Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft waarschuwt 44 miljoen gebruikers dat hun wachtwoorden uitgelekt zijn

Microsoft heeft ontdekt dat bij 44 miljoen van zijn gebruikers inloggegevens op het internet rondslingeren. De getroffen gebruikers hebben een e-mail gekregen met het verzoek om het wachtwoord opnieuw in te stellen.

Volgens het bedrijf is er in de afgelopen tijd onderzoek gedaan naar het uitlekken van inloggegevens, waarbij gekeken is hoeveel Microsoft-accounts online vindbaar zijn. Daarbij gaat het om gebruikersnamen en wachtwoorden die bijvoorbeeld bij een hack zijn buitgemaakt en door de hackers online zijn gezet. Overigens stelt Microsoft ook toegang te hebben tot databases die door autoriteiten ter beschikking zijn gesteld. Tussen januari en maart van dit jaar heeft Microsoft 3 miljard inloggegevens gescand, en vervolgens gematcht met zijn eigen databases.

Uit het onderzoek bleek dat er bij 44 miljoen mensen gegevens vindbaar zijn, waardoor kwaadwillenden dus mogelijk kunnen inloggen op hun Microsoft-account. Die mensen moeten verplicht een nieuw wachtwoord instellen en zijn hier per mail van op de hoogte gebracht.

Verder adviseert Microsoft zijn gebruikers om 2-factor-authenticatie in te stellen voor extra beveiliging. Voor zakelijke gebruikers heeft het bedrijf aanvullende tools om te bepalen of er risicogebruikers zijn, waarbij de administrator een wachtwoordreset kan forceren.

Door Bauke Schievink

Admin Mobile / Nieuwsposter

07-12-2019 • 09:04

202 Linkedin Google+

Reacties (202)

Wijzig sortering
Snap uberhaupt niet dat er nog steeds mensen zijn die overal hetzelfde wachtwoord of verdomd simpele wachtwoorden (postcodes, huisdiernaam, etc.) voor gebruiken. Er wordt al jaren voor gewaarschuwd, maar nog steeds veel dove oren, zie het ook nog steeds regelmatig in mijn omgeving.

Probeer mensen er altijd zoveel mogelijk bewust van te maken, laat (leer) ze wachtwoord managers gebruiken, ook voor het aanmaken van wachtwoorden.

2FA is wat moeilijker voor mensen om te leren/begrijpen (zelfs op mn werk waar dit sinds kort verplicht is was redelijk wat tegenstand / onbegrip), maar als ze het eenmaal doorhebben en een beetje begrijpen wat die 'domme' of 'vervelende' extra handeling voor ze kan betekenen zien ze het nut er gelukkig meestal wel van in.

Dus heb je nog mensen in je omgeving die 'ouderwets' te werk gaan, stop er wat energie in, meestal zullen ze je meer dan dankbaar zijn :)

edit:

@onderstaande reacties betreffende 2FA/Privé telefoon en werk:

In geval van 2FA heb ik het over een code die om de zoveel tijd verstrijkt met behulp van bijvoorbeeld Google Authenticator, Authy of via de password manager. Zelf gebruik ik ook een Yubikey voor 2FA om bijvoorbeeld bij Google in te loggen.

Wat 2FA op de zaak betreft: telefoons zijn 'van de zaak' dus niks op mensen hun privé mobiel. Is ook mijn motto: werk en privé (zoveel mogelijk) gescheiden houden ;)

2FA via SMS ben ikzelf zoieso geen voorstander van, imo veel te makkelijk te omzeilen (T-Mobile en e-SIM?).

En ja, als ik iets online bestel geef ik ook nooit direct mn telefoonnummer.

[Reactie gewijzigd door ironx op 7 december 2019 10:07]

Het heeft ook te maken met (en je komt het nog vaak tegen) slecht beleid. Volgens mij hebben organisaties die te stricter complexity requirements en te vaak resetten van het wachtwoord vereisen echt nog het meeste kwaad gedaan.

Ook plekken waar je wachtwoord ‘te lang’ is... (of nog erger, bij een bankinlog meegemaakt dat alles boven de 12 tekens gewoon werd afgekapt. (Rijnland Hypotheekbank, ze bestaan niet meer, dus ik kan ze wel publiek noemen)

Ionica Smeets legt het goed uit:
https://www.volkskrant.nl...ien-tekens-zijn~bb99ed0d/
Of de vereiste dat een wachtwoord altijd een hoofdletter, gewone letter, cijfer en leesteken moeten bevatten.

Het ironische hieraan is nog wel dat met deze restrictie bij hetzelfde aantal tekens een wachtwoord zwakker is dan zonder restrictie.
Elke restrictie beperkt het aantal mogelijkheden. Een brute-force methode heeft het daardoor in theorie gemakkelijker (als die met de restrictie om kan gaan). Aan de andere kant ook minder gemakkelijk om heel gemakkelijk te raden wachtwoorden te gebruiken. Dat maakt het raden (door mensen) moeilijker.
De verplichtingen van hoofdletters, cijfers en leestekens maakt het daardoor voor gelegenheidshackers wel moeilijker. Om het de brute-force methode lastig te maken gebruik je het liefst een lang wachtwoord. Daar soms eerst hele namen en woordenboeken worden geprobeerd, kan het best geen bestaande naam of woord gebruiken.
Iedere hint maakt een brute force gemakkelijker. Een heleboel requirements opzetten geeft heel veel hints, bovendien zijn mensen voorspelbaar.

Hoofdletter, cijfers en leesteken verplicht? Eerste letter is de hoofdletter, laatste karakter is een leesteken, hoogstwaarschijnlijk een uitroepingsteken of een plus teken en voor het leesteken staat een cijfer dat begint met 01 en vervolgens oploopt. Als je weet wanneer iemand in dienst is gekomen (LinkedIn) en je weet hoe vaak men het wachtwoord moet veranderen kan je al een educated guess nemen op welk cijfer ze zitten waarbij lage cijfers het meeste hits zal geven.

Doordat mensen zich veilig voelen, immers het is met een hoofdletter, cijfer en leestekens zal er tussen ook wel niets speciaal te vinden zijn. Een minimum aantal karakters is ook een hint waardoor je meteen een paar miljoen combinaties kunt schrappen.

Voor een account, gewoon zorgen dat het niet te brute forcen valt door het te blokkeren na x aantal foutieve pogingen en een 2FA opzetten. Je zou ook zelf een lijst kunnen genereren van easy to guess wachtwoorden en deze vervolgens weigeren, klassiek voorbeeld is het weigeren van de naam van de persoon als wachtwoord maar je kan hier veel verder ingaan.
Een 2FA maakt me te afhankelijk van een mobiel. Laatst was de mijne kapot en daardoor kon ik een aantal diensten (inclusief die van de bank) niet meer gebruiken. Een nieuwe mobiel bestellen is dan wat lastiger. Gelukkig werkt een creditcard nog zonder 2FA.

Restricties opwerpen doe ik wel aan, maar ik vermeld ze er nooit bij. Ik gebruik wel een test waarbij wachtwoorden niet in een lijst mogen voorkomen. Als ze er wel instaan stuur ik een melding "wachtwoord te eenvoudig" verder mogen de gebruikers zelf raden wat de restricties zijn.
Bruteforce en directory attacks zijn gemakkelijk te blokkeren door maar een beperkt aantal pogingen toe te staan en daarna de boel een uurtje dicht te gooien voor dat IP adres. Mensen doen meestal maar drie pogingen per minuut en proberen nooit langer dan 10 minuten. Als een IP adres vaker dan 4 keer per minuut of meer dan 10 keer in 10 minuten wordt gebruikt met een verkeerd wachtwoord gooi ik de deur dus een uur dicht.
Password managers zijn hiervoor de oplossing, bijvoorbeeld 1password, hiermee zijn je 2fa codes op alle devices die toegang hebben tot je 1password altijd de werkende code. (Deze word overigens ook bijna altijd automatisch ingevuld)

Kies een goede password manager, zet er een(zeer) stevig master password op, en pas deze in ieder geval iedere 3 maanden aan (door bijvoorbeeld iedere keer een paar karakters/woorden toe te voegen aan het eind van je wachtwoord) en zo leef je in 2035 waar je overal unieke wachtwoorden gebruikt, 2fa aan hebt staan en niet afhankelijk bent van 1 device (alleen van je password manager, dus ook daar zijn backup routes aan te bevelen)
2fa problemen oplossen met een password manager lukt zelden. Sites sturen via diverse apps random codes naar een app of tonen een random qr-code die je met een bijbehorende app moet scannen. Veilig is dat zeker, maar als de telefoon het begeven heeft zit je wel even met een probleem.
Tegenwoordig heb ik door toeval twee telefoons, allebei met dezelfde (duo)simkaart Het probleem doet zich bij mijn niet snel meer voor, maar het is wel een zwak punt bij 2FA.

Ik gebruik zelf ook netjes een password manager met een wachtwoord dat op twee latijnse planten en/of dierennamen is gebaseerd. Voor mij zijn die gemakkelijk te onthouden, maar voor een ander niet te raden.
Wachtwoorden laten onthouden door de browser doe ik niet aan. Dit mogen ze er van mij ook onmiddellijk uit slopen. Dit gemak doet de veiligheid geen goed.
De codes zijn op alle gekoppelde apparaten beschikbaar:
https://youtu.be/npzEhLKBcVo

https://youtu.be/StjWjFxcW_c

Hierdoor is het geen enkel probleem meer om 2FA te gebruiken, het enige probleem zijn dingen als DigiD, die hun eigen app in elkaar hebben gezet :|

[Reactie gewijzigd door mcelias5 op 9 december 2019 18:03]

Password managers zijn hiervoor de oplossing, bijvoorbeeld 1password, hiermee zijn je 2fa codes op alle devices die toegang hebben tot je 1password altijd de werkende code.
Eh, tja, dan is het dus niet echt 2FA meer. Het hele punt van 2FA is dat het altijd nodig moet zijn om op meerdere systemen in te breken, om een account binnen te komen. Als je 2FA 'master key' en je wachtwoord op dezelfde plek bereikbaar zijn, dan is dat niet het geval.

Bij de veiligste vorm van 2FA komt overigens helemaal geen telefoon kijken; dat zijn hardware-dongles zoals een Yubikey.
Als ik mijn password manager op de telefoon zet, dan staat ook alles bij elkaar. Alleen scannen van een scancode op het eigen scherm is best lastig. Met een spiegeltje lukt dat overigens wel (spiegelbeeld is dus geen probleem).
Inderdaad irritant wanneer je telefoon kapot is.
Vorige week ging mijn iPhone stuk. Probeer dan nog maar eens in je AppleID te komen. Kansloos als je niet ergens een andere iPhone kan regelen om de simkaart over te zetten.

En ik ben thuis degene die de financiële zaken afhandelt. Nu met al die 2FA wordt dat steeds moeilijker. Want als mijn vrouw (haar telefoon) niet thuis is, kan ik dus ook niet de verificatie code ontvangen (bijvoorbeeld bij het indienen van facturen bij de zorgverzekeraar of het afhandelen van de belastingaangifte).
Al deze maatregelen maken het in eerste instantie de gebruiker moeilijker.
Wat ik irritant vind is dat je ook accounts hebt die juist GEEN leestekens accepteren bv of het idd afkappen op 12 tekens ofzo. Heb ik eindelijk een nieuwe serie tekencombinaties bedacht, krijgen we dat.

Maar ik zou denk ik toch eens over moeten op een wachtwoordmanager, welke raadt men me aan?
Zie mijn bovenstaande reactie, het is niet gratis, maar persoonlijk (en zakelijk) vind ik 1password een prachtige oplossing
Wat biedt 1password boven gratis diensten zoals LastPass?

Ik kan er namelijk geen voordeel in zien als gratis persoonlijk gebruiker (dus zonder behoefte aan sharing).
Eigenlijk vooral gemak ;) Maar voor mijn werk heb ik hem ook echt nodig ik wissel all mijn wachtwoorden wekelijks. Dan komen de Cloudsync en de check of je ww uitlekken en MFA integratie wel van pas.
Je bedoelt dat je aan de hand van een simpele klik je wachtwoorden kan veranderen? Want dat kan LastPass ook (niet bij alle websites maar beetje grote namen wel).

CloudSync? LastPass is ook volledig in de Cloud.

MFA integratie? Bedoel je dat 1password ook 2FA opslaat en automatisch invult?
1Password kan dat uit je handen nemen die wijzigen op de achtergrond de wachtwoorden steeds als je hebt ingelogd inderdaad niet bij alle partijen. Maar wel bij onze 3rd party's die ADFS integratie met ons hebben.

Wij hebben een private cloud van 1Password ;)

MFA wordt naar 1Passwordt gestuurd maar dat wordt volgens mij bij ons intern afgehandeld is niet beschikbaar voor de normale gebruiker.
Ik bedoelde het volgende;
https://youtu.be/npzEhLKBcVo
Nu zie je mij inloggen op discord op mijn telefoon, maar ook op mijn computer staat de 2fa code voor discord er:
https://imgur.com/a/UA0VfYr

https://support.1password.com/one-time-passwords/
Hierdoor ben je dus wel afhankelijk van je password manager (in plaats van je otp app, en je fysieke device waarop deze codes staan)

[Reactie gewijzigd door mcelias5 op 9 december 2019 17:57]

Iedere hint maakt een brute force gemakkelijker. Een heleboel requirements opzetten geeft heel veel hints, bovendien zijn mensen voorspelbaar.

Hoofdletter, cijfers en leesteken verplicht? Eerste letter is de hoofdletter, laatste karakter is een leesteken, hoogstwaarschijnlijk een uitroepingsteken of een plus teken en voor het leesteken staat een cijfer dat begint met 01 en vervolgens oploopt. Als je weet wanneer iemand in dienst is gekomen (LinkedIn) en je weet hoe vaak men het wachtwoord moet veranderen kan je al een educated guess nemen op welk cijfer ze zitten waarbij lage cijfers het meeste hits zal geven.

Doordat mensen zich veilig voelen, immers het is met een hoofdletter, cijfer en leestekens zal er tussen ook wel niets speciaal te vinden zijn. Een minimum aantal karakters is ook een hint waardoor je meteen een paar miljoen combinaties kunt schrappen.

Voor een account, gewoon zorgen dat het niet te brute forcen valt door het te blokkeren na x aantal foutieve pogingen en een 2FA opzetten. Je zou ook zelf een lijst kunnen genereren van easy to guess wachtwoorden en deze vervolgens weigeren, klassiek voorbeeld is het weigeren van de naam van de persoon als wachtwoord maar je kan hier veel verder ingaan.
Je denkt veel te moeilijk. Genoeg bedrijven waar "Password1" gewoon prima werkt en nooit veranderd hoeft te worden hoor :)
Die brute-force kan je beter afvangen door rate-limiting en MFA op te stellen. Het klassieke idee dat dictionary attacks het enige is waar je je tegen moet wapenen is echt wel verleden tijd.
Precies, wat is er mis met een complete zin als password dat goed te onthouden is maar lastig te raden is.
Op het werk zie je passwords als huisdier@<maand> om al die onhandige resets te omzeilen, lekker veilig ( not)
Of nog erger, je geeft een ww van 16 karakters. Hash gaat naar de DB, maar een gekoppeld systeem accepteert maar 15 karakters, dus andere hash. Dit heeft mij menige security reset opgeleverd voordat we er achter waren
Of de vereiste dat een wachtwoord altijd een hoofdletter, gewone letter, cijfer en leesteken moeten bevatten.

Het ironische hieraan is nog wel dat met deze restrictie bij hetzelfde aantal tekens een wachtwoord zwakker is dan zonder restrictie.
Hier zijn ze langzaam maar zeker van aan het afstappen. Ik zie steeds meer dat er gevraagd wordt om een zin in te typen in plaats van een wachtwoord.

Alle crypto valuta doen al niet meer aan wachtwoorden, maar raden in plaats daarvan volzinnen aan (of genereren zelfs een volzin voor je).

Al die password eisen zijn allemaal gebaseerd op de laatste trend/mode onder ontwikkelaars die elkaar gewoon nadoen.

Komt wel goed op termijn :P

[Reactie gewijzigd door GeoBeo op 8 december 2019 08:19]

De website van KLM heeft ook een maximum lengte van 12 karakters.
Ze bestaan helaas nog. (Ik heb geen moeite om ze publiek te noemen :) )
De website van KLM heeft ook een maximum lengte van 12 karakters.
Ze bestaan helaas nog. (Ik heb geen moeite om ze publiek te noemen :) )
Netgear is ook zo'n fraaie. Ondersteunt geen complexe wachtwoorden. Hierover gecommuniceerd en ze gaven aan misschien in de toekomst iets gaan aanpassen.
Ik heb nog een ergere, https://www.ihg.com/ grote internationale hotel keten deze accepteren enkel een 4 cijferige PIN code als wachtwoord.
Moeten wel in perspectief zien wat je eventueel kan met de login van iemand anders. Bij een bank is het inderdaad een groot probleem, maar de login bij mijn tandarts was voorheen ook vrij simpel (iets met postcode), maar het enige risico is dan dat iemand voor mij een afspraak maakt of afzegt. Eerder een kwajongensstreek die je met social engineering via de telefoon ook wel voor elkaar krijgt.

In sommige gevallen is een eenvoudige login niet zo'n groot probleem, al is het nog wel degelijk een probleem.
Moeten wel in perspectief zien wat je eventueel kan met de login van iemand anders. Bij een bank is het inderdaad een groot probleem, maar de login bij mijn tandarts was voorheen ook vrij simpel (iets met postcode), maar het enige risico is dan dat iemand voor mij een afspraak maakt of afzegt. Eerder een kwajongensstreek die je met social engineering via de telefoon ook wel voor elkaar krijgt.

In sommige gevallen is een eenvoudige login niet zo'n groot probleem, al is het nog wel degelijk een probleem.
Hier kun je ook je creditcard aan koppelen om boekingen te doen.
Als ik mij dit goed herinner, werd vroeger het wachtwoord in msn messenger ook gewoon afgekapt op 8 karakters. Als je wachtwoord langer was, hoefde je toch maar de eerste 8 in te geven en je had een correcte login.
Je kan ze sowieso publiek noemen, ook als ze nog bestaan.
Onze overheid is daar een mooi voorbeeld van hoe het niet moet. Alle overheid moeten zich bijvoorbeeld houden aan de BIR (Baseline Informatiebeveiliging Rijksdienst). Ze moeten daar aan voldoen, ook al willen ze betere methoden invoeren.

Je wachtwoord moet iedere 90 dagen gewijzigd worden volgens een ouderwetse conventie die je ook nog blokkeert na 5 foutieve aanmeldingen:

We weten al 10 jaar dat deze methoden een slechte invloed hebben op de wachtwoorden maar men doet er niets aan. Resultaat is overal wachtwoord briefjes en simpel te raden wachtwoorden (Welkom01 iemand?).

Gelukkig doen ze bij de overheid geen belangrijke zaken waar andere mensen in geïnteresseerd zijn.
Dit is niet (meer) correct. De BIR is vervangen door de BIO. Met 2FA is er een expiry na een jaar. Zonder 2FA is het eens per half jaar. https://cip-overheid.nl/media/1303/bio-versie-103.pdf
Ik wou eerst schrijven dat ze dat dan wel even duidelijker maken bij de gemeenten... Maar ik zie dat dit nog helemaal niet actief is:

Vanaf 1 januari 2020 is de Baseline Informatiebeveiliging Overheid (BIO) van kracht. De BIO vervangt de bestaande baselines informatieveiligheid voor Gemeenten, Rijk, Waterschappen en Provincies. Van BIG, BIR, BIR2017, IBI en BIWA naar BIO. Hiermee ontstaat één gezamenlijk normenkader voor informatiebeveiliging binnen de gehele overheid, gebaseerd op de internationaal erkende en actuele ISO-normatiek. Helder, actueel en veilig.

Wel interessant, bedankt voor de heads-up.
Dit is bij ICS/MasterCard ook een tijd het geval geweest. Wat vooral irritant was toen het werd veranderd. (Bijna het invoeren niet opgelet dat de tekst werd afgepakt)
Zegt het voort!

Helaas hebben deze inzichten nog niet alle adviseurs bereikt.

Dus die droppen met veel gezag hun verouderde ISO27002 maatregelen in de organisatie en vliegen weer verder. De organisatie is gedekt, want het geadviseerde wachtwoordbeleid oogt solide en is makkelijk af te dwingen.
Helaas kun je voor office nou net geen authy oid gebruiken, alleen microsoft zijn eigen took of SMS verificatie |:(
MS Authenticator wordt niet afgedwongen, werkt prima met GAuthenticator of Authy (die ondersteunen alleen push notificaties niet afaik, dus mag je elke keer die code intikken), FIDO2 HW tokens, of bel-functie. Dus inlezen of zoals fapkonijn zegt contact opnemen met rigide IT beheer die dat wellicht heeft uitgezet.
Dat laatste is bij ons het geval. Je mag alleen Microsoft tools gebruiken. 2 traps authenticatie werd aangezet bij ons, en men raadde outlook app aan (wat ik géén fijne app vind). Ik had toen een andere app in gebruik, die netjes de authenticatie methode ondersteunde. Ik kon het een paar weken gebruiken en toen werd de app geweerd door IT. Nu is gewoon alleen Outlook toegestaan en dan ook met hele strenge security eisen. Ik mag gelukkig nog wel mijn contactpersonen met mijn contactenlijst synchroniseren, maar dat is dan ook alles. Geen gecombineerde agenda meer, zodat ik privé en werk met elkaar kan vergelijken. Voor werk agenda moet ik nu verplicht naar outlook app toe. Is sindsdien al een paar keer voorgekomen dat mijn tijd dubbel geboekt was.

We moeten ook minimaal elke 24u weer opnieuw inloggen, etc. Ik snap de strengere security eisen wel hoor, maar ik vind dat men wel moet proberen het gebruiksgemak niet te veel in de weg te zitten. Langzaamaan worden zaken wel wat gestroomlijnd, maar in het begin was het voor mij redelijk frustrerend, tot op het punt dat ik een poosje gewoon niks meer met mail etc op telefoon deed. Was ook best lekker, geen triggers buiten werktijd om.

[Reactie gewijzigd door Sjekster op 7 december 2019 12:46]

Ja precies. Je moet als security verantwoordelijke niet de gebruikservaring uit het oog verliezen, want dan gaan mensen actief tegenwerken. Daarom raadt ik mensen lastpass aan omdat het zo gemakkelijk werkt, al gebruik ik zelf 1password
Ik kan dat wel met Office, misschien heb je iets over het hoofd gezien of is dat door je bedrijf uitgezet.
MS Authenticator wordt niet afgedwongen, werkt prima met GAuthenticator of Authy (die ondersteunen alleen push notificaties niet afaik, dus mag je elke keer die code intikken), FIDO2 HW tokens, of bel-functie. Dus inlezen of zoals fapkonijn zegt contact opnemen met rigide IT beheer die dat wellicht heeft uitgezet.
Dan is dat misschien veranderd of heb ik het eerder verkeerd gezien, maar hier wordt ik wel blij van, ga er weer even naar kijken :)
Als nou SURF met hun afwijkende Tiqr app ook nog eens aansluit bij de buitenwereld...
Ik kan dat wel met Office, misschien heb je iets over het hoofd gezien of is dat door je bedrijf uitgezet.
Volgens mij moet je waneer je 2FA aanzet bij Microsoft een QR-code scannen met de Microsoft Authenticator app? Als het goed is staat er dan onder deze QR-code de optie om een code te laten zien, deze kan je dan in Authy of dergelijk app invoeren.
Ik snap het belang van verschillende wachtwoorden en pas dit ook echt zoveel mogelijk toe, maar soms is het wel vermoeiend. Zo werk ik op dit moment voor twee verschillende werkgevers en word ik helemaal gek van de wachtwoord resets. Ik mag ook uit veiligheidsoverwegingen geen wachtwoorden gebruiken die lijken op eerder gebruikte. Daardoor heb ik steeds vaker dat ik vergeet wat mijn wachtwoord nou eigenlijk was. Voor de context: ik heb geen kantoorbaan en hoef niet dagelijks in te loggen. Daardoor onthoud ik het wat lastiger.

[Reactie gewijzigd door pgs010 op 7 december 2019 20:38]

Ik mag ook uit veiligheidsoverwegingen geen wachtwoorden gebruiken die lijken op eerder gebruikte.
Interessant, hoe controleren ze dat zonder je oude wachtwoorden ergens in the clear op te slaan? :o Of wordt dat alleen gecheckt voor het vorige wachtwoord tijdens het veranderen ervan? Dan gewoon twee keer veranderen :P

[Reactie gewijzigd door Sfynx op 7 december 2019 12:26]

Goede vraag en om eerlijk te zijn heb ik daar niet over nagedacht. Ik ga de volgende keer na of het alleen wordt gecheckt voor het vorige wachtwoord. In dat geval is het probleem namelijk niet zo groot |:(.
Je zou ook een haan op kunnen slaan. Maar ik had een werkgever waar het ww niet hetzelfde mocht zijn als de laatste tien. Geen probleem, ik verander het gewoon elf keer om het oude terug te krijgen.
Toen kwam een nieuwe regel met één wachtwoord verandering per dag...
Interessant, hoe controleren ze dat zonder je oude wachtwoorden ergens in the clear op te slaan?
Door de hash te vergelijken.
[...]

Door de hash te vergelijken.
Hashes zijn doorgaans compleet verschillend (maximale entropie), ook bij de minieme wijzigingen van wachtwoorden die je zou willen detecteren. Ze zijn ook niet terug te herleiden tot de wachtwoorden. Dus hoe vergelijk je precies de wachtwoorden door de hashes te vergelijken? Let op, het gaat hier om detecteren van wachtwoorden die lijken op eerdere wachtwoorden. Met een hash kan je alleen een exacte match maken.

[Reactie gewijzigd door Sfynx op 8 december 2019 16:28]

Je hebt gelijk, ik las er overheen dat het over gelijkende, dus niet over gelijke wachtwoorden ging.

Edit: We weten niet hoe slim de vergelijking is, maar aangezien de meeste wachtwoorden toch het patroon Password##! hebben, vergelijken ze misschien gewoon ook een hash van een deel van het wachtwoord...

[Reactie gewijzigd door Horstenator op 9 december 2019 12:16]

helemaal gek van de wachtwoord resets.
Verplichte periodieke reset is ook een beperking die de wachtwoordveiligheid juist verlaagt: De wachtwoorden worden steeds makkelijker te raden. En tenzij je dagelijks wachtwoorden laat wisselen, ben je toch te laat.
Daardoor onthoud ik het wat lastiger.
Een wachtwoordmanager helpt. Je kunt er zelfs de houdbaarheidsdatum in zetten.
Als je als bedrijf de 2FA oplossing van Eset gebruikt is de 'extra handeling' alleen een tap op je telefoon om de inlog te bevestigen. Bij een kritische klant waar veranderingen altijd moeilijk zijn is men er dik tevreden mee.
2FA via SMS ben ikzelf zoieso geen voorstander van, imo veel te makkelijk te omzeilen (T-Mobile en e-SIM?).
Maar als dat de enige keuze is, is het nog steeds een betere dan zonder.
Elke hobbel in het traject kan een obstakel worden.

sms'jes zijn relatief eenvoudig uit te lezen ( al kan ik het als gevorderde amateur niet )
Ben je een target, moet de hacker eerst op zoek naar de manier om jouw telefoonnummer te spoofen.
Dan zijn die andere al die honderden zonder sms een makkelijker target.

De implementatie die PP had ( of nog steeds heeft ? ) was helemaal waardeloos.
je kreeg de optie om een sms-2FA te doen, maar eronder een knop 'ik wil de veiligheidsvragen'
En geen maximum ... :+

* FreshMaker is dolblij met authy, al mijn accounts 2FA in één app, verspreid over mijn devices.
Om de eenvoudige reden: onthoud het allemaal maar. En dan kun je wel een mooie wachtwoorden kluis hebben, maar dat automatisch invullen werkt ook niet op elke device of app.
En als het gaat om 2 websites dan is dat nog niet een probleem, maar voor elke website moet je tegenwoordig bijna inloggen.

Dan heb je ook nog eens wachtwoorden die ergens aan moeten voldoen, maar mogen dan bijvoorbeeld geen @ of % bevatten..

Nu heb ik zelf de wachtwoorden wel goed geregeld.. maar soms wordt ik er gek van. Snap daarom wel dat er simpele wachtwoorden gebruikt wordt.
In geval van 2FA heb ik het over een code die om de zoveel tijd verstrijkt met behulp van bijvoorbeeld Google Authenticator, Authy of via de password manager.
andOTP mag zeker ook genoemd worden. Kwalitatief en naar veiligheid toe een van de betere generators, zoniet de beste.
Wat ik merk is dat het nog het meest om onverschilligheid gaat. Zo van "ja, en wat kunnen ze met mijn account doen ?". Als het niet over bankieren gaat, heb je veel mensen die zich blijkbaar totaal geen zorgen maken dat iemand anders op hun account zouden kunnen. Zie ik zelfs met accounts als Facebook en dergelijke. De meesten hebben totaal geen besef van wat het risico is van identiteits-diefstal.

Daarnaast is voor velen 2FA ook gewoon een overlast. Ik heb bvb voor alle belangrijke accounts 2FA geactiveerd (met OTP via Authy) bij mijn echtgenote. Maar denk maar niet dat ze daar happy om is. Zeker met sites die via cookies je browser/device linken waardoor je niet telkens moet inloggen zie je snel de problemen. Na een paar maand vraagt Facebook om een of andere reden ineens het paswoord en dan blijkt ze niet meer te weten waar die code vandaan moet komen, of wat haar Authy pincode is.

Ik store natuurlijk alles (ook van haar) wel in KeePass en daardoor kan ik haar toch wat dwingen van op zijn minst moeilijke paswoorden te gebruiken, maar de weerstand blijft er gewoon. En ik denk dat er gewoon veel niet-technische mensen gewoon net zoals mijn vrouw denken.
Hoe goed kan jij mijn wachtwoord raden als ik bv alleen de letter A als wachtwoord gebruik? Dit wachtwoord komt alleen makkelijk naar voeren als er een brute force op losgelaten wordt maar heel simpel gezegd komt ieder normaal wachtwoord er wel zo uit mits het logon systeem na een paar foute probeersels niet de boel blokkeerd. En ja, als ik voor vele sites hetzelfde wachtwoord gebruik dan moet je mijn verschillende nicknames ook nog weten te achterhalen.
Wachtwoord databases hacken is natuurlijk een veel beter plan, en dan niet van een simpel forum/site als Tweakers (want wat moet je daarmee) maar bank- en betaalsystemen zijn natuurlijk uiterst interessant. Zo kan ik mij voorstellen dat Microsoft logon passwords met bijbehorende cloud toegang wel interessant is om dergelijke financiële data te vinden.
Een super complex wachtwoord werkt niet, mensen gaan het op schrijven of weten het op de 1 of ander manier toch weer iets simpel van te maken.

Voor belangrijke zaken heb ik 2FA aan, voor al het andere een redelijk wachtwoord, zou die gehackt worden jammer dan.
Complex of niet via fishing of database lek is 1234 even makelijk dan ?pZ(QF8?m~L}`m`B
https://www.wired.com/2014/08/passwords-microsoft/
De meeste tweetraps authentificatie methodes zijn afhankelijk van een mobiele telefoon. Ik heb gemerkt dat dat heel vervelend kan zijn. Als je telefoon kapot is kan je gelijk niet meer bij een aantal websites. Geld overmaken wordt ineens verdomde lastig.

Om misbruik van mijn mobiele nummer te voorkomen geef ik meestal mijn vaste nummer op, tenzij een mobiel nummer noodzakelijk is.

Het gescheiden houden van werk en privé is niet altijd even gemakkelijk. Een deel van mijn collega's is familie die ik ook buiten werktijd spreek. Vrienden en en andere familieleden testen wel eens wat, of komen met wensen of ideeën. Dat is dan weer een leuke aanleiding om even te bellen. Hoewel ik twee simkaarten in de telefoon heb zitten (beide van de baas) worden beide nummers inmiddels door elkaar gebruikt.
2fa roept bij mij ook weerstand op, omdat ze daar je telefoonnummer het liefst willen gebruiken, ligt die ook weer op straat he? Beetje raar ook dat veel bedrijven verwachten dat je voor de 2fa even je prive 06nummer aan windows doneert. Ik begin er niet aan, ik geef altijd netjes aan dat mijn telefoon 600eu heeft gekost, dat ik die zelf heb betaald en dat deze voor privegebruik is. Staan ze je aan te kijken of je gek bent! Gelukkig weet ik wie er echt gek is, juist, zij die hun nummer geven.
Je hebt ook andere manieren van 2FA. Bijvoorbeeld via een one time password die door een gekoppelde app wordt gegenereerd of een yubikey.

Telefoonnummers zijn wat dat betreft het meest laag drempele omdat je hier als gebruiker bijna niks voor hoeft te doen. Alleen een telefoonnummer op te geven.
Groot gelijk heb je. Tamelijk onbehoorlijk, die werkgevers die zomaar je privé willen inzetten. Wilden ze bij mij ook, dingen betalen (1800euro) van priverekening, mij 900 euro laten beheren in muntjes van twee (zonder kluis of ander afsluitbare ruimte), en zgn mij laten tekenen voor aansprakelijkheid hiervoor. Heeft me bijna m'n verlenging gekost toen ik hier kritiek op had. Ja sommige werkgevers maken het bont. Is vaak niet eens formeel beleid maar zelfverzonnen 'regels' van afdelingsmanagers.
Ik heb het zelfde ik geef zelden tot nooit een telefoonnummer op. Als ik iets bestel geef ik ook altijd 0612345678 op.
ik heb daar gewoon een simkaartje voor liggen, die ligt op mijn thuiswerkplek en als die rinkelt kan het eigenlijk nooit belangrijk zijn aangezien ik die altijd invoer op formulieren e.d. Ik kan namelijk remote bij de sms inbox en whatsapp-lijst en die beide heb ik nou net nodig om bijv track n trace dingen door te krijgen als ze die old skool per sms versturen of whatsapp. Verder rinkelt die alleen bij zichtbare nummers tussen 9 en 5 - mocht ik de thuisbezorger/ubereaters bestellen dan let ik wel ff op - met name die laatste categorie wil wel eens bellen om te kijken waar ik precies woon...
Exact! Ik heb speciaal een ouderwetse huistelefoon genomen voor alles werk of overheid gerelateerd. Kunnen ze een heel stuk minder mee, en weet je altijd wat je kan verwachten als dat ding gaat.
het erigste is nog dat veel mensen wachtwoorden gebruiken zoals:

Naam_1234
Ik snap ook niet dat mensen roken, teveel vet eten. Weinig sporten en nog steeds uren achter Facebook/<insert privacy vermoordend bedrijf > zitten

Dat terwijl er al jaren campagnes zijn die hier over informeren, tig aantal postbus 900 spotjes..

We kunnen nog wel zo goed informeren. Maar daar hebben we geen zak aan. Wachtwoorden zijn iets van vroeger, 9 van de tien keer klik ik toch op wachtwoord vergeten. Waarom niet dan een login link versturen? Kan de wachtwoord niet uitlekken, en hoeven de gebruikers niet allerlei dingen te installeren
Hoe kan je met t mobile en esim 2fa via sms omzeilen?

Het idee dat als ik mijn telefoon kwijtraak (en daarmee de google authenticator keys) en dan geen toegang heb tot al die diensten staat mij tegen. Met een nieuwe simkaart naar mijn huisadres heb ik dat dan weer gefixed.
Je kan de codes opschrijven van de 2fa,of de QR codes bewaren.
Zo heb je altijd nog ergens een backup code voor in geval van nood.
Plus dat je vaak one time wachtwoorden krijgt voor noodgevallen.
Snap uberhaupt niet dat er nog steeds mensen zijn die overal hetzelfde wachtwoord of verdomd simpele wachtwoorden (postcodes, huisdiernaam, etc.) voor gebruiken.
Als het dan alleen nog computer plebs zijn, dan kan ik me nog wat voorstellen, maar zo zijn er heel veel ITers die dit ook doen en dan kom je wachtwoorden tegen als 'Welkom01'...
Veel mensen vinden de werking van wachtwoordmanagers veel te omslachtig.

En er zijn ook veel mensen die hun wachtwoorden niet willen veranderen omdat ze dan niet meer automatisch kunnen inloggen.
Dat is mijn motto ook, maar helaas heb je nog genoeg bedrijven met een zeer beperkt IT budget die dit helaas niet kunnen of willen verwezenlijken. Op ons IT Afdeling moeten we helaas nog onze privé mobiele devices gebruiken voor 2FA, sinds kort ook nog eens ontdekt dat die applicatie ook je locaties bijhoudt.. |:( |:(
Waarom moeilijk doen als het antwoord al klaar staat ?

Ik doe altijd het volgende voor 99 % van alle sites die ik bezoek.

- registreer voor een account
- gebruik een password generator met 24+ karakters
- kies GEEN wachtwoord onthouden op die site
- bewaar nergens je wachtwoord
- klaar

De volgende keer bij het inloggen :

- kies wachtwoord vergeten
- gebruik weer een password generator
- kies GEEN wachtwoord onthouden op die site
- bewaar nergens je wachtwoord
- klaar

Hoef je niets te onthouden en je gebruikt een heel veilig wachtwoord die ook nog eens uniek is.

Meest veiligste optie imo.
Gewoon het systeem gebruiken
Dus alles hang aan de mail?
Vind ik geen hele slechte optie voor veel/meeste sites.
Funfact, het kiezen van een 'moeilijk' wachtwoord is vooral moeilijk voor jezelf en in relatieve zin is het gebruiken van wachtwoorden steeds minder zinvol. Yay voor Moore's Law
Ik snap het juist wel. Bijna alles gebeurd online en je moet je overal dan nog eens registreren. Password policy is iets of wat overal gelijk ( 1 hoofdletter, 1 symbool, 6-8 karakters, etc..), en als je dan (eindelijk) een passwoord hebt kunnen kiezen, willen ze niet meer door al die moeite gaan en kiezen ze gewoon hetzelfde wachtwoord dat ze bij de voorgaande website hebben gekozen.
2FA is makkelijker uit te leggen dan de gemiddelde wachtwoordmanager... Als het werkt top. Maar dan wordt de site niet herkent, of is bij registratie het domein anders dan bij inlog...

En dan nog cross platform werken, waar het ook weer anders eruit ziet of werkt....

Gebruiksgemak heeft nog een lange weg te gaan voor password managers. Voor een Tweaker? Easy peasy... Voor de gemiddelde consument? Veel te ingewikkeld.

Hergebruik is gewoon simpeler dan. Hoeveel consumenten snappen dat het wachtwoord van je email je toegang geeft tot bijna alle andere wachtwoorden via password reset? Ik gok maar weinig....
Is dit nu een lek, of voorzorgsmaatregel?
Als een gebruiker dezelfde inloggegevens (email + wachtwoord) gebruikt voor zijn Microsoft account en voor dienst X, en dienst X heeft de gegevens gelekt, hebben ze dus ook het wachtwoord voor het Microsoft account. Dat weten de hackers natuurlijk pas zodra ze hebben geprobeerd om te loggen.

Veel van deze databases zijn op internet te vinden. Nu heeft Microsoft dus gekeken welke gebruikers hun gegevens op straat liggen omdat ze ergens hetzelfde wachtwoord gebruiken dat is uitgelekt.

Wat mij betreft een hele goede zaak.
Haha ja blijft apart hoe ze dat checken.. Ik kreeg onlangs een e-mail van booking.com dat mijn inlog gegevens kenbaar zijn en het verzoek mijn wachtwoord te wijzigen. Mijn inlog info was niet gelekt bij booking.com maar bij een ander bedrijf/website.. Schijnbaar heeft booking.com een beveiliging systeem die checkt of mijn elders gestolen wachtwoord overeenkomt met het wachtwoord die ik daar gebruik..
Apart zou ik het niet willen noemen, het is niets meer dan een hash berekenen van wachtwoorden + usernames die op straat liggen dat vergelijken met je eigen database
Uiteraard, dit gaat natuurlijk op basis van de hash en niet wachtwoord -> wachtwoord in plain text :D Goedemoggel
Sommige pw managers als 1Password kun je ook laten checken hoeveel van je user+pw combinaties publiekelijk bekend zijn als een geldige combinatie (via haveibeenpwned).
Daar ben je dus zelf 'schuld' aan door hetzelfde wachtwoord op 2 (of meer) verschillende sites te gebruiken...
Geef ik iemand ergens een schuld van? Geef ik aan het niet te begrijpen hoe dit kan ontstaan?

Ik geef aan dat ik het apart vind hoe ze het checken (een compliment richting booking.com)... Of reageer je per ongeluk op de verkeerde want ik snap even niet wat ik met je reactie moet :D

Ik ben namelijk nog nooit door iets of iemand op de hoogte gebracht van een data lek, het is dat booking.com dit voor mij ''uitgezocht'' heeft en mij daarvan op de hoogte stelt. Waar het gelekt is weet ik dus nog steeds niet, ik weet wel dat het wachtwoord die ik daar gebruikte nergens anders meer dien te gebruiken = kudo's voor booking.com.

[Reactie gewijzigd door LopendeVogel op 7 december 2019 10:22]

Ik ben namelijk nog nooit door iets of iemand op de hoogte gebracht van een data lek
je kan je mailadres opgeven bij https://haveibeenpwned.com
deze site is betrouwbaar en verzamelt databases van hacks. Als ze jouw gegevens ergens vinden, dan laten ze het weten. Voor de volledigheid: ze vragen je nooit om een paswoord in te geven
Klopt die ken ik inderdaad, daar sta ik dan ook op vermeld.. Echter zit daar geen connectie tussen het wachtwoord die ik op booking.com had. Het gaat dus om weer een andere partij die niet vermeld staat op de door jou genoemde website.
het kan natuurlijk zijn dat ze preventief matchen op mailadres en klanten verwittigen in het geval ze niet kunnen achterhalen of hetzelfde wachtwoord is gebruikt
Wat betekent het eigenlijk if you got pwned? Krijg je dan spam of wordt je e mail adres misbruikt?
het betekent dat je gegevens ergens zijn buitgemaakt
Pownd komt van "Personal Owned", wat betekend dat "de ander" over jouw persoonlijke gegevens beschikt, op een dusdanige wijze, dat ze "vrijwel alles" van je beheren.
(owned = toe eigenen)
We is zelfs een addon die checkt of je gebruikte wachtwoord op straat ligt. Heb 'm in Chrome naam even onbekend.
Edit: Heet ook gewoon wachtwoordcheck.

[Reactie gewijzigd door Azerox op 7 december 2019 21:47]

Apple doet dat standaard ook met z'n Sleutelhanger. "Let op: dit wachtwoord gebruik je op 26 andere sites óók". Oeps.
Alleen checkt Apple dit met zijn eigen database ( jouw lijstje met wachtwooorden )
Niet de al bekende leaks.

Firefox doet het tegenwoordig dubbel, ze controleren jouw lijst op doubles, en houden de database van HIBP bij, voor als jouw naam/mailadressen erbij zitten, en komen.
Nee dat klopt idd, Apple doet dat lokaal.

Maar of ik zou willen dat én Mozilla (Firefox) én verkeer naar die HIBP-site er tussen zitten... meh. Als er ergens iets mis gaat qua https, certificaten, encryptie of tussentijdse buffering, caching, terugkoppeling et cetera kan iedereen zien welke wachtwoorden ik tegen die database aan wil houden.

Mogelijk dat Mozilla/Firefox er niet zelf nog tussen zit en dit ook lokaal doet, maar zo'n beste reputatie op het gebied van beheren van addins hebben ze niet. Ik herinner me nog iets van een proefballonnetje met advertenties en dat soort geneuzel.

[Reactie gewijzigd door DigitalExorcist op 7 december 2019 11:51]

Die gebruik ik ook, die werkt uitstekend. :+ :Y) _/-\o_
Had Microsoft dat niet veel eerder kunnen doen? Ik neem aan dat Microsoft zijn database al veel langer heeft. Hoe gaat Microsoft er voor zorgen dat mensen die mail serieus gaan nemen. Er wordt in mails en zelfs telefonisch om gebruikersnamen en wachtwoorden gebedeld. Heb zelf ook al een aantal keer telefoon gehad van "Microsoft" die dan zegt dat er een probleem is met mijn computer en dat ik even in moet loggen op de "Microsoft service site" om het op te lossen.
Hoe gaat Microsoft er voor zorgen dat mensen die mail serieus gaan nemen.
Kan simpel, door het oude wachtwoord te blokkeren. En in de mail staat een wachtwoord-reset, dus je moet wel...
Aha, en hoe ga je je mail lezen als je een Outlook account gebruikt en je ww is geblokkeerd? :)
Je token is nog wel een tijdje geldig.
Ga je er vanuit dat je ingelogd bent.

Maar meestal krijg je gewoon bij het opnieuw inloggen een geforceerde wachtwoord reset.
[...]
Kan simpel, door het oude wachtwoord te blokkeren. En in de mail staat een wachtwoord-reset, dus je moet wel...
Nee, ze zenden een mail, met de urgentie het oude wachtwoord te veranderen, anders wordt het account geblokkeerd.
Het is mij al een paar keer overkomen.

Edit:
Maar het hangt af, er van, of het Microsoft account gekoppeld is aan een O365 / Azure / Hotmail / Outlook / Windows Live, account email adres.
Je kan ook een ander, 3e extern email account gebruiken, en dan kan er wel een "harde Password Reset" plaatsvinden.

Edit 2:
Er staat ook, op de Microsoft website:
The Microsoft identity threat research team checks billions of credentials obtained from different breaches (from multiple sources, including law enforcement and public databases) to look for compromised credentials in the Microsoft systems. As you can see on the right, so far, in 2019* the threat research team checked over 3 Billion credentials and found a match for over 44 million Azure AD and Microsoft Services Accounts. For the leaked credentials for which we found a match, we force a password reset. No additional action is required on the consumer side. On the enterprise side, Microsoft will elevate the user risk and alert the administrator so that a credential reset can be enforced.
Dat is niet gelijk aan een email account password reset, maar een login reset is MS account of Azure account portals.

[Reactie gewijzigd door HoeZoWie op 8 december 2019 11:11]

Had Microsoft dat niet veel eerder kunnen doen?
Tuurlijk, maar beter laat dan nooit denk ik dan. Aangezien de meeste diensten dit niet doen.

IKEA doet dit trouwens ook met hun IKEA family accounts.
Tweede lijkt me. Ze kijken na of je met online te vinden gegevens kunt inloggen en verplichten je dan tot wachtwoordwijziging.
Voorzorg, ze kijken of uw gelekte gegevens uit verschillende databases overeen komt met dat van je Microsoft account. Indien dat zo is dan krijg je een mail en moet je het wijzigen. Goed voor mensen die overal hetzelfde wachtwoord gebruiken dus.
denk dat het allebei kan zijn. als MS een database met username/password in handen heeft van Microsoft accounts en ze kunnen verifiëren dat dit correct is wordt denk ik direct je wachtwoord reset.

sta je in een lijst zonder wachtwoorden maar ze zien dat het email adressen klopt, uit voorzorg een reset van je password.

sta je in een lijst zonder wachtwoorden maar ze zien dat het email adressen klopt maar je hebt je 2FA aanstaan. misschien niet nodig om te resetten. alleen een advies dat het verstandig is
Beide. Het is een lek bij een andere partij. De titel maakt dat niet geheel duidelijk. Microsoft heeft online verkrijgbare databases vergeleken met zijn eigen DB en vervolgens mensen gewaarschuwd waarbij matches zijn gevonden.

“Hee hoi Wij hebben elders in een gelekte database een account gevonden die dezelfde gegevens lijkt te gebruiken als dat je bij ons doet. Misschien is het slim om je wachtwoord bij ons te wijzigen voordat je account gehackt wordt.
Het 2e, de titel heeft een hoog click bait gehalte, maar Microsoft bied, net zoals Firefox, een service die gelekte DB's in het oog houd en matcht met je account bij MS. Enterprise klanten dienen voor die service extra te betalen of minstens een E5 abonnement te hebben waardoor je kan zien welke account in je AD omgeving mogelijks gevaar lopen. De service noemt Azure Advanced Threat Protection.

https://docs.microsoft.co...at-protection/what-is-atp

[Reactie gewijzigd door IStealYourGun op 7 december 2019 12:39]

Vanuit GDPR / AVG is dit inderdaad een lek. Let wel op dat mogelijk niet elk slachtoffer een email heeft gekregen, alleen die de hackers gepubliceerd hebben.
Vanuit GDPR / AVG is dit inderdaad een lek. Let wel op dat mogelijk niet elk slachtoffer een email heeft gekregen, alleen die de hackers gepubliceerd hebben.
Ja, alleen niet voor Microsoft.
Die proberen te voorkomen dat het verder gaat.

Nu geven ze via MS alleen aantallen, en verder geen persoonsgegevens, imho lossen ze dit prima op.
Dit heeft niets met avg/gdpr of wat dan ook te maken.
Wat?

Er lag al troep op straat, MS verifieert alleen even of het de troep is van MS klanten die op straat ligt, er is niets nieuws gelekt en zeker niet door Microsoft. Dit soort preventieve activiteiten gebeuren wel vaker. Ben blij dat MS het doet en eigenlijk stoort het mij weer een beetje dat een Apple dat niet doet, ondanks dat die genoeg issues met icloud hebben gehad en ze heel stoer doen over veiligheid en privacy.
Dus eigenlijk hebben ze een soort van haveibeenpwned.com check voor je MS account gedaan.
Nee, want de microsoft accounts zijn niet gelekt. Ze hebben pro-actief bekeken of jouw microsoft account combinatie van email+wachtwoord bij een andere hack gelekt is en of die dus ook zou werken bij MS.
xFeverr in 'nieuws: Microsoft waarschuwt 44 miljoen gebruikers dat hun wachtw... legt het goed uit.

Het is een HIBP.com check plus een extra stap dat er door die hack meer accounts gevaar lopen.
Ik ben een paar jaar geleden al overgestapt van m’n hotmail naar een icloud email omdat ik om de zoveel tijd een veiligheidsmelding kreeg dat iemand probeerde in te loggen vanaf een ongekende locatie..
Nu ben ik wel ook voorzichtiger geworden met waar ik m’n email in geef EN waarbij ik m’n telefoonnummer als 2staps verificatie in stel..
+ om het jaar m’n wachtwoorden vervangen :*)
Met gebruik van de 2FA op je MS account, heb je toch hetzelfde.

Ik krijg op geen van mijn accounts zo'n melding, wel moet ik op alle onbekende apparaten mijn 2FA invoeren.

( ik vind de icloudmail niet prettig werken, t.o outlook.com / gmail )
Hebben ze HaveIBeenPawned gevonden en daar de Azure AD en andere MS accounts uit gefilterd?!?
Dan hebben ze wel een speciale deal met HaveIBeenPawned omdat je als gebruiker vaak 1 van de twee dingen moet aangeven:
1) Email adres en dan krijg je alleen een lijst met mogelijke plekken (maar niet welk wachtwoord daar gebruikt werd)
2) Wachtwoord (eventueel met email adres) om te terug te krijgen of je "gehacked bent"

Maar in beide gevallen helpt het Microsoft niet om te bepalen of hetzelfde wachtwoord bij Microsoft gebruikt is. Daar hebben ze een lijst van wachtwoord + email adres nodig. Een lijst die HaveIBeenPawned om een goede rede niet deelt. Microsoft kan immers geen afgeleide doorsturen omdat ze het originele wachtwoord niet hebben.
Troy Hunt (de oprichter van haveibeenpwned) is een Microsoft MVP en heeft dus veel contact met Microsoft. Dus kan best zijn dat ze zijn database hebben gebruikt.
HaveIBeenPwnd verzamelt ‘publieke’ databases en geeft het op een verantwoorde manier weer.

Die databases zijn voor een beetje security-onderzoeker niet moeilijk om aan te komen, daar heeft Microsoft geen tussenpersoon voor nodig.
1Password gebruikt die database ook. Het is publieke informatie; waarom er maatregelen zijn genomen om harvesten van info vanaf haveibeenpwned tegen te gaan hoeft niemand je uit te leggen hoop ik :)
Dan hebben ze wel een speciale deal met HaveIBeenPawned omdat je als gebruiker vaak 1 van de twee dingen moet aangeven:
1) Email adres en dan krijg je alleen een lijst met mogelijke plekken (maar niet welk wachtwoord daar gebruikt werd)
2) Wachtwoord (eventueel met email adres) om te terug te krijgen of je "gehacked bent"

Maar in beide gevallen helpt het Microsoft niet om te bepalen of hetzelfde wachtwoord bij Microsoft gebruikt is. Daar hebben ze een lijst van wachtwoord + email adres nodig.....
Dat is keihard niet waar:
- Microsoft heeft tot nu toe nog nooit een email gestuurd met het wachtwoord er in.
- Microsoft heeft nog nooit een password reset web pagina gepubliceerd, waarbij het wachtwoord werd getoont.
- Have I Been Powned, heeft nog nooit een password getoond of per email verstuurd.

Binnen beiden partijen is dat aspect:
"against security policy".
Je praat totale onzin man.
Daar lijkt het idd op, is iets wat in nog bedrijven is gebeurt het laatste jaar. Niet alleen slechtwillende doen dat 😅
Ze hebben meerdere bronnen gebruikt, staat letterlijk in de tekst!
Dus geen mail == geen slachtoffer? Dan ben ik blij

[Reactie gewijzigd door akaash00 op 7 december 2019 09:15]

Afwezigheid van bewijs is geen bewijs van afwezigheid. Je bent geen slachtoffer, voor zover MS dat kan zien. Geen reden om blij te zijn, je moet altijd waakzaam blijven met je security.
Daarom gebruik ik zoveel mogelijk 2FA en voorzichtig zijn. :)

[Reactie gewijzigd door akaash00 op 7 december 2019 09:41]

Heeft weinig met slachtoffer te maken, het is geen hack. Als je er niet in voorkomt wil het gewoon zeggen dat je zo slim bent om nergens online je Microsoft account te gebruiken als login met hetzelfde wachtwoord als je mailbox. (en het gaat dan om sites waar je een eigen account maakt, niet waar je kan inloggen met je live account)

[Reactie gewijzigd door MClaeys op 7 december 2019 19:34]

Een conclusie die tekort door de bocht is. Onderzoek naar de leak zal nog moeten uitwijzen hoe dit kon gebeuren. Eerst schade beperken als je dit soort dingen weet. In de tekst staat dat de mensen waarvan gegevens gepubliceerd zijn een email hebben gekregen. Dat is dus géén uitsluitsel voor degenen die géén email hebben ontvangen!

[Reactie gewijzigd door CH4OS op 7 december 2019 10:24]

Volgens mij heb je het artikel heel slecht gelezen en snap je er verder weinig van.

Er zijn simpelweg publiekelijk beschikbare databases met gelekte gegevens, die zijn tegen de MS accounts aangehouden en iedereen waarbij dat een match was is gewaarschuwd. Er is dus niets nieuws gelekt en niets nieuws gehackt. Zeker niet bij/door MS. Ze proberen hiermee de gebruikers te beschermen en dat is netjes dat ze dat doen.

Er is geen 'leak' om onderzoek naar te doen in dit specifieke geval, dit is preventief werk.
Ik weet niet hoor, maar het gaat specifiek om Microsoft-accounts, dus ik gok eerder dat je zelf niet goed gelezen hebt;
...waarbij gekeken is hoeveel Microsoft-accounts online vindbaar zijn.
Ik denk dat het er eerder mee te maken heeft: ik heb een outlook.com email account met een bepaald wachtwoord. Dit zelfde email adres en wachtwoord gebruik ik om in te loggen bij bijvoorbeeld een webshop. Als de webshop zijn zaakjes slecht geregeld heeft, kan mijn email adres en wachtwoord uit de database gehacked worden.

Daarna kan een hacker dus inloggen op mijn outlook.com (microsoft account) met dat wachtwoord.

Iets waar Microsoft helemaal niets aan kan doen, maar ze kunnen het wel monitoren, detecteren en analyseren en proactief actie op nemen.

Iets wat ze nu dus ook gedaan hebben.
Waarom zou Microsoft andere accounts in databases zoeken? Daar kan ze toch niet van testen of het wachtwoord klopt? Dus natuurlijk dat het enkel om Microsoft accounts gaat. Als je je mailadres opzoekt op HaveIBeenPwnd en het komt voor in een database met unencrypted wachtwoorden dan kunnen ze dat op hun eigen databases gewoon testen (maar ze testen tegen meer databases volgens het artikel). Dat is dus wat ze gedaan hebben.
Dat je geen mail gekregen hebt wil enkel zeggen dat je wachtwoord en Microsoft account niet samen in een uitgelekte database staan, dat wil niet zeggen dat je mailadres in geen enkele database staat overigens, of dat je wachtwoord nergens te vinden is met een ander mailadres.
Dat die zin voor verwarring kan zorgen op zichzelf, kan zo zijn, dit zou het artikel moeten verduidelijken. Je hoort zelf ook te begrijpen dat een losse zin uit een artikel trekken, zinloos is, want de context is nogal relevant.

De accounts die vindbaar zijn online zijn veel eerder en niet via MS gelekt. MS waarschuwt alleen nu actief als ze dat zelf ontdekken. Een soort extra dienst dus. Ook om hunzelf te beschermen.
Er worden inderdaad alleen mails naar getroffen gebruikers uit deze specifieke databases gestuurd. Krijg je geen mail (check ook de spambox) op het emailadres wat aan je Microsoft-account gekoppeld is, mag je er dus vanuit gaan dat jouw account niet geraakt is vwb deze specifieke database.

Edit: kleine aanvuilling (niets nieuws inhoudelijks, maar kleine verduidelijking wat er al bedoeld werd).

[Reactie gewijzigd door wildhagen op 7 december 2019 10:46]

Is volgens de tekst hierboven niet waar; daar wordt gesteld dat de adressen die gelekt zijn een email hebben, mogelijk zijn er dus meer gegevens buitgemaakt.
Dat klopt, daarom zei ik dus ook "deze specifieke database. "

Andere adressen kunnen dus inderdaad gewoon nog getroffen kunnen zijn. Die zijn alleen niet meegenomen in dit onderzoek. Kan ook lastig, als je daar als (in dit geval) MS zijnde geen toegang toe hebt.

[Reactie gewijzigd door wildhagen op 7 december 2019 10:26]

Maar geen email betekent nu dus niet dat je niet geraakt bent, dat is mijn punt. ;)

[Reactie gewijzigd door CH4OS op 7 december 2019 10:28]

Lees de tekst; alleen die de hackers gepubliceerd hebben, hebben een email. Je kunt dus niet stellen geen email == geen slachtoffer. Daarnaast is het natuurlijk sowieso raadzaam om geregeld passwords te wijzigen.
Wacht maar even af, meer dan 44 miljoen "password-reset link" emailtjes sturen naar klanten, doe je, vanwege spam detectie, niet in één week.
Misschien een stomme vraag. Maar hoe vergelijkt Microsoft de wachtwoorden. Microsoft zal ze zelf salted en hashed opgeslagen hebben. Dus ze kunnen alleen kijken of het wachtwoord hetzelfde is als die elders in plain text beschikbaar zijn. Nu worden bij de meeste hacks volgens mij ook (salted) hashed wachtwoorden buitgemaakt. Die kan je dus niet met elkaar vergelijken (andere salt). Dus alleen als de wachtwoorden in plain text beschikbaar zijn of als ze slecht/zwak gehashed waren kan je ze vergelijken. Of mis ik iets?
Misschien gewoon inloggen?
Niet zo slim van dat Microsoft de getroffenen per mail informeert. Phishers kunnen zo makkelijk erop inhaken.

Tegenwoordig worden bij Hotmail/Outlook.com de berichten naar gebruikers toe over services e.d. als een in-app scherm (vaak als stap tussen het inloggen en de werkelijke mailbox in) getoond, ipv een aparte mail zoals vroeger. Waarom kan dat niet als je wachtwoord gelekt zou zijn?

[Reactie gewijzigd door RoestVrijStaal op 8 december 2019 02:31]

Krijg je een mail van Microsoft, denken mensen dat t een phishing mail is en niemand die reageert..
Ik ben meer benieuwd waarom dit onderzoek überhaupt door MS gestart is.
Om de veiligheid van hun gebruikers te waarborgen? Als er 44 miljoen geldige username/passwords op straat liggen, so to speak, kan dat best vervelende volgen hebben.

Ik vind het een nette actie eigenlijk. Lang niet iedereen is zich ervan bewust dat hun gegevens zijn uitgelekt.
Het puur een vraag omdat ik het mezelf afvraag hoor. Waarom die reacties met ondertoon?
De ondertoon zit hem in jou 1e reactie van wantrouwen.
Wantrouwen krijgt verdediging. As simple as that.
Stel je vraag / opmerking anders, en spreek daarom geen wantrouwen uit, maar juist interesse.
Verander :
waarom dit onderzoek überhaupt is gestart
In:
waarom dit onderzoek eigenlijk is gestart
En dat klinkt al een stuk vriendelijker.
Dat heet pro-actief
Nou ga ik even advocaat van de duivel spelen maar. Misschien om extra informatie te verzamelen door 2 factor te adviseren telefoon nummers verzamelen. Een groter profiel bouwen.

[Reactie gewijzigd door Finger op 7 december 2019 09:31]

Alu-hoedje op? Je hoeft niet met je mobiele nummer 2FA in te stellen, genoeg alternatieven.
Microsoft MFA, werkt standaard niet met telefoonnummers, maar met de Authenticator App.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True