Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 93 reacties
Bron: BBC News

Volgens de VN-organisatie International Telecommunications Union (ITU) leidt toenemend gebruik van het web tot een dusdanige mate van hergebruik van wachtwoorden onder internetters dat er voor de veiligheid van vertrouwelijke gegevens gevreesd moet worden.

Volgens de ITU vergroot het hergebruik van wachtwoorden de kans op identiteitsdiefstal, en moet er naar betere manieren worden gezocht voor mensen om zich op websites te identificeren, waarbij de organisatie overigens geen suggesties geeft in welke richting er gekeken moet worden behalve dat de identificatieprocessen 'eenduidiger' moeten zijn. Dat heeft ook weer te maken met de mening van het telecomorgaan dat het bijhouden van vele loginnamen en wachtwoorden 'tijdverspilling' is. Het ITU-voorstel verwijst impliciet naar Microsofts oude 'Passport'-poging om gebruikers op deelnemende sites met een enkele identiteit in te laten loggen, maar ironisch genoeg strandde dat onder meer vanwege de kritiek dat het onveilig werd geacht om inloginformatie voor allerhande sites bij een en hetzelfde bedrijf onder te brengen. Het voorstel doet daarnaast denken aan het Nederlandse DigiD, waarmee er in één loginprocedure voor overheidssites wordt voorzien.

Tweakers.net Editor Login

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (93)

http://www.onepassword.com/

Is daar een perfecte oplossing voor, via simpele methodes maak dat programma een uniek wachtwoord aan voor iedere site, gebaseerd op één wachtwoord.

Simpelweg genomen voor de technische uitleg, wordt de domeinnaam de salt en wordt dat gecombineerd met jouw enkele wachtwoord om zodoende een uniek MD5 wachtwoord te maken.

md5('www.tweakers.net' + 'wachtwoord')

@JapyDooge, dat blijft altijd een probleem, maar daarom had ik ook de technische code erbij gedaan. Ik heb dus mijn eigen systeem gemaakt voor onze klanten met een paar regels code. En met wat simpele cryptography kan je het ook zelf doen.

Voorbeeld: je wachtwoord wordt eerste 4 letters van de website die je bezoekt met elk character 1 bij opgetelt + je normale wachtwoord. Dus zeg je enkelvoudige wachtwoord is "_Japy#Doodge(6192)" en je bezoekt "Tweakers.net", dan wordt je wachtwoord daar:

Twea = Uvfb (alle letters +1) »» Uvfb_Japy#Doodge(6192)

Nu is dit meest simpele vorm, maar resulteert in een zeer sterk wachtwoord. Echter is deze techniek erg simpel, dus moet je wel twee 'master' wachtwoorden gebruiken met dit systeem, want anders zou een corrupte website beheerder die toegang heeft tot 2 websites waar jij dit systeem op gebruikt zeer snel jouw wachtwoord systeem kunnen afleiden en dan meteen jouw Paypal.com wachtwoord weten bijvoorbeeld. Maar twee wachtwoorden onthouden waarbij je één voor SSL beveiligde financiële websites gebruikt en de andere voor een site zoals Tweakers is nog wel te doen voor de meeste mensen.

En er zijn natuurlijk veel complexere methodes te gebruiken die wel veilig zijn, zoals via PHP code: php -r "echo md5('Tweakers.net' . 'Japy#Doodge(6192)').\"\\n\"; =
25fe368a6a24b34e3270245e7f9521b1

@MagicPatrick, de MD5 is 32 hex-chars, dus je berekening klopt niet. Je kan ook SHA-512 gebruiken, of de 32-hex char MD5 te converteren naar een 16-char full-ASCII wachtwoord (dat laatste is de methode die wij gebruiken). Zolang je jezelf maar tot denken zet en een goede methode gebruikt die voor jouw het makkelijkst werkt.

@Proxy, en waar ben je bang voor? Je wachtwoord is in het ergste geval al bekend (een goede site gebruikt hash-verificatie en kan jouw wachtwoord zelf geneens). Als jij nu al gebruikt maakt van unieke wachtwoorden voor elke website die je gebruikt, dan petje af voor je. Echter het hergebruiken van wachtwoorden is een bekend fenomeen, en daar moet je dus zo voor oppassen. Je kan ook een TrueCrypt volume of een 7-zip bestand gebruiken met een wachtwoord bestand erin. Het voordeel van de url-salt+wachtwoord methode die ik beschreef is nu juist dat het "master wachtwoord" alleen in je hoofd zit.
Feit blijft dat het op een wachtwoord gebaseerde authenticatie berust. Net als biometrisch of een hardware matige sleutel zijn dit enkelvoudige methoden om je te authentiseren.

Een sterke authenticatie methode bestaat uit twee of drievoudige authenticatie.
- Iets wat je weet: Wachtwoord / pincode
- Iets wat je hebt: Pinpas / autosleutel / USB authenticatie-token
- Iets wat je bent: Iris(scan) / vinger(print) / DNA / pasfoto

Vandaar dat een pinpas een pincode heeft en dat een vingerafdruk alleen, niet genoeg is.

<span style="color:#786562">* Bl@ckbird is het daarom niet eens met het DigiD, omdat het alleen gebaseerd is op een username / password.
</span>
Voor een belastingaangifte is dat nog geen probleem, maar straks wordt je hele medische dossier er achter gehangen. ( Bij wijze van...)
* Bl@ckbird is het daarom niet eens met het DigiD, omdat het alleen gebaseerd is op een username / password.
DigiD gebruikt toch ook SMS authenticatie (ongeveer iets wat je hebt: een telefoon)?
Alleen als je ook je 06 opgeeft.
Er zijn 3 gradaties in de diensten waarvoor digid kan worden gebruikt.

De simpelste diensten, misschien bijv rijbewijs aanvragen of zo, kan met alleen je gebruikersnaam + wachtwoord.

Verder zijn er al diensten waarbij sms authenticatie nodig is. Om hier gebruik van te kunnen maken is het dus noodzakelijk dat je een 06 nummer hebt geregistreerd. (Ik vraag me af hoe ze dat gaan doen als mensen in de loop der jaren van nummer gaan wisselen aangezien je elk nummer maar 1 keer kunt registreren en zo...)

Er komt nog een derde gradatie die op dit moment nog niet is geimplementeerd of zelfs maar uitgewerkt voor zover ik begreep.

* IntToStr heeft toevallig net zo'n digid account aangevraagd :)
Weet wel zeker dat die site betrouwbaar is :)
Stel, ik maak ook zoiets op mijn site, maar laat hem ook de gegevens opslaan in een database :) gooi er wat Google AdWords reclame tegenaan en heb zo een database vol met wachtoorden + de websites waar ze voor zijn al erbij :)
Je maakt het daarmee echt moeilijker ja! Niet dus. Reken maar na:

16 (je gebruikt hexadecimaal) ^ 12 = 281474976710656

94 (hoofd- en klein letters, cijfers, en alle symbolen op je keyboard) ^ 8 = 6095689385410816

De laatste (een vrij standaard wachtwoord) is dus veiliger dan die hash van jou.
De laatste (een vrij standaard wachtwoord) is dus veiliger dan die hash van jou.
Het voordeel van die hash is dat je voor elke site een uniek password hebt. Dat heb jij dus niet.
Ik heb ook voor elke site een uniek wachtwoord, daar heb ik geen generator voor nodig.
Je kan ook nog een str_replace toevoegen met 2 array's. Zodat je bepaalde letters altijd replaced met bijvoorbeeld hoofdletters of leestekens. Dit zorgt al voor wat meer beveiliging van je wachtwoord.

Wie zegt dat je een MD5 als hexadecimaal moet gebruiken? :+
Ik zou in mijn wachtwoord nou niet echt kenmerken van de site waarvoor dat wachtwoord is willen hebben.
Oei, ik zit net die xpi door te spitten, maar er zit wel iets vreemds in die scramblepass.js
[code]
var regx1 = new RegExp("\/","g");
var regx3 = new RegExp("[=]","g");
var regx2 = new RegExp("[+]","g"); //used [+] because slashes were bothering
//mozilla
//this replaces all instances of
//specified character (would normally be
//a list of characters)
hash = hash.replace(regx1,"x");
hash = hash.replace(regx2,"x");
hash = hash.replace(regx3,"x");

hash = hash.replace(regx3,"x");
//alert(hash);
-knip-
passwd = "s1"+ hash.substring(0,length-2);
[/code]
Oftewel je wachtwoord begint altijd met "s1" als je dit onepassword gebruikt. (Ben verder niet bekend met regexp, maar dat lijkt ook een verzwakking te zijn met die g's en x'en.) Zie ook de afbeelding op de site.
Dus dat lijkt me dan weer een vector om met phising achter je masterwachtwoord te komen. Aangezien je de salt hebt (is je eigen domeinnaam) en de uiteindelijke hash kan vergelijken.
Net zoals http://www.passwordmaker.org. Dit programma, dat als extensie voor FireFox en een zwik andere browsers beschikbaar is, maakt door middel van een hoofdwachtwoord, de url van de site en een hash een uniek wachtwoord voor de betreffende site. Volgens de makers is het hoofdwachtwoord niet te herleiden, zelfs niet bij het in bezit zijn van meerdere gegenereerde wachtwoorden. Anyway, ik gebruik het al een tijdje en vind het een erg handige extensie.
"_Japy#Doodge(6192)" en je bezoekt "Tweakers.net", dan wordt je wachtwoord daar:

Twea = Uvfb (alle letters +1) »» Uvfb_Japy#Doodge(6192)
Dat gaat dus never-nooit-niet veilig zijn!
Als iemand één dan van je wachtwoorden weet, weten ze gelijk al je wachtwoorden.
Tweakers: Uvfb_Japy#Doodge(6192)
Paypal: Qbzq_Japy#Doodge(6192)

Ik weet nu dus al Japie's paypal-wachtwoord, als ik toevallig op zijn Tweakers-wachtwoord stuit!
fingerprint reader misschien een oplossing?
Je hoeft 1x je vingerafdruk ergens achter te laten en je bent voor de rest van je leven je wachtwoord kwijt.

Biometrische authenticatie zal naar mijn idee niet gaan werken. Als je bijvoorbeeld je iris informatie uitlekt, dan kunnen andere hier misbruik van maken.

Doe mij maar een digikey/rsakey/hoe je een hardwarematige calculator achtig iets wil noemen, dit per website.

Dan daarbij heb ik per vertrouwensniveau een wachtwoord (SSL heeft betere wachtwoorden dan onbeveiligde verbindingen, en dan nog per vertrouwen).
Je kan ook (en ik denk dat de huidige fingerprint lezers voor thuisgebruik al wel zoiets ondersteunen) lokaal een programmaatje hebben draaien dat allemaal random wachtwoorden onthoud per site, die je dan kan raadplegen doormiddel van je vingerafdruk.
Je vingerafdruk wordt dus niet doorgestuurd, en indien je toch iemand's vingerafdruk zou stelen, moet je nog steeds toegang hebben tot zijn pc om er iets mee te kunnen doen.
Totdat het programmaatje gekraakt wordt. Een beetje hetzelfde als 1 database bij de politie, alleen dan hoeven ze alleen maar door jouw simpele thuisroutertje te komen.
Lijkt me ten eerste al sterk dat dit zomaar gekraakt moet worden. Het programma heeft namelijk zelf geen internet-access nodig (moet hooguit communiceren met de browser, wat tot eenrichtingsverkeer beperkt kan worden)

Verder kan je ook de wachtwoorden encrypteren met je vingerafdruk. Het programma onthoud dan zelf je vingerafdruk niet, maar op het moment dat het wachtwoord nodig is wordt met de vingerafdruk het wachtwoord gedecrypteerd.

Het lijkt me dat het kraakbaar zijn van dit programma ongeveer even riskant is als de mogelijkheid dat er spyware of een keylogger ofzo op je pc geinstalleerd raakt.
Als je iris uitlekt, kun je dat dan niet gewoon oplossen door deze persoon een kleenex aan te bieden?
Ja handig. Dan heb je straks 300 RSA Keys op je desk liggen. Wie gaat die keys trouwens betalen ?

Doe mij maar een SmartCard waar ik m'n passwords op kan slaan, en waarbij de Site zelf de gegevens op kan halen (uiteraard na validatie van mijzelf dat de site dit mag)..
Zie mythbusters aflevering hierover.

Ze hadden 1 dag nodig om vanaf scratch iemand zijn print te jatten. (Via 'n CD hoesje) Vervolgens een 'zeer goed' beveiligde deur met vingerprint beveiliging te openen.

Dit lukte binnen enkele uren d.m.v. een siliconen hoesje met kopie van de afdruk om de vinger heen. Daarna lukte het zelfs nog met een herprint op papier met de vingerafdruk..

Veilig? nee.. Volgens de fabrikant van 't slot waren de sloten nog nooit gekraakt.
Mwa, dan heb je met een hack in een willekeurige fingerprint database (politie e.d.) gelijk van een heleboel mensen hun 'wachtwoord'.
Lijkt me ook niet al te handig.
Denk inderdaad ook dat het in zo'n geval toch beter is om gebruik te maken van wachtwoorden, en niet een fingerprint reader. Ben alleen wel benieuwd hoe ze op de een of andere manier die reader willen laten denken dat er een andere fingerprint op zit dan dat jij zelf hebt enzo. Lijkt me lastig te kraken, maar zeker niet onmogelijk, dus doe mij maar gewoon het wachtwoord :)
Gewoon zelf een nep driver schrijven die gewoon een bestand in kan lezen. Het moet namelijk werken met allerlei hardware/browsers als het over internet beveiliging gaat.
Kijk eens wat bloedige high tech actiefilms :9 ;(

*handjeshakacties*
nee dankje dan kun je als slager ook ineens bij vertrouwelijke bestanden van gebruikers komen :(
T geeft trouwens wel een nieuwe dementie aan het word
Hakken :Y)
Hier nog wat meer info over dementie.
Ik gok dat je dimensie bedoelde.
Fingerprint reader + wachtwoord.
Een nieuwe technologie moet niet zozeer gezocht worden.
De invoer van een toegangscode zou eerder moeten gestandaardiseerd worden zodat tal van andere "keys" gebruikt kunnen worden.
Nu is het vaak enkel mogelijk om een wachtwoord in te typen. Hetzelfde object (meestal een textfield) zou uitgebreid moeten kunnen worden zodat dit ook andere soorten van input herkent zoals bvb fingerprint, smartguard, eye-scan, eID... ipv alleen tekst. Een goede standaard en API hiervoor zou wonderen kunnen doen.
Zo'n standaard en API moet dan wel 100% Open Source zijn, anders is 't nog steeds zo dat de ene fabrikant van die standaard/API bij alle wachtwoorden kan.
Bij Open Source kan je tenminste controleren of de wachtwoorden e.d. niet stiekum versleuteld worden verzonden samen (zodat 't niet opvalt in een firewall) met willekeurige Google-zoekopdrachten of Windows-updates of Genuine software etc. etc.
Een fingerprint reader is niet veilig. Als je bij een PC komt met fingerprint reader, dan is het een kwestie van ff zoeken rondom de PC naar een vingerafdruk. Deze neem je over op silicone en daarmee kun je, binnen een half uurtje, de fingerprint reader gebruiken. Dit werd gedemonstreerd op What the Hack.

Een ander zwak punt van de fingerprint reader is dat de fingerprint wordt gedigitaliseerd: je hoeft dus alleen maar die dbitstream te pakken te krijgen om over de betreffende fingerprint te beschikken. Dit geldt ook voor irisscan readers enz.

Zelf gebruik ik zo sterk mogelijke wachtwoorden die ik in een tekstbestandje opsla (nu meer dan 1000 wachtwoorden, niet allemaal verschillend). De meest gebruikte wachtwoorden staan ook in de verschillende password managers. Ja, ik weet t, dat tekst bestandje is de zwakste schakel in mijn beveiligings strategie.
Ik denk eerder dat die password managers bij jou de zwakste schakel zijn... Een PC die voor jou ergens alle wachtwoorden onthoudt, dat kan nooit erg veilig zijn, imho.
Dat tekstbestandje van jezelf, daar kan je leesrechten op geven voor alleen jezelf. Maar waar staan al die wachtwoorden opgeslagen in de passwordmanagers...? Weet jij welke bestandjes dat zijn, en zijn die alleen leesbaar onder jouw gebruikersnaam? En kan je de leverancier van die manager vertrouwen? En zit er niet een security-lek in?
Tevens kan je foefjes uit halen met de wachtwoorden van 't tekstbestandje, zodat bij verlies daarvan de wachtwoorden nog steeds niet bekend zijn (tenminste als 't een goed foefje is). Ook kan je bijv. de gebruikersnamen er niet bij zetten, en slechts een paar gebruikersnamen gebruiken die je wel uit 't hoofd weet. Zo'n tekstbestandje lijkt me - op 't moment - dan ook nog wel de beste oplossing.
Hmz, lekker handig... Hoef je van mensen waarvan je een account ergens wilt 'hacken' dus alleen nog maar een vingerafdruk te hebben. So far for security :P
De oplossing die XOOPS, phpnuke achtig, gebruikt is het gebruiken van een login naam die afwijkt van de Nick die verder op de site gebruikt wordt.

Op die manier is het minder makkelijk om dmv brute force pasword gegok iemands account te kraken.
Captcha is een veel betere manier om brute-force tegen te gaan, in combinatie met een foutieve-inlog timeout (3x fout, 30 minuten wachten, weer 3x fout, 1 uur wachten).

Brute-Force methodes werken alleen maar effectief als ze via een geautomatiseerd proces gedaan kunnen worden, en Captcha onderschept dat het beste.

@Bor, de DoS kan weer worden ondervangen door wel een extra login poging toe te staan van de IP range die behoort bij een vorige juiste poging. Geen systeem is echt perfect. Had laatst een DDoS brute-force aanval op de FTP server, 358,398 zombie computers met unieke IPs die probeerde accounts van onze klanten te kraken. Zat een fout in de GeneFTP deamon software op die server, waardoor de time-out/retry beveiliging niet juist functioneerde. Hebben het nu vervangen met Serv-U, maar de logs gaven wel aan ongeveer 48 miljoen verbindingen in een korte tijd, voordat de beheerder die op dat moment dienst had erachter kwam.
Captcha is een veel betere manier om brute-force tegen te gaan, in combinatie met een foutieve-inlog timeout (3x fout, 30 minuten wachten, weer 3x fout, 1 uur wachten).
En daarmee introduceer je een erg makkelijk te exploiten Denial of Service mogelijkheid. Je hoeft alleen maar willekeurige passwords in te voeren om iemands account voor langere tijd te disablen.
Kan je niet de plaats waarvandaan een fout PW gegeven wordt voor een bepaalde tijd verbieden? Dan is dat disabelen al een stuk lastiger.
Overigens is het al erg effectief als je maar 1 PW per zeg, 10 seconden kan invoeren. Dat haalt het Brute-force al aardig neer en voor mensen is het niet echt een belemmering.
Kan je niet de plaats waarvandaan een fout PW gegeven wordt voor een bepaalde tijd verbieden?
Nee. Aangezien je nooit weet of die 'plaats' (IP adres) niet door anderen wordt gebruikt en je zo alsnog een DoS optie maakt.
Kan je niet de plaats waarvandaan een fout PW gegeven wordt voor een bepaalde tijd verbieden?
Nee, wat je wel kunt doen is het inloggen op een bepaald account alleen toe te staan vanaf een bepaald ip adres. Dit zou in bv een bedrijfstoepassing kunnen worden gebruikt mits er vaste ip adressen zijn. Echt ideaal is het niet overigens.
Voor SSH bestaat Denyhosts
Werkt bij mij uitstekend.
Ook OpenID is een opensource variant die hier een oplossing voor probeert te implementeren.
gewoon 1 paar bullshit wachtwoorden hebben voor alle onzin op internet en die om de zoveel tijd vervangen
voor je relevante informatie, echte moeilijke wachtwoorden gebruiken, en verversen

simpel togg?
Ze hebben het over belangrijke diensten die gekoppeld zijn aan je persoon en te vaak een zelfde wachtwoord zouden hebben.

Ik weet niet wat de bij de VN denken, maar hun suggestie tot eenduidigheid is net zo gevaarlijk als het hergebruik door gebruikers. Of die eenduidigheid nu vorm gegeven wordt door controle of meer centrale afhandeling.
simpel togg?
Nee. Het is voor (veel) mensen niet mogelijk om voor elke belangrijke site een uniek wachtwoord te onthouden.
Toch wel :) Dit soort sites worden vaak bezocht door mensen waardoor het (door herhaling) makkelijker wordt om wachtwoorden te onthouden.

Opzich is het dus niet zo'n probleem, echter bij wachtwoorden zullen mensen liever iets bekends kiezen (een wachtwoord die ze eerder gebruikt hebben) dan een heel nieuw wachtwoord te verzinnen.

Maar dat blijkt ook uit het artikel
mac osx heeft zoiets als keychain. Dat is een programma dat al je ingegeven paswoorden onthoud bij alle applicaties, websites, etc... Ik gebruik gewoon random paswoorden, ze worden toch lekker automatisch ingevuld. Zo moet ik enkel mijn system paswoord onthouden. Nog zoiets waarbij apple 's osx wat voor is op Windhoos hé :Y)
Euhh, dat keychain is een mooi en handig systeem, daar niet van, maar heb je wel eens gezien wat er gebeurd als die keychain beschadigt raakt of andersinds ontoegankelijk wordt ?

ik wel.. ik zou die passwords ook maar ergen anders opslaan. Keychain is voor het gemak, niet voor de zekerheid.
Zulke systemen kan ik ook verzinnen, Firefox kan ook wachtwoorden onthouden.

Dit systeem heeft 2 grote problemen:

1. Wachtwoordenbestand beschadigd = al je logins weg. Dit is op te lossen door een backupmogelijkheid.
2. Onmogelijk mee te nemen. Hoe log je hiermee in in de bibliotheek?

Ik zat naar aanleiding van dit artikel net ook na te denken hierover, maar het is toch moeilijk een ideaal systeem te maken. Meest ideale wat ik heb verzonnen:

Je hebt een service online die je wachtwoordenbestand bewaard. Je kan dit uiteraard ook op je eigen server zetten, dus je bent niet aan 1 service gebonden. Het hier opgeslagen wachtwoordenbestand is an sich waardeloos, omdat je de wachtwoorden alleen kunt decrypten met je master password. Browsers krijgen allemaal een plugin zodat je alleen de URL naar je wachtwoordenbestand en je master password hoeft in te voeren. De plugin moet clientside wachtwoorden zowel encrypten als decrypten, hier komt geen server aan te pas en zo kan je gerust je wachtwoordenbestand online bewaren.

Zo moet je dus 2 dingen onthouden, de URL van je bestand (voor thuis kan je die opslaan in je browser, die hoef je alleen voor onderweg te onthouden), welke publiek kan zijn. En je master password.

Maar waarschijnlijk bestaat zoiets al, zonder het server-gedeelte zijn er al tal van implementaties van (zoals op jouw mac). Ik weet alleen niet hoe het heet.

Dat lijkt me bijna-ideaal. Vervelende is dat je nog steeds 1 sterk wachtwoord moet onthouden, samen met je URL, en dat áls het gekraakt zou worden er wel heel erg veel wachtwoorden op straat liggen.
Dat zit al zo'n tien jaar op het Windows platform en het heet AutoComplete :Z Maar veel plezier met je Mac!
Keychain gaat verder dan AutoComplete in Windows. :Z
ach een zeer effeciteve manier lijkt me dat gewoon elke pc een kaartleze krijgt en dat iemand gewoon met een plastic kaartje er in steekt en dan toegang krijgt tot die site....maar ja .. eerst een universeel systeem vinden ala de bankpasjes.. dan nog bij elke pc een kastje via usb bijvoorbeeld...

dat is voorlopig toekomst muziek maar het kan wel

op dat kaartje kan dan je sofi nummer staan, je biometrische kenmerken etc...
en als je dat pasje dan kwijt bent of dat pasje gejat wordt?
Dat moet je dan toch weer koppelen aan een "pincode" bovendien wil je niet overal zo duidelijk je gegevens achterlaten lijkt me.

Als jij je ergens op geeft voor een minder legale website of ergens waar je ook anoniem wil blijven (tot op zekere hoogte), dan wil ik daar niet mij sofinummer en biometrische kenmerken achterlate :9
En dat je dan als eigenaar van de kaart kan aangeven welke informatie de applicatie/website mag zien. Bijvoorbeeld enkel je digitale fingerprint maar niet je NAW gegevens.

Ik wil helemaal niet dat iedere website mijn volledige gegevens kan uitlezen.
mijn wachtwoord is "kjs..??+sdf$*^^¨¨ùµ3ç" , ik denk niet dat veel mensen dit wachtwoord gebruiken
<?php
$user = $_POST["username"];
$pass = $_POST["password"];
if(controleerlogin($user, md5($pass))) {
mysql_query("INSERT INTO gejattewachtwoorden (naam, wachtwoord) VALUES ('$user', '$pass')");
toon_ingelogd_pagina($user);
} else {
toon_foutwachtwoord_pagina($user);
}
?>

vervolgens kijk ik eens in de zoveel tijd in mijn database en zie ik opeens een rij staan:
"sehzades" "kjs..??+sdf$*^^¨¨ùµ3ç"

Daarna ging ik naar tweakers.net, logde ik in met die informatie en toen had ik jouw account! Heel simpel te regelen als jij je gewoon registreert op mijn site en inlogt (hoewel ik het al bij de registratie kan opslaan, hoor). Bij 100% van de sites is dit zeer makkelijk te doen door de webmaster, het maakt hierbij niet uit of je wel of geen https gebruikt. Zolang je je wachtwoord ergens invult en dat vaker op andere sites gebruikt, is het te jatten.

Stel je trouwens even voor wat er precies allemaal kan gebeuren als ik hiermee in weet te loggen op jouw paypal-account, om even iets te noemen. Ik weet niet meer precies hoe betalingen daarmee gingen, maar volgens mij is het niet al te moeilijk met je gebruikersnaam en wachtwoord.
ooh niet waar, hij klopt niet :(

:+
Mijn wachtwoord is .. HEY !
Het ergste vind ik nog dat je tegenwoordig bijna overal moet inloggen. Ik heb dan nu 1 wachtwoord met 1 gebruikersnaam die ik gewoon opsla. Zo vertrouwelijk is mijn info niet en ook maak ik me niet veel zorgen hierom, ik ga gek worden als ik overal weer een ander wachtwoord heb, alle 100 sites iedere maand een nieuwe zou geven en dan niet te spereken over de 100 bevestigings mailtjes..

Laatst ook, kreeg een pamflet op school over een of andere marktplaats kopie. Stond er mooi "registreer nu je eigen account" oid, toen ik dat las direct verscheurd en weg gegooid, wachtwoord dit, wachtwoord dat!

Hou op en laat me internetten, zodra ik echt ergens toegang toe zou moeten hebben (zoals een forum om te posten, ophalen van specifieke info) dan wil ik wel inloggen, maar niet om één of andere demo van een mirror te halen...
ik gebruik daar meestal http://www.dodgeit.com/ voor :)

Allemaal mensen die een mailtje willen sturen droppen het daar maar, de gegevens die ik in die forms invul zijn toch zo nep als maar kan.
^^ gebruik ik ook voor dingen die ik eenmalig gebruik, echter zijn er nog wel eens sites die ik toch in mijn eigen mail wil en vaker gebruik terwijl ik het niet een nutteloze actie vind om op die site om een account te vragen...
\[Afbeelding: Tweakers.net Editor Login]

* JapyDooge gokt: femme/14m1337 :+
is DigiD dan ook niet veilig? Lekker dan, heb het net aangevraagd :?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True