Wachtwoordextensie Chrome markeerde 1,5 procent gescande log-ins als onveilig

In een maand tijd registreerde Googles Password Checkup-extensie voor Chrome dat bij 1,5 procent van alle gescande inlogacties een uitgelekt wachtwoord werd gebruikt. Gebruikers gaven 26 procent van de onveilige wachtwoorden een reset.

De Password Checkup-extensie voor Chrome scande in de eerste maand na beschikbaarheid 21 miljoen gebruikersnamen en wachtwoorden. In 316.000 gevallen bleek het wachtwoord uitgelekt en dus onveilig. Google kondigde de extensie in februari aan en sindsdien hebben 650.000 Chrome-gebruikers deze gebruikt.

Na de waarschuwing van de extensie gaven gebruikers 26 procent van de onveilige wachtwoorden een reset. Volgens Google was 60 procent van de nieuw gekozen wachtwoorden veilig. Daarmee bedoelt het bedrijf dat ze relatief goed bestand zijn tegen 'aanvallen door te gissen'. Een aanvaller zou dan meer dan honderd miljoen keer een gegokt wachtwoord moeten proberen om het juiste wachtwoord te achterhalen.

Het project moet met name voorkomen dat gebruikers een zwak wachtwoord voor meerdere accounts hergebruiken. Uit anonieme telemetriegegevens van de extensie blijkt dat met name bij accounts voor shopping, nieuws en entertainment kwetsbare wachtwoorden worden hergebruikt.

Google breidt Password Checkup per direct uit met een invoerveld om snel feedback te kunnen geven. Daarnaast krijgen gebruikers een opt-outmogelijkheid, waarmee ze het versturen van de telemetriedata kunnen voorkomen. Google meldt manieren te onderzoeken om de techniek van de extensie te implementeren in Google-producten, waarmee het bedrijf lijkt te hinten op het inbouwen in Chrome.

Google Password Checkup

Reacties (50)

Eagle Creek

16 augustus 2019 10:03

Zo zie je maar weer.... 100 gebruikers krijgen de melding je wachtwoord is gekraakt en niet veilig en maar liefst 75 kunnen of willen het vervolgens niet wijzigen..

Je kunt opvoeden, voorlichten en campagnes erin schieten wat je wilt. Maar op dit soort gebieden moet je mensen met technische maatregelen helpen. 75% dat geen actie onderneemt is een enorm percentage in mijn ogen.

[Reactie gewijzigd door Eagle Creek op 23 juli 2024 11:34]

MeltedForest @Eagle Creek • 16 augustus 2019 10:23

Als ik een account moet maken voor een of ander wazig forum om een post te kunnen lezen cq plaatje als attachment te mogen openen (wat best vaak voor komt), gebruik ik een willekeurige naam, mijn spam mailadres en een simpel wachtwoord die 100% zeker al eens is gelekt.

Maakt dat uit? Als je lekker onder die willekeurige naam op dat wazige forum wil posten be my guest... verder dan dat forum kom je er toch niet mee.

BartOtten @MeltedForest • 16 augustus 2019 17:11

Dat maakt uit. De webmaster zit later opgescheept met bot-posts! Jij hebt de captcha bij registratie opgelost, dus de bot hoeft niets te doen dan jouw ‘gelekt wachtwoord’ account te gebruiken om te posten.

Denk niet alleen aan jezelf

[Reactie gewijzigd door BartOtten op 23 juli 2024 11:34]

telenut @MeltedForest • 16 augustus 2019 10:36

tegenwoordig moet je inderdaad overal inloggen... en doorgaans zijn het ook die fora die gehacked zijn.
Dus ja, ik ben ook schuldig. Voor alle fora en video websites waar je moet registreren of iets te kunnen is het wachtwoord vermoedelijk hetzelfde.
Reden is simpel: het is totaal geen beveiligingsissue voor mij, en als ik het met de remote van een tv of iets dergelijks ooit moet ingeven wil ik er geen half uur mee sukkelen.

Bensimpel @telenut • 16 augustus 2019 10:46

Als het kan gebruik ik vaak mijn google account om in te loggen, dat kan op best wel veel sites waar ik kom.

Mijn google account is beveiligd met 2 factor, ik denk dat dit al veel veiliger is dan 100en losse accounts met wachtwoorden.

McBacon @Bensimpel • 16 augustus 2019 11:25

Je hebt dan alleen wel het risico dat die sites een aantal van je (legitieme) persoonlijke gegevens in kunnen zien, afhankelijk van hoeveel je publiek hebt staan. Volgens mij zien ze sowieso wel het emailadres wat aan je Google account gekoppeld is.

Bensimpel @McBacon • 16 augustus 2019 11:32

Ze zien anders altijd wel mijn email adress, voor de echte spam sites heb ik nog altijd een speciaal mail adress, dus in dat geval vul ik altijd dat mail adress in

mkools24 @Bensimpel • 16 augustus 2019 16:08

Nadeel is ook dat je afhankelijk bent van Google.

Ik heb veel ingelogd met Facebook her en der, nadat ik mijn Facebook account heb verwijderd kon ik ineens van veel dingen geen gebruik meer maken. Daarom maak ik liever 'echte' accounts.

boomr @Bensimpel • 16 augustus 2019 12:57

Onderzoek heeft ook uitgewezen dat multifactor authenticatie in combinatie met een zwak wachtwoord vele malen veiliger is dan een sterk wachtwoord afdwingen. Mensen gaan dan altijd op zoek naar creatieve manieren om een veilig wachtwoord te kiezen (lees een herleidbaar wachtwoord of het ergens noteren). Multifactor (waarbij je iets gebruikt wat je bent: biometrie, iets wat je hebt: bv telefoon, en iets wat je weet: een wachtwoord) is in dat geval een uitermate goede oplossing.

Ik heb zelf zoveel mogelijk random gegenereerde wachtwoorden daar waar mfa niet mogelijk is. Verschillende tools voorzien hier goed in (bv keepass).

Quilt @MeltedForest • 16 augustus 2019 10:35

Inderdaad. Dat is exact het beeld dat je zag bij de leaks van minder serieuze sites.
Mensen hadden veel meer 'domme' paswoorden zoals 'password', '123456' en zo.
Dat viel echt op bij de gelekte paswoorden van Adobe (mensen moesten een account maken om reader of zo te kunnen downloaden.)

Veel kans dat die personen wel een degelijk paswoord hadden voor hun waardevolle logins.

DeuTeRiuM @MeltedForest • 16 augustus 2019 11:10

Ja! Dat maakt uit. Iemand kan zich voor doen als jouw spamaccount. Er is vast een manier om te herleiden dat jij t bent.

Waarom geen password manager die voor elke login een wachtwoord genereert? Lastpass, 1password, keepass... als technisch onderlegd persoon is er géén goede rede om slechte wachtwoorden te gebruiken of herbruiken. Alleen gemak cq luiheid. En dat kan je afvangen met een password manager.

P_Tingen @MeltedForest • 16 augustus 2019 14:08

Dat deed ik eigenlijk ook, maar het gevaar is dat een van die sites tóch handig blijkt te zijn en dat je vergeet je wachtwoord te vervangen. Tegenwoordig doe ik het nog makkelijker door altijd LastPass een wachtwoord te laten genereren. Die slaat hem gelijk op en het boeit mij verder niet wanneer dat strings zijn als "3D7D98ePCazuinIj" of "2tqY2EvNA6Y8q1Ks" (ter plekke gegenereerd).

blinchik @MeltedForest • 17 augustus 2019 12:30

Klopt, ook vaak om firmware updates te downloaden moet je inloggen en vaak wil ik eigenlijk mijn gegevens ook helemaal niet geven. Dus, Danny de Downloader met paswoord download123 wordt als onveilig gemarkeerd, maar ik ga het niet wijzigen...

The Zep Man

Google Chrome
Browsers
Google

@Eagle Creek • 16 augustus 2019 10:08

Het is ook een verkeerd denkbeeld dat veiligheidscontroles (denk aan SSL/TLS en het slotje/de EV groene balk) en -problemen op wat de gebruiker doet bij de gebruiker zou moeten liggen. De tijd van de eindgebruiker is kostbaar, en al zou de eindgebruiker daadwerkelijk alles controleren dan is dat een slechte investering omdat het in de meeste gevallen (voor de meeste gebruikers) goed gaat zonder diepgaande controles.

MicGlou @Eagle Creek • 16 augustus 2019 10:21

Het is eigenlijk nog krommer want dit zijn gebruikers die bewust die extensie gebruiken voor het beheer van wachtwoorden, daar zou je meer van verwachten want ze zijn duidelijk al een stapje verder dan de gemiddelde gebruiker die overal hetzelfde wachtwoord gebruikt etc.

JohanNL @Eagle Creek • 16 augustus 2019 10:33

Dat is niet helemaal waar.
Ik heb deze extensie ook geïnstalleerd gehad en heb ook een paar keer een oud gelekt wachtwoord geprobeerd om in te loggen.
Dit omdat ik het juiste wachtwoord niet zomaar meer had/wist voor die website en ik dus wat dingen ging proberen die het zou kunnen zijn.
In veel van deze gevallen was het gelekte wachtwoord niet het juiste wachtwoord máár geeft de extensie wel een waarschuwing en gaat de teller van " gelekt wachtwoord en niet gereset " lopen.

Maar sowieso zijn er ook websites waarbij het me niet uit zou maken of men erin komt of niet, er is daar dan ook gewoon niks op te vinden.
Die groep moet je ook weer van de " gelekt wachtwoord maar niet gereset " filteren eigenlijk.

Unsocial Pixel @Eagle Creek • 16 augustus 2019 10:37

Neeee, blijvend bewust maken! Juist niet helpen met technische maatregelen daar maken we de eindgebruiker alleen maar lui mee.
Deze liebe leute worden vanzelf een keer gehacked gekraakt of whatever,, laat ze dan gelijk ook goed op de blaren zitten, wie niet horen wil moet maar voelen. Werkte vroeger en het werkt nog steeds, dat nat houden en beetje aanpappen bahbah.

(Ik snap niet wat er allemaal zo moeilijk aan is, ik gebruik overal een ander ww, zijn allemaal tig tekens lang (behalve de ing want die hebben een limiet op hoeveel characters je mag gebruiken), schrijf ze nergens op, wijzig ze regelmatig en onthoud ze allemaal. In al die jaren nog null keer gekraakt...)

Aganim

@Eagle Creek • 16 augustus 2019 10:51

Hmm, wat ik persoonlijk jammer vind is dat deze plugin ook alarm slaat op passwordvelden die disabled zijn. Zo is de webinterface van CSF binnen DirectAdmin (even onafhankelijk van wat we daar van vinden

) een notoir voorbeeld binnen ons bedrijf:

De losse UI interface die CSF zelf kan bieden staat standaard uit, binnen de configuratiemodule in de DA plugin staat het wachtwoordveld uitgeschakeld (<input disabled ...) en gevuld met ***********. Daar triggert de plugin vervolgens onnodig op, met als gevolg een 'onveilig melding' waar ik geen actie op kan of hoef te nemen. Dat is ongetwijfeld echt niet het enige systeem wat op een voor deze plugin onhandige manier werkt.
Dan heb je nog mensen die met een reden geen actie ondernemen, denk bijvoorbeeld aan niet-kritieke wegwerpaccounts op fora waarbij het niet enorm boeiend is als deze gehacked zou worden.

Al met al denk ik dat je die 75% iets naar beneden moet bijschalen. Overigens blijft dan ongetwijfeld nog een te groot aantal over wat wel degelijk er goed aan zou doen om eens een wachtwoordreset uit te voeren.

BBM @Eagle Creek • 16 augustus 2019 10:57

Als ik de titel bekijk dan lees ik simpelweg dat 98.5% van alle ingegeven wachtwoorden veilig geacht worden.
Lijkt mij een mooi percentage.

darknessblade @Eagle Creek • 16 augustus 2019 11:30

ik zou zeggen geeft 3 meldingen op verschillende manieren dat het PW breached is, en daarna nooit meer iets er over zeggen.

en als ze dan hun "life-savings" kwijt zijn is het hun eigen schuld, ze zijn genoeg gewaarschuwd, maar ze kiezen ervoor om het PW niet te wijzigen

gamezfreak @Eagle Creek • 16 augustus 2019 12:03

Mensen zijn er wel degelijk bewust van dat de meeste wachtwoorden die zij gebruiken, makkelijk gekraakt kunnen worden. Echter speelt luiheid hier een rol in, namelijk dat je maar 1 wachtwoord gebruikt voor alle sites. Meestal zijn het de wachtwoorden die makkelijk gekraakt kunnen worden, denk maar aan JanSmit1969 of de naam van je huisdier met een nummertje er bij. Dat is namelijk makkelijker te onthouden en scheelt je weer een nieuwe wachtwoord te leren.
Echter zal je met dat soort wachtwoorden snel gehacked kunnen worden omdat je een grote kans hebt dat een gehackte wachtwoord ook op andere accounts / sites zal werken.

Je kan kiezen om een wachtwoord manager te gebruiken, maar dat is ook niet altijd even makkelijk.
Ikzelf gebruik de password manager binnen Chrome, gezien ik veel schakel tussen laptop, smartphone en tablet. Daarnaast kan je bij Chrome ook kiezen dat Chrome zelf een wachtwoord genereert en dat Chrome het zelf opslaat.

Een password dat uit een willekeurige string bestaat, is iets moeilijker te kraken dan een password dat uit bestaande woorden bestaat. Vaak wordt er eerst een dictionary attack geprobeert, voordat er een brute force wordt uitgevoerd, een rainbow attack is ook mogelijk.

Voor de meest kritische en belangrijkste sites / accounts / omgevingen, gebruik ik altijd een sterke wachtwoord dat bestaat uit cijfers, letters en speciale tekens. Zoals @MeltedForest al aangeeft, voor een site waarop je eerst moet inloggen om een oplossing te kunnen zien, kan je ook een mailadres gebruiken dat je bijv. als testaccount gebruikt om bijv. evaluatieversies te testen.

Kortom, hoe vaak je tegen mensen het zal zeggen dat ze een nieuwe wachtwoord om de x aantal maanden moeten vervangen, dat zullen ze niet doen omdat het te veel moeite kost om de nieuwe wachtwoord te onthouden. In het bedrijfsleven wordt dat wel gedaan, gezien een gelekte password, een enorme schade kan aanrichten. Hiervoor heb je disaster software die in staat is om verschillende simulaties te laten zien wat er gebeurt als een hacker een password heeft gekraakt.

Voorkomen is beter dan genezen, maar bij de meeste mensen moet er eerst wat gebeuren voordat ze hun account beter gaan beschermen door een betere wachtwoord en 2FA.

Blokker_1999

Wachtwoord
Browsers
Google Chrome
Google

@Eagle Creek • 16 augustus 2019 12:19

Maar dat een wachtwoord ooit eens is gelekt hoeft niet rampzalig te zijn. Een wachtwoord is nog altijd maar 1 deel van de login. Het is pas als de combinatie met de gebruikersnaam gelekt is dat je een probleem begint te krijgen en je echt wel je wachtwoord moet aanpassen. Zelfs met complexe wachtwoorden die gegenereerd zijn door een wachtwoordmanager bestaat het gevaar op een collision.

ton14 @Eagle Creek • 16 augustus 2019 14:44

Een andere conclusie is dat 75% geen idee heeft wat ze moeten doen en waar het over gaat.

In mijn "60+ leeftijd" omgeving zijn ze al heel blij dat ze een mobiel telefoontje aan kunnen zetten en een SMS kunnen versturen. Veel zijn over op een tablet, omdat een computer al helemaal te grote problemen geeft. Opvoeden, voorlichten etc. werkt prima, maar alles wordt daarna weer gewijzigd.

Ik heb eens rondgevraagd en op mijn vraag, "gebruikers krijgen een opt-out mogelijkheid, waarmee ze het versturen van de telemetrie data kunnen voorkomen", kreeg ik bij allemaal (ongeveer 30) als antwoord, huhhhh ???

Wachtwoorden liggen op straat, niet omdat ze gekraakt zijn, maar omdat zowat alle data van zowat alle grote wereldbedrijven gehackt of verkocht zijn. Denk dat verbeteringen hier meer resultaat opleveren.

nils83 @Eagle Creek • 16 augustus 2019 17:34

Er staat 26% van de wachtwoorden, niet 26% van de gebruikers...

Noxious @Eagle Creek • 16 augustus 2019 20:34

Er zijn ook genoeg false positives aan de andere kant.

Zo krijg ik iedere keer als ik op mijn modem/router inlog (met user/user) een dikke waarschuwing over een onveilige login; maar ik kan deze niet aanpassen. Dankzij mijn fantastische provider is het modem zodanig dichtgespijkerd dat dit onaanpasbaar is (en nog veel meer zaken, zoals de dhcp ip range, forwarden van zaken die geen tcp of udp zijn, enz). Nu doe ik dit nogal eens (~ dagelijks, want de verbinding ligt er ook ~dagelijks uit), dus dat telt wel op. Ik kan mij voorstellen dat anderen soortgelijke zaken hebben.

erikmeuk3 @Eagle Creek • 16 augustus 2019 20:17

Had vroeger een collega die als wachtwoord zijn geboortejaar en voornaam gebruikte.
Omdat dit te moeilijk was om te onthouden, stond het op een post-it op de rand van de monitor.
Toen kwam de verandering dat je iedere 3 maand moest wijzigen.
Hij verwisselde simpelweg de naam en het nummer van positie en de volgende keer terug.
Toen er een leesteken in moest, kwam er een streepje tussen.
Bij dit soort mensen, werkt een wachtwoord niet.

Kain_niaK @Eagle Creek • 18 augustus 2019 13:55

Ik heb een email adres dat ik alleen voor spam gebruik en een wachtwoord abc123456 dat ik gebruik voor al die plaatsen waar je eigenlijk helemaal geen account wil hebben maar er toch een nodig hebt. En die combinatie is ooit uitgelekt.

Zal mij echt aan mijn reet roesten als mensen op die accounts inloggen. Ze doen maar.

Martinspire 16 augustus 2019 10:26

Ik heb aardig wat wachtwoorden die gekraakt zijn omdat ik op een aantal sites inderdaad een onveilig wachtwoord heb. Om wat voor sites gaat het dan? Van die sites waar een account verplicht is bv. Even shoppen bij een webwinkel? Vul maar in. Even een reactie achterlaten bij een 1 of ander forum? Account verplicht. Toegang tot een download? Komt u maar. Te vaak is een spamaccount nodig om iets te kunnen doen.

Zolang ik geen gegevens op de site heb staan die ik ook maar enigszins relevant vindt, ga ik er de moeite niet in steken om er een sterk wachtwoord aan te koppelen. Bij webshops kijk ik ook wel even wat er wordt opgeslagen. Betaalgegevens laat ik ook nergens opslaan bv (gebruik meestal Paypal of Ideal dus dat is verder prima). Pak mn spam-mailadres maar.

Ik snap dat het beter is als ze helemaal nergens in kunnen, maar met de veiligheid van menig database tegenwoordig, kun je er wel vanuit gaan dat ze overal in kunnen komen of dat data gaat lekken. Ze hebben alleen weinig aan het kunnen plaatsen van een bericht op een site waar ik nooit kom of een webwinkel waar geen betaalgegevens gekoppeld zijn.

Wel heb ik een wijze les geleerd om overal waar ik wel een nuttige account heb, een ander wachtwoord in te stellen. Zo was bij een game mijn account ingebroken en login aangepast om daarmee de spullen over te nemen. Uiteraard wel opgelost door ontwikkelaar, maar heeft me wat dagen gekost voor ik er weer in kon. Het weerhoud me echter niet om op bepaalde sites een reeds bekende login te gebruiken omdat het me simpelweg niet interesseert als hackers in de account kunnen komen. Anders ben je weer verplicht om je wachtwoordmanager te gebruiken en moet je diverse menu's door om in te loggen (vooral op mobiel vind ik het vaak omslachtig) als ik even een orderstatus op wil zoeken.

0xygen500 @Martinspire • 16 augustus 2019 13:34

Oppassen bij bol.com en dergelijke die achteraf betalen hebben.

leuk_he 16 augustus 2019 10:02

Je moet ook bij elke scheet die je post tegenwoordig een account aanmaken.

En omdat we een nieuwe website niet zomaar vertrouwen me je facebook en google niet echt vertrouwen (log in with gogole/facebook oAuth ) maak je dan maar een account aan met je spam-email.

En dat is blijkbaar terecht dat we die niet vertrouwen aangezien dat soort sites dus ook te vaak lekken.

De oplossing voor hergebruik is uiteraard een password manager. Het probleem is uiteraard dat dan opeens al je wachtwoorden op 1 plek staan, Als die plek lekt is het probleem opeens groot.

The Zep Man

Google Chrome
Browsers
Google

@leuk_he • 16 augustus 2019 10:05

De oplossing voor hergebruik is uiteraard een password manager.

Alleen voor de sites die je later nog eens wilt bezoeken. Ik heb heel veel accounts aangemaakt via tijdelijke e-mailadresaanbieders zoals mailinator.com, omdat ik de betreffende sites maar eenmaal hoefde te bezoeken. Helaas blokkeren steeds meer sites de domeinen van mailinator.com, wat het niet makkelijker maakt.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 11:34]

Clemens123 @The Zep Man • 16 augustus 2019 10:09

Ik gebruik gratis mail forwarding sites om alias aan te maken voor elke dienst die ik gebruik...als ik ooit spam ontvang weet ik welke dienst verantwoordelijk is en kan ik de alias snel blokkeren...is wat moeite om in te richten en je hebt een domain naam nodig...(maar als je het puur voor logins gebruik kan je eender welke domain naam nemen en is het goedkoop).
En mijn passwoordmanager houdt de mailadressen en wachtwoorden bij uiteraard.

Unsocial Pixel @Clemens123 • 16 augustus 2019 10:41

Voor aliases hoef je niet direct een eigen domain te hebben. Gebruikte vroegah xs4all en tegenwoordig voor prive outlook en voor meuk (youtube) gmail,, alledrie ondersteunen ze het maken en beheren van aliassen

[Reactie gewijzigd door Unsocial Pixel op 23 juli 2024 11:34]

vosManz @Clemens123 • 16 augustus 2019 19:09

Bij diensten als Outlook.com en Gmail is dat allemaal niet nodig. Sowieso kun je daar aliassen aanmaken. Maar je kunt ook een mailadres gebruiken om 'dynamische' aliassen te gebruiken.

Bijvoorbeeld, je mailadres is mailadres@outlook.com. Maak je een account aan op bijv. Tweakers dan kun je het mailadres mailadres+tweakers@outlook.com gebruiken. Zo kun je zien waar een mail vandaan komt en evt. met een regel alles wat daar op binnenkomt verwijderen. Zo kun je achter de + alles zetten, het vooraf aanmaken van een alias is niet nodig. Werkt iig bij Outlook.com/Hotmail en Gmail.

Clemens123 @vosManz • 17 augustus 2019 10:45

Interessant, kende ik nog niet...nu is het wel zo dat het oorspronkelijke emailadres afgeleid worden kan of zelfs een random adres gegenereerd worden kan...wat suboptimaal is.

Schway @The Zep Man • 16 augustus 2019 10:19

Koop voor een paar euro een domein naam.
Stel een catch all forward in voor niet bestaande adressen.
en je hebt onbeperkt e-mail adressen om 1x te gebruiken.

japie06 16 augustus 2019 10:10

Honderd miljoen keer gokken zegt mij niet zoveel. Als wachtwoorden met MD5 zijn gehashed kan een snel systeem er 200 miljard per seconde kraken. Natuurlijk moet MD5 in eerste plaats niet meer gebruikt worden, maar daar heb je als gebruiker geen invloed op.

Byron010 @japie06 • 16 augustus 2019 10:23

100 Mil opzichzelf is natuurlijk niet alles, maar tegenwoordig hebben de meeste sites wel een time-out na 5 pogingen of iets dergelijks dus dan is het al snel een hoop.

japie06 @Byron010 • 16 augustus 2019 10:34

Een time-out is niet van toepassing in het geval van een datalek. Dan liggen de hashes op straat en zijn ze ,in het geval dat er MD5 gebruikt wordt, zeer eenvoudig te kraken.

Ventieldopje @japie06 • 16 augustus 2019 10:19

Hier gaat het om plain-text gokken, niet om het kraken van hashes.

ashemedai @japie06 • 16 augustus 2019 10:29

Waarom zelf calculeren als het puur MD5 hashes zijn? Gebruik gewoon rainbow tables

MeMoRy 16 augustus 2019 10:25

Telemetriedata bij een wachtwoordscanner-extentie... Het zal allemaal wel meevallen, maar het klinkt dodgy.

e-mail van Google: "Beste..., we hebben al je wachtwoorden doorgelezen, en een aantal lijken ons onveilig."

edit: ik krijg trouwens wel van die dreig e-mails
"
[...inderdaad een oud wachtwoord...]
is your password. You don't know me and you're thinking why you received this email, right?
I placed malware on the pom website and guess what, you visited this web site to have fun (you know what I mean). While you were watching the video, your web browser acted as an RDP (Remote Desktop) and a keylogger which provided me access to your display screen and webcam.
Right after that, my software gather.' all your contacts from your Messenger, Facebook account, and email account. What exactly did I do? I made a split-screen video. First part recorded the video you were viewing (you've got a fine taste haha), and next part recorded your webcam (Yep! It's you doing nasty things!).
What should you do?
Well, I believe, $1400 is a fair price for our little secret. You'll make the payment via Bitcoin to the below address (if you don't know this, search "how to buy bitcoin. in Google).
BTC Address —»
[bitcoin adres]
"
Maar dan gaat het meer om gelekte wachtwoorden dan om makkelijk te achterhalen wachtwoorden. Een veilig wachtwoord help niet tegen lekken...

Mijn vrouw had trouwens niet door dat haar wachtwoord gelekt was, en had ineens allemaal lokale Afrikaanse bands in haar Spotify favorieten lijst. Zo kom je nog eens in aanraking met andere culturen!

[Reactie gewijzigd door MeMoRy op 23 juli 2024 11:34]

Renoir @MeMoRy • 16 augustus 2019 11:11

Mijn vrouw had trouwens niet door dat haar wachtwoord gelekt was, en had ineens allemaal lokale Afrikaanse bands in haar Spotify favorieten lijst. Zo kom je nog eens in aanraking met andere culturen!

Ik moet eerlijk toegeven dat ik hetzelfde heb gehad....bleek spotify nog een oud ww te hebben waarvan ik idd wist dat het een keer gelekt was. Vervelende was voornamelijk dat ik een aantal albums had gesaved die door iemand met een andere muzieksmaak eruit waren gegooid en het is me niet meer gelukt die albums terug te vinden

MeMoRy @Renoir • 16 augustus 2019 15:17

Oh? Welke albums waren het?

Renoir @MeMoRy • 16 augustus 2019 19:32

Ja wist ik dat dus maar. Beetje obscure namen en artiesten en sommige onthoud ik alleen visueel...oftewel de cover. Maar dat zoekt zo lastig

SinergyX 16 augustus 2019 10:07

Dus eigenlijk stukje psuedo veiligheid. Veel breaches hebben geen specifieke accounts/websites gekoppeld, zijn gewoon databases met naam/wachtwoord, die zijn nog steeds 'in the open', maar die checker zal die niet vinden.

Het project moet met name voorkomen dat gebruikers een zwak wachtwoord voor meerdere accounts hergebruiken.

Zwakke of sterke wachtwoorden maken toch geen zak uit hier? Hergebruiken = fout.

Sandwalker

16 augustus 2019 10:21

Password managers lossen het probleem van niet onthoudbare wachtwoorden op, maar lang niet iedereen heeft een password manager met een password generator.
Juist die laatste is belangrijk, omdat we niet zo goed zijn in het maken van random wachtwoorden.
Als je in plaats daarvan passphases toestaat, dus een veel grotere lengte, ben je minstens net zo veilig als een sterk wachtwoord, terwijl de onthoudbaarheid veel beter is.

Mr. Salty 16 augustus 2019 13:22

Als je een website niet vertrouwd en geen spam wil hebben heb ik een simpele oplossing:
https://10minutemail.com/10MinuteMail/index.html

De website spreekt voor zich.

MrMarcie 16 augustus 2019 15:58

Wat ik veel zorgelijker vind is dat ik deze pagina lees en daarna een pagina bij NPO om even een video te bekijken en die begint met een reclame over password van XS4all. Maar weer eens de instellingen van mijn Google bekijken.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (50)

Sorteer op:

Weergave: