruikers letterlijk op straat lagen.....
nieuws: Google-onderzoeker vindt nieuw lek in LastPass nadat eerder lek werd ...

Het grootste risico met password managers is de illusie van veiligheid. Je denkt veilig te zijn en dus wordt je laks.
Ik link dan ook maar even naar wat relevante comments uit dat artikel: Opperpanter2 in 'nieuws: Google-onderzoeker vindt nieuw lek in LastPass nadat...
Lees dan ook even je link, want het is wel erg overdreven om te zeggen dat de wachteoorden op straat lagen. Door een bug in één(!) Firefox extensie konden theoretisch gebruikte wachtwoorden afgevangen worden. Je wachtwoordkluis zelf bleef veilig.
Er zijn veel grotere lekken geweest waardoor wachtwoorden afgevangen konden worden, waarbij het niet uitmaakte of de wachtwoorden door de browser werden onthouden, werden ingetikt of van een wachtwoordmanager afkomstig waren.
Dat issue waar je naar linkt is wat anders dan wat je met je text suggereert. Beetje nepnieuws dit.
Hoewel het probleem wat je aankaart betrekkelijk zwaar te noemen is omdat het gewoon (targeted) exploitabel is was er pertinent geen sprake van het op straat liggen van LassPass's databases aan password informatie.

Je moet geen problemen opblazen om je eigen punt kracht bij te zetten. Dat is een giftige manier van discussiëren waar niemand wat aan heeft en waarmee je feitelijk alleen jezelf in diskrediet brengt.

[Reactie gewijzigd door Koffiebarbaar op 21 januari 2019 11:17]

Interessant! Welke specialisten zeggen dat?
Rian van Rijbroek :+
Heb je een bron? Want ik deel die mening persoonlijk niet.

Bijv. bij 1Password heb je eigenlijk 3FA en standaard 2FA op je database zitten. Je hebt een unieke sleutel (1FA) je wachtwoord (2FA) en je de code vanuit een authenticatie app/sms (3FA).

De unieke sleutel is altijd nodig om je database te ontgrendelen. Die wordt daarnaast ook gebruikt voor het coderen van je database i.c.m. je wachtwoord van 40 karakters. 1Password encryptie is dus top in orde. Natuurlijk kan je ook offline een database opslaan maar dat is niet altijd even handig vindt ik persoonlijk.

Ik ga binnenkort nog eens door de Whitepaper van 1Password neuzen.
Er zijn verschillende soorten natuurlijk. Bij bijvoorbeeld een KeePass heb je jouw wachtwoorden 'database' in eigen beheer, dus de betrouwbaarheid ligt dan in eigen hand, maar is over het algemeen gewoon erg betrouwbaar en het bestandje met wachtwoorden is niet zomaar in te zien zonder jouw hoofdwachtwoord. Een LastPass waarbij je database in principe online staat voelt misschien minder veilig, maar de kans dat je wachtwoorden daar lekken is ook gewoon heel klein en op jouw database van wachtwoorden staat gewoon een erg sterke encryptie, ook beveiligd met jouw hoofdwachtwoord.
Zo'n Keepass database kan je daarintegen, als je die eenmaal hebt, wel weer straffeloos brute forcen.
Als je dat op de Lastpass servers probeert gaat men dat wel zien.

Er zijn voors en tegens tegen alles maar elke password manager is beter dan maar gewoon een beetje wachtwoorden door de recycle trekken op tig sites.
KeePass heeft "expert options" bij het creëren van een database:
  • key file
  • Windows user account
Dus ook al heeft iemand jouw KeePass database (én wachtwoord), veel succes ermee als hij een van de bovenstaande opties gebruikt.

[Reactie gewijzigd door Despen op 17 januari 2019 16:59]

@phamoen
Ik gebruik altijd KeePass, dat staat lokaal opgeslagen, niks in de cloud
Maar dat werkt dan weer alleen lokaal. Wanneer je het over meerdere devices wilt gebruiken zal je het toch op de een of andere manier van buitenaf bereikbaar moeten maken. Dan ben jij waarschijnlijk een klein en onwaarschijnlijk doelwit voor aanvallen, maar ik denk dat bij een gerichte aanval jij makkelijker te kraken bent dan bv. de servers van LastPass.
Dat de servers van LastPass (of welke wachtwoord manager dan ook) door kundig personeel worden beheerd....daar kun je wel aannemen. Maar zoals jij het beschrijft, klinkt dat als een vrijbrief. En dan heb je het toch wel mis.

Daarnaast heeft een online database nog een ander probleem. Wat gebeurt er als de servers eruit liggen door een DDOS of andere fysieke calamiteit? Dan heb jij toch echt problemen om online te functioneren (zoals je gewend bent).

Nu zal het met fysieke calamiteiten wel loslopen, maar een DDOS behoort toch echt wel tot de mogelijkheden. Goed, je wachtwoord mag dan wel/niet achterhaald zijn tijdens deze DDOS (servers die zwaar worden overbelast kunnen rare dingen gaan doen), maar jij kan bijna niks meer doen op het internet zonder je wachtwoorden.

Biometrie blijkt zeer gemakkelijk te omzelien, wachtwoorden die je zelf kan onthouden ook. Zelfs de combinatie is niet heilig. Een wachtwoord manager is de minst slechte oplossing voor nu. Maar dat betekent dus helemaal niet dat de wachtwoord manager een goede oplossing is. En dat het zeker niet alle lofzang die het concept hier in het forum krijgt daadwerkelijk verdient.

Het is treurig om vast te stellen, maar er is niks beters. Niet nu en voor de nabije toekom zie ik het ook somber in..
Als noodoplossing bij een DDOS van de servers van je wachtwoordmanager kun je altijd nog de wachtwoorden die je op dat moment nodig hebt laten resetten. Dat de overbelaste servers zonder mijn hoofdwachtwoord, dat gebruikt is om de wachtwoordkluis te encrypten, spontaan mijn wachtwoorden op gaan hoesten lijkt mij erg ver gezocht, zoniet onmogelijk.

Ik ben het overigens met je eens dat het gebruik van wachtwoorden een onhandige en gebruikersonvriendelijke manier van beveiliging is. De meeste manieren om met wachtwoorden om te gaan zijn verschrikkelijk onveilig.
Maar zolang er niets beter is (ik weet het ook niet) is een wachtwoordmanager een noodzakelijk kwaad.
Maar hoe betrouwbaar zijn wachtwoordmanagers? Zijn die niet een heel aantrekkelijk doelwit. (Of begrijp ik de werking van ww managers niet goed en staat daar niks centraal opgeslagen of zit daar altijd two tier op?)
Je haalt een valide punt aan, maar het is desondanks vele machten beter dan maar gewoon wachtwoorden te recyclen.
Security is tevens de core business van zo'n cloud based wachtwoordenboer, die mag je wantrouwen maar hun voortbestaan hangt af van de security van hun systeem. Ik vind dat een vrij solide arugment om er toch maar wel van uit te gaan dat ze hun best doen.

Overigens kan daarover nog two factor. Dus zelfs als je in mijn vault zit, waar al two factor op zit, kom je niet veel verder dan inloggen op mijn tweakers accountje of soortgelijk.
Kritiek spul (mail bijvoorbeeld) moet ik via authy, duo of een ander mechnisme nog apart verifieren.

Ik geef het je te doen om daar doorheen te waden voor wat vakantiefoto's en mijn belastinginformatie.

[Reactie gewijzigd door Koffiebarbaar op 17 januari 2019 12:25]

Ik heb een wachtwoord manager, maar dan nog ga ik nu even mijn wachtwoord wijzigen...
Als je moeite doet om de originele blogpost te lezen dan staat daar uitleg.

Databreaches leveren ook troep als data op. Hashes die niet omgezet zijn naar wachtwoorden, fouten in escapen enz.
Kan je opzoeken of je wachtwoord gelinkt is aan de login’s
https://haveibeenpwned.com/Passwords
Goed, daar komt mijn vraag nadat ik alle posts heb gelezen:

Misschien naïef / onwetend, maar waarom zou ik moeilijke wachtwoorden gebruiken voor sites zoals tweakers.net? Wat kan er gebeuren als men mijn tweakers account kraakt? Reageren namens mij?

Idem voor webwinkels. Er is nergens een creditcard / rekening o.i.d. aan een account gekoppeld. Als ze mijn bol.com account hacken, succes met mijn bestel historie inzien. Meer kan men niet volgens mij. Aan alle webwinkels / forums een tralala@gmail.com account gekoppeld. Indien niet meer te gebruiken, kan ik een andere aanmaken.

Uiteraard heb ik voor paypal / e-mail / digid e.d. wel een goed wachtwoord zodat ik er maar een stuk of 10 hoef te onthouden, 9 belangrijke, 1 of 2 onbelangrijke voor forums e.d.

Zoals gezegd, misschien erg naïeve gedachte, maar ik ben benieuwd, wat is het gevaar wat ik over het hoofd zie?
Voor Tweakers: Uit jouw naam V&A-advertenties plaatsen, mensen laten betalen en (uiteraard) niks verzenden. Toen vorig jaar zo'n lading accounts was uitgelekt zagen we in V&A ook ineens rare activiteiten van gebruikers die al jaren niet meer waren ingelogd (of juist wel nog actief waren) en allerlei gewilde artikelen tegen belachelijke prijzen gingen aanbieden.

Dan kun je wel denken dat je kunt bewijzen dat jij niks gedaan hebt maar er zijn altijd mensen die op diverse plaatsen gaan melden dat ze door jou zijn opgelicht. Zou jij het prettig vinden om iedere keer te moeten uitleggen dat je account gehacked was?

Bol.com: Je kunt achteraf betalen voor een hoop artikelen. Spullen worden op een ander adres afgeleverd en jij krijgt de rekening. Mag jij gaan uitleggen dat je te lui was om een fatsoenlijk wachtwoord te gebruiken. (Ja, dit kan ook zonder gebruik te maken van jouw account. Helaas zelf meegemaakt dat iemand bij Blokker een bestelling had geplaatst met mijn adres als factuuradres maar gelukkig zagen ze bij Afterpay ook dat het niet klopte maar mijn adres is toen wel geblokkeerd voor gebruik met Afterpay.)
same here. Ben ik ook benieuwd naar.
En ik vraag me ook al tijden af wat een pw manager doet met bestaande websites waarop ik al een ww heb. Komen daar nieuwe te staan?
Weet iemand ook van welke sites deze wachtwoorden komen? Dan zou ik weten welke ik evt. moet veranderen.
https://pastebin.com/UsxU4gXA hier een lijst met alle origins (vermoedelijk)
Is er geen e-mail > Website koppeling ergens?
Nope en dat is bij zo'n paste/combo list ook niet mogelijk.

Troy legt dat hier wel goed uit;
https://www.troyhunt.com/no-spotify-wasnt-hacked/

Probleem is bij een paste/combo list dat je nooit zeker bent of de naam waar het onder staat wel correct is.
Je kan je wachtwoorddatabase in 1Password toevoegen (tijdens de gratis trial), die kan aangeven welke van je wachtwoorden verandert moeten worden.
jah.. Had vanmorgen al een mailtje met betaal ff 100eur anders gaan de gemaaakte filmpies naar mijn contacten... (en heb helemaal geen webcam) :+
screenshot mailtje.. al doorgestuurd aan valse-email@fraudehelpdesk.nl

[img=234,176]https://tweakers.net/ext/f/6BcFEUkKITdEQN0y4TN4xcXs/medium.jpg[/img]

[Reactie gewijzigd door copyer op 17 januari 2019 07:32]

haha ja die heb ik ook gehad.
opvallend was dat een oud wachtwoord van mij in plain text in het onderwerp stond.
gaf me wel een reden om toch even het mailtje te lezen ;)

maar inderdaad hetzelfde verhaal, geen webcam maar toch seksfilmpjes van me gemaakt.
Zo ook bij mij. De mail had een andere context maar had wel een wachtwoord welke ik ooit gebruikte en nu nog steeds in een combinatie met andere woorden. en of ik wat bitcoins wil overmaken.

Overigens ontvang ik laatste tijd zeer veel spam in outlook. Nep mails van Bol.com en media markt. De frequentie begint heel irritant te worden
Ik vraag mij af hoe dit komt, ik hoor of lees op internet wel vaker dat mensen hier last van hebben.
Waarom heb ik daar nou nog nooit last van gehad ?
*Knock on wood*

Ligt dat aan de provider waar iemand bij zit ?
Gmail ?
Sites die je bezoekt ?

Spam, dreigmail, etc ik heb er nooit last van, krijg ze niet.

[Reactie gewijzigd door iew op 17 januari 2019 13:55]

Green idee, mn mail adres is ook alweer tegen de 20 jaar oud (hotmail.com) en de websites van toen kunnen wel opgekocht zijn incl database etc. Ook geen idee meer waar ik mij toentertijd mee bezig hield, wellicht niet zo bewust als nu.

Tegenwoordig probeer ik met aliassen voor elk account een unieke mailadres te gebruiken. Als waterkoker-facebook@outlook.com. alleen staat outlook niet zoveel aliassen toe helaas.

edit: ah, de mailadressen die bekend zijn komt door Google+ en linkedIn lek. Bepaalde scrape sites hebben die adressen ook online gezet :'( dan wordt het zo'n circeltje van scrapesite wordt gescraped door scrapesite etc etc

[Reactie gewijzigd door Waterkoker op 17 januari 2019 15:25]

Mijn email adressen zijn al veel ouder, xs4all.
Maak het ook niet uit achter wat voor spamfilter je zit? Ik heb hier een e-mail adres van 25 jaar oud dat minder spam krijgt dan een ander van 15 jaar oud, maar eerste heeft wel een filter en laatstgenoemde filtert niets. Provider waar je zit lijkt me niet uit te maken, mijn ouders hebben dezelfde provider en nul spam. Ik zie wel dat mijn e-mail adres onderdeel was van de LinkedIn leak dus het is oftewel dat of misschien eens achtergelaten op een onbetrouwbare site.
Mmm ja de spamfilter zal inderdaad wel uitmaken, ik vraag mij alleen af of het wellicht uit maakt of je een Ziggo, KPN of whateva provider hebt ivm wel of geen goed spamfilter.
Of ligt het meer aan welke sites je bezoekt ? aanmeld ?

Je hoort, leest en ziet dat redelijk veel mensen last hebben van dit soort meuk.
Is het spamfilter van bijv. xs4all beter dan die van Ziggo in het afvangen van ?
Of ligt het meer aan welke sites je bezoekt ? aanmeld ?
Hangt deels ook nog af van de mensen die jouw e-mail adres gebruiken. Vroeger kwam het nog wel eens voor dat allerlei hoax berichten door werden gestuurd met honderden adressen in het CC veld.
Is het spamfilter van bijv. xs4all beter dan die van Ziggo in het afvangen van ?
Ik weet niet of er echt sprake is van beter, naarmate dat je een filter agressiever instelt krijg je ook meer false positives en moet je de ham uit je spambox gaan hengelen. Zo zijn er geloof ik nog wat afwegingen tussen risico op onterecht blokkeren en risico doorlaten spam.

[Reactie gewijzigd door Tribits op 17 januari 2019 14:53]

Tja ik heb 3 mail adressen 1 is echt meer als 30 per dat plus wat hotmail al blockt en de andere 2 nul comma nul.
Volgens mij als je mail 1x in zon lijst staat word die gehele database gewoon aan al die spam troep toegevoegd.

Zou het overigens knap vinden als 'ze' door al mijn foto's en video's gaan om te kijken wat 'bruikbaar' is ik heb hier namelijk 12 TB vol staan. Dat loont toch echt niet voor 100 euro. Verder als seksende insecten komen ze alleen niet.

Ik denk dat ik over ga naar een privé domein als ik ooit een leuke vind die ook voor mail bruikbaar en makkelijk is. dat kost maar 25 euro per jaar en je kan gewoon voor iedere site een nieuwe aan maken.
Bijvoorbeeld tweakers@computerjunky.nl , belastingdienst@computerjunky.net en vervolgens kan je gewoon 1 catch all instellen.
Als je dan spam krijgt weet je ook meteen waar het mis gaat.

[Reactie gewijzigd door computerjunky op 17 januari 2019 15:14]

Een eigen mail server draaien, dat is een mooi streven. Maar zeker minder makkelijk dan het op het eerste gezicht lijkt. En dan heb ik het niet over het correct opzetten ervan. Maar je zal ook aan je hoster moeten vragen of je zelf een mailserver mag draaien.

De meeste providers zijn er namelijk niet zo van gediend en met goede redenen. Er hoeft maar 1 minder goed geconfigureerde mailserver in je IP blok te draaien en dat hele blok word dan geblokkeerd door een of meerdere anti-spam organisaties.

Op die rompslomp zit je ISP niet echt op te wachten. En jij ook niet. Gebeurt dat te vaak in een te korte tijd, dan kan dat zelfs op een semi-permanente tot permanente ban uitdraaien.

Ook zijn er bedrijven/sites die gebruik maken van online spam filters als extra bescherming voor hun mail servers. Helemaal niks mis mee. Totdat jouw eigen domeintje wel op een van de vele online spamfilters is aanbeland. Kun je fijn in log files gaan rondwroeten tot je daar achter komt.

Een eigen mail server klinkt leuk en ga er ook vooral voor als je de mogelijkheid hebt, maar weet dat er veel meer adminastratieve rompslomp bijhoort dan je zou verwachten. En verdiep jezelf eerst in de materie, daar doe je jezelf een veel groter plezier mee dan dat dat op het eerste gezicht lijkt. Moeilijk is het niet, maar om nou te zeggen dat het simpel is....
Nee ga zeker niet zelf een mail server draaien. Alleen qua stroomkosten en hardware vind ik dat al niet wenselijk.
Iets als : https://www.one.com/nl/grootte_1 goedkoper als alleen al de stroomkosten van een mailserver.

Heb in mijn pc een goedkopere host staan maar kan er even niet bij en kan er ook niet op komen.

[Reactie gewijzigd door computerjunky op 18 januari 2019 03:20]

Ik heb 6 email adressen en echt nooit ergens last van, blijft vreemd...
Tja ik denk dat het adres waar ik problemen mee heb ooit al 15+ jaar geleden bekend is geworden en in een mailing lijst terecht is gekomen en als je daar eenmaal in zit kom je er gewoon nooit meer vanaf.
En die worden doorverkocht en overgenomen en dan gaat het van kwaad tot erger.
De andere 2 zijn voor google apparaten en gaming en daar heb ik nooit gelazer mee maar die geef ik dan ook niet uit aan webshops enz.
Ergens is het ooit gelekt en van daar verspreid.

Leuk voorbeeld van linus tech tips die zij een paar weken geleden over de computerwinkel waar hij gewerkt had dat bij faillissement de hard drives met hele databases gewoon aan de hoogste bieder verkocht zijn en dat er met de data dus ook zijn details lagen gewoon op straat. En voor een spam 'bedrijf' is zon hard drive natuurlijk heel erg interresant.
Het kan dus op vele manieren en sommige ontspringen de dans en andere zijn de sjaak.
Het hoeft niks met persoonlijke veiligheid te maken te hebben het kan gewoon gebeuren.
Nou is mijn main een hotmail van voor 1998 en dat was toen ook niet echt super veilig natuurlijk.

[Reactie gewijzigd door computerjunky op 18 januari 2019 15:26]

Inmiddels ontdekt waar het probleem ligt. In mijn keepass kon ik hetzelfde wachtwoord terugvinden die ook in de spam/dreigmail stond. Blijkt dus dat ik 15a16 jaar terug lid was geworden van een toen zeer populaire forum. Deze staat nu nog op http en ik vermoed dat de beveiliging niet optimaal is gezien de site al jaren niet geupdate is. Hierop een mailtje gestuurd aan de moderator en voor mijzelf wachtwoord veranderd en de mail aangepast naar een onzinaccountje

[Reactie gewijzigd door Waterkoker op 17 januari 2019 17:44]

Overigens ontvang ik laatste tijd zeer veel spam in outlook. Nep mails van Bol.com en media markt. De frequentie begint heel irritant te worden
jup same, erg irritant
Bij mij kwam het wachtwoord niet overeen met het desbetreffende email adres dus was per definitie loos alarm maar ik moest wel lachen om de inhoud van de mail
Dat soort mailtjes worden al heel lang verzonden, omdat er altijd data van breaches rond gaat. Heel veel dara. Troy Hunt probeert dat ook duidelijk te maken. De data is slechts een kleine aanvulling op wat er al beschikbaar was.
Hij kan ook voor je raam hebben gestaan met een mobieltje gefilmd of als je hoog woont met een drone, niet gelijk van een webcam uitgaan he 🤪😉
Alleen staat er wel letterlijk webcam in de betreffende mailtjes. Ik krijg ze ook regelmatig, meerdere per week. Steeds net een iets andere invulling of toon, maar altijd exact dezelfde strekking. Malware, PC gehackt, webcam gebruikt en naast pr0n-video gezet, Facebook-contacten gekaapt (en ik heb geeneens Facebook ;) ) en ze gaan binnen 24 tot 72 uur alles naar ze sturen tenzij ik 500 tot 3000 euro in Bitcoin betaal. Natuurlijk zeggen ze dat er ook een tracking pixel in de mail zit zodat ze weten wanneer ik hem geopend heb, terwijl dat helemaal niet zo is.
Dan heb je een koopie. Mijn 'hacker' vroeg ruim € 800. :)
Is er een manier dat je op je email adres kan zoeken zodat ie een lijst van sites geeft?(die gehacked zijn)?
Mijn email stond er ook in jammer genoeg. Toch maar weer even veranderen.
Het nummer van de band De Dijk - Binnen zonder kloppen is wel toepasselijk ;)
(in deze collectie komt de officiële site van De Dijk dus voor als 1 van de getroffen Nederlandse databases...)

[Reactie gewijzigd door PalingDrone op 17 januari 2019 07:24]

En dat noemen ze dan geen van deze zijn grote of bekende sites.... Ach, De Dijk bestaat ook nog niet zo lang he? ;)

Edit: Toegegeven, dit is de enige die me bekend voor komt. De rest is in ieder geval niet iets waar ik snel op zou zoeken.

[Reactie gewijzigd door ElectricHead op 17 januari 2019 08:14]

Wie meld ze bij de autoriteit persoonsgegevens.
In de staan die van elf .nl-sites, maar geen daarvan is een grote of bekende site.
Ter info er misschien nog bij vermelden dat er ook enkele .be adressen en een .vlaanderen adres in staan. Maar ook geen echt bekende sites volgens mij.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True