Verzameling met 2,2 miljard accounts stond online

Een database met in totaal 2,2 miljard accountnamen en wachtwoorden was online te downloaden. Het gaat om een collectie van accounts uit eerdere hacks en datalekken, zo lijkt het. De verzameling is meer dan duizend keer gedownload.

Hackers hebben de verzameling in een torrent gezet en die is in totaal duizend keer gedownload en werd door 130 mensen geseed, schrijft Wired nadat Heise.de de verzameling al tegengekomen is. In de readme-file bij de torrent stond dat de verspreider wilde dat zoveel mogelijk mensen hem zouden seeden. Dat maakt de data waardeloos voor de verkoop, omdat iedereen erover kan beschikken.

Hoewel een deel komt uit bekende datalekken als Dropbox, Yahoo en LinkedIn, lijkt het erop dat veel van de accounts en wachtwoorden nieuw zijn. Die lijken te komen uit het geautomatiseerd hacken van kleinere websites.

De database, met de naam Collection #2-5, volgt op de ontdekking van Collection #1 twee weken geleden van de site HaveIBeenPwned. Daarin zaten 773 miljoen mailadressen. Veel daarvan zitten ook weer in de nieuwe collectie.

Of een mailadres voorkomt, is te zien in een tool van het Hasso-Plattner Instituut. Die stuurt na het invullen van een e-mailadres een mail naar dat adres met een tabel van databases waarin dat mailadres voorkomt. Daarin staat dat de collectie in totaal 2.191.498.885 mailadressen bevat.

Door Arnoud Wokke

Redacteur

31-01-2019 • 15:18

190 Linkedin

Reacties (190)

190
189
74
11
0
102
Wijzig sortering
Ik gebruik voor bijna elke website/forum/login een uniek email adres in de vorm van:
account+website@gmail.com
Sommige sites lopen nog achter en accepteren geen '+' in het email-adres dan doe ik het volgende:
ac.count@gmail.com
acco.u.n.t@gmail.com
etc...
En houd ik bij welk adres ik waar gebruik. Hierdoor 'denk' en hoop ik minder vatbaar te zijn voor het stelen van mijn account info, echter zijn er natuurlijk vast weer slimmeriken die alles achter de plus en alle punten er uit filteren.

Dus mijn vraag is: Kan ik gemakkelijk zien of één van mijn alter-adressen gebruikt wordt? Of moet ik elk adres invullen bij haveibeenpowned en nu ook bij HPI?
Goeie genade.

Heb je dan niet ontzettend veel emailadressen zo?...
Nee, als je bijvoorbeeld Gmail gebruikt, dan heb je 1 e-mailadres.

Stel je hebt caseum@gmail.com, dan kan je bij websites gewoon caseum+tweakers@gmail.com invullen. Dan zul je op caseum@gmail.com alsnog een e-mail ontvangen, gericht aan caseum+tweakers@gmail.com.

Dit is handig voor als je bijvoorbeeld spam ontvangt op caseum+dienstnaam@gmail.com, dan weet je dat zij iets met je data hebben gedaan of dat er iets uitgelekt is.

[Reactie gewijzigd door DunaxNL op 31 januari 2019 15:45]

Maar dat is enkel als je het plusteken gebruikt, en dat is een speciale functie van Gmail dan?
Sommige sites lopen nog achter en accepteren geen '+' in het email-adres dan doe ik het volgende:
ac.count@gmail.com
acco.u.n.t@gmail.com
En hoe werkt het bovenstaande dan? Dit zijn dan toch gewoon aparte e-mailadressen? En die kun je koppelen? Anders snap ik het nut er niet van en heb je inderdaad een tal van e-mailadressen.
Zo leer je nog eens wat, daar ben ik inderdaad nooit van op de hoogte geweest. |:(
Of het praktisch is of niet is een tweede, vooral als je al die adressen bij moet houden van iedere aparte site.

[Reactie gewijzigd door Andyk125 op 31 januari 2019 16:06]

Daar heb je natuurlijk je wachtwoordmanager voor.
Post-it stickers op de rand van het beeldscherm doen het ook hoor _/-\o_
Jup, gebruik ik ook al jaren. Superhandig, vooral om te weten wie je email doorverkoopt aan marketingshit en spam
of om te zien wie er nu weer gehackt is. Doe dit ook al jaren en er komt nu spam binnen op email adres gebruikt bij een anti-virus sofware leverancier waar ik ooit een betaalde versie van had!
dit is dan toch kinderlijk envoudig om te omzeilen? gewoon gmail adressen filteren om alles na de plus of punt tot de @ te verwijderen?
maar als de websites waarop je een account aanmaakt die +* of .* niet negeren dan mist de aanvaller een gedeelte van de username (zolang die iets complexer is als abc.website@ natuurlijk)
Die + is gewoon onderdeel van de mailstandaarden.

Veel webdevelopers kennen echter de standaarden niet goed.

Vaak zie je dat formulieren heel raar e-mailadressen valideren (veel validaties gingen mis toen er nieuwe tld’s in gebruik werden genomen).

https://hackernoon.com/th...il-addresses-7c4818f24643

(zelf adviseer ik om alleen te valideren of er een @ in het adres zit)

@LankHoar
Yup, heb het net zelf getest en ik ontvang bij protonmail op een eigen domein zeker de +tag-emails. (geen catch-all)

[Reactie gewijzigd door Keypunchie op 31 januari 2019 17:58]

alleen valideren op de @ is misschien wat beperkt, je wil ervoor toch minimaal één teken hebben, en erna ook nog tekens, waaronder een punt. Een betere validatie lijkt me de (.*)@(.*).(.*)
Ga je gang, hoor. Het is nauwelijks moeite uiteraard, en je zal vast ooit die ene gebruiker die de . vergeet te zetten in zijn emailadres ermee helpen.

De giste is vooral: valideer alleen maar dat iemand geprobeerd heeft om zijn email-adres in het veld te zetten en niet per ongeluk een ander gegeven (creditcardnummer, postadres). Als het er toe doet dat de e-mail valide is, valideer het dan... door een e-mail te sturen.

@TotallyJorden
Wat ik uit de tijd dat ik wat actiever daarmee bezig was herinner was dat veel mensen hun emailadres als naam@gmail.nl opgaven. Maar nogmaals, ben er totaal niet op tegen om dat puntje mee te nemen. Zolang je maar door heb wat je doel is.

[Reactie gewijzigd door Keypunchie op 31 januari 2019 19:15]

Gebruik AUB correcte validator voor mails.

Deze voorbeelden op Wikipedia zijn een goed begin

https://en.wikipedia.org/...lidation_and_verification

https://en.wikipedia.org/wiki/Email_address#Examples

Maar er zijn nog veel meer combinaties mogelijk. Ik heb zelf op mijn mail server 2 addressen zitten die geldig zijn (verzonden en ontvangen):

"very.(),:;<>[]\".VERY.\"very@\\ \"very\".unusual"@domein.tld

"()<>[]:,;@\\\"!#$%&'-/=?^_`{}| ~.a"@domein.tld

Als je die 2 addressen door een validator duwt en hij zegt dat het ongeldig is heb je een slechte validator.
Je mist het hele punt. Waarom zou je het email-adres uberhaupt willen valideren?

Om een analogie te trekken. Het valideren van een e-mail-adres met een geweldige regexp is als het Amerikaanse ruimteprogramma dat miljoenen stak in een pen die zonder zwaartekracht kon werken. De Russen gebruikten een potlood.

Je doet een hele hoop moeite voor weinig resultaat. Check of het wel eens een e-mailadres zou kunnen zijn en noem dat goed genoeg.

[Reactie gewijzigd door Keypunchie op 31 januari 2019 20:42]

Het valideren van een e-mail-adres met een geweldige regexp is als het Amerikaanse ruimteprogramma dat miljoenen stak in een pen die zonder zwaartekracht kon werken.
Maar die pen is ontwikkeld door een derde partij, niet door NASA of andere overheidsdiensten/organen/programma's.

Iets met valideren....

source: https://duckduckgo.com/html?q=spacepen%20myth
voor de google fanbois: https://www.google.com/search?q=spacepen+myth
Dat hangt toch van de use-case af? Je wil toch dat een email valide is (geen foute karakter-combinatie), zonder altijd per se een mail uit te sturen.
De kans dat jij een correct mailadres afkeurt is groter dan dat je een incorrect adres corrigeert. Immers maakt men doorgaans een typo waarbij 2 karakters verwisseld worden, die je nooit met een regex-validatie gaat vangen en vangen nogal wat regex's valide e-mailadressen af, omdat men de standaard niet kent of een foutje in de validatie-code maakt!

Maar goed, nu ben ik het hele blog-artikel aan het overtikken in mijn eigen woorden.
Ik snap deze vergelijking al helemaal niet. Het lijkt alsof je gewoon geen moeite in deftige validatie wil steken. Als iemand 2 karakters omwisselt zal die niet afgekeurd worden, zolang hij valideert. Hoe kan ik nu een correct adres afkeuren? Daar is NUL kans voor. Correct = correct.

Dat iemand een onbestaand adres ingeeft dat wel voldoet aan de validatie heb je ook met jou simpele validatie door enkel te checken of er een @ in zit. Dat is een onoplosbaar probleem, want een mail sturen naar een onbestaand (valid of invalid) adres komt nooit aan.
Correct, ik wil daar idd. geen moeite in steken.

Helemaal niet omdat heel vaak de implementatie zelf niet helemaal goed werkt.

[Reactie gewijzigd door Keypunchie op 1 februari 2019 14:44]

> ... als het Amerikaanse ruimteprogramma dat miljoenen stak in een pen die zonder zwaartekracht kon werken. De Russen gebruikten een potlood.

Dat is een aardig fabeltje, maar de Amerikanen gebruikten ook gewoon een potlood.
Denk dat het probleem met potlood het grafiet was dat vrijkwam (bij gebruik en slijpen) en rondzweeft in de raket. Dit kan kortsluiting veroorzaken. Dacht dat daarom een pen een betere oplossing was.
Het is meer dat je vaak als input username@hotmail krijgt (.Com wordt vergeten)
Dus dat betekend dat ik met ProtonMail ook gewoon protonadres+website@protonmail.com kan gebruiken? Dat is wel echt vet. Ik zocht al een tijdje een goede manier om dit goed op te lossen, en dit klinkt best aardig.

Thanks for enlightning me! :)
Getest werkt niet met gmail. Ook niet met gmail als service op domein via gmail
Weer iets geleerd.

Werkt ook voor @outlook.com
Als je die adressen als alias instelt niet, dan wordt alles naar 1 adres geforward
Je hoeft geen aliassen in te stellen; de + werkt altijd en komt gewoon binnen op je hoofdadres. Dus foo+bar@domain.com komt gewoon binnen op foo@domain.com met label bar. Daar hoef je niks voor in te richten (bij GMail that is), dat werkt automatisch. Evenals de varianten met de punten.

Neemt niet weg dat niet alle websites een + accepteren in 't adres en dat een beetje slimme spammer die zo'n lijst inkoopt natuurlijk makkelijk alles vanaf de plus er af kan slopen en alle punten er ook uit kan slopen als het adres eindigt op @gmail.com of als de MX voor een bepaald domein gehost is bij Gmail. Dat is geen rocket science.

Verder dien je anno 2019 gewoon een fatsoenlijke password manager met per website fatsoenlijke, unieke, lange wachtwoorden én 2FA (waar mogelijk) te gebruiken, geen discussie mogelijk.

[Reactie gewijzigd door RobIII op 31 januari 2019 16:05]

Geen discussie mogelijk?
99 van de 100 accounts die ik op het internet heb, intereseren me echt geen bal. Daar ga ik geen moeite in stoppen.

De zaken die me wel boeien zoals mail, bankieren en DigiD wel. Het zou voor mensen niet moeilijk moeten zijn om een handjevol pass phrases te onthouden. Als dat wel een probleem is gaat een password manager dat security gat niet kunnen vullen.

Zakelijk gebruik ik wel een wachtwoord manager ivm de tig accounts en diensten. Maar persoonlijk heb ik niet meer dan een handjevol accounts die me daadwerkelijk wat intereseren. Deels omdat met de meeste accounts je toch geen fuck kan zonder toegang tot email.
Geen discussie mogelijk?
99 van de 100 accounts die ik op het internet heb, intereseren me echt geen bal. Daar ga ik geen moeite in stoppen
die categorie van mailadressen komen bij mij op een wildcard subdomein terecht, met bedrijfsnaam en lange of korte datum voor de apestaart.
Zo had ik eens drievliet2018@sub.domein.nl aangemaakt. De juffrouw achter de kassa weigerde die aanvankelijk te accepteren. Even later met een reply op haar mailtje kreeg ik de meest vreemde grimas te zien "meneer dat kan niet, wij kunnen alleen drievliet mail sturen".. Ah wel, ieder zijn "vak".

De methode is erg vermakelijk als je spam, phishing of virus mail krijgt, je weet meteen de bron (besmet bedrijf, gekleurde enquete, misbruikende partij) en je kunt evenzo die ingang volledig devnullen, of devrandom replyen...

[Reactie gewijzigd door tweazer op 31 januari 2019 20:43]

Die functie kende ik eigenljijk nog niet, ik neem aan dat mijn mailserver dat ook wel aankan (Mdaemon).
En omdat ik een eigen mailserver draai kan ik vanalles makkelijk instellen, ook de aliassen dus vandaar dat ik 't op die manier deed.
*@domein.nl als alias werkt 't makkelijkst wat dat betreft, komt alles sowieso binnen zonder dat je er iets voor hoeft te doen.
*@domein.nl is een legitiem emailadres en niet gelijk aan catchall.

"The local part can be up to 64 characters in length and consist of any combination of alphabetic characters, digits, or any of the following special characters:

! # $ % & ‘ * + – / = ? ^ _ ` . { | } ~"
! verbaast mij een beetje, in 'the good old days' was dit een separator bij gateways van uucp naar smtp en vice versa. Wellicht dat heden ten dage die gateways op 1 hand te tellen zijn...
*@domein.nl als alias werkt 't makkelijkst wat dat betreft
Als je de enige bent op dat domein wel ja, maar wij (ons gezin) gebruiken allemaal samen een naam@domein(en ;) ) en daarbij is een zgn. catchall gewoon vragen om spam en andere meuk en je ziet 't over 't algemeen afgeraden worden en her-en-der beginnen mailhosts ook al support ervoor actief te laten vallen.

[Reactie gewijzigd door RobIII op 31 januari 2019 16:17]

Wij hebben als gezin wel een catchall address. Daar zijn enkele mail users aangemaakt en verder wordt via een alias tabel gedefinieerd wat waar moet komen. Zo staat er ook een record "@domain.tld naar user1@domain.tld" én "@domain.tld naar user2@domain.tld". Werkt perfect.

Het enige échte lastige is replyen. Mail clients nemen altijd het adres van de user, niet van de alias (die kan ik gelukkig met Thunderbird wel manueel instellen). Als ik niet goed oplet stuur ik uit met m'n "default" adres (user@domein.tld) in plaats van loucheservice@domein.tld.
Maakt niet uit als ze in dezelfde mailbox aankomen. Het maakt het ook een stuk makkelijker om te filteren en automatisch in te laten delen. :)
En Gmail laat jou onbeperkt aliassen aanmaken?

Heb daar enige twijfels bij. Ook benieuwd naar je wachtwoord reset en notificatie mogelijkheden.

edit:
. doet bij Gmail hetzelfde als + blijkbaar.

[Reactie gewijzigd door freaky op 31 januari 2019 15:51]

Ja, dat laten ze toe en mag.

En nee, de punt en plus hebben niet hetzelfde effect.
Lees hier de verschillen.
Wachtwoord reset etc. werkt gewoon.
Ok dit is echt ontzettend handig, dat je daar dan pas na jarenlang gebruik achterkomt :p
Anoniem: 426269
@freaky1 februari 2019 15:42
Tsja, ik vind dat geen echte aliassen. If Fmail dan negeer alle punten en negeer alles vanaf een +
Dan heb je gewoon het emailadres wat voor alles gebruikt wordt.

Zoals ik al zei, waarom niet een echte alias aanmaken. Dat kan via improvemx.com naar je gmail adres.
wat ook een optie is: koop een custom domain (is tegenwoordig heel goedkoop)
Host je mail via yandex of zoho mail en stel een catch all in.

Daarna kan je je registreren op sites met : sitenaam@customdomain.tld

Indien je spam ontvangt kan je ook eenvoudig dat mailadres blacklisten.

Indien je wenst kan je ook je catchall laten forwarden naar je gmail ;)

En daarna kan je het domain registereren op haveibeenpwned om te weten welke site je in gelekt bent.

[Reactie gewijzigd door 33Fraise33 op 31 januari 2019 15:37]

Dit is wat ik heb gedaan. Een aantal domeinen aan zoho gekoppeld en zo al kunnen ontdekken op welke prefixes ik spam ontvang.

Bijkomende voordeel is ook dat je partijen waar de informatie van gelekt is kan informeren en desnoods elders kan melden als er niet op gereageerd wordt
Anoniem: 426269
@PBX_g33k1 februari 2019 15:45
Ja dat is zo. Jammer dat Zoho nu niet meer gratis is. Alleen de webmail-only versie is nog gratis. Maar daar heb je niets aan als je je email met IMAP wilt checken zoals ook op je telefoon. Nu is die ene dollar per maand per mailbox ook geen ramp, maar het is meer het gedoe met betalen en betalingsinfo. Het is een weer extra drempeltje en met zeg 10 mailboxen kan het toch wat aantikken. Dan maar Yandex, voor de free.
Is dat voor nieuwe accounts dan niet meer gratis? Ik kan me niet herinneren dat ik er geld voor betaal, maar ik ontvang wel mijn mail via IMAP op mijn telefoon en Outlook.
Anoniem: 426269
@PBX_g33k1 februari 2019 15:59
Dat klopt. Voor nieuwe is het niet meer gratis, voor oude accounts blijft het wel gratis.

Zeg maar hetzelfde als Google Apps deed in december 2012, oude blijven gratis, nieuwe moeten betalen.
Waarom een catch all en geen echte aliassen?

Want als sitenaam je spam blijft sturen, dan blijft het aankomen. Maar als je je alias sitenaam verwijdert, dan ketst de mail terug.
Als je dit op je eigen domein zou doen zou je je hele domein kunnen checken via HIBP (zo doe ik het). Plusjes en punten eruit filteren lijkt me overigens niet echt een probleem voor elke beginnende scriptkiddie, dus ik weet niet of deze methode erg zinnig is. Gebruik gewoon een goede password manager en 2FA zover dat mogelijk is.
Het eerste wat je doet is, als het Gmail is, om alles na de + en voor de @ er uit te halen.
Ik doe iets soortgelijks, maar dan gewoon in de vorm website@mijn-eigen-domein.com Weet je iig direct waar het vandaan komt, hoef ik geen tabel voor bij te houden.

Zoeken op domeinnaam of patronen zal niet kunnen, dat geeft weer andere privacy-bezwaren. Dan moet je zelf de lijst downloaden en doorzoeken vermoed ik.

Aan de andere kant boeit het mij ook niet - elk wachtwoord wat ik de afgelopen jaren heb ingezet is volledig random en nergens hergebruikt. Als het gelekt is, so be it. Ik ga er dan vanuit dat de website in kwestie mij erover informeert. En zo nee, dan is het waarschijnlijk ook niet de moeite waard. Ze kunnen toch niets met die credentials.

[Reactie gewijzigd door MadEgg op 31 januari 2019 15:50]

Zoeken op domeinnaam of patronen zal niet kunnen, dat geeft weer andere privacy-bezwaren. Dan moet je zelf de lijst downloaden en doorzoeken vermoed ik.
Met de eerste leak en tools was dat ook vrij lastig omdat de indeling ervan wat apart was.
Uiteindelijk die hele meuk maar omgezet en geïmporteerd naar een database zodat ik gewoon een select like kon doen. Dat ging ook nog een stukje sneller dan de shell scriptjes.

Het voordeel van verschillende adressen en/of een eigen domein is de afbakening, weet je ook meteen welke gegevens daar stonden en wat er dus gejat is. (En kan je het mooi even melden, al leert de ervaring dat de meeste waaraan je het rapporteert er volkomen maling aan hebben. :+)
Het nadeel is dat het met dit soort zaken wel een stuk meer werk is om de boel te doorzoeken. :P

Ik maak me ook niet al teveel zorgen. In het overgrote merendeel van de gevallen gebruik ik unieke wachtwoorden. Wil alsnog weten welke wachtwoorden ze hebben natuurlijk en van welke site (om ook te weten wát er precies op straat ligt), zelfs unieke wachtwoorden kunnen een probleem vormen en dan moet het wachtwoord bij het betreffende account aangepast worden. Ik zou er niet vanuitgaan dat je geïnformeerd wordt, de informatievoorziening over dit soort lekken is ondanks de meldplicht heel erg triest slecht. Ik geloof dat ik van welgeteld 1 lek een mail heb gehad. In overige gevallen moest ik het meestal of zelf vinden of hoorde ik het via bijvoorbeeld de mailinglist van Troy Hunt...
Precies dat ja. Het zou mooi zijn als je op haveibeenpwned kunt zoeken op naam+*@domein.com waarbij die * dus een wildcard is.
Dat kan wel als je een eigen domein hebt, via de Domain Search optie. Gebruik je verschillende adressen bij bijvoorbeeld gmail.com dan wordt dat echter inderdaad wel wat lastiger vziw. Je zou het altijd eens kunnen vragen. ;)
Nee hoor, dit kan gewoon. Alles achter de + mag je zelf verzinnen. Dit is gewoon een standaard e-mail-iets. Providers die dit niet ondersteunen, hebben dit juist expliciet *uit* gezet. En die moet je dus ook als de plaag vermijden, want je weet daarmee gelijk dat ze er een teringboel van (gaan) maken.
Ah zo, sorry, ik vat em nu :)
Dus als spammer drop je gewoon alles vanaf de + tot aan de @ :+
Dit zijn eigenlijk gewoon filters. Het beste is om een echte alias te maken dan ben je ook af dat men de + of . wegstreept. Zo ver ik weet kan dit niet bij gmail.

Bij Outlook bijvoorbeeld heb ik meerdere accounts en elk account kan geloof ik maximaal 10 unieke aliassen hebben. Ik heb dan 1 hoofdaccount waar ik altijd inlog. Hierin heb ik meerdere folders die overeenkomen met de verschillende aliassen die ik heb. In de andere accounts heb ik forward regels staan zodat alles in de juiste folder terecht komt in mijn hoofdaccount. Zo hoef ik daar niet in te loggen en is mijn hoofdaccount hetgeen waar alles binnenkomt.

En verder staan alle logins in KeePass. Als ik ergens specifiek bij wil is het kwestie van ctrl b, ctr v, ctrl c, ctrl v en ik ben ingelogd. Kleine drempel eigenlijk

Omslachtig? Misschien maar zo weet ik wel wie loopt te kloten met mijn mailadressen :)

[Reactie gewijzigd door AOC op 31 januari 2019 16:21]

Dus mijn vraag is: Kan ik gemakkelijk zien of één van mijn alter-adressen gebruikt wordt? Of moet ik elk adres invullen bij haveibeenpowned en nu ook bij HPI?
Vast wel iemand die een script heeft liggen voor zo iets. anders mag je mij een bericht sturen.
Wat ik dan niet begrijp:
Als bedrijf x jou naam+site@gmail.com heeft, dan weet het bedrijf toch ook naam@gmail.com toch?
Dit is dan alleen toch nuttig om mails te koppelen aan bepaalde website, maar spammers kunnen gewoon je hoofdmail gebruiken en daar helpt het niet tegen of zit ik er naast? :?

Edit:
Het zou handiger zijn als je volledig alter mailadresssen kan koppelen aan je hoofdmail zodat naam@gmail.com mail kan krijgen van nieuwnaam@gmail.com of nieuwnaam+site@gmail.com

[Reactie gewijzigd door akaash00 op 31 januari 2019 20:25]

Technisch heb je 100% gelijk; ik vermoed alleen dat spammers meer in de hoeveelheid mail adressen geinteresseerd zijn dan in de kwaliteit. Met het manipuleren van + en gmail lopen ze misschien zelfs risico om meer technisch internet capabel publiek aan te boren ipv henk en ingrid (henk en annie had ik begrepen uit de 'prive') voor make money fast opportunities..
Totdat je opeens e-mailtjes binnen krijg op je eigen gmail account, maar dan zonder een . van een ander persoon die een google-account heeft met dat "adres". Dit was mij dus overkomen.

Een andere Daan Timmer in Nederland gebruikte wel eens mijn e-mail adres om zich aan te melden bij sites/apps maar dan zonder een . tussen voor/achternaam. Ergo, mijn mail adres.

Dit heeft een paar jaar geduurd tot begin dit jaar, hij deed een bestelling bij MyCom, kreeg een tijdelijk wachtwoord toegezonden, ik kon bij zijn gegevens + maar eventjes gebeld met de betreffende persoon en uitgelegd dat hij dat mail adres maar niet meer moet gebruiken.

Blijkt? Hij had een google account met de naam van mijn email adres maar zonder . en hij dacht/verwachtte dat dat dan ook meteen een geldig gmail adres is.

Enfin, sindsdien geen problemen meer. Heb wel een acc. bij wat "hetere" sites, spotify en apple ondertussen :-o
Uhm, dat kan dus gewoon niet.
Jij hebt daantimmer (apestaart etc.Ik zal niet je email compleet hier zetten)? Stuur maar een mail naar jezelf naar d.aantimmer apes...etc. of d.a.a.n.t.imme.r apestaa,,, etc. Komt allemaal bij jou aan.
Of probeer een account bij gmail aan te maken met dat adres (met heel veel punjtes er tussen) Kan niet. is al in gebruik. Lees anders deze nog een keertje door.
Dat is precies wat ik zeg ;-) mijn adres is zoals mijn gebruikersnaam, met een .

De andere Daan Timmer in Nederland heeft een google account (zegt hij) met daantimmer, zonder @gmail.com denk ik. Puur en alleen een google account met zijn eigen e-mail adres (iets met @live.nl).

En ja, ik weet dat alles met mijn e-mail adres met waar je ook maar puntjes stopt bij mij aan komt ;-)
Haha, dus nu kom je in de problemen omdat je denkt slim te zijn door punten etc te gebruiken. Lijkt mij toch makkelijker om 1 extra email te nemen en die voor zulke zaken te gebruiken.
Anoniem: 426269
@RoNoS1 februari 2019 15:52
Ik zou zeggen, beter een echte alias. Dus een eigen domeinnaam en daar op een bepaalde mailbox (dat kan dan onbeperkt) aantal aliassen aanmaken, zoals sitenaam1, sitenaam2, sitenaam3. Want met jouw voorbeeld wat niet echt een alias is, maar meer een catch all, kan de spammer je gewoon nog blijven sturen. Als je een echte alias weghaalt, gaat de spam onbesteld retour afzender.

En dan hier de tip als je gewoon een Gmail adres wilt:
(Onbeperkt) aliassen zijn aan te maken op https://improvmx.com
Je kan ze ook als alias vanuit je Gmail versturen, zie: https://improvmx.com/guides/send-emails-using-gmail

Zelf heb ik daar de standaard ingestelde catch all *@mijndomein.nl weggehaald, maar gewoon sitenaam1@mijndomein.nl, sitenaam2@mijndomein.nl, enz aangemaakt en die wijzen naar mijnene@gmail.com adres. Okee, je hebt dan 5 euro per jaar kosten voor je .nl domeinnaam, maar dit is helemaal top.

Ik gebruik zelf alleen Gmail via de webmail (en de Gmail app in mijn telefoon). In beiden kan je kiezen via een pulldown bij From met welke 'box' je dan een nieuwe mail gaat versturen. Zojuist ook even getest vanuit eM client: Daar zie ik niet de pulldown, die pakt alleen het echte adres. Maarja, ik persoonlijk vind het helemaal niets die tussenliggende emailprogramma's. Da's in mijn ogen alleen een extra schakel die voor storingen kan zorgen. En ik vind hem er ook lelijker uitzien. Misschien is Outlook of Mailbird wel wat mooier, maar goed, ik gebruik sowieso liever de webmail.

[Reactie gewijzigd door Anoniem: 426269 op 1 februari 2019 17:15]

gewoon 1 email adres gebruiken en voor iedere site een 16 karakter grote hash gebruiken

succes met het recoveren van een account waarvan je het email adres niet meer weet
Klinkt misschien gek, maar daarom zet ik overal MFA aan waar ik dat kan: o.a. Mail, Lastpass, Facebook, LinkedIn...zelfs Xbox. Daarbovenop heb ik voor alle diensten die ik gebruik een uniek wachtwoord met grote en kleine letters, cijfers en speciale tekens. Geen van allen te onthouden dus ik zet Lastpass in, waar natuurlijk ook MFA op actief is. En ik update regelmatig mijn wachtwoorden.

Tja, het is onoverkoombaar dat je credentials een keer op straat komen te liggen na een lek of hack. Op deze manier probeer ik het voor mezelf in ieder geval zo secure mogelijk te maken. Je kunt gewoonweg niet altijd blind vertrouwen op dat de dienst die je gebruikt zijn security/ infra/ stack etc. op orde c.q. waterdicht heeft.
Klinkt misschien gek, maar daarom zet ik overal MFA aan waar ik dat kan
... Dat is het hele doel van MFA en dus helemaal niet gek. :P
Het is juist gek dat de adoptie ervan nog altijd behoorlijk triest is omdat mensen het veel werk vinden, terwijl het eigenlijk best simpel is. Zeker met een goede app. (Dus niet Google Authenticator :+).
Op iOS bijvoorbeeld heb je Authenticator Plus. Die kan encrypted via iCloud synchroniseren met je andere devices als je dat wilt en een back-up schrijven (wederom versleuteld met een wachtwoord naar keuze) naar iCloud, Dropbox of gewoon per e-mail zodat je die later makkelijk kan importeren mocht er iets mis gaan. Heel gebruiksvriendelijk en veilig. Zit ook een Watch-app bij.

Scheelt een hoop. Ik ken aardig wat mensen die "genezen" werden van Authenticator omdat na herinstallatie of move naar een nieuw toestel bleek dat alle sleutels eruit waren. :+ Daarna willen ze de moeite ook niet meer nemen om het nog eens te proberen... Dat is erg jammer.

[Reactie gewijzigd door WhatsappHack op 31 januari 2019 16:08]

Op iOS bijvoorbeeld heb je Authenticator Plus.
En Authy, Google Authenticator, Microsoft Authenticator, ... En als je toch al zoals @Roorensu LastPass gebruikt dan kun je ook LastPass Authenticator gebruiken ;)

[Reactie gewijzigd door RobIII op 31 januari 2019 16:46]

Google Authenticator zou ik zoals gezegd juist afraden. ;)
Sowieso heeft die app volgens mij in jaren al geen enkele update gehad behalve strikt noodzakelijke bugfixes (het kan ook niet zoveel, dus snap het ergens wel), maar het grootste probleem is het gebrek aan cross-device opties en backups. Je kan niet eens de tokens eruit halen en dan herstellen op een ander apparaat, dus als jij 2 telefoons de tokens wilt laten genereren dan moet je ze allebei een QR-code laten scannen of handmatig de gegevens invoeren. Verlies je je toestel of upgrade je naar een nieuwe? Jammer, maar de codes gaan niet mee. :P Dan moet je dus eerst overal inloggen met het huidige toestel of een backupcode gebruiken, dan 2FA weer opnieuw instellen, et cetera, et cetera. (Althans, dit is hoe het tot +/- 1.5 jaar geleden werkte, en na het net weer eens gedownload te hebben lijkt daar geen steek veranderd te zijn.)

Ik snap wel dat veel mensen daar totaal geen zin in hebben. :P
Je geeft enorm slecht advies en het is ook gewoon feitelijk onjuist.

Je kunt de Key die je gebruikt bij Google Authenticator bewaren in bijvoorbeeld KeePass en later weer opnieuw invoeren (op een ander apparaat). Je krijgt dan dezelfde tokens. Dit doe ik ik al ~8 jaar vanaf Android 2.2.
Ik geef een prima advies en of het juist of onjuist is komt neer op smaak en hoe je mensen het liefst wenst te adviseren. ;) Ik heb ook helemaal nergens gezegd dat wat jij beschrijft niet kan, sterker nog dat wordt hier bevestigd: WhatsappHack in 'nieuws: Verzameling met 2,2 miljard accounts stond online'
Ik heb het ook helemaal niet over of je ze kan bewaren, ik heb het erover dat als ze eenmaal in de app staan dat ze er dan niet meer uit te halen zijn (zonder omwegen.). Als je dan dus geen codes hebt opgeschreven, dan is er maar een optie: opnieuw 2FA instellen met nieuwe codes.


Ik geloof dat de essentie van probleem wat ik ermee heb niet begrepen wordt ondanks dat ik volgens mij best helder ben. :P Het gaat om gebruiksvriendelijkheid voor de massa wil je ze er aan krijgen, en dus expliciet NIET om dat je via allerlei omwegen (die je ook maar moet weten (als leek)) inderdaad het gewenste resultaat kan bereiken als je dat wilt. Dat is dus precies wat ik niet wil dat noodzakelijk is zodat het gebruiksvriendelijker wordt en jan-en-alleman het zonder (toekomstige) problemen kan gebruiken. Een handleiding om barcodes te back-uppen naar een KeePass bestandje, adb shell commando's, sqlite databases analyseren en meer van dat soort fratsen zijn dus niet de gewenste oplossing.
Het is een Key, geen Barcode. Je doet ongelooflijk moeilijk over iets heel simpels. Je haalt er van alles en nog wat bij, maar het blijft gewoon eenvoudig. Je kunt die Key ook op een stukje papier schijven en in een kluis leggen.
Het is een Key, geen Barcode.
Je snapt wat ik bedoel.
Je doet ongelooflijk moeilijk over iets heel simpels. Je haalt er van alles en nog wat bij, maar het blijft gewoon eenvoudig. Je kunt die Key ook op een stukje papier schijven en in een kluis leggen.
Je snapt het nog steeds niet.
Wellicht moet je je eerst even verplaatsen in de gemiddelde consument en ik snap dat dat als Tweaker waar dit soort spul vanzelfsprekend voor is moeilijk is. Dat jij, ik en vast veel andere bezoekers van deze site dat prima vinden, het kunnen, het begrijpen en het niet veel moeite vinden: sure thing. Dat zal vast en dat is ook helemaal niet de doelgroep waar ik het over heb.

Maar nu krijg je de gemiddelde consument. Die zien er ten eerste al het nut nauwelijks van in waarom ze dit zouden doen. En als ze het nut wel begrijpen, dan vinden ze het vaak alsnog teveel werk, omslachtig en maar heel vervelend of "maak ik me niet zo druk om hoor".

Dan gaat een app waar je dus allerlei extra handeling handmatig bij moet verrichten, of dat nou het opslaan van die codes digitaal of op papier is maakt niet uit, absoluut niet helpen om ze over te halen. Het is teveel moeite voor ze, terwijl ze er al geen zin in hebben. Als je mensen wilt overhalen en stimuleren het te gebruiken: dan zal het gebruiksvriendelijk moeten zijn en eigenlijk seamless zonder gezeik werken voor ze.

Dus voor de meeste mensen is het helemaal niet "heel simpel" en ook niet "eenvoudig". Ze zien het als werk voor iets dat ze in de eerste plaats eigenlijk al niet wilde hebben. Daarnaast, als het dan fout gaat is voor de meeste de keuze sneller gemaakt voor "Disable 2FA" dan het opnieuw in te stellen.

Dát is het probleem en daarom raad ik mensen aan om een betere app te gebruiken.
Het staat jou verder vrij om anderen wél Google Authenticator (+ handleiding) aan te raden als dat je het beste lijkt, maar ik denk niet dat je daar veel zieltjes mee gaat winnen.

[Reactie gewijzigd door WhatsappHack op 31 januari 2019 19:07]

Nee, juist en onjuist zijn altijd hetzelfde ongeacht hoe jij je verhaal verteld.
Als jij je persoonlijke mening als feit ziet en een andere niet accepteert misschien, anders niet.
Je kan niet eens de tokens eruit halen en dan herstellen op een ander apparaat
Bij google vinden ze dat een plus, geen nadeel. Of ik/jij het er mee eens ben is een tweede. Maar ze hebben die ondersteuning héél bewust niet. Verder valt er weinig te updaten aan die app; het doet wat 't moet doen. En, wat de meeste mensen niet weten, is dat 't één van de apps is met ondersteuning voor wat exotischer opties (zoals ondersteuning voor codes van 8 ot 10 tekens, andere hashes dan SHA1 enz.).

Daarbij heb je bij de meeste accounts tegenwoordig de optie voor recovery codes; dan moet je nog steeds je 2FA opnieuw instellen maar kun je iig inloggen met de recovery codes en dan je 2FA fixen; meer werk dan nodig maar allee.

[Reactie gewijzigd door RobIII op 31 januari 2019 16:32]

Fijn dat ze dat bij Google vinden, maar de leek gebruikers vinden dat dus veelal niet en dan gaat het mis. :P De mensen die ik over had gehaald om 2FA in te stellen zijn na dat soort situaties er meteen weer mee gekapt omdat het zo'n gebruiksonvriendelijke app is. En dat is het grote probleem, als je de massa wilt beveiligen zul je enige mate van gebruiksvriendelijkheid moeten implementeren. En het kunnen exporteren/back-uppen van dit materiaal is dan gewoon een must. Wil je het helemaal snel laten adopteren dan is cloud synchronisatie zelfs nóg beter.

De app doet in de basis wat het moet doen, zeker. Maar je gaat mensen gewoon niet overhalen. Meestal downloaden mensen het omdat het nou eenmaal gevraagd wordt en het the go-to app is die veel sites aanraden, maar dit soort zaken is precies waarom mensen bij de eerste noodzakelijke reset zoiets hebben van "hier heb ik geen zin in. Ik had het eerst niet en de kans dat ik gehackt wordt is klein en eigenlijk interesseert he me niet zo.".

Het is misschien wat triest, maar je moet mensen een beetje helpen wil je ze beter beveiligd hebben.
Dat er dan misschien een kleine window of opportunity is dat die tokens misschien gejat worden o.i.d.: tja. Maar dat kleine risico is nog altijd vele malen beter dan helemaal geen 2FA instellen.
Als iets feilloos werkt en men er nauwelijks omkijken naar heeft: dan gebruiken ze graag beveiliging. Kijk naar WhatsApp, van de een op de andere dag werden meer dan een miljard mensen voorzien van encryptie zonder enige moeite. *Dat* is hoe je het aan de man krijgt. Maar als het lastig in gebruik is (god forbid, zoals PGP), dan gebruikt men het niet of dumpt het weer na het geprobeerd te hebben.
Fijn dat ze dat bij Google vinden
En fijn dat jij vindt dat daarmee GA afvalt af te raden is, maar dat maakt niet dat 't voor iedereen afvalt af te raden is ;) De optie is/blijft valide ;)

Jij vindt een backup/export van je sleutels fijn/handig, voor een ander is 't een nachtmerrie ;)

[Reactie gewijzigd door RobIII op 31 januari 2019 16:40]

Voor mij valt het af om een andere reden: het is van Google, het grootste datamining- en advertentiebedrijf op internet. Alles van hun valt bij mij automatisch onder spyware en komt er niet in. Het laatste wat ik zou willen doen is voor mijn logins vertrouwen op iets van hun. Dan liever nog helemaal geen 2FA.
Dat zeg ik ook helemaal niet en ik heb ook niet gezegd dat het als optie afvalt.
Ik heb enkel gezegd dat ik het zou afraden, al helemaal bij leken, gemotiveerd waarom ik het afraad en de achterliggende redenen waarom ik een uitgebreidere app zou aanraden wil je mensen (permanent) overhalen om zulke diensten te gebruiken. Daar kan je verder mee doen wat je wilt. ;)
Ik heb 't gecorrigeerd, punt blijft ;)
Bij gebruik van Authy is dan te hopen dat Henk en Ingrid het backupwachtwoord goed bewaren en terug kunnen vinden.

Ik heb ook al vaak genoeg meegemaakt dat iemand z'n google account waarmee z'n android is geregistreerd niet meer weet. Oude toestel kapot, contactpersonen kwijt.
Waar baseer je dit precies op?

De app wordt met enige regelmaat geupdate, maar wat valt er te updaten soms aan een app met cijfers?

Tokens kan je er niet uithalen (juist op zich veilig) maar ik ben al 4x van iPhone veranderd vanuit een backup en steeds kwam alles keurig mee.
Ben er juist blij mee dat er niks in de cloud wordt gezet uit deze app, lekker datalek dan.

[Reactie gewijzigd door Dennisb1 op 31 januari 2019 16:28]

maar ik ben al 4x van iPhone veranderd vanuit een backup en steeds kwam alles keurig mee.
Vanuit een iTunes backup weet ik niet (maar ik geloof meteen dat dat werkt), maar bij een 'via iCloud'-restore werkt(e) dat niet de laatste keer dat ik dat deed. Toen was 't nog maar een 10 2FA codes en dus te overzien, maar inmiddels zit ik tegen de 80 ofzo en ben ik (dus) geswitched naar LPA.
Juist via iCloud doe ik altijd een restore, werkt al jaren

En ja, ik ben me bewust dat me data hiermee in de cloud staat (vreemd genoeg vertrouw ik Apple meer dan Google hiermee). Ben er totaal niet blij mee maar elke dag de telefoon aansluiten voor een backup is ook niet te doen.

[Reactie gewijzigd door Dennisb1 op 31 januari 2019 16:41]

Juist via iCloud doe ik altijd een restore, werkt al jaren
Ik gebruik LPA pretty much sinds release (maart 2016) en sindsdien heb ik niet meer naar GA gekeken dus 't is in ieder geval pas sindsdien geïntroduceerd ;) Ik doe (en deed) ook altjid een iCloud restore. Maar goed, boeie van het verleden; in het heden werkt 't (dus). *O*

[Reactie gewijzigd door RobIII op 31 januari 2019 16:44]

Juist via iCloud doe ik altijd een restore, werkt al jaren
Dat deed ik ook en net als RobIII helaas geen codes meer in GA na herstel. Andere mensen hadden hier ook last van. Het is ook niet zo dat die stond uitgeschakeld als app die niet meegenomen mag worden of iets dergelijks. Het is een raadsel waarom het niet mee is gekomen.

Dus hoe dan ook lijkt daar iets instabiel geweest (te zijn).
Als ze dat intussen hebben opgelost zou het mooi zijn natuurlijk.
En ja, ik ben me bewust dat me data hiermee in de cloud staat (vreemd genoeg vertrouw ik Apple meer dan Google hiermee). Ben er totaal niet blij mee maar elke dag de telefoon aansluiten voor een backup is ook niet te doen.
https://imazing.com
Veel plezier ermee. ;)

[Reactie gewijzigd door WhatsappHack op 31 januari 2019 17:42]

[...]

Die kan encrypted via iCloud synchroniseren met je andere devices als je dat wilt en een back-up schrijven (wederom versleuteld met een wachtwoord naar keuze) naar iCloud, Dropbox of gewoon per e-mail zodat je die later makkelijk kan importeren mocht er iets mis gaan. Heel gebruiksvriendelijk en veilig. Zit ook een Watch-app bij.

Scheelt een hoop. Ik ken aardig wat mensen die "genezen" werden van Authenticator omdat na herinstallatie of move naar een nieuw toestel bleek dat alle sleutels eruit waren. :+ Daarna willen ze de moeite ook niet meer nemen om het nog eens te proberen... Dat is erg jammer.
Ja dat is lekker veilig dit in de cloud gaan zetten. Verre van!!!!
Tevens ook het herinstalleren zal je iets verkeerds hebben gedaan al 4x van iPhone veranderd en kwam keurig mee.
Ja dat is lekker veilig dit in de cloud gaan zetten.
Waar denk je dat die laag encryptie voor dient? :+
Het is mogelijk via de abd en sqllite dacht ik om de codes van GA the exporteren. Ook de codes die onder de barcode staan voor het toevoegen van 2fa Kan je volgens mij hergebruiken op een Ander toestel.
De barcodes kan je inderdaad hergebruiken. Dat deed ik in het begin ook om meerdere apparaten de codes te laten genereren. Je kan er bijvoorbeeld ook voor kiezen om die codes op te slaan in een versleutelde password manager database bij wijze van backup, maar dat is redelijk omslachtig voor zowel opslag als herstel.

Een wat meer tech-savvy gebruiker kan inderdaad de boel vanaf een Android device exporteren, maar wil je de massa er aan helpen dan is dat abracadabra natuurlijk. :P

[Reactie gewijzigd door WhatsappHack op 31 januari 2019 16:53]

Klinkt misschien gek
Daar is helemaal niks geks aan. Als je dit niet doet anno 2019 ben je pas gek ;)
Same here. Maar ook MFA is te omzeilen, al zal dat makkelijker lukken bij slachtoffers die minder techsavvy zijn.
Zie hier: https://techcrunch.com/20...-bypass-2fa/?guccounter=1
By convincing a victim to visit a typo-squatting domain liked “LunkedIn.com” blablabla
Dat heeft niks met MFA omzeilen specifiek te maken, dat is gewoon een ordinaire phishing aanval.
Als de datastore met login credentials wordt geleaked, dan is het ook zeer aannemelijk dat indien er bv TOTP gebruikt wordt deze seed ook gelekt is. MFA is dan ook geen geheel sluitende bescherming tegen het lekken.
Heb de torrents binnen en bekeken. Heeeel veel dubbele data. Moet nog even wat storage bijprikken om alles te kunnen sorteren maar ik gok dat alles er 10-voudig+ inzit. Dus: een hack zit in Collection#1 EN Collection#4 EN Collection#5. En dan binnen die collections weer als alles, gesorteerd op alleen EU, gesorteerd op alleen NL, gesorteerd op spelletjes etc. Ben benieuwd hoeveel echt uniek en nieuw is ten opzichte van bijvoorbeel https://medium.com/4iqdel...gle-database-3131d0a1ae14. Hopelijk snel stampen met m'n bakje en lekker grep-pen- sed-en en sort-en :)
Is het niet illegaal als je dat bestand in je bezit hebt?
Digitale heling niet verboden (ik verzin het ook niet). Ik zie dus geen probleem, maar additionele informatie van experts is natuurlijk van harte welkom! Met de opmerking dat ik mijzelf en familie + vrienden zoek om hen te beschermen tegen misbruik en alle andere data na analyse weggooi...
https://blog.iusmentis.co...achtwoorden-hashes-bezit/

Al ben ik benieuwd of dat helemaal waar is. Immers als je wilt weten welke data van jou gejat is moet je die complete database downloaden en nalopen. Je kan moeilijk alleen je eigen gegevens downloaden.
Het is zo ondertussen niet meer bij te houden met die lekken. Tijdje geleden een rondje wachtwoord veranderen gedaan en een fatsoenlijke password manager ingezet. De beste verdediging is waarschijnlijk regelmatig accounts verwijderen (of uberhaupt geen accounts nemen overal), hoewel dat nooit een garantie is natuurlijk.
Naar mijn mening zou je voor overal waar je verplicht bent om persoonlijke gegevens in te vullen moeten verplichten om een veilig authenticatie middel te hebben, waarbij klant gegevens niet eens naar de eind website toe gaat.

BV DigiID, waar alleen je orders worden gekoppeld aan dat ID en dat je een soort post ID kunt koppelen aan je order als zijnde een adres, waarbij dat post adres iets is wat je landelijk invult / inricht en alleen post order bedrijven bij mogen om een sticker te printen.

Voor alle sites waar dit niet verplicht is (omdat tracking geen issue is) gewoon geen persoonlijke gegevens verzamelen en multi factor authenticatie verplichten.
En ik denk dat meer aan een soort herd immunity waarbij je allemaal put uit een aantal ID providers zoals Facebook, Google, OpenID en misschien een soort lichtere vorm van DigiID waarbij een sessie niet verloopt, maar dus alleen voor dit doeleind gebruikt kan worden. En dat je dus naast een email adres, correct moet zijn ingelogd op all die accounts die je gekoppeld hebt.
Als je een account maakt gewoon valse informatie gebruiken (tenzij sommige juiste info echt maar dan ook echt een vereiste is bijv je adres bij een webshop) en een goed wachtwoord icm met password manager. Een aparte e-mail adres per account of type account is ook een goeie. Tutanota doet niet moeilijk over e-mail accounts maken.
Ik ben het inderdaad eens met uberhaupt geen accounts nemen, alleen vereisen steeds meer websites, programma's etc steeds vaker een login voor een onverklaarbare reden...
Voor elk onverklaarbaar programma een nepadres, of een alternatief! Pas als mensen sites / programma's met verplichte login gaan mijden wordt de marketingafdeling pas wakker.
Weet er iemand of ik kan controleren met welk wachtwoord ik gehacked ben? Nu ik een password manager gebruik lijkt het mij interessant om te weten van welke website het afkomstig is.

EDIT: of rechstreeks de site lijkt ook wel handig.
EDIT2: ik zou de leak zelf kunnen downloaden maar deze is gecombineerd bijna 1TB groot. Deze kan jammergenoeg niet op mijn laptop.

[Reactie gewijzigd door 33Fraise33 op 31 januari 2019 15:27]

https://haveibeenpwned.com/Passwords

Duurt even voor je eruit bent. Als je 1Password gebruikt matched hij alles automatisch en krijg je een melding in het programma als je password compromised is.

[Reactie gewijzigd door Aiii op 31 januari 2019 15:23]

ik kan niet al mijn wachtwoorden 1 na 1 gaan invoeren (Bitwarden). Daarnaast weet ik dan nog niet of het deze uit het laatste lek is of uit eerdere.
Ook Bitwarden heeft onder hulpmiddelen de optie om te checken of je wachtwoorden zijn uitgelekt.
Aha dit wist ik niet! Dit check ik eens ;)
haveibeenowned liet mij niet zien dat mij pasword ook gehacked is in een recente hack deze maand, dit kon ik wel zien op https://sec.hpi.de/ilc/search
www.haveibeenpwned.com laat je zien welke sites jou email en wachtwoord hebben gelekt. Je moet dan wel nog zelf weten welk wachtwoord het was.
Met het laatste lek wordt er niet gespecifieerd van welke site omdat het er veel gecombineerd zijn. Daarom dat ik net zou willen weten wat het wachtwoord was dat ik zo toch te weten kom voor welke site(s) dit was voor mij.
En welk e-mail adres je gebruikt hebt -_-
haveibeenowned liet mij niet zien dat mij pasword ook gehacked is in een recente hack deze maand dit kon ik wel zien op https://sec.hpi.de/ilc/search
Welkom op het internet... uw vorige accounts zijn terug te vinden bij:
https://haveibeenpwned.com/
Collection 1-5 is geen website. Dit is een gecombineerde leak. Daarom dus mijn vraag.
De database, met de naam Collection #2-5, volgt op de ontdekking van Collection #1 twee weken geleden van de site HaveIBeenPowned. Daarin zaten 773 miljoen mailadressen. Veel daarvan zitten ook weer in de nieuwe collectie.
en
Hoewel een deel komt uit bekende datalekken als Dropbox, Yahoo en LinkedIn, lijkt het erop dat veel van de accounts en wachtwoorden nieuw zijn. Die lijken te komen uit het geautomatiseerd hacken van kleinere websites.
Ik durf met enige zekerheid te zeggen dat het niet heel lang gaat duren voordat ze op haveibeenpwnd staan (als dat (zoals hierboven ook staat) niet al het geval is).
Collection #1 is net zoals Collection 2-5 een samenraapsel van verschillende sites, deze staan dus niet afzonderlijk op haveibeenpwned.com

Als ik mij niet vergis was er bij het lek van de 'Anti Public List' een andere website waar je deels van je wachtwoord kon zien. Bestaat er niet iets dergelijk voor deze data?
perfecte manier om valide accounts te genereren....
Check https://scatteredsecrets.com/. Inclusief wachtwoorden en bron, mits bekend.
Een aantal password managers hebben tegenwoordig een optie om alle daarin opgeslagen wachtwoorden te controleren of ze "pwned" zijn. (Op een veilige manier)

Zelf gebruik ik Enpass, maar 1Password heeft deze optie in ieder geval ook.
Blijkbaar kan bitwarden dit ook heb ik in een comment hierboven ontdekt. Thanks voor de tip.
Via een Plugin kan KeePass dit ook.. Handig om niet alles handmatig te moeten checken.
Hoewel iedereen meteen haveibeenpwned zal vertellen, gaat dat maar deels op.

Steeds vaker met zulke 'collecties' komt je bron op die website ook als 'collectie' te staan, dus je hebt geen flauw wat het nu is of wat de bron dan nog kan zijn geweest. Soms is het een oude die er al was, soms kan het ergens een nieuwe lijst zijn waar de bron niet bekend van is.

'vroegah' was er nog zo'n site, waar je de wachtwoorden zelf kon zien (afaik tegen betalen/verificatie, zou ik nog eens na moeten kijken), daarmee kon ik doodsimpel achterhalen welke site/dienst/ding het was, gezien ik een vrij brede structuur in mijn wachtwoorden heb zitten, maar dat kan al lang niet meer.

En om nu even paar GB aan bestanden te gaan doorzoeken.. het vinden van die bestanden is al wat moeilijker.

Zo ook met de tool uit bericht:
https://sec.hpi.de/ilc/search

Vervolgens krijg je de bekende sites, maar de overige zijn
Unknown (Collection #1-#5)
Unknown (Anti-Public Combolist)
Unknown (Exploit.in Compilation)
Onliner Spambot (Spamlist)

Dus ja, heb je weinig aan.

Sidenote, HPI lijkt dus meer data te hebben, krijg bij 1 email dus 2 extra matches die ik op de watchlist van HIBP niet eerder heb gehad.

[Reactie gewijzigd door SinergyX op 31 januari 2019 16:22]

Dit is dus wat ik bedoelde. HPI toont ook al meer matches maar wederom geen sites (wat ik persoonlijk erg jammer vind).

Als site in een lek terecht komen mag van mij part overal goed gementioned worden zodat mensen in het vervolg beter nadenken bij het gebruik van die site in kwestie of het web in het algemeen. Nu heb je geen idee waar het is en lijkt het minder 'reëel'.
Gelukkig dat een spammer mij vertelde welk e-mail password ik gebruikt had! :-) Zo kan ik via KeepassX eindelijk zien welke site gepakt was. Leverancier van me, hartig woordje mee gehad.
Allemaal aan de Keepass of Lastpass
Bitwarden is in mijn ogen een betere password manager. Lekker in eigen beheer en makkelijk in gebruik. Het is altijd een goede optie om inderdaad een password manager te gebruiken.
Dat is met KeePass niet anders ;)
De limitatie met Keepass is dat het niet zo naadloos aansluit als je meerdere apparaten hebt. Zoals een 2e computer, telefoon en tablet. Uiteraard kan je het bestand "in de cloud" zetten maar dat werkt lang niet zo soepel is mijn ervaring.
Ah ja dat is zeker een ding. Ik doelde er meer op dat het ook in eigen beheer is.
Oh? Ik heb momenteel op vier apparaten (waaronder een telefoon) KeePass staan en dat werkt perfect. Bij openen en opslaan wordt het opengehaald en weggeschreven naar de cloud, en dat is direct zichtbaar op een ander apparaat. Weet niet wat daar niet naadloos aan is?
Dat is afhankelijk van de software die erop draait en waar het KeePass bestand staat.
Op Windhoos en MacOS etc is het prima totdat je een Android toestel (Met alle verschillende roms) gaat gebruiken.

In mijn geval was het op een gegeven moment niet meer nodig om de database vanuit dropbox te openen.
Nouja Keepass op Windows en MacaroniOS werkt prima voor mij met database in de cloud. En de cherry ontop Keepass op Android kan daar ook lekker aan dus ik sta met mijn 6 devices prima goed met Keepass :) helemaal toppie :Y)


edit: -----
Maar ik ga is een kijkje nemen naar dat bitwarden dingetje misschien als een failsafe backupje

[Reactie gewijzigd door Silversatin op 31 januari 2019 18:09]

Is dit ook door een nitwit-vrouw te gebruiken?
Ik wil graag over naar een passwordmanager, maar de omgang ermee door een vrouw weerhoud mij op dit moment.
Zeker, de interface is erg duidelijk en kan denk ik door iedereen wel gebruikt worden.
Ik zie dat een Free account uit de volgende opties bestaat:

FREE forever
- share with a spouse or friend
- upgradeable at any time
- Sharing for 2 users
- Limit 2 collections
- Unlimited shared items

Wat is een collection binnen Warden. Ik gebruik nu SafeinCloud die mijn database synced met een Dropbox account. Deze gebruikt Labels om te filteren.
En met eigen beheer doel je op het zelf hosten?
Ik gebruik ook Bitwarden.
Hoe lost het gebruik van een password manager het gehackt worden van sites op? Ok, je kunt dan gemakkelijker voor elke site / forum een ander wachtwoord kiezen zodat de impact misschien wat lager is en die username / wachtwoord combo niet elders gebruikt kan worden. Maar gehackt wordt er net zo hard.
Een manager kan automatische inloggen. Dus geen typewerk.
Daarom kun je heel simpel zeer sterke passwords gebruiken.
Passwords zoals deze worden niet gehackt: jH#1!^z#%5y&fpsum97ZN
Natuurlijk worden die ook gehackt. Als er een lek ergens is, en men kan via code injection of wat dan ook queries op de database doen, waar bv in clear text (ja het komt nog voor) of een reversible encryption wachtwooden staan opgeslagen, dan ja, dan sta je net zo hard in het lijstje als met Welkom01. Uiteraard is de impact kleiner wanneer je wachtwoord alleen op die website geldig is, maar gehackt wordt 'ie net zo goed.
Door unieke wachtwoorden is de schade en ook mitigatie vaak lokaal. Bij het eerste draait een gehackte site zelf op voor de schade die daaruit voortvloeit, maar is gevolgschade daarvan elders moeilijk te claimen in de praktijk. Bij het tweede forceert een gehackte site als het goed is zelf een password reset na te zijn gehackt.
Lastpass.. die hebben er toch ook een handje van om zich in dit soort berichten te zien terugkomen?
Maar daar kun je dan in elk geval nog in aanzetten dat je systeem waar je op zit geverified moet zijn.

Ik zie zelf geen last pass lek, maar stel je login zou gelekt zijn, dan kunnen ze niet inloggen met je info.
Tenzij ze dat ook nog hacken natuurlijk....

zucht lol!
Precies, ben heel blij met KeePass, en raad iedereen hem aan.
Is deze nog ergens te downloaden? Kunnen we zelf uitvissen welke wachtwoorden ze hebben van ons.
Gezien ze via torrents verspreid zijn, zijn ze inderdaad nog steeds te downloaden.
is het nu 2,2 miljoen of 2,2 miljard ? in titel staat het ene in subtitel het andere :)
Dus, heeft iemand toevallig dat torentje met die of beide databases ergens rond spoken?
Daar ben ik dus ook benieuwd naar, welke wachtworoden van mij zijn nu uitgelekt.
Heb dat eerder gedaan en toen bleek er ene compleet onzin wachtwoord aan mijn emailadres gekoppeld te zitten.
Kan natuurlijk ook een password hash zijn die wel zijn gelekt, maar niet zijn teruggedraaid naar een normaal password.
Nee het was geen hash, daar leek het te veel op normale woorden voor.
Er is web software die wanneer je inschrijft een lokaal wachtwoord voor je aanmaakt en een cookie zet waarmee je je kunt authentificeren. Je weet je password dus niet en hebt het ook niet nodig. Pas als je je cookies wist heb je de Password Forgotten functionaliteit nodig om je password te zetten.

Veel (zo niet de meeste) passwords op deze lijsten komen van hacks op oude systemen. Ik zie de laatste twee, drie jaar nauwelijks meer deze vorm van account aanmaken. De meeste sites sturen een verificatiemail voor je het account kunt activeren, en je krijgt je cookie pas na het inloggen met je password.
Ik denk dat het inmiddels voor iedereen erg lastig wordt om alles bij te houden inclusief hackers. Wat nu wordt gedaan is constant bestaande lijsten compilen en eventueel updaten.

Is jou e-mail adres en wachtwoord een keertje gelekt vijf jaar geleden en vervolgens niet meer? Dikke kans dat die info toch nog op die lijst staat en sites zoals HaveIbeenpwned gewoon lekker aangeven dat jij bij het nieuwste lek zit. Dit probleem geld niet alleen voor jou, maar ook voor de hackers.
Vaak runnen hackers gewoonweg geautomatiseerd de lijsten af wat ook in log-in pogingen bij accounts te zien zal zijn.

Password managers zijn zeker aan te raden maar ook daar zit gevaar in. Doe je auto-login aanzetten op browsers? Heb je een manager die zaken in de cloud doet opslaan?

Ik zeg dat 2019 het jaar is waarin overheden two-factor gaan forceren als standaard bij bedrijven. Zaken zoals achteraf betalen bij bestellingen zullen verdwijnen of extra controle vooraf krijgen.

Paswoordmanagers zijn meer een symptoom-bestrijding voor een groter probleem; Dat wachtwoorden gewoon niet meer toereikend zijn als beveiliging.

Daarnaast gaan veel hackers (iig de criminelen die op snel geld uit zijn) voor low hanging fruit; kleine sites, slechte beveiliging, mensen die niet vaak wachtwoorden aanpassen en overal hergebruiken. Vroeger waren dit nog alleen hackersgroepen. Maar criminele bendes zonder echter hack ervaring gebruiken zulke lijsten ook voor identiteitsfraude of valse bestellingen plaatsen.

De beste remedy is je internet voetafdruk zo klein mogelijk maken online en wat je achter laat zo goed mogelijk beveiligingen en iedere dag alles controleren op oneigenlijk gebruik.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee