Evernote voegt wachtwoordcontrole toe via Have I Been Pwned-database

Evernote gaat gebruikers waarschuwen als ze inloggen met een wachtwoord dat eerder is uitgelekt in andere datalekken.

Notitie-app Evernote zegt op X dat het een samenwerking is aangegaan met datalekdatabase Have I Been Pwned. Gebruikers die inloggen met een wachtwoord dat in die database is opgenomen, krijgen het verzoek het wachtwoord te resetten. Evernote zegt dat het ook tienduizend dollar aan Have I Been Pwned heeft gedoneerd.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 01-03-2024 16:46 17

01-03-2024 • 16:46

17

Lees meer

Homomorfische encryptie

9 aug 2021

Homomorfische encryptie

Zo voer je analyses uit op versleutelde data

58
Vijf wachtwoordmanagers onder de loep

21 jun 2021

Vijf wachtwoordmanagers onder de loep

Waarin verschillen ze?

379
Let op: uw wachtwoord is gehackt

23 apr 2021

Let op: uw wachtwoord is gehackt

Zo werken 'datalek-databases'

60
Interview: Troy Hunt - Have I Been Pwned

29 jan 2021

Interview: Troy Hunt - Have I Been Pwned

'De Adobe-breach kwam precies goed uit'

124
Amerikaans bedrijf brengt datalekzoekmachine uit die 17 miljard gegevens bevat
Amerikaans bedrijf brengt datalekzoekmachine uit die 17 miljard gegevens bevat Nieuws van 8 november 2024
Enquêtewebsite SurveyLama lekt gegevens van 4,4 miljoen gebruikers
Enquêtewebsite SurveyLama lekt gegevens van 4,4 miljoen gebruikers Nieuws van 3 april 2024
The North Face-moederbedrijf licht klanten in over datalek persoonsgegevens
The North Face-moederbedrijf licht klanten in over datalek persoonsgegevens Nieuws van 11 maart 2024
Meer producten en artikelen
Beveiliging en antivirus Evernote Have I Been Pwned

Reacties (17)

-Moderatie-faq
17
16
6
0
0
6
Wijzig sortering
jvda7512 1 maart 2024 16:48
Dit zouden veel meer websites moeten doen
Bor Coördinator Frontpage Admins / FP Powermod
@jvda75121 maart 2024 16:50
Dat zeker. Gelukkig zie je ook steeds meer password managers die gelekte credentials controleren aan de hand van haveibeenpwnd en andere initiatieven. Het voordeel daarbij is dat je de controle niet alleen bij het inloggen hebt maar je periodiek kan laten scannen op gelekte credentials.
Verwijderd @Bor1 maart 2024 18:11
Ik vind het in geen geval een goed idee om op grote schaal centraal gevoelige informatie te verzenden en mogelijk op te slaan.
Ook niet in de vorm van hashes.

Beloftes in de zin van "alleen toetsen tegen bestaande lekken", "niet opslaan van nieuwe entries", moot.
Beloftes en veiligheid horen niet samen in één zin.

Ik kan zonder moeite een aantal manieren bedenken om dit te misbruiken.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 16:52]

joost00719 @Verwijderd1 maart 2024 20:54
De wachtwoorden zijn al bekend bij hackers, dus ze centraal inzichtelijk maken is alleen maar nuttig zodat mensen dat wachtwoord niet hergebruiken met alle gevolgen van dien.

Daarnaast wordt jouw wachtwoord niet over de ether gestuurd, maar gehasht, en de hash-prefix wordt verzonden naar HIBP. HIBP stuurt dan een lijst met hashes terug die met die prefix beginnen. De aanroeper kan dan zelf controleren of de wachtwoord hash in de lijst voor komt.

https://www.troyhunt.com/...of-sha-1-and-k-anonymity/
Verwijderd @joost007191 maart 2024 21:45
Heb het toch duidelijk over nieuwe entries, die gechecked worden óf ze al-dan-niet bestaan.

En zoals aangegeven zullen die ongetwijfeld gehashed verzonden worden. Dat op zich is niet veilig genoeg en op tal van manieren te misbruiken, zeker in de toekomst wanneer brute forcing of andere, mogelijk nieuwe, aanvalsmethoden mogelijk zijn.

Het stuk prefix, of in andere woorden onvolledig, versturen is wél een goed argument.
Half-bad zullen we dan maar zeggen.
Ligt er aan of je een glas half vol of leeg persoon bent.
In feite effectief waardeloos, voorlopig, dus dat zit wel goed.
Voor diegenen die het niet weten: een halve hash betekend niet de halve tijd/kosten of werk om te brute forcen voor een volwassen hashing algoritme.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 16:52]

joost00719 @Verwijderd3 maart 2024 15:04
Slechts de eerste 5 karakters van een hash, niet een halve hash.
Verwijderd @jvda75121 maart 2024 18:44
Waarom zou je dat willen, dat een bedrijf jou wachtwoord stuurt naar een derde partij? Om alleen maar te kijken of jouw wachtwoord al is gebruikt en gelekt. Denk ook dat je dat echt niet moet willen omdat een 2e partij nu je wachtwoord weet.

Of zouden ze een kopie van de hashes hebben gekregen voor 10.000?

[Reactie gewijzigd door Verwijderd op 22 juli 2024 16:52]

Noxious @Verwijderd1 maart 2024 22:45
Dat is niet hoe het werkt.

HIBP heeft een webservice waar je enkel de eerste X tekens van een hash heen stuurt, en dan krijg je een lijst van bekende hashes die daarmee beginnen terug; die kun je vervolgens tegen je volledige hash houden die je dus nooit deelt.
turbojet80s @jvda75123 maart 2024 10:08
De gebruiker kan beter een password generator gebruiken, dan is het helemaal niet nodig om jouw wachtwoord (gehashed) te delen met een derde partij.

Ik zou er niet blij mee zijn omdat ik zeker weet dat mijn wachtwoord er niet in voorkomt. Waarom, hoe klein het risico is, mijn wachtwoord delen?

Maak het maar optioneel: vinkje aanzetten I want to check my password....

Maak daarnaast MFA verplicht, dat lijkt een stuk veiliger

[Reactie gewijzigd door turbojet80s op 22 juli 2024 16:52]

OLED 1 maart 2024 17:24
Op Apple apparaten gebeurt dit al sinds iOS14; je krijgt zelfs waarschuwingen als je wachtwoord eerder gebruikt is door jezelf zonder dat er een datalek is. Maar voor mensen zonder Apple is het zeker handig als de websites zelf waarschuwen ervoor, dus ik moedig dit absoluut aan!
DoctorBazinga 1 maart 2024 17:24
Ik heb een zo simpel, makkelijk te onthouden en kinderachtig wachtwoord dat ik vaak voor “eenmalige” doeleinden gebruik en toch komt het niet voor in de top 100 van de meest gebruikte wachtwoorden. :Y) O-)

En lastpass zit er ook niet over te zeuren ofschoon hij het vergelijkt/checked in verschillende databases etc. :X

Het is een (soortgelijk/equivalent van een) digitaal “Ei van Kolumbus”.
Zeer simpel maar je moet er wel op
komen. _/-\o_

[Reactie gewijzigd door DoctorBazinga op 22 juli 2024 16:52]

GokuSan 1 maart 2024 18:20
Haveibeenpwned mag die database inzien maar jij niet.. lekker krom, superstom als je zelf je eigen data wilt inzien.
DvanRaai89 @GokuSan1 maart 2024 22:23
Die database IS van HIBP (Troy Hunt), je bedoelt Evernote? Je kunt zelf toch ook op HIBP kijken?
xxs 3 maart 2024 08:06
Hunt heeft al eens op het punt gestaan om HIBP te verkopen, wat als dat een kwaadwillende partij is.
Hunt heeft zelf aktief meegedaan aan zeker 1 hack wat hem in mijn ogen niet beter maakt dan de rest.
Hunt heeft data afkomstig van diefstal, m.i. is dat heling.

Vraag, waarom lopen zoveel mensen weg met Hunt (HIBP)?
Dyon_R @robinr1101 maart 2024 17:22
Vorig jaar is er een test geweest m.b.t. korte berichten: .plan: We gaan experimenteren met nu en dan korte nieuwsberichten
Daarom is op Tweakers soms een nieuwsartikel van enkele zinnen te vinden om toch Tech-nieuws te brengen waar je niet volledige alinea's aan kwijt kan.
wisselwerking @robinr1101 maart 2024 17:40
Voor veel mensen meer dan genoeg. Zeker als je doorgeknipt wordt naar meer info.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq