Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Slack reset wachtwoorden van deel gebruikers na diefstal gegevens in 2015

Slack gaat de wachtwoorden van een aantal gebruikers resetten naar aanleiding van een digitale inbraak op de systemen van de dienst uit 2015. Volgens Slack is van ongeveer een procent van alle gebruikers het wachtwoord buitgemaakt.

Het bedrijf zegt tegen TechCrunch dat het onlangs op de hoogte werd gebracht van een lijst met wachtwoorden die tijdens een datalek in maart 2015 zijn buitgemaakt. Dat lek was al bekend, maar destijds werd er gedacht dat alleen de gehashte wachtwoorden waren buitgemaakt. Nu blijkt dat de hackers code hebben gebruikt waarmee de wachtwoorden ook in plaintext te onderscheppen waren, schrijft het bedrijf in een blogpost.

Het gaat om een groep gebruikers die vóór maart 2015 een account hebben aangemaakt bij de chat-app. Gebruikers die van single sign-on gebruik maakten zijn niet getroffen. Volgens Slack zou het gaan om één procent van alle gebruikers die het bedrijf in 2015 had. Slack heeft de wachtwoorden gereset van alle accounts die dat sinds 2015 niet hebben gedaan. Getroffen accounts krijgen een waarschuwing van het bedrijf.

Door Tijs Hofmans

Redacteur privacy & security

18-07-2019 • 16:32

41 Linkedin

Reacties (41)

Wijzig sortering
Gehashte wachtwoorden, zijn alleen maar vertragend. En afhankelijk van hoeveel geduld iemand heeft of hoeveel geld die er voor over heeft.

Maar fijn, 4 jaar na dato.
Al 4 jaar je ww niet veranderd dan?
Voldoende security experts die daar geen probleem mee hebben. Ikzelf ook niet. Wachtwoorden veranderen om te veranderen is vrij zinloos imho. Voorkom liever hergebruik van wachtwoorden zodat de diefstal bij de ene dienst geen invloed heeft op de andere.
Juist vanwege het risico op diefstal en lekken is het periodiek wijzigen juist goed. Ja hergebruik is een groter probleem, maar beiden doen is niet meer dan normaal lijkt me.
Het periodiek wijzigen van wachtwoorden is in feite al achterhaald. Mensen kiezen hierdoor steeds simpelere wachtwoorden blijkt in de praktijk.

https://www.security.nl/p...angen+van+wachtwoorden+af
https://www.security.nl/p...orden+zo+goed+als+zinloos
https://www.techzine.nl/n...eriodiek-te-wijzigen.html

Via haveibeenpwned kun je gemakkelijk checken (en notificaties ontvangen als ik mij niet vergis) of je wachtwoord gehackt is. Je kunt het vervolgens op de betreffende site gemakkelijk wijzigen.
Ik wijzig meerdere keren per jaar me wachtwoorden, zijn allemaal compleet verschillend, allemaal tussen de 14 en de 50 karakters en nooit ook maar 1 wachtwoord hergebruikt. Daaarnaast obviously veel 2 traps, kan het nog beter? Tuurlijk maar er moet ook een balans zijn he.
Waarom zou je jouw wachtwoord wijzigen als er geen tekens van inbraak zijn op je account, en je een uniek wachtwoord voor iedere site hebt? Dat heeft totaal geen zin en maakt het dus voor de _gemiddelde_ gebruiker alleen maar lastiger (waardoor dus korte wachtwoorden ontstaan).

Het is daarnaast helemaal niet veiliger om een wachtwoord iedere keer te wijzigen, je kan beter gewoon één keer een goed wachtwoord aanmaken (per site).
Omdat je niet altijd weet of een site gehacked is. Omdat de eigenaar van de site het vaak niet door heeft en/of ze het niet openbaar willen maken.
Een site kan net zo goed gehackt worden met het nieuwe veranderde wachtwoord, dan heeft een aanvaller ook al jouw data, een wachtwoord veranderen gaat daar niets tegen doen.

Het enige wat je ermee bereikt is dat na een halfjaar de aanvaller geen toegang meer heeft tot jouw account, maar dan ben je al te laat, en heeft de aanvaller jouw data al te pakken.

In hoeverre is een jaar aan data meer waard dan een halfjaar aan data is dan de hamvraag.
(Zover bekend natuurlijk, want niet elk gehacked wachtwoord verschijnt per definitie (direct) op havibeenpwned)
Dat zou handig zijn als haveibeenpwned aangaf welke site gehackt is, maar anders moet ik 200 wachtwoorden veranderen.
Periodiek wijzigen werkt juist dingen als herhalen van wachtwoorden etc in de hand. Als je elke 3 maanden al je wachtwoorden moet veranderen vergeet je ze waardoor je ze of gaat opschrijven, of maar miniem wijzigt (genoeg mensen die maar 1 letter aanpassen), of gewoon op meerdere plaatsen dezelfde gebruikt.
password managers?
Als je zoals ikzelf Thuis een windows computer hebt, op werk een windows computer + MacBook, een iPhone als telefoon en nog een Android tablet, dan is dat alles behalve makkelijk. Ja, ik zou lastpass op allemaal kunnen zetten, maar ik vond die iOS browser drie keer niks.

Het hele wachtwoord veranderen principe vind ik vooral achterhaald en averechts werken. Ik heb een collega op werk die “qwertyuioP1” als wachtwoord had, en daarna veranderde naar “asdfghjkL1”. Waarom security dat toe laat is me een raadsel overigens. Ik merk aan mezelf dat ik ook veel makkelijkere wachtwoorden op werk gebruik dan op andere account, enkel door de verander plicht. Het zijn wel random tekens, maar ik verander 1 teken (elke keer een andere) naar wat anders.

[Reactie gewijzigd door lagonas op 18 juli 2019 18:43]

Omdat men vaak van de logische alfabet volgorde uitgaat bij het bedenken van de password rules.

“Asdfghjkl1qwertyuioP5zxcvbnm0!” Is normaal gesproken een enorm sterk wachtwoord.
Ja want dat werkt altijd en op ieder apparaat. Niet dus.

Ik gebruik zelf iCloud keychain, maar als ik dus m’n telefoon niet bij de hand heb dan zou ik echt geen enkel idee hebben wat m’n wachtwoord is. Voor kritieke diensten heb ik dus goede wachtwoorden die ik wel kan onthouden en extra verificatie in de vorm van tokens zodat ik bij diefstal van telefoon of laptop wel dingen kan gebruiken op een apparaat van iemand anders.
Probeer Bitwarden eens. Ik gebruik het op mijn PC en mobiel via firefox en dat werktwerkt uitstekend. Je kunt url's aan je logins koppelen waardoor je gelijk als je op een invoerveld klikt een knop verschijnt die bitwarden opent. Na het invoeren van je hoofdwachtwoord wordt automatisch de goede login voorgeschoteld, erop klikken en je gebruikersnaam en wachtwoord zijn ingevuld op de website/ in de app die je bezoekt. Het ondersteund ook 2 traps authenticatie voor extra beveiliging.
Het punt is dat die password managers niet werken op het moment dat je op een onbekend device zit. En daar dan de hele manager op installeren en hoofdpassword invoeren vind ik zelf onveiliger dan een paar kritieke passwords uit mijn hoofd kennen.
Je kunt bitwarden ook via een website benaderen: https://vault.bitwarden.com/#/

Dat is dus op elk device met een internetverbinding en browser te gebruiken.
Dat snap ik, maar dan nog vind ik het geen goed idee om op een onbekend device een wachtwoord in te voeren waarmee je je hele hebben en houwen basically open en bloot stelt. Als dat hoofdwachtwoord wordt opgeslagen door de browser of malware op die pc dan ben je echt de sjaak.

En stel dat die pw manager gehacked wordt? Dat is ook al eens gebeurt dat een online vault onderuit ging en alles op straat lag.
Dat snap ik, maar dan nog vind ik het geen goed idee om op een onbekend device een wachtwoord in te voeren waarmee je je hele hebben en houwen basically open en bloot stelt. Als dat hoofdwachtwoord wordt opgeslagen door de browser of malware op die pc dan ben je echt de sjaak.
Daarom de mogelijkheid om 2FA te gebruiken. Leuk dat ze dan je wachtwoord weten, maar daar kunnen ze dan niets mee.
En stel dat die pw manager gehacked wordt? Dat is ook al eens gebeurt dat een online vault onderuit ging en alles op straat lag.
Dat is inderdaad een nadeel van het gebruik vanvan een password manager. Het is altijd een afweging tussen veiligheid en gebruiksgemak. Ik denk dat het voor veel mensen veiliger is zo'n password manager te gebruiken dan losse wachtwoorden te onthouden.
Maar dat is toch exact mijn punt. Op het moment dat je een apparaat hebt om 2FA te kunnen gebruiken dan ga je of niet inloggen met een onbekend apparaat (want kan ook op dat andere ding) of je zoekt het wachtwoord even op en typt het dan over. Het gaat juist om die nood situaties waarin je vaak ook niet helemaal helder kunt nadenken en maar gewoon shit probeert.

2FA betekent dan gewoon dat je überhaupt niks kunt doen als je device gestolen of kwijt is.
Het probleem rond opschrijven is in veel gevallen minder groot dan het nooit wijzigen van wachtwoorden die remote gecontroleerd / misbruikt kunnen worden waarbij je dus geen fysieke toegang nodig hebt tot hetgeen opgeschreven is. De experts die aangeven dat het periodiek wijzigen van wachtwoorden achterhaald zou zijn geven daarbij wel aan dat er andere maatregelen getroffen moeten worden. Simpelweg het advies overnemen als 'nooit meer hoeven wijzigen' is misinterpretetatie.

[Reactie gewijzigd door Bor op 18 juli 2019 20:22]

Je moet ze de kost eens geven, kwam er hier bijvoorbeeld onlangs achter dat 1 van de duurdere managers al jaren lang hetzelfde domein wachtwoord heeft. Policy schrijft voor dat er minimaal 15 wachtwoorden veranderingen moeten zijn voordat je hetzelfde wachtwoord mag hergebruiken.

Die gast liet doodleuk zijn secretaresse zijn wachtwoord 15x veranderen zodat hij hetzelfde wachtwoord weer terug had 8)7 . (en hij heeft er een aantal versleten in de afgelopen jaren, die wisten dus allemaal zijn wachtwoord, een behoorlijk bedrijfsrisico)

Een kleine aanpassing in de policy dat je maar 1x per 24uur je wachtwoord mag veranderen en een langere paswoord historie loste dat probleem overigens op. ;)
Het security risico wordt dan meer veroorzaakt door de policy die hem zijn wachtwoord doet veranderen dan door het hergebruik van het wachtwoord. Er gaan steeds meer stemmen op om gebruikers niet langer te verplichten hun wachtwoord te laten aanpassen (en dan heb ik het over eindgebruikers, niet over beheerders) net omdat het aanpassen van het wachtwoord ook weer manieren introduceert die de wachtwoorden onveiliger maken.
Yep. Daarom ook het vinkje voor minimum password age ook aanzetten 🙂 minimaal 24 uur.
2 weken op vakantie gaan lost dat probleem dan weer op, kom je terug, kan je aan de slag met je oude wachtwoord ;)
Geweldige anekdote!
Sterker, al minstens 25 jaar niet ;P

Zonder dollen, je weet ook dat veel mensen en ook ontwikkelaars, vaak hun wachtwoorden hergebruiken.
Dus was, het fijn geweest. Als deze mensen het eerder konden weten.
Nee ik verander bijna nooit ergens mijn wachtwoord, ja bij de bank want daar moet het jaarlijks.
En dat is ook wel iets belangrijker dan bol.com account ofzo.
Als iemand brute force gebruikt om je wachtwoord te achterhalen dan had het toch geen zin om telkens je wachtwoord te veranderen. Als je het 1x per jaar zou doen dan heb je het misschien al 3 keer veranderd zonder dat iemand iets geprobeerd heb terwijl die nog gewoon veilig was dus. En dat die nu pas onveilig is dus. Al hadden ze het na de hack natuurlijk wel moeten doen.
Bij brute force heb je een punt, maar decentrale diensten als websites waarbij passwordbestanden nogal eens op straat liggen heeft regelmatig wijzigen wél zin. Al is het maar omdat de kans aanwezig is dat het gelekte wachtwoord al achterhaald is...
Denk dat elk device dat ik gebruik na 3 pogingen dichtklapt,, succes

Volgens mij is dit vrij standaard en is bruteforcen minder actueel dan vroeger.

[Reactie gewijzigd door Unsocial Pixel op 18 juli 2019 19:51]

In dit geval zijn de plaintext wachtwoorden gestolen. Dus niet (alleen) de database met gehashte wachtwoorden, maar de hackers hebben code toegevoegd waardoor ze aan de plaintext wachtwoorden konden. Waarschijnlijk hebben ze dus code toegevoegd aan het login-script waarbij het plaintext wachtwoord (dat je invult bij inloggen op de website) vergeleken werd met de hash in de database. Indien correct is het plaintext wachtwoord doorgestuurd naar de hackers.

De gehashte wachtwoorden zijn hier dus in principe niet relevant.

Als de gehashte wachtwoorden goed zijn opgeslagen (sterk wachtwoord, met salt, sterke encryptie, etc). moet je overigens wel heel veel geduld hebben om die te brute-forcen. Dan kom je er denk ik zelfs niet met voldoende geld om een supercomputer voor je aan het werk te zetten. Op deze site kun je checken hoe lang het duurt om je wachtwoord te kraken: https://howsecureismypassword.net/. Als er een lek gevonden wordt waardoor de gebruikte encryptie niet meer veilig is, tja, dan gaat het natuurlijk een stuk sneller :P
Op die site die je linkt zie ik niet echt een onderbouwing, dus voor degenen die interesse hebben in wat meer achtergrond ook even dit linkje:
https://www.grc.com/haystack.htm
Mijn oudste die ik kon terughalen (en tevens me slechtste ww) 131 billion years
Wat bedoel je met "hashen is alleen maar vertragend"? Een redelijk sterk wachtwoord, gehasht met een redelijk sterk algoritme, is zelfs met alle tijd en geld in de wereld niet te kraken.
Zeg nooit nooit.
Er worden geregeld fouten in algoritmes ontdekt waardoor de hashes een stuk minder sterk zijn dan verwacht.
Maar je praat nog steeds over jaren met een fatsoenlijk algoritme inderdaad.
Ja, vooral mooi op tijd. _/-\o_
Ik ben blij dat ik zelf Mattermost heb draaien op mijn server. Geen last van meekijken/profileren door slack en alles in eigen hand. Misschien heeft Slack wat meer mogelijkheden, maar de flexibiliteit van Mattermost vergoed veel.
ligt natuurlijk heel erg aan de dienst erachter, of ik mijn wachtwoord wijzig en hoe sterk die is.

Zoals je moet op forums registreren om dat ene bestand te kunnen downloaden best lame waarom ze dat doen maar daar gebruik ik ook simpele wachtwoorden en heb er een apparte onzin/spam mail adres voor.

Het zou mij een worst zijn als mijn account gehacked wordt gezien daar allemaal fake gegevens achterlaat.

Zijn het overheidsdiensten of andere zaken wat gevolgen kan hebben als er iemand anders bij kan dan wel een sterk wachtwoord en eventueel 2FA, maar die zijn er maar weinig.

[Reactie gewijzigd door mr_evil08 op 19 juli 2019 08:35]

Op dit item kan niet meer gereageerd worden.


Apple iPhone SE (2020) Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True