Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft: politieke hackers gaan over op geautomatiseerd wachtwoord raden

Russische hackers die accounts van Amerikaanse politici proberen binnen te dringen, doen dat veelal door te proberen gebruikersnamen en wachtwoorden te raden. Vier jaar geleden ging het vaak nog om spearphishing.

Strontium, de naam die Microsoft gaf aan de Russische initiatieven om personen rond de Amerikaanse presidentsverkiezingen te hacken, probeert die inlogpogingen te verbergen door ze vanaf veel verschillende ip-adressen uit te voeren, zegt Microsoft.

Daarbij maken ze gebruik van twee methodes. 'Password spraying' met weinig inlogpogingen per uur gedurende meerdere dagen of weken en bruteforcen met honderden inlogpogingen per uur. Strontium gebruikt daarbij zo'n 1300 verschillende ip's per dag om de inlogpogingen uit te voeren.

De hackpogingen verschillen van die in 2016, want die maakten vooral gebruik van spearphishing om wachtwoorden te ontfutselen en toegang te krijgen tot accounts. Daarbij lukte het de Russen onder meer om de mail van presidentskandidaat Hilary Clinton binnen te dringen. Nederlandse hackers kwamen Trumps Twitter-account in met een oud wachtwoord.

De Russische hackers zijn de actiefste, maar Microsoft heeft ook hackpogingen waargenomen vanuit China en Iran. Daarbij gaat het om mensen die betrokken zijn bij de verkiezingscampagnes van beide grote Amerikaanse partijen.

Tool Gemiddeld aantal inlogpogingen per uur Aantal gebruikte ip's per uur Duur van de aanval
Password-spraying 4 4 Dagen tot weken
Bruteforce 335 200 Uren tot dagen

Door Arnoud Wokke

Redacteur mobile

11-09-2020 • 07:51

172 Linkedin

Reacties (172)

Wijzig sortering
Zie hier het belang van MFA.

Alleen gebruikersnaam en wachtwoord voor je meest belangrijke / gevoelige data is niet meer genoeg.
Beste beveiliging naar mijn mening is nog altijd de combinatie:

Wat je weet (Gebruikersnaam / Wachtwoord)
Wat je hebt (2FA naar je mobiele device of USB-sleutel)
Wie je bent (Vingerafdruk / Face-ID)
En in kritieke gevallen:

Waar je bent (logische geografische locatie)
Inderdaad, Microsoft noemt dit Conditional Access.

Je kan een heleboel condities aangeven waaronder iemand mag inloggen. Bijvoorbeeld alleen vanaf vooraf bekende apparaten die onder beheer staan van een organisatie, vanaf bepaalde lokaties, enz.

Het valt me tegen dat high-profile doelen als politici dit niet allemaal standaard gebruiken.
Dank voor de tips!! Is dit wellicht iets voor Tweakers om een dedicated item aan te besteden @arnoudwokke ? Hoe kan je het beste je accounts beveiligen en veilig houden? Met de pros en cons van de verschillende methoden en de gebruikersvriendelijkheid. Met name dat laatste is belangrijk voor grote adoptie imo.
Ik neem aan dat iedereen dat al wel weet, zeker het publiek dat Tweakers bezoekt. Ik heb ruim een decennium lang met tools als AccessDiver en John the Ripper toegang verkregen tot bepaalde sites. Sinds de toename in het gebruik van 2FA is dat (gelukkig) een stuk lastiger geworden. Zowel Facebook als Instagram (zelfde bedrijf) hebben hier flinke stappen ingenomen, die gebruiken namelijk ook nog eens je geolocatie.
Dus omdat jij het weet en in de IT zit, moet "iedereen dat wel weten". Die logica ontgaat mij. Juist jij hebt nu de "privilege" om met je kennis gebruikers te (blijven) informeren :)
Dat was wellicht iets te kort door de bocht van mij. Ik ging er gemakshalve van uit dat de meeste "Tweakers" wel affiniteit zouden hebben met zaken als authenticatie mechanismes, maar tegenwoordig weet iedereen dit forum te vinden ;)
De IT heeft vele subdisiplines. Zo ben ik (C++) software developer en doe eigenlijk nooit wat met het web. Waarom moet ik dan verstand hebben van moderne webbeveiliging?
Euhm, misschien omdat dit onder de basiskennis valt? We hebben het hier toch niet over een niche? Een automonteur behoort toch ook te begrijpen hoe een complete auto in elkaar steekt en niet alleen hoe de fuseekogel werkt? Niet iedere automonteur zal daarentegen weten hoe je kenvelden in de ECU aanpast, maar de basisfunctionaliteit ervan is wel bekend. Ik ga er dus vanuit dat iedere IT-er (ongeacht de discipline) beschikt over basiskennis van moderne web-beveiliging. Om relevant te blijven in de IT, zul je continu bij moeten leren. Onlangs heb ik mij nog verdiept in CppCMS (een C++ Web Framework) en er een applicatie in geschreven. Waarom? Niet omdat mijn werkgever dat op dit moment van mij verlangt, maar als ik elders binnen de organisatie aan de slag wil (of buiten het bedrijf), zou die kennis mij zomaar van pas kunnen komen. Als je bij ons komt solliciteren als C++ developer, is basiskennis van Windows en Linux systemen en de verschillende native scripting mogelijkheden (i.e. PowerShell/VB en Bash) een vereiste. Als je daarnaast nog kennis hebt van microservices is dat een pre. Je bent tenslotte geen aapje dat een trucje heeft geleerd, toch? Je zult met verschillende disciplines moeten schakelen die aan willen sluiten op jouw applicatie. Het is dan wenselijk als je verder kunt kijken dan je neus lang is.
Op zich prima tips tot je aan het stukje over hoe wachtzinnen te maken komt: Gebruik vooral spaties.

Leuk en aardig maar menige websites en programma's kunnen daar compleet niet mee overweg. Dat stuk lijkt voor leken geschreven en als die vervolgens overal spaties (proberen te) gebruiken maar niet door hebben dat een groot deel van de toepassingen dat helemaal niet toelaat, dan zitten ze met hun tanden in hun bek als de website niet zelf aangeeft dat je geen spaties mag gebruiken.

En het is ook niet echt volledig. Keepass kan prima 2FA codes genereren en ik doe dat dan ook aan de lopende band. Geen idee waarom ze alle anderen wel noemen maar Keepass niet.

En "virtueel particulier netwerk (VPN)". WTF kinda BS vertaling is dat aub? Ja, het staat zo ook op de NL wikipedia (dubbele WTF) maar het slaat echt nergens op.

[Reactie gewijzigd door Darkstriker op 11 september 2020 12:22]

Inderdaad, veel websites / diensten gaan gruwelijk slecht om met afwijkende karakters.

[a-z][A-Z][0-9] --> 62 karakters.

Met leestekens (inc spaties) erbij kom ik tot circa 95, dus die gebruik ik doorgaans.

Hoe vaak het me niet is gebeurd dat ik een nieuw wachtwoord aanmaak, en het nieuwe wachtwoord wordt geaccepteerd.

En vervolgens kan je niet inloggen, omdat het systeem het wachtwoord onjuist vindt. Het is jammer, dat er geen standaard is voor wachtwoord-systemen, voor wat er geaccepteerd wordt.

Dat waren dan niet eens altijd kleine 'minder professionele" websites, o.a. Vodafone en Aliexpress heb ik die amateuristische ellende mee gehad.
[a-z][A-Z][0-9] --> 62 karakters. Zelfs met een wachtwoord van 16 tekens heb je dan compleet willekeurig al een gelijkwaardigheid aan 95 bits entropie, zelfde moeilijkheid om te breken als een cryptografisch perfecte sleutel van 95 bits. 16 tekens lang wordt ook haast overal nog wel geaccepteerd. Belangrijkste is dat wanneer een zo'n willekeurig gegenereerd wachtwoord ergens ooit gebruteforced zou worden, er toch ook geen toegang is tot andere accounts of online diensten van je.

https://xkcd.com/936/ -> beetje wachtwoord rond de 30 bits entropie, 4 losse woorden 44 bits. Met als mens vaak een vaste wachtwoord strategie of beperkt aantal variaties wordt het raden van alle wachtwoorden veel eenvoudiger als er ergens ooit een paar wachtwoorden uitlekken. Tot slot heeft zelfs een zwaar gepimpte wachtwoordzin van 60-70 bits entropie alsnog een onvoorstelbaar grote afstand tot 'slechts' die 95 bits entropie van 16 karakters willekeurig :o

Je kunt naar 20 tekens uitbreiden (maximum lengte Bitlocker pin) en bijvoorbeeld nog eens de underscore en het streepje toevoegen voor totaal 120 bits entropie, maar ergens wordt het voor wat simplere online diensten zonder 2FA/MFA misschien ook gewoon gekkigheid ;)
Ja, en dan heb je een heel lang wachtwoord met slechts [a-z][A-Z][0-9] en dan moet je bij sites weer per se een vreemd teken toevoegen...
-> beetje wachtwoord rond de 30 bits entropie, 4 losse woorden 44 bits.
Met 95^8 uit de random generator (wat ik dus daadwerkelijk gebruik) kom ik tot 52 bits en dat is exclusief het per website variabele deel, zodoende mijn opmerking.

[Reactie gewijzigd door kidde op 13 september 2020 20:35]

Maar is het niet juist het gebruik van al die speciale tekens boven de 62-64 veelgebruikte, wat de problemen oplevert bij veel systemen/websites? Ik zou zeggen 62^16 wordt veel universeler geaccepteerd dan 95^8. Wil een website juist een speciaal teken dan plak je er nog een karakter extra aan uit het rijtje speciale tekens, ook weer klaar.
Ja dat klopt exact en was eigenlijk ook mijn punt: Ik kies de moeilijke weg, en daar ondervind ik het nadeel van.

Het zou fijn zijn als mensen zelf konden kiezen, of ze de 62 of 95 karakter-set willen gebruiken.
Degenen die met 62 een goed wachtwoord maken zoals u en xkcd beschrijven, worden nu soms gedwongen tot leestekens en / of cijfers; totaal zinloos als hun 'entropie' (lengte) verder goed is

En degenen zoals ik die de 95 karakter-set gebruiken, worden benadeeld doordat dit soms onmogelijk is.

Vandaar de opmerking, dat het fijn zou zijn als er een standaard is. En dat je wachtwoord dan niet beoordeeld wordt aan de hand van regels, zoals 'minstens x-karakters, minstens 1 cijfer, minstens 1 hoofdletter enz.", maar aan de hand van die 'entropie'.

Met alleen kleine leestekens [a-z] en genoeg woorden kan je immers ook een goede pas-zin maken; of als je bij wijze van spreke Cyrillische, Griekse en Latijnse letters combineert voor een echte eindbaas-karakterset met een paswoord van slechts 5 letters, dan zou het ook goed moeten zijn.
Ja, soms wordt je wachtwoord geaccepteerd terwijl het te lang is en kan je niet inloggen. Soms zijn er verschillen tussen platforms (de website kan wel 64 characters, de app/software zelf maar 32). Het is echt om te huilen en daarom ook beslist niet aan te raden om maar lukraak zoveel mogelijk bijzondere tekens in te bouwen. Daar creëer je alleen onbegrip en frustratie en vervolgens slordigheid mee.
Alleen is geo locatie geen factor maar een client verzonne variable die hij mee geeft, je laptop heeft nl geen GPS om je coordinaten te bepalen nog kan die als een trusted claim mee worden gegeven aan Oauth omdat er geen verrificatie van plaats kan vinden.
Natuurlijk is geografische locatie een factor. De kunst is echter om te controleren of de gebruiker daadwerkelijk op de locatie aanwezig is.

Controle op IP adres of een meegestuurde GPS locatie is niet betrouwbaar, maar je kunt zeker verder denken dan dat. Bijvoorbeeld een verificatie van de zendmast waarmee een smartphone is gekoppeld. Of verplicht connectie maken met een bepaald wifi netwerk. Of een verificatie van jouw locatie door een satelliet (vereist wat apparatuur).

Vandaar ook de opmerking 'kritische gevallen': voor een normale webwinkel ga je zoiets niet optuigen. Maar wellicht wel voor een bedrijfsnetwerk of een veiligheidsdienst.
Geografische locatie klopt niet altijd (en in mijn geval: nooit).

Zo krijg ik iedere keer dat ik ingelogd ben bij Tweakers een mailtje 'Nieuwe login op Tweakers'. ik werk namelijk via een VPN en het IP-address wisselt. Het mailtje voegt in mijn geval geen veiligheid toe. Sterker nog: ik heb er een apart mailfilter voor gemaakt.
2FA voegt iets toe, het uit kunnen schakelen van deze mailtjes ook.
Nee, zeker niet altijd. Vandaar ook de toevoeging: voor kritieke gevallen. Voorbeeld is een bankrekening. Standaard is geld opnemen buiten de EU hiervoor geblokkeerd. Ander voorbeeld: intranet van je werk die alleen op kantoor beschikbaar is.

Zoals je zelf aangeeft is een IP-adres niet voldoende om jouw daadwerkelijke locatie te identificeren. En zoals @mraix terecht aangeeft: ook gps data niet, want dat kun je bewerken.

[Reactie gewijzigd door jhnddy op 11 september 2020 13:49]

Nee, zeker niet altijd. Vandaar ook de toevoeging: voor kritieke gevallen. Voorbeeld is een bankrekening. Standaard is geld opnemen buiten de EU hiervoor geblokkeerd. Ander voorbeeld: intranet van je werk die alleen op kantoor beschikbaar is.
Veel banken zijn trouwens van die praktijk afgestapt omdat mensen hun kaarten voor het buitenland activeren maar vergeten het weer te deactiveren. Heb al meermaals te horen gekregen dat ze liever hun eigen algoritmes laten checken of er iets verdachts aan is dan de blokkades te gebruiken. Aan de combinatie willen ze niet omdat ze dan teveel telefoons met klachten krijgen dat men het toch had geactiveerd en waarom het alsnog niet werkt (ie ze nemen liever af en toe een vergoeding voor fraude voor lief dan hun klanten op die manier tegen zich in het harnas te jagen).

[Reactie gewijzigd door Darkstriker op 11 september 2020 14:19]

Zo krijg ik mails dat iemand uit Polen op mijn Netflix account zit. Terwijl ik zonder VPN het toch echt zelf ben.... :X
Ik deel mijn Netflix met mijn vader die in Algarve in de bergen woont (20 minuten van de bewoonde wereld via enkel bergweggetjes). Hij heeft om die reden internet via satelliet. Ik krijg dagelijks e-mails van Netflix dat er een nieuw iemand is ingelogd. Dit kan dus ook bij geografische verificatie problemen geven.

[Reactie gewijzigd door lagonas op 12 september 2020 23:22]

Goeie toevoeging (+1 die ik je niet kan geven)
En nog belangrijker:

Indien realistich mogelijk: Idiot proof
En werkbaar; niet dat je elke keer half uur* bezig bent met inloggen.

* Overdreven but you get the drift.
geografie is lastig...

gps van je (gestolen) telefoon in (ergens verweg) rerouten naar een accesspoint in NL is niet heel moeilijk
Niet ieder bedrijf is voorzien van dergelijke beveiliging, spijtig genoeg.
Ik wil daarmee bedoelen dat de meeste bedrijven niet mee met hun tijd zijn qua beveiliging, noch weet van hebben van de allerlaatste beveiligssnufjes om hun bedrijf & hun klanten en hun werkgevers te beschermen.
Mijn vorig bedrijf werkt nog met Windows XP, mijn huidig bedrijf werkt met Windows 7, terwijl hier en daar Windows 10 al draait. U ziet, de bedrijven lopen achter en dat is nu eenmaal de realiteit.
Wij gebruikers die hier zitten op Tweakers.net, hebben bijna allemaal Windows 10 draaien met de allerlaatste updates voor het OS en gebruiken gebruikersnaam, wachtwoord en de 2stepsverificatie.

Wat zou moeten gebeuren is dat iedereen en elk bedrijf een beveilig upgrade krijgt naar anno 2020 om dergelijke hacks moeilijker te maken.
Geen " wat je bent" die is onvervangbaar en dus daardoor niet geschikt om te gebruiken. Elke 90 dagen je vingerafdruk wijzigen is nogal pijnlijk
Waarom zou het vervangbaar moeten zijn? (oprechte vraag)
omdat als die unieke sleutel (bv database overheid) op straat is komen te liggen, dat een gigantisch probleem is. Vandaar ook mijn terughoudendheid omwille van bv vingerafdruk op eid (Belgische identiteitskaart)

https://www.vrt.be/vrtnws...tthias-dobbelaere-opinie/

[Reactie gewijzigd door white modder op 11 september 2020 09:09]

In de meeste gevallen staat er geen afdruk van je vinger in die database maar een hash van de data. Databases waar de afdruk zelf in staat zijn inderdaad gevaarlijk, maar die zijn zeer zeldzaam.

Het artikel dat je quote bevat vele fouten. Zo beweerd het dat de vingerafdruk op de kaart staat, eenvoudig niet waar, daar staat alweer alleen een hash van de data en die werkt maar een kant op. Je kan er nooit een vingerafdruk van maken.
Dat een systeem alleen de hash opslaat van een vingerafdruk stelt mij totaal niet gerust. Voor het scannen van een vingerafdruk wordt iedere keer een digitale representatie (een bitmap of andere datastructuur) gemaakt worden die altijd op zijn minst tijdelijk moet bestaan in het werkgeheugen van het apparaat dat de scan maakt. Dit geheugen kan uitgelezen worden door op malifide software/gehackte drivers/enz waardoor het mogelijk worden een database aan te leggen van bitmaps met bijbehorende hash.

Op het moment dat de bitmap van je vingerafdruk uitlekt ben je voor de rest van je leven gedupeerd. Je kunt de afdruk niet wijzigen en zul je eindeloos moeten blijven aantonen dat jij het echt niet was.

Biometrische gegevens blijven een slecht idee als authenticatie omdat het niet wijzigbaar is. Hashing van biometrische data lost dit niet op!
bij een perfect systeem staat daar een hash in, dat is niet overal zo en bij gesloten systemen weet je het simpelweg niet :-). Het artikel verwijst trouwens netjes naar het onderzoek van de KUL naar de opzet van dit specifieke systeem. https://www.esat.kuleuven...ications/article-3004.pdf

Dus: zeggen dat een artikel vol met fouten staat, maar diezelfde fouten niet kunnen ontkrachten en ervanuit gaan dat het allemaal wel goed is lijkt me not done wat betreft veiligheid. Net de overheid is er al meerdermalen in geslaagd om kundig aan te tonen dat ze niet in staat zijn van met gevoelige gegevens om te gaan (Belgische overheid welteverstaan). En an sich is dat logisch, liever wat prestige dan expertise hebben op een bepaald vlak.

[Reactie gewijzigd door white modder op 11 september 2020 09:41]

Dat dacht ik dus ook, totdat ik een keer de motorkap open trok van een grote speler in de markt van de toegangsystemen. Naast de mogelijkheid voor pasjes konden we ook biometrie gebruiken. En... onder water werd er helemaal niets gehashed.
Lijkt mij ook best lastig om van een vingerafdruk een consistente hash te produceren. Als je je vinger iets scheef houd heb je een compleet ander plaatje wat al een compleet andere hash oplevert.
Dan nog, zodra iemand een vingerafdruk van je achterhaalt - en die laat je op nogal veel plekken achter - dan ben je de Sjaak. Dat is niet alleen een probleem als de vingerafdruk gelekt wordt via een inlogsysteem dat niet hasht.

Een achterhaalde vingerafdruk zou geen problemen geven als inlogsystemen een nep-afdruk kunnen onderscheiden van echte afdrukken, maar een papieren printje van je vingerafdruk is soms al genoeg om zo'n inlogsysteem om de tuin te leiden. En aangezien er nooit een systeem ontwikkeld gaat worden dat 100% fool-proof nep van echt onderscheidt, is dit gewoon een inherent nadeel van biometrische gegevens.

[Reactie gewijzigd door bwerg op 11 september 2020 10:04]

Bij spearfishing zou je dus wel de fysieke vinger afdruk van iemand kunnen bemachtigen.
Als het om staatshackers gaat zouden deze ondersteund kunnen worden door fysieke agenten om van doelwitten vingerafdrukken te bemachtigen.
Dat komt door de implementatie.
Als het alleen op die kaart zou staan en dan wordt gebruikt om ergens die afdruk te vergelijken met degene die de kaart gebruikt om te bewijzen dat het degene is van wie de kaart is, dan is het een heel ander verhaal.
klopt, maar dat is ook wat ik aanhaal natuurlijk :-). Het zou al tof zijn moest die code opensource zijn zodat dat op zijn minst geweten is. Aan de minister of het kabinet kan je het niet vragen want die weten bij wijze van speken nauwelijks met wel OS ze zelf werken op hun laptop. (zie ook mijn reactio op @falconhunter hier iets boven mij)
Was een beetje langzaam met reageren en toen hadden al een heleboel mensen het zelfde bedacht!
}>
De opgeslagen vingerafdruk wijzigen is niet zo moeilijk hoor. Meestal heb je er 10.
nuja... of twintig ;-) ik zie geen reden (behalve praktische) waarom je teenafdrukken niet bruikbaar zouden zijn.
Ik raak in ieder geval het keyboard niet meer aan nadat jij met je tenen inlogt :) :) :)

Lijkt me wel een leuk zicht op kantoor :)
Of een speciale device onder het bureau waar je je teen op kan leggen. Kan je het ook gelijk instellen dat je uitlogt zodra je weg loopt :+
haha,

een dead-man switch :)
Conceptueel wel grappig, niet alleen maar bij begin even inloggen, maar alleen ingelogd zijn als je de hele tijd er bent. Session timeouts dekken dat met een interval af, dit zou meer continue zijn...
Geen " wat je bent" die is onvervangbaar en dus daardoor niet geschikt om te gebruiken. Elke 90 dagen je vingerafdruk wijzigen is nogal pijnlijk
De meeste mensen hebben tien vingers, en de vingerafdruk van iedere vinger is uniek. Dus als je wil kun je zo 10 x 90 is 900 dagen vooruit. Dat zou betekenen dat je ruwweg iedere drie jaar drie maanden dezelfde vingerafdruk gebruikt.

De vraag is alleen of je zo bang moet zijn voor die vingerafdruk. Geen enkele database slaat namelijk je vingerafdruk op. Ok niet helemaal waar, politie en zo zullen wel een echte afdruk hebben. Databases voor toegang slaan echter niet je vingerafdruk op, maar een code, die is gegenereerd aan de hand van een aantal punten van je vingerafdruk. Ik vraag me af of dat universeel is en of dus een afdruk uit systeem A zomaar te gebruiken is in systeem B. In andere woorden: als ik mijn vingerafdruk gebruik om mijn iPad te openen en die wordt gehacked. Kun je wat je in die iPad vindt gebruiken om Windows Hello voor de gek te houden? En dan ga ik er even van uit dat je de encryptielaag kunt verslaan en gewoon de echte code naar voren kunt halen.
Dat hangt er vanaf waar die vingerafdruk opgeslagen staat. Bij telefoons en veel andere apparaten staat de vingerafdruk (of hash daarvan) namelijk opgeslagen op een security chip, die daarmee toegang geeft tot een publiek/privé sleutelpaar. Die publieke sleutel is wat uiteindelijk opgeslagen staat bij een organisatie waar je wilt inloggen en is prima te vervangen. Zonder dat je daarvoor nieuwe vingers nodig hebt.

[Reactie gewijzigd door Darses op 11 september 2020 09:49]

In dat geval kun je je vingerafdruk op een ander device dus niet gebruiken als extra beveiliging.

Op het nieuwe toestel moet je op een andere manier inloggen, waarna je wel weer je vingerafdruk toe kan voegen.

Maar de vingerafdruk werkt dan dus alleen maar op dat ene device. Bovendien gebruik je op je mobiel meestal je vingerafdruk in plaats van andere credentials. Het is dan dus géén extra factor.
Klopt, je kan dan alleen inloggen op dat ene apparaat en niet op een andere. Ik ben het niet met je eens dat een vingerafdruk geen extra factor zou zijn. Immers is inloggen ook gekoppeld aan dat ene apparaat (specifiek de security chip) en dat is een “wat je hebt” factor. Er is dus wel sprake van twee factoren. Ook een pincode als backup credential is dan 2FA, zolang die uitsluitend werkt met dezelfde security chip.
Ik ben met name benieuwd naar de ontwikkeling omtrent passwordless login. De 'wat je weet' verliest daarbij zijn functie (er vanuit gaande dat een kwaadwillende toch wel achter account namen kan komen). Dan blijft over 'wat je hebt' en/of wie je 'bent'. Simplicity is the key (pun intended).
Vingerafdruk en face id zijn niet bepaald 100%. Er is altijd een andere manier van binnen komen en de data van vingerafdrukken en face id kan ook gewoon gestolen worden.
Daarom ook een combi van methoden en niet maar één of twee methodes.
Wat je weet (Gebruikersnaam / Wachtwoord)
Alleen een wachtwoord is ook voldoende. Een gebruikersnaam is geen authenticatiemiddel.
Wie je bent (Vingerafdruk / Face-ID)
Dit houdt in een rechtbank geen stand (is in Nederland jurisprudentie over). Een vingerafdruk of Face ID is hetzelfde als een gebruikersnaam; geen authenticatiemiddel.
Nadeel: Vingerafdrukken / je gezicht kan je niet zomaar effe veranderen, je laat ze overal achter (deuren, glazen, autos, geld, foto's genomen door vreemden en publiekelijk op social media worden gepost, en als je ietswat bekend bent, op TV) , en je kan er gif op innemen dat er flink wat focus zal worden gericht op het kunnen "namaken". Een gezicht namaken in 3D en dat printen als je vanuit 2-3 verschillende hoeken fotos hebt is belachelijk gemakkelijk.

Biometrie, nee dank je. Wachtwoorden kan je veranderen, en ook (virtuele) MFA devices roteren is geen probleem als ze compromised zijn.

[Reactie gewijzigd door Tokkes op 11 september 2020 17:33]

Maar een wachtwoord 'weet' je toch niet? Of is het beter geen password manager te gebruiken naar jouw mening? Ik begrijp em niet.
Meer iets dat 'jij' alleen weet en niemand anders. Password managers zijn zo overrated.
Een lang, veilig, uniek wachtwoord is nog steeds behoorlijk onverslaanbaar de beste (eerste laag) beveiliging. MFA is een noodzaak voor mensen die niet met veilige wachtwoorden om kunnen gaan. Voor mensen die dat wel kunnen een irritante extra afhankelijkheid, die buiten de echt belangrijke / kostbare zaken in de meeste gevallen niets toevoegt.

edit:
Iets afgezwakt

[Reactie gewijzigd door MadEgg op 11 september 2020 08:53]

Onverslaanbaar zou ik het niet noemen, het is een goede eerste stap maar beveiliging moet in lagen opgebouwd zijn om efficiënt te zijn.

MFA is die tweede laag.
Onverslaanbaar zou ik het niet noemen,
Uiteindelijk is niets onverslaanbaar. Als je echter wachtwoorden met iets als Argon2 verwerkt en je doet aan rate limiting, dan is het zeer onwaarschijnlijk dat een wachtwoord geraden wordt onder de voorwaarden die @MadEgg stelt.

[Reactie gewijzigd door The Zep Man op 11 september 2020 08:31]

Argon2 doet natuurlijk niets om te bemoeilijken dat wachtwoorden via de front-end geraden worden. Het voorkomt louter dat wachtwoorden-hashes die al op straat liggen snel gebruteforcet kunnen worden.
Argon2 doet natuurlijk niets om te bemoeilijken dat wachtwoorden via de front-end geraden worden.
Jawel, want het front-end systeem heeft ook veel rekenkracht nodig om een wachtwoord te controleren. Inherente rate limiting. :)

Verder noem ik iets belangrijks in mijn post:
Als je echter wachtwoorden met iets als Argon2 verwerkt en je doet aan rate limiting
Ga maar rustig complexe wachtwoorden raden met 10 wachtwoorden per uur/dag. Ik zie je over 5000-10000 jaar of later terug.

[Reactie gewijzigd door The Zep Man op 11 september 2020 09:34]

Jawel, want het front-end systeem heeft ook veel rekenkracht nodig om een wachtwoord te controleren. Inherente rate limiting. :)
Nee, een ddos-disaster waiting to happen 8)7. Je wil absoluut niet dat de rate gelimiteerd wordt door beschikbaar geheugen en CPU-cycles. Je wil daar een rate limiter voor hebben zitten die ervoor zorgt dat die resources überhaupt niet in het geding komen.
Verder noem ik iets belangrijks in mijn post
Mooie stroman, maar ik zei niet dat je geen rate limiter moest hebben. Ik reageerde op het feit dat je een hash algoritme daarbij betrekt, terwijl rate limiting van de front-end niet het doel is van een duur algoritme.

Ja, front-end rate limiting is iets dat je wilt. Maar dat staat compleet los van het algoritme dat de back-end gebruikt om het ww op te slaan.

[Reactie gewijzigd door .oisyn op 11 september 2020 09:50]

Het aller lastigste is als je een sterk wachtwoord hebt om hem niet (deels) uit te spreken.

Je typt hem zo vaak in dat de onderdelen van je wachtwoord automatisch vaker in je vocabulaire opgenomen worden.

De wachtwoord mindfuck.
Fair enough, afhankelijk van de toepassing. Voor bankzaken en dergelijke ben ik het met je eens. Het stoort me wel mateloos dat dingen als game launchers je ook proberen te dwingen om MFA aan te zetten. Of social media.
Vreemde reactie, aangezien zowel games als social media onder de grootste doelwitten voor hackers zitten. Immers kun je game accounts voor geld verkopen en kun je met toegang tot iemands social media zowel de gebruiker chanteren met prive data, als iemands identiteit stelen, en daar je inkomsten uit halen.

Nogal wiedes dat daar een focus op 2FA ligt.
Het gaat eerder fout bij die privé-gegevens op social media.

Ik vind MFA best als optionele feature, maar het staat me tegen dat steeds meer diensten het gaan verplichten. Ik heb mijn wachtwoorden uitstekend op orde en heb amper social media accounts en daar staat geen privé-informatie op.
Tunnelvisie.

Jij hebt je wachtwoorden wellicht uitstekend op orde. Ik durf te beweren dat het overgrote merendeel van de rest dat niet heeft, dus daar heeft MFA wel een (grote) meerwaarde.

Overigens vermoed ik dat game en social media bedrijven met name de overweging nemen op commerciele basis: geen slechte naam krijgen en zo min mogelijk tijd verdoen op de helpdesk m.b.t. inbraken, gestolen accounts, hacks, etc.
MFA is (en nu ga ik in de kerk vloeken) rete-irritant. Je moet je telefoonnummer achter laten, je moet je telefoon altijd bij je hebben, ik wil niet afhankelijk zijn van mijn telefoon om ergens in te kunnen loggen.

Liever zou ik willen zien dat bijv. na 3 mislukte inlogpogingen de boel op slot gaat en MFA in werking wordt gesteld.
Alleen zijn er geen mislukte inlogpogingen bij mensen die overal hetzelfde ww gebruiken, die op straat is komen te liggen door een breach bij een andere partij.
MFA is (en nu ga ik in de kerk vloeken) rete-irritant. Je moet je telefoonnummer achter laten, je moet je telefoon altijd bij je hebben, ik wil niet afhankelijk zijn van mijn telefoon om ergens in te kunnen loggen.
Hoezo moet je je telefoon nummer achter laten?

Ik heb overal waar ik kan MFA aan staan. Daar heb ik een app voor op m'n telefoon. Daar hoef ik dus nergens m'n nummer voor achter te laten. Die app staat ook op m'n tablet en synced netjes de instellingen. Dus ik heb ook niet persé m'n telefoon nodig.
Liever zou ik willen zien dat bijv. na 3 mislukte inlogpogingen de boel op slot gaat en MFA in werking wordt gesteld.
Dat werkt niet tegen een gejat wachtwoord....
[...]

Hoezo moet je je telefoon nummer achter laten?

Ik heb overal waar ik kan MFA aan staan. Daar heb ik een app voor op m'n telefoon. Daar hoef ik dus nergens m'n nummer voor achter te laten. Die app staat ook op m'n tablet en synced netjes de instellingen. Dus ik heb ook niet persé m'n telefoon nodig.


[...]
SMS werkt alleen naar een telefoonnummer. Genoeg diensten die geen een of andere auth-app gebruiken, enkel SMS voor MFA.
SMS werkt alleen naar een telefoonnummer. Genoeg diensten die geen een of andere auth-app gebruiken, enkel SMS voor MFA.
Tof. Ik ben ze nog niet tegen gekomen.
Microsoft, SW:TOR, Exact online, AWS, Blizzard, zo'n beetje iedere VPN provider, allemaal gewoon via een app of zelfs een dedicated apparaatje.

SMS voor MFA is echt veroudert. Ik ken geen enkele toepassing die hier nog gebruik van maakt. Alles is al sinds jaar en dag over aan het gaan op een vorm van authenticator app of stick.
Bij (heel) veel diensten kan je natuurlijk ook gewoon TOTP gebruiken, daar is geen telefoonnummer voor nodig.

Met een applicatie als authy kan je ervoor kiezen om deze zowel met je telefoon als op de desktop te kunnen gebruiken. Met een dienst als DUO kan je het nog verder verrijken en nog andere methoden dan TOTP onderbrengen in een overzichtelijk geheel.
Er zijn genoeg services te vinden die pas MFA gaan vragen als er iets "niet normaal" is - dus een device of locatie die niet strookt met je gewoontelijke log-ins, bijvoorbeeld. Maar ook die dingen zijn veel te simpel te spoofen, en dus bij lange na niet waterdicht.
Google doet het wel goed, volgens mij? Of is dat ook te spoofen?
Ik vind het juist een teken dat de social media diensten dit serieus nemen.

Dat jij je zaken op orde hebt en amper accounts hebt waar ook nog geen prive gegevens op staat, maakt je een uitzondering. De meeste mensen met een facebook/ twitter account hebben het niet op orde en moeten daarbij "geholpen" worden door o.a. MFA te verplichten.
Door het optioneel te maken vinden de meeste mensen het maar lastig en zetten ze het niet aan, met alle gevolgen van dien.

En als je toch al weinig accounts hebt, dan zal je ook weinig last hebben van een enkele keer een MFA te moeten uitvoeren..
Het gaat dan om om de vorm die ze kiezen.
Ze willen bijvoorbeeld je mobiele nummer.
Nou is sms sowieso al niet zo veilig, maar ze hebben ook niks met die privé gegevens te maken.
Er zijn zat andere veiligere manieren beschikbaar die jouw privacy niet schenden.
Mij stoort het dat ze bijna altijd de telefoonnummer willen hebben. Daarmee ben je meteen uniek identificeerbaar voor iedereen. Ik gebruik liever een yubikey of iets dergelijks.
Precies. Voor de paar diensten waar ik wel MFA heb, heb ik een hardware key (FIDO). Maar dan krijg je weer diensten die dan EISEN dat je ook je telefoonnummer opgeeft "voor het geval je je hardware key kwijtraakt" 8)7
Ja dat mochten ze willen bij Google, dat ik ook nog mn telnr ga koppelen.
LOL dat heeft een van je familieleden, vrienden of consultants vast al gedaan door op Android de contactenlijst te gebruiken.
Virtuele nummers zijn een oplossing...
En toch zou ik het daar ook doen. Je zou toch niet willen dat je game bibliotheek waar je honderden of duizenden euro's in geïnvesteerd heb plots in iemands anders bezit/onder iemands anders controle komt?
Maakt me weinig uit. De spellen waar ik de hoofdprijs voor betaald heb heb ik lang en breed uitgespeeld dus die mogen ook wel weg uit mijn bibliotheek. Kan alleen niet. En dan verder stapels met troep die met een of andere bundel meegekomen zijn. En dat verder vespreid over een handjevol verschillende accounts / game launchers.

Daarnaast is de kans vrij groot dat je account hersteld wordt mocht hij toch gehackt worden.
Maar heb je dan bij de andere launchers ook niet zo'n gedrag score zoals bij steam? Als een kwaadaardig iemand toegang krijgt tot je account en voor de lol zware beledigingen zit rond te roepen in je games, kan dat je account ook laten blokkeren. Dus dan verlies je wel iets
Je legt ook je sleutel onder de mat omdat er toch niets te halen valt ?
Wat is dat voor vergelijking? Mijn sleutel ligt niet onder de mat, die zit in een password manager die goed beveiligd is. Een betere vergelijking zou zijn zeggen dat ik een dikke prima superveilige sleutel heb, en daarmee weinig noodzaak zie om ook de vingerafdrukscanner naast de deur te hangen en een camera boven de deur op te hangen.
Je gebruikt vreemde argumenten om geen MFA te (willen) gebruiken ("er is toch niets te halen").
Het is voor de meeste gevallen zinloos mits je een sterk, uniek wachtwoord gebruikt. En het is irritant om MFA te gebruiken. Drie sloten op je deur is ook veiliger dan 1. Maar 1 sterk slot is een stuk prettiger werken dan 3 matige sloten.
Er zijn ook andere manier om je wachtwoord kwijt te raken dan een brute-force aanval.
Een keylogger kan prima omgaan met een sterk wachtwoord.
Dat kan. Dan ben je wel veel gerichter aan het aanvallen. Ofwel je logt de keys specifiek met hardwareoplossingen (en dan ben je met een password manager die wachtwoorden copy/paste nog steeds veilig), of het werkt met malware. Dan moet je je doel dus eerst geinfecteerd zien te krijgen.

De meeste aanvallen schieten met hagel, zoals ook de in het artikel genoemde.
Keyloggers loggen ook je clipboard.
Ik had het over de hardwareoplossingen. Als ik een keylogger tussen mijn PC en het toetsenbord stop, kan die toetsenbordaanslagen loggen maar niet het clipboard. Tenzij je daar weer een driver voor installeert vanzelfsprekend. Malware zou dat wel kunnen.
Tot een database met wachtwoorden buit gemaakt word. En dat gebeurd helaas nog wel eens.
En daarom dus uniek. Je wachtwoord is elders niet bruikbaar. Hooguit bij de dienst zelf. Maar als die een hele database dump kwijtgeraakt zijn hebben die grotere problemen dan dat.
Daar heb je een wachtwoordmanager voor nodig, een mens kan dat niet. Het zijn er domweg te veel.
Tot het moment dat je om wat voor reden dan ook niet meer je wachtwoordmanager in kan.
Ik had dat er iets mis ging met firefox sync en een recovery code moest gebruiken. Gelukkig geprint, gelukkig gebeurde dit na een jaar dus wist nog waar ze lagen. Wanneer dit na een paar jaar zou gebeuren weet ik niet of ik nog ergens in zou kunnen komen :X
Daar heb je inderdaad een password manager voor nodig. En die moet je vanzelfsprekend ook op orde hebben. Los van de browser, mijn browser krijgt ook geen toegang tot mijn wachtwoorden. Alles via een Keepass password safe.

Het moet wel extreem gek lopen wil ik niet meer in mijn password manager kunnen. En ermee heb ik mijn wachtwoorden beter op orde dan vrienden / familie die aanmodderen met variaties op bekende wachtwoorden. Welke e-mailadres had ik hier ook weer gebruikt / wat is mijn gebruikersnaam ook alweer? Had ik nu wachtwoord test14 of Test14, of was het toch test15? Misschien moest er een leesteken bij en was het test15!

Een passworrd manager is op alle fronten prettiger.
En is, helaas, voor veel mensen een onbegrijpelijk iets. Hoe simpel het ook is is het voor heel veel mensen net een brug te ver. Bij mensen die totaal geen affiniteit hebben met computers / techniek erachter voelt het vaak als een extra hobbel die men moet nemen. Waarom zou ik als ik ook.. Daarom dat ik eigenlijk er ook voor ben dat bedrijven die met een account werken MFA verplichten voor hun gebruikers.
Maar dan ben heb je de MFA tenminste nog om jou eigen account mee veilig te stellen.
Zeker niet onverslaanbaar, omdat het gestolen kan worden. Via een browser MitM bvb.

Maar dan kan wel die sessie worden overgenomen, maar niet nog een keer worden ingelogd en ook veel admin-functies vereisen opnieuw authenticeren.
Als een sessie wordt overgenomen heb je ook niets aan MFA natuurlijk.
Juist wel. Namelijk alles dat niet in die sessie zit. De MFA code uitwisseling mogen ze meelezen, daar hebben ze niks aan. Volgende keer een andere code. Je wachtwoord hebben ze dan wel.

[Reactie gewijzigd door Keypunchie op 11 september 2020 08:44]

Dan heb je dus niet de sessie overgenomen, dan heb je het wachtwoord afgeluisterd. Maar als dat werkt dan heb je weer de basisveiligheid niet op orde. Je hebt dan een gecompromitteerde browser, je hebt onveilige rootcertificaten geïnstalleerd of je gebruikt geen HTTPS.
Tsja, ik heb niet altijd de volledige controle over de systemen waarvan ik inlog. Voor sommige omgevingen waar ik werk heb ik alleen maar toegang via (virtuele) omgevingen geleverd door mijn klant.

De meeste klanten hebben hun security goed op orde, maar ik kan daar niet voor instaan.

Als ik helemaal veilig zou willen zijn, dan zou ik niet vanaf zo'n systeem op mijn eigen omgevingen inloggen en alles alleen maar via een tussenstap overdragen.

Of je hebt gewoon two-factor en maakt je leven werkbaar.

[Reactie gewijzigd door Keypunchie op 11 september 2020 09:29]

Totdat we natuurlijk overgaan naar het tijdperk van quantumcomputers en encryptie niets meer waard is.

Een wachtwoord kraken kan je daarmee terugbrengen van 30 miljoen jaar naar ±12 dagen, volgens deze berekening. Het bemachtigen van het encrypted wachtwoord is dan al voldoende om eenvoudig in te kunnen loggen.
Quantum computing is heel erg toekomstmuziek en we moeten allemaal maar zien of het daadwerkelijk zo'n vaart gaat lopen.

Maar laten we voor het gemak even aannemen dat de berekening juist is. Hij heeft het over 1,000,000,000,000,000,000 mogelijkheden, dat is vrij weinig. Met 52 letters (hoofd en klein), 10 cijfers en 10 leestekens zit je op 72 mogelijkheden per karakter. Met slechts 10 karakters zit je dan al op 3,74e18 mogelijkheden, dus al bijna 4 x zo veel als het uitgangspunt van deze berekening. Met 16 karakters zit je op 5,21e29, met 32 karakters (wat ik doorgaans gebruik) zit je op 2,72e59. Dat is heel erg veel meer dan het uitgangspunt van die berekening, en daarmee zal die 12 dagen dus nog fors groter uitvallen, zelfs met een quantum computer.

Lange wachtwoorden gebruiken blijft de belangrijkste maatregel, ook om veilig te zijn tegen brute forcing met quantum computers.
Vergeet niet dat, zelfs als de dienst bcrypt gebruikt, alles na zo'n 72 tekens ingekort wordt. Voor andere hashing algoritmes is hetzelfde vrijwel zeker waar, tenzij ze een 'oneindig' veld gebruiken met een hash die oneindig lang kan worden. In het geval van een LONGBLOB kun je zo'n 4GB aan tekens kwijt, maar ik kan me niet voorstellen dat een dienst ooit zoveel meerwaarde hecht aan theoretische veiligheid dat ze 4GB aan data per gebruiker op gaan slaan in een primaire authenticatie database
72 tekens is op zich lang zat natuurlijk. Vanaf +- 10 willekeurige karakters is het al praktisch niet te bruteforcen Ik hou het meestal op 32 karakters, behalve die paar diensten die een maximumlengte van 20 of 16 karakters opleggen 8)7. 32 karakters is nu en in de verre toekomst niet te brute forcen, zonder dat er zwakheden in de encryptiealgoritmes aan het ligt komen.
Onverslaanbaar/onhackbaar bestaat niet, dat weet iedere tweaker. Maar zelfs al heb je een onhackbaar password, daar heb je geen kloot aan als ze serverside niet encrypten, zwakke encryptie gebruiken en geen beveiligde verbindingen gebruiken. Bonuspunten voor geen updates, case insensitivy toestaan en alles onder de pet houden als ze gehackt zijn.
Onverslaanbaar/onhackbaar bestaat niet, dat weet iedere tweaker. Maar zelfs al heb je een onhackbaar password, daar heb je geen kloot aan als ze serverside niet encrypten, zwakke encryptie gebruiken en geen beveiligde verbindingen gebruiken. Bonuspunten voor geen updates, case insensitivy toestaan en alles onder de pet houden als ze gehackt zijn.
Eens, maar als ze serverside er een zootje van maken, wat biedt die MFA dan precies voor meerwaarde? Je verbinding en authenticatieproces is superveilig maar je kunt gewoon http://some-superduper-aw...your-database-credentials aanroepen om toegang te krijgen tot de data. Dan geeft die MFA je dus echt niets extra's.
Een lang, veilig, uniek wachtwoord is nog steeds behoorlijk onverslaanbaar de beste (eerste laag) beveiliging.
Ik ben tegenwoordig meer fan van hardware tokens. Daarmee heb je in weze dezelfde veiligheid als een huissleutel: je steekt het ding in het gat en je bent binnen.
Het grote voordeel is dat je ze niet op afstand kan stelen.
Een ander groot voordeel is dat mensen gewend zijn om hun (huis)sleutel mee te nemen en niet te verliezen.
Sommige tokens kun je ook nog voorzien van extra authenticatie doormiddel van een pincode of vingeradruk. Dan zit je ongeveer op het beveiligingsniveau van onze PIN-pas. Voor de meeste mensen en de meeste omstandigheden moet dat goed genoeg zijn.
En dan MFA in een vorm anders dan SMS, het onderscheppen van SMS is vrij simpel.
Nee het grootste probleem met MFA via SMS is dat de provider de zwakste schakel is. Er zijn genoeg verhalen over hackers die via social engineering de OTP codes hebben weten te bemachtigen, door dat ze bijvoorbeeld een medewerker van de provider hebben overtuigd om een SIM swap te laten uitvoeren.
Principieel onveilig, denk ik dan. Voor de meeste hackers, die zo snel mogelijk zo veel mogelijk toegang proberen te scoren via een botnet achtig iets, ben je dan al veilig.

Staatshackers met een single target, daar ligt het risico-profiel hoger van, en daarvoor moet je dat niet willen. Die durven wel een paar keer te proberen die helpdeskmedewerker zo ver te krijgen. Voor sommige targets wil je er niet vanuit gaan dat je TelCo dit beter afhandeld.

Ik denk dat in dit soort gevallen beter moet worden gekeken naar beveiliging ten opzichte van risicoprofiel. Veel burger onderschatten het risico enorm, maar dan doorschieten, is ook niet nuttig.
In theorie wel, maar voor een doorsnee gebruiker is het nog steeds voldoende, al is het gebruik van TOTP-apps beter (en ook vrij eenvoudig).
Dat is waar echter toch nog beter dan geen MFA.
Het onderscheppen van sms is in Nederland nagenoeg onmogelijk en meer dan voldoende veilig en vele malen veiliger dan helemaal geen MFA.
Is die SMS naar een telefoon in Amerika (in dit geval) onderscheppen ook eenvoudig als de hack poging gedaan wordt vanaf IPs buiten de VS waarbij de hackers zich in bv. Rusland of China bevinden?
Weet iemand eigenlijk hoe veilig standaard implementaties van MFA zoals TOTP (bijvoorbeeld Google Authenticator) zijn? Het valt me op dat de meeste sites pas om de tijdelijke code vragen als de combinatie van gebruikersnaam en wachtwoord correct is. Als een inbreker weet dat de eerste horde al genomen is, lijkt het me niet heel spannend meer om met de juiste tools een code van zes numerieke karakters binnen een minuut te raden.
Ik mag aannemen dat daar een lockout op zit na een aantal pogingen. Al zullen er vast partijen zijn die dat dan weer niet goed implementeren.

Er is een pad van beter dan niets, naar best. SMS is beter dan niets, net als voicemail. Daarna komt iets als OTP. Er bestaat malware om OTP codes van je telefoon te stelen en daarnaast kun je met een proxy alsnog een loging stelen. Alleen een hardware key (FIDO2 / Webauthn) houdt dat tegen, maar dat is voor veel gebruikers (en website) nog een stap te ver.
En als je op een gevoelige positie zit (zoals een politicus of een journalist) dan bij voorkeur MFA met een hardware key (Yubico of Titan key). Dan voorkom je ook phishing. Zie bijvoorbeeld het resultaat bij Google na in gebruik name van de Titan key: https://krebsonsecurity.com/2018/07/google-security-keys-neutralized-employee-phishing/
Zou mooi zijn als de ondersteuning van die hardware key dan ook beter zou worden. Er zijn op dit moment gewoon te weinig applicaties die het ondersteunen. Dat haalt de bruikbaarheid behoorlijk onderuit.
Eens, maar een goed wachtwoord is nog steeds bestand tegen deze aanval. Password sprayen zal misschien niet snel opvallen, maar het aantal wachtwoorden per uur dat je kan raden is te laag. Bruteforcen levert vrij snel een blokkering van het IP adres op.Kun je nog een aantal IP adressen gebruiken, maar je komt niet in de buurt van het aantal guesses dat nodig is om een normaal sterk wachtwoord te raden. Als je password1234 gebruikt als wachtwoord, dan was je toch al niet veilig.
MFA is echt niet zo'n toevoeging als je denkt. er zijn veel blogs te vinden de afgelopen maanden (en posts op bv reddit) waarbij men met MFA gehacked was. BV doordat men een evil sim card clone had gedaan of zelfs het hele nummer had overgeschreven naar een andere sim. Als er iets antiek is is het wel het huidige sim kaart model.

Je hebt een betere beveiliging als je een block policy hebt na bv 1-2 failed logins. Ondanks bv 1000-1300 verschillende ip adressen kan je dat heel makkelijk blokkeren. Of nog beter gewoon met whitelists werken als je echt secure wilt zijn.

Het enige waar MFA een toepassing is is bij third parties waar je niet de controle hebt om dit soort lockouts in te regelen.

MFA is net zo half afgebakken als windows Hello en de PIN variant. Mensen denken door het te gebruiken dat het een veiligheidslaag toevoegd maar eigenlijk valt het (zeker met hello / pin) te verwaarlozen. Daarbij heb je ook nog de grote nadelen zoals bv bij de ING, wil je even online saldo checken maar is je tel uitgevallen ? dan kan je er niet eens bij , ondanks dat je al jaren inlogd vanaf hetzelfde IP adres met hetzelfde mac adress in de TCP stack.

De beste beveiliging is gewoon goede monitoring , het opvoeden van je gebruikers maar vooral gezond verstand.

een voorbeeldje is een honeypot die ik draai isolated op een domein wat ik beheer, Er draaien hier 10 accounts op (email) met elk een verschillend type wachtwoord (bv simpel a-z 5 chars tot aan hard A-z-symbols-space en dan 24 chars).

Zelfs het email account met 5 chars is nog nimmer gekraakt. Nog even een extra leuk iets. Het allereerste email adres wat ik ooit heb aangemaakt (destijds nog @linuxmail.org in 1995-1996) heeft een ww wat zo simpel is en zo te achterhalen zou zijn, het is nimmer maar dan ook nimmer gehacked in al die jaren en ik kan er nog steeds op inloggen en zien of er op ingelogd word.

Wat deze hackers doen is wat men al doet sinds 1995 :/ en dan word het hier gebracht alsof het een groot nieuws iets is.
Dit geeft toch ook maar weer mooi aan dat het gebruik maken van logische gebruikersnamen ook een gevaar is.

Ik zit ook niet te wachten op een user id als
`xdiUyQ1554x546`
en dan het bijbehorende email als
`xdiUyQ1554x546@domein.nl`
Of nog beter een mailadres dat niet linkt naar je gebruikersnaam.
Hoe minder je naar buiten brengt hoe beter.
Je kan bij veel bedrijven vaak gewoon gokken wat de email is van een persoon
[voorletter][achternaam]@domein.nl/com/etc
[voornaam].[achternaam]@domein.nl/com/etc
Zijn vast nog wel een paar andere standaard namen.
Vervolgens stuur je een mailtje naar allemaal, met een beetje geluk krijg je dan voor allemaal op 1 na een niet afgeleverd bericht terug, de afgeleverde is de juiste gebruikersnaam.
Dan ben je al 'soort' van op de helft.

De gegevens als naam en bedrijf staat vaak gewoon op iemands linkedin.
Voor de normale gebruiker is een mailadres die niet linkt naar je echte naam wellicht een oplossing. Doe ik zelf ook.

Voor een policitus niet. Want die moet juist publiekelijk beschikbaar zijn. Email je wethouder.

Als je linked-in gebruikt wil je eigenlijk wel dat ze je kunnen mailen en een webformulier is zo lastig (voor de recruiter, want die heeft dan geen historie van zijn actie's).

Als je het email-adres weet, dan ben je zeker nog niet op de helft. Tenzij men geen discipline gebruikt en simpele wachtwoorden gebruikt, onzinnige veiligheidsvragen voor reset hanteert, of weigert om 2FA te gebruiken. Daar zit het probleem, niet in het user-id.

NB) Met onzinninge veiligheidsvragen bedoel ik: wat is de meisjesnaam van je moeder. Wat was de naam van jouw school e.d. Dat is voor een beetje (social) hacker gewoon te beantwoorden.
NB) Met onzinninge veiligheidsvragen bedoel ik: wat is de meisjesnaam van je moeder. Wat was de naam van jouw school e.d. Dat is voor een beetje (social) hacker gewoon te beantwoorden.
Helemaal eens. En dat is precies waarom ik me kapot erger aan systemen waar dat soort veiligheidsvragen beperkt worden tot een vast setje voorspelbare vragen én dan ook nog verplicht zijn. Zoals Microsoft bijvoorbeeld doet op Windows 10 als je een lokale user aanmaakt |:(
Mwah, mensen die het snappen (zoals jij en ik) vullen als antwoord gewoon in 'De algemene relativiteitstheorie' oid.

Ook hier gaat het om begrip, zowel van de aanbieder (die het anders moet regelen) als de afnemer (die moet snappen wat het eigenlijk betekent wat hij doet)

Hier zat trouwens een supergrappige scene over in 'space force' met een Rus die aan social engineering probeert te doen.
NB) Met onzinninge veiligheidsvragen bedoel ik: wat is de meisjesnaam van je moeder. Wat was de naam van jouw school e.d. Dat is voor een beetje (social) hacker gewoon te beantwoorden.
Die zijn tenenkrommend. Mijn grootste probleem is die sites waar ze maar een handvol verschillende veiligheidsvragen bieden en waar je de antwoorden misschien niet altijd op dezelfde manier intypt. Denk aan: Wie is jouw favoriete historische figuur? Had ik nou alleen de achternaam ingevuld of had ik de naam volledig uitgeschreven? Of misschien is mijn favoriete historische figuur wel veranderd en weet ik niet meer wie dat 3 jaar geleden was.
Dus daarom op dat soort veiligheidsvragen altijd hetzelfde compleet random en ongerelateerde antwoord, bij voorkeur een sterk wachtwoord met site/dienst-afhankelijk deel. Succes met het vinden van het antwoord op "Hoe heette je eerste huisdier?" op social media als het antwoord "7€6thHW€6dtS-WindowsLocalUser" is.
Dit is nou een goede tip. Dat ik er zelf niet aan heb gedacht. :*)
Ip adressen op de banlijst gooien na x proberen lijkt mij een goede zaak.
Echte klanten bellen wel als iets niet meer werkt.
335 pogingen om één uur gegaan met 200 ip adressen, dat is 1,675 poging per ip. Daar is geen regel op te schrijven.
4 pogingen in een uur van 4 verschillende ip adressen is ook lastig detecteren zonder hoog false positives gehalte.

@jhnddy @lebaned @larsiey
Een account blokkeren is heel makkelijk te doen en kan je al instellen vanaf 3 foute pogingen (bij minder dan 3 hebben je gebruikers er te veel last van). Maar dan heb je het over het blokkeren van een account maar niet over het blokkeren van een IP wat habbekrats aangeeft.

Echter werkt dat al snel niet als er maar 4 pogingen in een uur gedaan worden, dat is juist het idee van een dergelijke aanval. Er wordt meestal naar een kortere tijdsperiode gekeken dan 1 uur en/of naar meer dan 4 foutieve pogingen, daarnaast wordt de telling gereset na een succesvolle authenticatie van de gebruiker zelf.

[Reactie gewijzigd door King4589 op 11 september 2020 08:56]

Je kunt het aantal niet-succesvolle inlogpogingen op een account prima op de server opslaan en na 10x blokkeren. Dat zou voldoende beveiliging moeten geven tegen brute force aanvallen.

@King4589 Een simpele teller met het aantal inlogpogingen op een account voldoet (niet gekoppeld aan IP maar globaal). Na 10 aaneengesloten mislukte pogingen - ongeacht welk IP en in welk tijdsbestek - blokkeer je het account.

Het blokkeren van een IP heeft niet echt veel waarde, uiteindelijk gaat het om de veiligheid van een account. Als je gebruikers wachtwoorden hebben die je binnen 10 pogingen kunt raden, dan is er hoogstwaarschijnlijk geen afgedwongen wachtwoord policy.

[Reactie gewijzigd door jhnddy op 11 september 2020 09:28]

Je kunt het aantal niet-succesvolle inlogpogingen op een account prima op de server opslaan en na 10x blokkeren. Dat zou voldoende beveiliging moeten geven tegen brute force aanvallen.
Het nadeel is van die methode is dat een denial of service attack dan supersimpel wordt. Maak dan gewoon een script wat elk uur 1 inlogpoging op een account doet. De eigenaar van het account zal het snel zat zijn om elke dag weer zijn account te laten deblokkeren en effectief is het account onbruikbaar geworden.

Blokkeren na een bepaald aantal inlogpogingen werkt niet echt met publieke diensten. Dat werkt alleen binnen een bedrijf waar je dit soort aanvallen beter aan kunt pakken.
Volgens mij, iets meer gelaagd. 3x in 15 minuten of 10x in een week, of 100x in een maand.

Ik vind het belastingdienst model ook wel mooi. Gewoon oplopende wachttijd, eerste paar keer te doen, op een gegeven moment 'holy fuck ik ga nooit meer op tijd mijn aangifte kunnen indienen...' (been there...)
Zoals @jhnddy al aangeeft, is dit op servers zelf vaak prima af te vangen. Op linux-omgevingen is Fail2ban veelgebruikte software hiervoor:https://www.fail2ban.org/wiki/index.php/Main_Page

Edit: @King4589, heb je wel gekeken naar fail2ban? Werkt wel degelijk op basis van ip. Die software kijkt naar de logfiles van bijvoorbeeld ssh of een IMAP-server. Bij een x aantal mislukte logins binnen een x tijd wordt het ip geblokkeerd in de firewall. Voor even of permanent. De X is in te stellen. Dus zelfs ook voor 2 verkeerde logins per 24 uur als je dat wilt.

[Reactie gewijzigd door lebaned op 11 september 2020 09:33]

Dus zelfs ook voor 2 verkeerde logins per 24 uur als je dat wilt.
Dan gaan er een hoop normale gebruikers een ban krijgen. Veel mensen proberen een fout wachtwoord 3-6x opnieuw omdat ze vol overtuigd zijn dat zij geen fouten maken. Het ligt altijd aan de server..
idd, daar is geen regel op te schrijven, helaas erg goed uitgedacht van de beste hackers

@habbekrats daarbij is het vaak zo dat die banlijst maar X uur of dagen duurt en dan weer vervalt
Als het om hetzelfde account gaat wat gebruteforced wordt, moet dit dan wel weer opvallen.
Als het om hetzelfde account gaat wat gebruteforced wordt, moet dit dan wel weer opvallen.
Wij loggen gewoon elke inlogpoging voor auditing , of het nu een fail is of niet, Niet alleen omdat we dat voor de wet verplicht zijn , mocht er iets gebeuren dan wil de eindklant niet in een process om tonnen verwikkeld raken omdat ze hele gevoelige data hebben.

Elke afwijking komt gewoon netjes naar voren op de dashboards, er zitten FTE's op om ervoor te zorgen het direct bekeken kan worden. Net als dat je direct kijkt als je ineens een server hebt die een flinke memory increase heeft of langer dan 120 seconden op 100% cpu load staat te pompen als het gespecificeerd is dat het niet een ' high load ' server is. Daarbij is het ook nog een gegeven dat mocht het een 'high load' server zijn dat er een process list is welk gespecificeerd is welke processen (bij de freebsd bakken zelfs de pid's).

Goede monitoring is gewoon de key.
Ik neem aan dat het normaal is dat een gebruiker binnen een uur op 200 computers inlogt? En dat dan ook nog eens niet goed doet?

Wachtwoord werkt niet op een PC in Amsterdam. Laat ik eens een andere PC in Rotterdam gebruiken .Of misschien één etage hoger? 8)7

De laatste keer dat ik op een fatsoenlijke server keek stond er netjes: de laatste 5 inlogpogingen zijn geweest op adres: 127.0.0.1 / 127.1.0.1 enz. Waarvan 1 fout op adres 127.0.10.1.

En daar zijn gewoon regels op los te laten.
inderdaad. Je kunt het vergelijken met een creditcard, ik ben ook wel eens gebeld met de melding 'er is afwijkend gedrag geconstateerd op je cc, we willen even zeker weten dat je het zelf was'.

En inloggen op een account (of dat e-mail of een compleet werkaccount is, daar is het artikel niet duidelijk over) doe je eigenlijk altijd vanaf een heel beperkt setje ip-adressen of -ranges. Spraying en bruteforcing moet dan ook prima te monitoren zijn (en dat is het dus ook, blijkt) als je als beheerder maar aan die specifieke misbruikmogelijkheid gedacht hebt en op de indicators let.

Inloggen gebeurt meestal vanaf ip x, y en z.
ineens op een dag veel pogingen vanaf verschillende andere ip-adressen en met foute passwords? Tijdelijk een ban op alle andere ip-adressen dan x, y en z en een service-mailtje naar de betrokken gebruiker.

Maar zoals gezegd, de hackers hoeven niet altijd technisch geavanceerde aanvallen te proberen, soms volstaat een flinke dosis creativiteit (helaas).
Wat doet een vpn server? Log je in vanuit huis? Vanuit Zweden? Vanuit Den Bosch?
Dan komt de aanval altijd vanaf het ip-adres van de VPN server. En dat adres verandert niet zo vaak. Dan is het zo te zien dat er veel foutieve inlogpogingen gedaan zijn.

Tenzij je voor iedere aanlogpoging een andere VPN (serviceprovider) neemt, maar dat is net zo onzinning als voor iedere aanlogpoging een andere pc (of locatie) te gebruiken.
Simpel te detecteren.

No way dat alle 200 ip adressen uit dezelfde geo location komen. Conditional access zou het al met 80% verminderen.

De 4 inlog pogingen zouden niet snel opvallen als je maar een gemiddelde monitoring hebt maar binnen 1 dag komen ze zeker naar boven. Dus dan hebben ze niet veel tijd gehad om te kraken , en daarna let je er extra goed op.

Ik vind je redenatie 'aardig' maar in de praktijk valt het zeer mee. Zeker als je logstash/kibana/chronograf etc gebruikt.

Als iemand maanden de tijd heeft om een account te hacken dan heb je gewoon je monitoring niet op orde.

en voor bepaalde werkgevers met goede security staat alles zo dicht dat men echt alleen vanaf het interne netwerk bij de email kan komen , dus ze moeten via VPN erin , daarna doorhoppen naar de RDS. Voor VPN word bv buiten devicenaam naar mac adres gekeken en deze moeten beiden overeen komen of de VPN word door de IDS automatisch geterminate. (en dan moeten ze dus al succesvol hebben kunnen inloggen bij wijze van).

Gaat een medewerker offsite dan moet die per telefoon het IP adres tijdelijk laten whitelisten voor zijn connectie. kost wat tijd en geld maar de veiligheid die je ervoor terug krijgt is factor 10 beter dan een MFA. En het is zo secuur als wat , maar dat is logisch als de impact mbt een datalek dusdanig is dat men gewoon inziet dat security het waard is. In dit geval hebben we het over een klant die meerdere vaste personen in dienst heeft om de monitoring in de gaten te houden buiten de reguliere IT boys die de operationele zaken voorzien.

MFA is 1 van de vele middelen die je kan gebruiken ervoor , en ja zeker bied het in sommige gevallen wel voordelen maar het is geen gegeven feit dat je ermee veilig bent , integendeel het geeft soms een vals gevoel van veiligheid.

Ik kan mij nog een verhaal herinneren van niet zo lang geleden waarbij een youtube celebrity al zijn data kwijt was , alles in elk kanaal weggegooid was en hij nergens meer bij kon, ondanks dat hij MFA had. Ze hadden gewoon simpel een sim transfer in gang gezet, eer dat hij wakker werd en de berichtjes op zijn telefoon zag was het al te laat.

[Reactie gewijzigd door Aionicus op 11 september 2020 18:09]

Iedereen lijkt te vergeten om mijn reactie in context te nemen van het bericht waar ik op reageer.
Ip adressen op de banlijst gooien na x proberen lijkt mij een goede zaak.
Echte klanten bellen wel als iets niet meer werkt.
Het gaat hier niet zo zeer over detectie, detecteren kan maar wat doe je daarna?
Al je logins blokkeren? Alle ip adressen op een block list? Dan kan er niemand meer werken die buiten je netwerk zit. Sterker nog er zijn aanvallers die hier juist op hopen en dan gaan ze je site ips spoofen om te zorgen dat jij jezelf op de block list zet.

4 foutieve inlog pogingen op de zelfde dag is zeker iets waar je naar kunt kijken. Maar als je alleen daar naar kijkt krijg je enorm veel onnodige false positives omdat er in een beetje organisatie al snel 1000 personen aan het werk zijn en iedereen voert wel eens een paar keer zijn wachtwoord verkeerd in zelf doe ik dat dagelijks een paar keer omdat ik net een typo maak.
Dus dan ga je de regel verder afstellen, 4x foutief zonder succesvolle login. Wanneer de aanvaller onder werktijd langzaam genoeg pogingen doet zit er met regelmaat een succesvolle login van de gebruiker zelf tussen waardoor je telling weer op nul staat.

Dus dan maakt het niet meer uit of je elastic security, Qradar, arcsight, alien vault of welke oplossing dan ook je hebt geïmplementeerd er kan altijd iets onder de radar gebeuren.

Ik hoor je denken "baseline van je netwerk en systemen!" dat is een moment opname, wie zegt dat ze niet al bezig waren en in je baseline zitten?

Voor logins komt het er op neer two factor authentication implementeren en hopen dat de aanvaller niet alle tijd van de wereld heeft want dan verlies je altijd omdat jij wel wil kunnen slapen.
Gewoon nee, je gaat niets aanpassen of MFA installeren als het niet nodig is.

DMV van de juiste tools en agents / custom work kan je een veel veiligere omgeving optuigen dan een MFA waarbij je afhankelijk bent van een 3th party. Al kan je natuurlijk je eigen MFA server gaan draaien, over het algemeen kiezen mensen voor de cheap way zoals DUO of Microsoft voor windows omgevingen. Je kan users dan net zo goed een smart card geven met encoded credentials die alleen maar werken onder bepaalde omstandigheden, dan ben je nog veiliger ook.

maar een paar filter voorbeelden :
- Filters op waar de logins vandaan komen (ip base, kantoren , via de vpn etc)
- Filters op welke werkplekken users in ACL's op kunnen inloggen (op elke werkplek buiten gpo etc staat ook een agent die gewoon netjes een melding geeft als een user zich aan probeert te melden waar hij zich niet vanaf mag aanmelden)
- Filters op Computer / Mac based connections / allowed devices.
- Filters op time based logins.
- Filters op shifts (aangezien hun planning systeem netjes een API heeft en wij gewoon de medewerker_ID + shift times uitlezen en daar wekelijks een tabel op draaien. Word er een change gedaan door PZ dan word dat zo verwerkt door de change detection in de pollers).

Als ik zie dat jij op een finance pc in wilt loggen terwijl je bij facilities werkt dan heb je wel even wat uit te leggen bij wijze van. Medewerkers worden gewoon getrained en er word in techniek geinvesteerd. De enigen die nog wel eens lastig zijn op te voeden zijn de CEO's en the big bosses, maar tegen hun moet je gewoon in cijfers praten en aangeven dat ze geen keuze hebben of dat ze blut zijn als het fout gaat , dan trekken ze heel snel bij , hoeveel miljoen per jaar ze ook verdienen (trust me on that). Al eindig je vaak met een heel apart circuit voor ze omdat ze altijd zwaar afwijken van de rest. maar ook dat is nog te managen.

Elke afwijking is gewoon een entry in het operations logboek. Klanten nemen dure pakketten af bij ons dus dan verwachten ze ook dat ernaar gekeken wordt.
Eerste wat wij doen bij onboarding is alles spoelen en fatsoenlijk inrichten , legacy spul eruit, indien het niet kan migreren naar virtuals , isoleren in losse vlan omgevingen achter de juiste monitoring.

Je beeldvorming m.b.t. hoe het in de praktijk werkt bij high end clients laat wat te wensen over, ik ga lekker van mijn weekend genieten en zal hier niet verder meer op reageren. Gezien je relaas en mijn kennisniveau op dit punt van het topic denk ik niet dat we tot een gezamelijk midden zullen komen (en dat hoeft ook niet). Fijn weekend alvast.

[Reactie gewijzigd door Aionicus op 11 september 2020 18:38]

Of met een whitelist werken, dat die politieke figuren altijd eerst met een 2FA VPN moeten verbinden om zelf maar te proberen erop te geraken. Alle pogingen van andere IPs gewoon blokkeren.

[Reactie gewijzigd door SmokingCrop op 11 september 2020 08:37]

Soms ook pro-actief graag (Trump, om 3.00 's nachts, net na een FOX news kritische uitzending) BOEM!
Echte klanten bellen wel als iets niet meer werkt.
Heb jij zo het telefoonnummer van Twitter? Facebook? Youtube? Microsoft?

Grote techbedrijven bellen is volgens mij al heel lang er niet meer bij.
Die laatste staat er onterecht bij denk ik. Is gewoon uitstekend bereikbaar...
Hoe snel het fout kan gaan, tot mijn grote schande: Moederbord defect, nieuwe besteld, tijdelijk mijn download pc'tje gebruikt om Facebook dagelijks te checken. Dan een melding van Microsoft wegens een inbraak vanuit Nigeria in mijn pc (Microsoft doet dus aan locatie-bewaking) ik moet mijn wachtwoord veranderen.
Daarna een blokkade van Facebook, mijn account is overgenomen. (Gelukkig niet op mijn echte naam, al tien jaar geen probleem.) Ik had mijn wachtwoord in Chrome opgeslagen. Nu kom ik erachter dat het download pc'tje geen toetsenbord en scherm heeft, dus bij "externe verbindingen" stond "verbindingen met deze computer toestaan" aangevinkt. Stom, vergeten. Waarom ik dit hier meldt? Ach, het valt toch mee, wat kunnen ze stelen? Maar het gezeur en de ergernis die je er allemaal mee hebt, en Facebook werkt slecht mee.
Daar heb ik nooit bij stilgestaan, je bent er dagen mee bezig, dit niet weer. Keepass en Bitwarden vind ik lastig, en je moet een lang wachtwoord invullen elke keer. Ik heb nu, na diverse aanbevelingen hier op de fora van Tweakers, de USB sleutel van Yubico besteld, die werkt met een wat handelbare pincode.
Waarom al de YubiKey besteld, wat gaat er mis? Stom, vergeten? Ieder kan er van leren! Externe verbindingen is uitgeschakeld standaard bij mij.
Blijft een lastige materie volgens mij. Ik lees nog wel eens dat bij veel managers "computeren" gemakkelijk moet zijn, geen gedoe met lastige wachtwoorden die ze toch niet willen onthouden. Of er toch niet een uitzondering op die ene regel gemaakt kan worden, want ze willen thuis werken of op vakantie toch e-mail lezen. Moet dat wachtwoord echt elke X dagen veranderd worden? En ja, die dure smartphone die ze thuis hebben moet er ook "op kunnen", want "niet handig" om met 2 apparaten rond te lopen in hun pak.

Als je een hoog geplaatst persoon bent, en een gewoontedier, zou je alles kunnen blokkeren behalve een reeks ip-nummers? Dat lijkt mij een hoop potentiële ellende te voorkomen.

Ik neem aan als normaal gesproken er 2 inlog fouten per dag gemaakt worden door iemand met "dikke vingers" en er plotseling tientallen/honderden per dag zijn, er op zijn minst een berichtje naar de klant gestuurd kan worden?
Wat dacht je van dit te gebruiken?

www.mydigipassword.com

De eerste blockchain gebaseerde wachtwoord generator, waarbij MyDigiPassword een wachtwoord manager is die nooit wachtwoorden moet opslaan, nog synchroniseren.

MyDigiPassword werkt zoals LastPass, maar dit systeem gebruikt op het platform zelf een Passwordless authenticatie systeem. Het enige wat opgeslagen zal worden op het platform voor al je websites en/of diensten: je gebruikersnaam, de login url, extra velden om een autofill te kunnen doen.

Het platform werkt via een plug-in in je browser net zoals LastPass en je hebt hiervoor ook de AntumID Authenticator nodig.

Waarom is dit zo veilig?

1) Stel je browser in op geen wachtwoorden opslaan.
2) De plug-in maakt een dynamische QR-CODE aan die altijd anders en altijd uniek is.
3) Je scant de QR-CODE met je AntumID Authenticator, je gebruikt je pin of (fingerprint) ... en het wachtwoord zal voor die bepaalde dienst of website op dat moment opnieuw mathematisch aangemaakt worden.
4) De plug-in gaat vervolgens all je credentials opvullen en zelfs automatisch inloggen op de website die je wil gebruiken. (Autologin werkt ook niet op alle websites)
5) De wachtwoorden die worden gemaakt zijn minstens 25 karakters.
6) Iedere wachtwoord is uniek voor jezelf, uniek voor de gebruikte websites en uniek in de wereld.
7) Als er geen synchronisatie is van wachtwoorden, nog opslag op je pc, smartphone reduceer je de risico's enorm, en dus enkel tot op de betrokken website.
8) Het platform heeft ook een 2FA generator zodat de plugin ook de 2FA code per direct kan tonen bij het inloggen zodat je geen afzonderlijke google authenticator moet hebben.
Ik vraag mij dan echt af of ze letterlijk alle mogelijke combinaties aan tekst doen met wachtwoorden of een woordenboek gebruiken en daar variaties op maken.

En is het woordenboek dan gekleurd naar het slachtoffer?
Ja tuurlijk joh het zijn allemaal Russische hackers, die komen echt niet uit andere delen van de wereld. En Wachtwoord raden werkt eigenlijk alleen als je wachtwoord bij de 100 meest populaire wachtwoorden zit. Ipv. de gebruiker de schuld te geven van slechte wachtwoorden kan microsoft dit probleem geheel ZELF oplossen door het aantal inlogpogingen te beperken, als je na 5x een uur moet wachten is de lol er snel vanaf. Als je vanaf 10 verschillende IP's tracht in te loggen binnen korte tijd kan dit worden gezien als een hackpoging en wordt het aantal pogingen terug gebracht naar 1 per IP en een mailtje naar de gebruiker met het advies zijn wachtwoord aan te passen ivm verdachte activiteit.. Voilla probleem meteen opgelost.

Kortom dit hele verhaaltje is gewoon linkse propaganda om de russen weer in een slecht daglicht te zetten.

[Reactie gewijzigd door Terrestrial op 11 september 2020 11:41]

Ik vind het heel logisch hoor, dat er Russische hackers zijn die toegang proberen te krijgen.

Net zo logisch als dat er Duitse, Britse, Amerikaanse en Chinese hackers zijn en hackers uit <insert country>. Alleen als we erachter komen wanneer een bondgenoot hackt, hangen we het niet aan de grote klok, omdat we dan voor de bühne allerlei diplomatieke consequenties moeten gaan verzinnen. Dat was waarom Snowden zo gehaat werd door de overheid in de VS: nu moesten ze opeens publiek toegeven dat ze Merkel aan het aftappen waren. Alsof Merkel ervan uitging dat ze niet afgeluisterd zou worden... :Y)
En andersom doen we het natuurlijk net zo enthousiast terug, de AIVD en NIVD zitten ook niet stil.
Nou ik vind het niet zo logisch want net zoals je zelf al aangeeft in alle landen zijn clubjes die hacken, dat is niet voorbehouden aan de russen en bovendien hoeft dat nog niet eens vanuit de overheid te komen, als je wachtwoordjes gaat raden op basis van niks vraag ik me sowieso af of het de overheid is, want dat is kinderlijk amateuristisch en zoals ik aangaf ook simpel te voorkomen.
Jij hebt er duidelijk verstand van. Ik zou zeggen: soliciteer als "Uitvoerend en meewerkend security-adviseur" bij één van de grote jongens. Of een van de kleine.

Ik help je op weg... in het engels:

The problems with account lockouts are:

An attacker can cause a denial of service (DoS) by locking out large numbers of accounts.
Because you cannot lock out an account that does not exist, only valid account names will lock. An attacker could use this fact to harvest usernames from the site, depending on the error responses.
An attacker can cause a diversion by locking out many accounts and flooding the help desk with support calls.
An attacker can continuously lock out the same account, even seconds after an administrator unlocks it, effectively disabling the account.
Account lockout is ineffective against slow attacks that try only a few passwords every hour.
Account lockout is ineffective against attacks that try one password against a large list of usernames.
Account lockout is ineffective if the attacker is using a username/password combo list and guesses correctly on the first couple of attempts.
Powerful accounts such as administrator accounts often bypass lockout policy, but these are the most desirable accounts to attack. Some systems lock out administrator accounts only on network-based logins.
Even once you lock out an account, the attack may continue, consuming valuable human and computer resources.
Account lockout is sometimes effective, but only in controlled environments or in cases where the risk is so great that even continuous DoS attacks are preferable to account compromise. In most cases, however, account lockout is insufficient for stopping brute-force attacks.

[Reactie gewijzigd door conces op 11 september 2020 17:16]

Het gaat er om dat het inloggende IP of de groep met inloggende IP's geblokkeerd wordt na x pogingen en de aanval min of meer wordt afgeslagen. Als je maanden of jaren de tijd hebt kun je altijd met een paar pogingen per dag doen maar dat is niet meer effectief genoeg om een dictionary attack te doen. Tevens is dat niet het probleem wat Microsoft beschrijft. Bovendien kun je helemaal zelf bepalen wat voor response je de server laat terug geven op een client.

Dus leuk verhaaltje van het internet gevist ergens maar ik ben niet onder de indruk.
"Daarbij maken ze gebruik van twee methodes. 'Password spraying' met weinig inlogpogingen per uur gedurende meerdere dagen of weken en bruteforcen met honderden inlogpogingen per uur. Strontium gebruikt daarbij zo'n 1300 verschillende ip's per dag om de inlogpogingen uit te voeren."

Wat is de tweede methode?


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone SE (2020) Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True