Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 153 reacties

Hackers hebben voor de tweede maal een lijst met de inloggegevens van twintigduizend mailaccounts op het web gepubliceerd. Op de lijst staan ditmaal niet alleen Hotmail-accounts, maar ook gegevens van Gmail- en Yahoo-gebruikers.

De lijst is opnieuw op de website Pastebin.com gepubliceerd, kort nadat onbekenden een bestand met gegevens over tienduizend Hotmail-accounts op de site hadden geplaatst, zo meldt de BBC. De Britse omroep stelt dat de nieuwe lijst twintigduizend accounts beslaat en dat hier niet alleen Hotmail-accounts onder vallen, maar dat er ook diverse Gmail- en Yahoo-accounts tezamen met inloggegevens van andere providers worden genoemd. Een deel van de inloggegevens zou zijn verouderd, maar het merendeel blijkt volgens de BBC te werken.

Onduidelijk is of het gaat om buitgemaakte inloggegevens van de maildiensten zelf, of dat het gaat om gegevens van Windows Live ID. Microsoft roept aan zijn gebruikers op om voor de zekerheid een nieuw wachtwoord te kiezen. Inmiddels is Pastebin, een website waarop ontwikkelaars tijdelijk stukken code kunnen plakken, door de eigenaar offline gehaald nadat hij de afgelopen dagen het dataverkeer enorm zag groeien. Hij stelt dat er aan zijn site eerst de nodige aanpassingen verricht zullen worden voordat de dienst weer online zal gaan.

Update 6/10 14:50: Google bevestigt dat de accountgegevens van een aantal Gmail-accounts zijn gepubliceerd. Volgens de zoekgigant gaat het om een 'industriebrede phishingzaak' en heeft het de wachtwoorden van de getroffen accounts gereset.

Moderatie-faq Wijzig weergave

Reacties (153)

Er wordt hier veel gepraat over het toepassen van extreem complexe wachtwoorden en combinaties. Echter is er al vaker een discussie over geweest dat dit eigenlijk te ingewikkeld is en het doel voorbij schiet.
We find that traditional password advice given to users is somewhat dated. Strong passwords do nothing to protect online users from password stealing attacks such as phishing and keylogging, and yet they place considerable burden on users. Passwords that are too weak of course invite brute-force attacks. However, we find that relatively weak passwords, about 20 bits or so, are sufficient to make brute-force attacks on a single account unrealistic so long as a "three strikes" type rule is in place. Above that minimum it appears that increasing password strength does little to address any real threat If a larger credential space is needed it appears better to increase the strength of the user ID's rather than the passwords. For large institutions this is just as effective in deterring bulk guessing attacks and is a great deal better for users. For small institutions there appears little reason to require strong passwords for online accounts.
Bron: Schneier.com

Veel van deze informatiesystemen maken gebruik van inlogprocedures waar je na een bepaald aantal pogingen tijdelijk wordt geblokt. Je zou dan, theoretisch gezien, beter gewoon voor een zinnetje kunnen gaan als wachtwoord dan voor een complex wachtwoord wat je zelf niet kan onthouden.

Nadeel is echter dat ook veel informatiesysteem de belachelijke eis stellen dat je wachtwoord minimaal 6 (goed) en maximaal 15 (???) tekens mag bevatten. Het is jammer dat men dat soort eisen nog stelt. Wanneer wachtwoorden namelijk gehashed opgeslagen worden in de database, dan zijn dit soort eisen gewoonweg overbodig. Het wachtwoord zal dan altijd dezelfde ruimte innemen, dus er wordt daar niets op bespaard. Hoogstens kan bespaard worden op performance door de wachtwoorden plain-text op te slaan.

Een ander iets wat ik me afvraag is hoe de BBC heeft kunnen verifiëren dat de gegevens 'voor het echie' zijn. Wanneer zij namelijk besloten hebben om gebruik te maken van de lijst en om dus in te loggen op enkele van deze accounts, dan zijn ze mijns inziens toch niet geheel legaal bezig.

[Reactie gewijzigd door Prx op 6 oktober 2009 15:21]

Misschien heeft men aan die e-mail adressen een mailtje verstuurd met de vraag: "is dit uw wachtwoord?" Als dan iedereen "nee" antwoord, weet je genoeg.
Ik denk dat het gewoon resultaten zijn van phishingaanvallen. En van die sites waarbij je enorme prijzen kan winnen als je even je inloggegevens incl. pass achterlaat.

Dan verdien je het ook dat het op straat komt te liggen vind ik.
Als je het originele artikel bij de BBC leest dan is de eerste zin die je zult lezen "The scale of a phishing attack originally thought to be directed at Hotmail may be larger than previously thought.".

Een belangrijke zinsnede die het tweakers.net artikel mist en die heel wat meer duidelijk maakt is de volgende: "The list contains e-mail addresses and passwords from Hotmail, Yahoo, AOL, Gmail and other service providers.".

Die tweede zinsnede onderstreept de eerste zin van het artikel. Als je bedenkt dat er nogal wat fake spul tussen zit en niet werkende passwords e.d. is het ook al vrij snel duidelijk dat het hier ook veel eerder om de vangst van phishingattacks gaat dan om een hack van Hotmail, Gmail en Yahoo. Helaas impliceert het tweakers.net artikel nogal dat er eerder van dat laatste sprake is.
wat een onzin.
Niet iedereen weet hoe het allemaal werkt.
Mijn familie weet dat ook niet.
Zoals zoveel mensen.
En dan mogen hun gegevens maar gejat worden?
Als je over straat loopt en een of ander obscuur persoon bied je een "gratis" auto aan, dan ga je daar toch ook niet op in, waarom dan ineens wel als precies hetzelfde op i'net gebeurd? Dan zijn er ineens genoeg mensen die overal op alle linkjes klikken, overal maar hun gebruikersnaam+wachtwoord invullen etc. Of als iemand je om je pincode vraagt sta je die ook niet af, en op i'net lijkt het de normaalste zaak van de wereld te zijn om je gebruikersnaam en wachtwoord overal te laten slingeren.

Samengevat: Gebruik gewoon je gezond verstand en doe op i'net niks wat je "in het echt" ook niet zou doen, anders hoor je niet thuis op het i'net.
Er zijn genoeg voorbeelden waarbij mensen door babbeltruucs hun pincode afgeven. Veelal ouderen. En laat zij nou juist de doelgroep zijn van phishing-spam
Beweer jij nu dat ouderen niet overal hun MSNaccountgegevens moeten achterlaten?
Maar wat indien er een cameraploeg omheen staat, met op de achtergrond een busje van SBSzwets en je dan een gratis auto aangeboden krijgt.
Ik weet niet wat ik dan zou doen terwijl ik normaal 3 keer over mijn schouder kijk..
Kijk toch niet altijd naar je eigen situatie bij zo'n dingen. Er zijn veel mensen die een gratis auto zouden aannemen door hun persoonlijke status, je zal er zelfs vinden die er voor willen moorden. Het gaat niet altijd om intelligentie, Einsteinn kon je waarschijnlijk ook veel loeren lappen.
Ja.. je bent wel een enorme ezel als je ergens je gegevens achter laat. En vooral als het om een password of iets dergelijks gaat.

Dat is net zoiets als je PIN code openbaar maken. En dan is het niet meer de vraag OF je bestolen wordt, maar wanneer.

Edit: Phishing vind ik dan wel even iets anders...

[Reactie gewijzigd door dsmink op 6 oktober 2009 12:54]

Ja op zich ben ik het met je eens, maar ik kan me ook voorstellen dat veel mensen niet het verschil zien tussen "legitieme sites" en louche sites.
Kijk naar Facebook bijvoorbeeld, daar kun je ook aan de hand van je e-mailadres+wachtwoord kijken wie van jouw contactpersonen ook lid is van Facebook en deze dan meteen uitnodigen.
Ik persoonlijk vertrouw Facebook hier al niet genoeg voor, anderen weer wel (waarschijnlijk zal Facebook er zelf niks mee doen, ik ben ook eerder bang dat de Facebook database gehackt zou worden en op die manier mensen in mijn hotmail-account zouden kunnen komen), weer anderen zien niet het verschil tussen een site als Facebook en de "kijk wie je geblockt heeft" site.
Dit verschil is er fysiek ook niet, het enige verschil is dat Facebook groot, bekend, enz. is en een naam hoog te houden heeft.

Ik denk dat het een soort van over-reactie is van mensen, eerst vertrouwen ze alle sites waar e-mail+wachtwoord gevraagd wordt voor een bepaalde service niet, dan blijkt dat je een service als die van Facebook veilig kunt gebruiken, vervolgens zijn ze makkelijker te overtuigen voor de hier overbekende phishingsites als kijk-wie-je-geblokkeerd heeft.

Dit is natuurlijk maar van één kant bekeken, ik snap ook wel dat met dit soort situaties veel meer factoren spelen.

Edit: want zeg nou eerlijk, als Facebook niet zo bekend zou zijn als het nu is, wie zou mij dan de garantie willen geven dat ze deze gegevens niet voor andere doeleinden zouden gebruiken dan de service die ze aanbieden of zelfs doorverkopen? Waarschijnlijk zouden heel wat minder mensen dit dan vertrouwen.
Mijn punt is dus dat het vertrouwen op internet vaak gewekt wordt door de bekendheid ervan. Is dit waarop je de vertrouwelijkheid van een site kan baseren?
Er zullen dus helaas nog altijd veel mensen zijn die in veel internetgein trappen.

En ja, het is inderdaad het beste om nergens deze gegevens in te vullen, maar zolang er leuke services bestaan zoals die van Facebook (en minder leuke zoals die van kijk-wie-je-geblokkeerd-heeft) zullen er mensen zijn die deze gegevens wel invullen.

[Reactie gewijzigd door crizyz op 6 oktober 2009 14:48]

Ik snap nogsteeds niet dat iemand zijn login gegevens zou achterlaten.
Kom zoveel sites tegen waar staat..''U bent de MILJOENSTE bezoeker, klik hier om je prijs te claimen''
Bij zoiets ga je toch niet je login gegevens achterlaten :o
Eigenlijk moet je nergens je gegevens achterlaten! Ookal staat er 'u heeft 10 miljoen euro gewonnen'

Gewoon nergens je info invullen, als je de site niet kent!
Er zijn er zat die dat doen. Bij phishing gaat het er ook om dat bepaalde sites die men als betrouwbaar acht zo nauwkeurig mogelijk nagebouwd worden. Voor de gewone gebruiker lijkt zoiets dan gewoon als de site die ze kennen en vertrouwen. Beetje van hetzelfde niveau als de bekende meterstandtruc (men doet zich voor als iemand die de meterstand komt opmeten maar in feite jatten ze de nodige spullen van je). Het kan heel erg geraffineerd gebeuren waardoor zelfs een professional toch wel even 2x moet kijken. Voor sommige mensen is minder ook al geraffineerd genoeg omdat het voor hun al als betrouwbaar over komt.
Mocht ik ooit iets bij dubieuse sites invullen gebruik ik altijd een "spam" adres. Dus als ze die hacken weten ze niks. (natuurlijk niet met mijn normale username en pw)
nieuws: Microsoft bevestigt publicatie van gestolen Hotmail-accounts
In dit vorige bericht werd door Microsoft geclaimed dat de gegevens niet van hen afkomstig zijn. Microsoft vermoedde phishing of iets dergelijks.

Aangezien nou ook Gmail en Yahoo inloggegevens verschijnen begin ik me toch wel af te vragen waar ze deze gegevens vandaan halen.

Ik twijfel dat ze zowel Hotmail, Gmail als Yahoo gegevens hebben kunnen scoren dmv phishing. Iemand die toegang had tot de gegevens lijkt me ook sterk, omdat ze het van 3 bedrijven hebben.

Iemand een idee hoe ze zoveel gegevens hebben kunnen verkrijgen?
Als je het originele artikel van de BBC leest dan zul je daar ook zien staan dat naast Hotmail, Gmail en Yahoo er ook nog diverse andere partijen waaronder Comcast en Earthlink de sjaak zijn. Ook kun je lezen dat de nodige gegevens fake zijn of dat wachtwoorden niet meer werken. Met die gegevens wordt een hack al vrij onwaarschijnlijk en is phishing toch echt heel wat waarschijnlijker.

Je kunt bij iets als MSN Messenger (of Windows Live Messenger zoals het tegenwoordig heet) een Hotmail/Live adres registeren die je dan kunt gebruiken als LiveID en om dan te kunnen chatten. Er zijn echter ook mensen die daar niet zo op zitten te wachten, ze hebben zelf al een mailadres maar willen alleen kunnen chatten via MSN. Voor die groep heeft Microsoft de mogelijkheid om dan je eigen mailadres voor MSN te gebruiken. Er zijn inmiddels diverse sites die dit soort logingegevens via social engineering buit maken. Een gebruiker krijgt dan van iemand uit z'n contactlist een berichtje dat zijn/haar foto's zijn gespot. Je krijgt dan een link en als je erop klikt krijg je een site waar je dan moet inloggen met je MSN gegevens. Veel mensen doen dat ook klakkeloos want ze willen die foto's zien. Ze lezen dan niet de kleine lettertjes dat de logingegevens opgenomen worden in de database van de site en dat die gebruikt worden voor hunzelf en 3rd parties om berichten te sturen. En dat gebeurd dan ook, zo worden er middels die buitgemaakte accounts weer berichten naar de mensen in de contactlist van het buitgemaakte account verstuurd dat er foto's van hun op internet staaan, etc. etc. etc.

Mensen gaan nogal slordig om met gegevens, hebben vaak een onterecht vertrouwen in een website en weten soms ook gewoon van niets (onwetendheid van phishing en het feit dat men met je accountgegevens aan de haal kan gaan). Dat zijn even in het kort de redenen waarom dit mogelijk is en ook hoe ze dit soort gegevens hebben weten te verkrijgen. Social engineering heet dat dus.
Het kan zijn dat dit allemaal emailadressen zijn die geregistreerd zijn voor een Windows Live ID (dus een bestaand email adres gebruiken voor MSN) dan ben je al "daar" met zo'n fake "check wie je geblokt" heeft site. De kans dat alle 3 de systemen gehackt zijn lijkt me niet heel groot, het zal dus via een van deze 3 gaan, waarbij ik erop gok dat dit allemaal door een "check wie je gebokt heeft" site komt. Ook aangezien er in de inleiding word aangegeven dat het om een lijst gaat waar niet alleen hotmail accounts op staan, dit kunnen dus ook 150.000 hotmail accounts zijn en 50.000 gmail en yahoo accounts, dat lijkt het probleem nog steeds bij hotmail te zitten.
Mwah, jouw scenario lijkt mij onwaarschijnlijker als phishing, van het laatste weten we gewoon dat het werkt.
@ Tijger:
Zijn scenario is phishing ;)

Althans, als ik naar de betekenis van het woord kijk, Wikipedia zegt het nabootsen van een site, maar wat als je gegevens onttrokken worden door iets in te vullen als op zo'n "kijk wie je geblokt heeft" site, deze doet zich niet voor als een officiële Windows Live pagina (vermoed ik) maar laat ook niet zien wie je geblokt heeft, is het dan een phishing site of niet?

Edit: @ RobertMe
Het kan zijn dat dit allemaal emailadressen zijn die geregistreerd zijn voor een Windows Live ID
waarbij ik erop gok dat dit allemaal door een "check wie je gebokt heeft" site komt
dat lijkt het probleem nog steeds bij hotmail te zitten
Ligt dus aan mensen die Windows Live ID gebruiken en in zo'n "check wie je geblokt heeft"site trappen, niet aan hotmail dus.

[Reactie gewijzigd door crizyz op 6 oktober 2009 15:35]

Ligt dus aan mensen die Windows Live ID gebruiken en in zo'n "check wie je geblokt heeft"site trappen, niet aan hotmail dus.
Ik bedoelde dus dat het probleem in de hotmail hoek zit, niet dat het lek bij hotmail zit. Gmail en Yahoo staan hier denk ik helemaal los van, behalve dat het toevallig emailadressen van hun zijn. Terwijl hotmail hierbij betrokken is doordat doelbewust naar Windows Live ID's word gevraagd. De wie heeft je geblokt sites zijn er voor hotmail/msn, en tja, dan kan er wel eens een gmail en yahoo account langs komen
Nou nee dus, zie de update. Gmail en Yahoo zijn net zo lek als Hotmail of Windows Live ID...niet dus.

Industriebrede phising aldus Google. Of ben je een ABM'er?

[Reactie gewijzigd door Tijger op 6 oktober 2009 20:25]

Net doordat het gegevens van meerdere bedrijven zijn zou ik aan phishing denken...
Ik vraag me af zouden dit niet wachtwoorden zijn die gestolen zijn via de site's van wie heeft mij geblockt en dergelijke. Dit lijkt me zeer goed mogelijk en waarschijnlijker dan dat ze uit de database van Microsoft zijn gehaald. Wat is makkelijker dan mensen die vrijwillig hun password afgeven ;)
Aan de lijst te zien is het gewoon via zo'n website geharvest, want er staan vermeldingen in met typfouten, zoals hotmai.com of hotmail,com maar wel met wachtwoord. De meeste worden daarna wel gevolgd door het goede emailadres. Ook staan er vermeldingen in van hetzelfde emailadres met twee verschillende wachtwoorden.
Op Yahoo staat in ieder geval iemand die voor gratis Microsoft Points ging en daarna z'n account niet meer in kon http://answers.yahoo.com/...qid=20091005205552AAumigq
Greedy people are the easiest to fool
klink misschien grof, maar als je daarvoor valt dan is het gerechtvaardigd dat je je accounts kwijtbent. Deze persoon zal allessinds de volgende keer beter opletten
Ik mag hopen dat iedereen verschillende passwords op z'n accounts heeft? Op de Mac gebruik ik 1Password, echt geweldig. Randomized passwords per account, browser-integratie etc.

Welke password managers worden aanbevolen voor Windows en Linux?
Ja, op zich is een password manager geweldig, maar ja, dat is net zo hard een 3rd party product (tenzij ingebouwd in OS). Dat betekend dat er misschien vanuit de plugin wel inloggegevens kunnen worden, dat vertrouw ik eigenlijk al helemaal niet ;)
Dan maak ik me al niet eens meer zorgen om die passwords. Op moment dat men vanuit de plugin logingegevens gaan plukken betekent dat je computer als geheel compromised is en daarmee dus ook alle data die erop staat. Dat is een veel ernstigere situatie. Een password manager is dan ook geen stuk software die je beschermd tegen het hacken van je computer. Een password manager is niet meer dan een stukje software die je wachtwoorden beheert door ze versleuteld in een database op je lokale opslag op te slaan. Die password managers hebben voor het gemak een plugin voor de webbrowsers zodat je eenvoudig de accountgegevens aan kunt laten vullen. Vooraleer dat gebeurd moet je dikwijls eerst een master password invoeren. Ook hebben deze managers de mogelijkheid om die plugins aan en uit te zetten, een plugin is geen vereiste! Je hebt dus heel veel controle over de manier waarop deze password managers functioneren. En dan heb ik het alleen maar over de password managers die met plugins werken, er zijn er ook zat die standalone zijn en waarbij je de gegevens moet copy-pasten.

Om nog maar even wat andere security issues te plaatsen:
- Als je gegevens copy-paste dan komt dit in het geheugen terecht en ook dat is exploitable, ook wanneer het in je swap file terecht komt.
- Men kan gebruik maken van een softwarematige of hardwarematige keylogger en op die manier alsnog al je usernames en passwords achterhalen, ook al heb je die alleen maar in je brein zitten.

Met andere woorden: je loopt overal en altijd wel een zeker risico. Het gaat er alleen om hoe groot de kans is dat ze je op zo'n punt pakken en wat je doet op moment dat zoiets gebeurd. Een password manager kan je prima helpen om bepaalde risico's in te perken.
Ik gebruik sinds vandaag KeePass, dat is portable software (hoef je dus niets voor te installeren). Dan hoef je maar een hoofdwachtwoord te onthouden. Op GoT staan ook wel berichten hierover.
Wat je geen ruk gaat helpen als je het bewuste Hotmail/Gmail/Yahoo password op een phishing site intypt. Dit zijn allemaal kunstgrepen die alleen werken als jij je hersenen blijft gebruiken en niet in phishing trucks trapt.
Dat is helemaal waar, maar het maakt het wel eenvoudig om betere en meer verschillende wachtwoorden te hebben, omdat je ze niet moet onthouden. Ook is het nu eenvoudiger om ze regelmatig te veranderen, ook omdat je dan niet steeds een nieuwe serie moet gaan stampen.

Edit: bovendien heb je dan geen last meer van keyloggers, omdat al je wachtwoorden opeens veranderd zijn in CTRL-V _/-\o_

[Reactie gewijzigd door deblaauwn op 6 oktober 2009 14:33]

Ik schreef 'phising sites' dan ook voor een reden :P

Ik zeg niet dat dergelijke software niet handig is maar de mensen die in phishing truuks trappen en keyloggers hebben zijn meestal niet degenen die dit soort software hebben.
Keyloggers kunnen helaas prima je clipboard uit lezen. Dus dat maakt helaas niks uit.
http://keepass.info/

Deze vult login gegevens eventueel ook automatisch voor je in. Versleutelt je gegevens. En is open source dus heeft een open karakter.

Er is ook een portable variant (voor op je geheugen stick) http://portableapps.com/apps/utilities/keepass_portable
OpenSource, dus iedereen kan zo in de source lezen hoe het programma z'n wachtwoorden bijhoudt en desgewenst een versie bakt die automatisch je passwords decrypt en opstuurt. Nee dank je.
Dat kan, maar je kan pas decrypten met het masterpassword. Dus al heb je de database en al weet je hoe de encrypte werkt, zonder het masterpassword kan je er nog niks van maken :-)

En het masterpassword is dan natuurlijk wel een password dat je zelf even moet onthouden. Daarvoor moet je natuurlijk een sterk password kiezen, maar dan is het probleem van vele verschillende sterke passwords wel gereduceerd tot een enkel sterk password.
Volgens mij begrijp je het open karakter van open source niet helemaal.
Er zit nog een community aan vast, he. Iedereen kan checken of en hoe lek de versleuteling is, dat publiceren en/of verbeteren. Waarna de community weer inzage heeft, etc.

[Reactie gewijzigd door Fireshade op 6 oktober 2009 15:00]

Voor mij is er maar een password manager, en dat is mijn brein. De rest vertrouw ik niet, en mocht ik m'n wachtwoord zijn vergeten, dan kan ik die altijd laten opsturen of veranderen. Ideaal vind ik zelf.
Maarja, als je nou 20 verschillende sites hebt, en 20 verschillende wachtwoorden moet gebruiken en die ook nog eens om de zoveel tijd moet veranderen, wordt het een stukje lastiger.
Brein staat toch niet zo goed bekend ;) .
Ik heb even gekeken: 145 logins in 1Password. Geen geintje, het zijn gelukkig zowel een hoop zakelijke als prive-accounts :)

Denk bv. maar aan management interfaces van printers, routers, system management software, een hoop web-accounts etc. Dan vliegen de verschillende accounts je werkelijk om de oren... Niet leuk om in /dev/brain te moeten bewaren 8)7
Ik heb mijn eigen online password tool (achter HTTPS), wat in feite gewoon een database is met sites en hun bijbehorende random salts. Op basis van die salt en een master password die nergens staat opgeslagen wordt er een hash berekend bij het invullen van het masterpassword. Dat is uiteindelijk het wachtwoord om in te loggen bij de betreffende site. Dit gebeurt allemaal met javascript in de browser, zodat het masterpassword nooit het net over hoeft te gaan. En het is online, zodat ik altijd en overal bij mijn wachtwoorden kan :)
Firefox doet dit ook.
ze zijn lkkr op gang zo te zien }> word toch maar tijd dat ik me pass verander :P
Sowieso is het slim om
A. verschillende wachtwoorden voor verschillende sites/doeleinden erop na te houden.
B. Regelmatig je wachtwoorden te wijzigen.
C. Een sterk wachtwoord te gebruiken
D. Deze niet op een briefje te bewaren in de buurt van je PC

Maar welk supermensch is uberhaupt in staat dat te doen? Ik ben een intelligente vent, maar ik kan toch echt geen 10+ sterke wachtwoorden onthouden hoor, laat staan dat ik dan nog weet bij welke site ze horen. Het is gewoon een té hoge eis voor een standaard PC gebruiker. Ik weet dat er tooltjes voor zijn, die je passwords managen, maar dat lijkt me ook verre van ideaal. Bovendien zijn die om andere redenen weer zwak qua beveiliging (kraak de tool/pw voor die tool en je hebt toegang tot alles).

Ik denk dat de meeste mensen het doen zoals ik en dat dat zo ongeveer zo veilig is als je het zult krijgen: verschillende gradaties voor verschillende soorten sites. Fora waar het me reet zal roesten dat mijn account daar gehackt wordt krijgen allemaal hetzelfde niet al te ingewikkelde wachtwoord, secondary mailaccounts/normale sites etc een andere iets moeilijkere en de PC zelf/internetbanierachtige dingen/hoofdmailaccounts etc krijgen een erg sterk maar lastig te onthouden wachtwoord.
Maar welk supermensch is uberhaupt in staat dat te doen? Ik ben een intelligente vent, maar ik kan toch echt geen 10+ sterke wachtwoorden onthouden hoor, laat staan dat ik dan nog weet bij welke site ze horen. Het is gewoon een té hoge eis voor een standaard PC gebruiker. Ik weet dat er tooltjes voor zijn, die je passwords managen, maar dat lijkt me ook verre van ideaal. Bovendien zijn die om andere redenen weer zwak qua beveiliging (kraak de tool/pw voor die tool en je hebt toegang tot alles)
Verre van ideaal? Ik vind het net interessanter om zo'n tool te hebben dan steeds te moeten twijfelen welk wachtwoord ik nu weer had gekozen voor welke website! Zelf gebruik ik hiervoor meuk: KeePass Password Safe 2.0.9, je mag natuurlijk je master password niet vergeten ;)

Wat betreft het veilig zijn of niet van zo'n tool dat zijn zaken die je zelf in de hand hebt, je database online gaan zwieren is geen goed idee natuurlijk en je key's of andere publiceren ook niet. Je kan het anderzijds ook extreem doen en het programma alleen draaien op een pc die nooit online zal komen maar oei daar is de inbreker dan weer die die pc kan meenemen, je zou de database dan nog kunnen bewaren op een USB stick maar zo'n dingen worden ook regelmatig kwijtgespeeld ... vooral in de UK zijn ze daar specialist in ;)

Het grote probleem is volgens mij dat veel mensen gewoon nog niet weten hoe om te gaan met digitale informatie & de opslag daarvan. De eerste jaren dat ik op internet zat was ik ook van mening dat mijn volledig leven digitaal gepubliceerd moest zijn maar met het ouder worden & de ervaring ben ik hier van afgestapt. Anderzijds is het ook zo dat steeds meer mensen met hun echte identiteit op het internet surfen, het gebruik van een nickname is met toepassingen zoals Facebook bijvoorbeeld volledig achterhaald. Je kan dit positief bekijken om fraude tegen te gaan maar het risico op digitale identiteits-diefstal is hiermee een stuk groter.

Men moet gewoon leren van hoe sterk de wachtwoorden ook zijn (of hoe zwak), probeer gewoon zoveel mogelijk te voorkomen dat er zaken online staan zijn waar anderen niet aan mogen kunnen. Om een voorbeeld te geven, bewaar geen registratie / welkom mails van websites waarop je je net geregistreerd hebt in je online mailbox ...
Behalve Gmail heb ik geen andere mail meer.

Iedere keer als je Windows opnieuw installeerd zijn alle oude mailtjes inclusief die aanmeldingsmail en afmeldingsmails allemaal weg, dus dat werkt niet.

Te vaak overstappen van provider zodat je steeds mail binnenkrijgt op diverse adressen is ook onhandig. Ik ben begonnen met e-mail bij Talahassee Freenet (1993) , kreeg e-mail bij de HZ, daarna kwam Planet Internet, toen Abel, dat werd InterNLnet en nu is het Zeelandnet. In 2004 heb ik G-mail aangevraagd. Ik zat toen bij Planet Internet. Nu krijg ik bij Gmail nog steeds e-mail binnen die eigenlijk naar dat Planet Internet adres is gestuurd, en tot voor kort zelfs e-mail die naar freenet is gestuurd, daar via autoforward naar Planet, jaren nadat zowel het Planet Internet adres als dat bij freenet is opgehouden te bestaan.

Sinds dat alles loopt bij via Gmail is er enige continuïteit en overzichtelijkheid.
Misschien moet je het concept van een "backup" eens uitzoeken. Dan raak je niet constant die mailtjes kwijt..
waarom doe je geen imap of pop3 maar mails op server laten staan. zo haal je alleen je mailtjes op zonder ze van de server te verwijderen.

al moet ik zeggen dat gmail helemaal geen slechte keus is. maar ik vind je probleem van opnieuw installeren een beetje raar :o
Verre van ideaal? Ik vind het net interessanter om zo'n tool te hebben dan steeds te moeten twijfelen welk wachtwoord ik nu weer had gekozen voor welke website! Zelf gebruik ik hiervoor meuk: KeePass Password Safe 2.0.9, je mag natuurlijk je master password niet vergeten ;)
:y: die gebruik ik ook, veel beter. In plaats van een wachtwoord twintig keer opnieuw gebruiken heb je dit nu in een database bij je.

Dit programma kan m.i. nog wel wat vlotter (mbt interface) zijn, maar het zal wel heel veel aan hashing en encryptie van alles doen zodat hij hier veel tijd aan kwijt is.
D. Deze niet op een briefje te bewaren in de buurt van je PC
Waarom niet? Zelfs Bruce Schneider is van mening dat het geen slecht idee is om password op te schrijven: http://www.schneier.com/b...5/06/write_down_your.html
Hij zegt dat je dat papiertje vervolgens bij je kostbare bezittingen (portemonnaie) moet houden. Dat is wat anders dan een post-it op je monitor, wat ik vaak zie. Zelfs bij directeuren van een bedrijf hangt het wachtwoord gewoon aan de monitor. En ook in ziekenhuizen e.d. hangen wachtwoorden gewoon aan post-its aan de PC. Dat vind ik geen fijne gedachte, als straks elke arts (en dus elk persoon dat even ongezien een kantoortje in kan tijdens de arts zijn lunch) toegang heeft tot mijn patientendossier.
Het eerste wat je ript als je iets va iemand wil, zijn het toch wel de kostbare bezittingen.
Als je al beziet hoe zorgvuldig de meeste mensen bij deze bezittingen omspringen kan je ze beter aan de monitor hangen.
D. Deze niet op een briefje te bewaren in de buurt van je PC
Voor het leeuwendeel van je wachtwoorden is het juist een goed idee dit wel te doen. Dat bevordert de haalbaarheid van punten A, B en C zonder de veiligheid te verminderen.

Online wachtwoorden gebruik je ter beveiliging tegen andere internetgebruikers. Het niet opschrijven van wachtwoorden beveiligt enkel extra tegen inbrekers die specifiek op zoek zijn naar jouw wachtwoorden.

Gebruik je verstand, denk na waartegen je beveiligt en handel dienovereenkomstig.

Uiteraard zou een ssh-agent-achtig certificaatmanagementsysteem makkelijker en veiliger zijn maar probeer dat iemand maar eens wijs te maken.
E. Geen wacht "woorden" gebruiken maar nietszeggende combinaties van letters en cijfers.

En ja, die kan je onthouden. Jij verzint een zin, neemt telkens de eerste letter van elk woord en nog 3 getallen en een leesteken en je kan het probleemloos onthouden.
helemaal mee eens!
zo is het namelijk totaal niet moeilijk om een 15+ char pass te onthouden, en dat word al redelijk moeilijk te bruteforce.

en zoals al meer gezegt hier, meerdere gradaties hebben in wachtwoorden, minder complexe voor dingen als fora (min 8 chars) oplopen tot de zware passes van 15+.


als het een phising is weet ik wel zeker dat mijn gegevens er niet tussen staan. blijkbaar is het een erg geslaagde actie geweest als ze 20K aan gegevens hebben kunnen krijgen.. toch wat meer mensen inlichting krijgen over de gevaren van het net?
Of je gebruikt de WPA/WEP sleutel van je router. Of inderdaad gewoon sterke wachtwoorden die beginnen met een hoofdletter/cijfer/letter/etc en dan een teken aan het einde zoals @!#$%^&*()_+
Ja, die lijkt mij erg handig! Shift + 2 t/m '='!

Ik ga hem gelijk gebruiken!

:P
Volgens mij zitten dit soort "logische" teken rekensen allemaal wel ergens in een hash database online...

dus of dat nu wel zo heel veilig is??
Tja, en dan moet je die zin ook weer onthouden... vergis je niet in hoe moeilijk het is voor veel mensen redelijk simpele dingen te onthouden...
Daar komt bij dat verschillende sites, verschillende eisen stellen aan de wachtwoorden, minimaal 8 of maximaal 8 karakters, wel of geen bijzondere tekens erin en ga zo maar door. Om dan nog maar niet te spreken over programmas hier op het werk die iedere 4 weken een andere willen hebben die dan weer niet lijken op de vorige 24?????
Ik verzin gewoon iets willekeurigs en dat herhaal ik een paar keer.
Dan krijg je zoiets als:
K1bNsp8gOl372q
Of je onthoudt 1 sterk wachtwoord en plakt er (een deel van) de website waarvoor het wachtwoord is aan vast. Voila, voor iedere website een ander password en toch "onthoudbaar" :)
Of gebruik Passwordmaker, die doet ongeveer wat jij beschrijft maar dan iets geavanceerder (master password en een deel van de url (het domain) wordt gehasht naar een handjevol bagger (zoiets als JIR#T)LB bijvoorbeeld)
dat lijkt me niet handig, moet je altijd dat programma bij je hebben of downloaden als je even snel je mail wilt checken ergens
Voor Firefox bestaat de tool Password Hasher die deze functionaliteit ook heeft, maar dan mooi geintegreerd. Ctrl-F6 voor de tool :)
Heeft er ook iemand ervaring met de LastPas plugin van Firefox?
Het lijkt me wel veilig zo op het eerste gezicht.
wachtwoord = password
wachtwoord www.bol.com = wwwpassword

Zoiets? Haha :)
Dit is een systeem wat niet eens slecht is om te gebruiken. Het voordeel is dan namelijk dat op het moment DAT de gegevens om welke reden dan ook op straat komen te liggen er direct duidelijk is via welke bron het is gekomen :). Nu blijft het altijd nog een mysterie waar het lek zit en hoe het gebeurd is.
Ik wilde eerst ook zo'n systeem gebruiken, maar het is juist niet een sterk systeem. Als iemand een of twee van zulke wachtwoorden van je achterhaalt, weet diegene na een beetje logisch nadenken ook meteen je andere wachtwoorden. Als je bijvoorbeeld " tweakerspass123" en "fokpass123" als wachtwoorden hebt op de websites van Tweakers en Fok, dan is een patroon zo gevonden.
Maar nog altijd beter dan gewoon overal pass123 anders :)
Aan de andere kant ben je wel aan het rommelen geweest als je twee paswoorden verliest... Alhoewel, ik heb bij Hotmail ergens een oud account en bij Gmail ben ik ook bekend. Vraag me alleen serieus af hoe het zit met die paswoorden; als ze echt van de dienst zelf komen concludeer ik dat de paswoorden niet gecodeerd worden en de dienst dus onveilig is. Of komen ze toch via phising?
Die aanpak biedt weinig meerwaarde over het gebruik van 1 enkel "sterk wachtwoord" voor al die sites. Als je wachtwoord gekraakt is op 1 site is je wachtwoord voor andere sites makkelijk te raden.
Daar ben ik het niet mee eens, als een hacker 20.000 wachtwoorden heeft dan heeft hij geen tijd om achter elk wachtwoord een logica te gaan zoeken, je zou hier dan een script voor moeten schrijven maar dat is wel een flinke opgave.

Het voor de hacker makkelijker om het de mailbox te doorzoeken naar sites waar de gebruiker is ingeschreven en het gestolen wachtwoord gebruiken om proberen in te loggen.
hmz volgens mij wordt het toch tijd om mijn hotmail ww eens te veranderen, aangezien ik HM alleen gebruik om wachtwoorden van andere sites te onthouden... (mail to self principte)
Om veel verschillende wachtwoorden te onthouden gebruik ik het programma Wallet op de Mac. Ik weet niet of er een dergelijk programma is voor windows.
Het is iig erg handig.
+ je kan een beveligde pdf van je wachtwoorden database exporteren en in je mailbox o.i.d. zetten, zodat je er ook bij kan wanneer je niet je eigen systeem bij de hand hebt.
Roboform is het voor mij helemaal. Het integreert in IE, Firefox en sinds kort ook Chrome. En het is te beveiligen met een master password. Ideaal.
Maar welk supermensch is uberhaupt in staat dat te doen? Ik ben een intelligente vent, maar ik kan toch echt geen 10+ sterke wachtwoorden onthouden hoor, laat staan dat ik dan nog weet bij welke site ze horen.
Een methode die ik hanteer is de naam van de desbetreffende site (op een manier) verwerken in het wachtwoord. (Naast de gradatiemethode die je beschrijft).

Bijv. hier op Tweakers iets als FooBar!1970?Tweakers en op Gmail FooBar!1970?Gmail.
(Al doe ik het zelf iets ingewikkelder, want op deze manier zou je alsnog al mijn wachtwoorden kunnen raden, maar dit is ter illustratie.)

Zo kan je enorm veel verschillende wachtwoorden genereren, zonder dat je hoofd overstroomt van verschillende wachtwoorden.
Maar welk supermensch is uberhaupt in staat dat te doen?
Geen, dat laat je natuurlijk door een programma doen.

Ik heb er zelf iets voor, maar open source zooi zoals keepass voldoet prima. Één password onthoud ik, en voor iedere random site gebruik ik passwords zoals "sg4nF3!oT23g7ZsD8n", en die kraakt niemand.
maar dat lijkt me ook verre van ideaal
Want? :?

Die tool is niet te kraken (er valt niets te kraken, het is gewoon open source encryptie) en als je dat pasw lekt, tja, het kost niet meer moeite om dat ene password te beschermen (en regelmatig of zodra nodig te updaten) dan tachtig verschillende.
Maar je Gmail account is je Google-account of andersom. Dus voor alle Google diensten gebruik ik al meteen de zelfde gegevens.

A/w: mijn pass is niet ge-reset, betekend dat mijn gegevens niet gepubliceerd zijn?
Nee, ze hebben jouw account toevallig overgeslagen ;)
Ach voorlopig is pastebin.com down voor onderhoud, dus de boel is gelijk offline gehaalt.
Doe dat nou niet, er zijn geheid mensen die hier weer intrappen. :o

Maar wat ben je dan als je het toch doet... :z

[Reactie gewijzigd door Vinzz op 6 oktober 2009 12:47]

zweet ;P

heeft MSN ook de passwords gereset?
deze gegevens zijn gewoon geharvested worden gewoon te koop aangeboden.. wat is hier zo speciaal aan?
Ik denk eerder aan afpersing... Zeker aangezien van de hotmail accounts alleen de mailadressen beginnend met "a" en "b" zijn getoond. Het is een drukmiddel om de mailgiganten aan het betalen te krijgen.
Iets wat ze hopelijk bij Microsoft, Google en Yahoo (kunnen) doen, is alle wachtwoorden ongeldig verklaren en iedereen een nieuw wachtwoord in laten voeren. Misschien niet super netjes, maar anders zijn de gevolgen niet te overzien.
Handig voor spammers. Om in te loggen hoef je niet voorbij de captcha te komen, en als dit adressen zijn die regelmatig door mensen gebruikt worden zullen ze vaak wel ergens ge-whitelist zijn of een lagere spamscore opleveren.
Daarnaast zijn mensen vaak sneller geneigd te klikken op een check deze maffe foto's van jou-linkje als ze van een bekende af komen.
Wat ik veel interessanter vindt is hoe men aan deze login gegevens is gekomen. Als de password database van Windows Live ID is gekraakt, is dat ernstig maar nog te overzien. Als het om een of andere vuln gaat die bij zowel Hotmail, Yahoo, Google en anderen te gebruiken is, is dat een stuk ernstiger.

* Ximon gaat eens heel hard nadenken over hoe zijn hele netwerk van webdiensten en logins in elkaar zit
Ik denk dat het kraken van de database redelijk af valt. Om zowel in de database van Hotmail, Gmail en Yahoo gekomen te zijn zonder dat dit door één van de drie opgemerkt is of voorkomen werd, lijkt me wat aan de sterke kant.
Trojan verwacht ik.
De laatste tijd zelf ook een hoop gedonder gehad met een trojan die iedere keer gegevens aan het doorsluizen was naar andere geinfecteerde machines. :X
Ik ben blij dat ik als Gmail gebruiker de mogelijkheid heb om mijn E-mail account te verifiëren via mijn mobiel. Ik zou hiermee een verloren wachtwoord weer op kunnen vragen.

Echter ben ik benieuwd of iemand zomaar een 06-nummer van je Gmail account kan verwijderen zonder eerst een code in te vullen welke naar dat 06-nummer gestuurd wordt. Zou het verwijderen zomaar gaan, zou dit in mijn ogen een flink beveiligingslek zijn, indien dit niet het geval is maak ik me nergens zorgen over.

In het ergste geval heeft iemand mijn unieke wachtwoord voor Gmail en kunnen ze mijn E-mails lezen. Ik zou het erger vinden als ik dat toch veel gebruikte E-mail account niet meer zou kunnen gebruiken.

Vreemd dat ik opeens om 13:56 een SMS van Google krijg met een recovery code, wie heeft er'n geintje uitgehaald? :P

[Reactie gewijzigd door xp7amrkr op 6 oktober 2009 14:24]

En als je je nummer kwijt bent of je telefoon/simkaart, en je wil je 06nummer aanpassen?
Je kan altijd een nieuwe simkaart aanvragen hoor ;)
Wat ik nou wel prettig zou vinden is dat ik kan achterhalen of mijn emailadres ook gepubliceert was. Ik hoef geen excuusmailf, gewoon een regel waar ik mijn mailadres invoer en dan weet of mijn gegevens op straat liggen.

Persoonlijk denk ik wel dat de adressen waarom het gaat een combinatie betreft van naief gebruik van bepaalde phising activiteiten door gebruikers die het verschil niet zien.
Wat ik nou wel prettig zou vinden is dat ik kan achterhalen of mijn emailadres ook gepubliceert was. Ik hoef geen excuusmailf, gewoon een regel waar ik mijn mailadres invoer en dan weet of mijn gegevens op straat liggen.
Stuur me je mailadres en password en ik zoek het voor je uit. }>

En m.b.t. die "excuusmailf": het is zeer twijfelachtig of Microsoft de schuldige is. Sterker nog: het is zelfs zeer onwaarschijnlijk. De Hotmail-gebruikers wiens gegevens op de lijst staan mogen vrijwel zeker zichzelf een excuusmail schrijven.
Ik zou als ik jou was gewoon je wachtwoord veranderen, in 1 minuutje gebeurd :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True