Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 97 reacties

Microsoft gaat de beveiliging van Hotmail aanscherpen. Zwakke wachtwoorden worden verboden en gebruikers krijgen de mogelijkheid om over gekraakte accounts te klagen, bijvoorbeeld als er plots door bekenden spam wordt verstuurd.

Microsoft heeft op het Windows Live-blog nieuwe beveiligingsmaatregelen voor Hotmail aangekondigd. Binnenkort zullen gebruikers die hun wachtwoord wijzigen of die een nieuw Hotmail-adres registreren, een melding krijgen als er een zwak wachtwoord wordt opgegeven. Volgens Microsoft zullen niet alleen wachtwoorden als 'password' en '123456' worden geweigerd, maar ook kleine en veel voorkomende zinnen als 'ilovecats' en 'gogiants'. Microsoft sluit niet uit dat gebruikers die nu een zwak wachtwoord hebben, in de toekomst gedwongen hun wachtwoord moeten wijzigen.

Verder heeft Microsoft per direct de mogelijkheid aan Hotmail toegevoegd om te melden dat het versturende account mogelijk gekraakt is. De functionaliteit werkt niet alleen voor Hotmail-gebruikers onderling: Microsoft werkt samen met e-mailaanbieders als Yahoo en Google en geeft de abuse-meldingen door. In de paar weken dat de functionaliteit is getest, heeft Microsoft al duizenden gekraakte accounts aan hun rechtmatige eigenaren kunnen teruggeven, zo meldt het bedrijf.

Hotmail melding gekraakt account

Moderatie-faq Wijzig weergave

Reacties (97)

Mijn punt met al dat gedoe over 'zwakke' wachtwoorden is dat het volgens mij slimmer is om mensen zelf een wachtwoord te laten kiezen dat ze gemakkelijk kunnen onthouden, in plaats van hen te forceren om er allerlei gibberish aan toe te voegen (wat meestal leidt tot iets als [password]111!). Dat laatste vergroot namelijk de kans dat mensen het ergens zullen opschrijven omdat ze bang zijn het te vergeten. En dat is natuurlijk ng onveiliger dan een zwak wachtwoord.
Dan heb je ook wel het geheugen van een gekookt ei als je zoiets vergeet; je hoeft niet een random nummer erachter te zetten.

Delfzijl1967 voor iemand die uit delfzijl komt en in 1967 geboren is, is een prima wachtwoord.

-en nee, je hoeft niet proberen in te loggen op mijn accounts onder Castricum1990. Ik heb iets creatievere wachtwoorden; varianten op Krentenbol33 en Theezakje900

[Reactie gewijzigd door Gamebuster op 15 juli 2011 16:12]

Delfzijl1967 en Castricum1990 zijn niet veiliger dan hi99.Een bestaand woord is nauwelijks veiliger dan 2 random tekens. En na 80 probeer je 1980, 1680 is gewoon onwaarschijnlijker, juist omdat er mensen zijn die zo hun wachtwoorden maken.

Geen enkele hacker gaat alle mogelijke combinaties tot 15 tekens proberen om mee in te loggen, dat duurt eeuwen (letterlijk). Juist door het gebruik van woordenboeken worden langere en daardoor ogenschijnlijk veilige wachtwoorden makkelijker te raden.

Als ik moet gokken aan welk woord jij nu denkt, kan ik ook beter een willekeurig woord uit de Van Dale proberen, dan een willekeurige reeks van 10 letters.

Dat hele zwakke-wachtwoorden-verhaal is waarschijnlijk een fabeltje. Zelfs als je alleen maar alle bestaande engelse woorden probeert, heb je zo'n 150000 keer geprobeerd in te loggen. Als dat bij Microsoft niet opvalt, zitten ze toch wel heel erg te slapen.
Als je dat soort dingen toelaat, kun je niet de schuld afschuiven op de gebruikers.
een wachtwoord als bijv. Delfzijl1967 is ook niet echt veilig. Het zal waarschijnlijk wel door de test van hotmail heenkomen, maar mensen die jou kennen zullen dit wachtwoord natuurlijk vrij gemakkelijk kunnen achterhalen.

Hopelijk word je niet verplicht gesteld tot het instellen van een 'standaard' recovery-vraag zoals: wat is je middelbare school. Dat maakt een wachtwoord alleen maar minder veilig.

[Reactie gewijzigd door DarXander op 15 juli 2011 18:16]

Nee hoor, zelde dat iemand inbreekt om een email wachtwoord te sturen. Daar is een fysieke daad voor nodig. Online kraken kan van afstand. Die briefjes zijn alleen een risico voor autorisaties binnen een bedrijf (collega's die onder elkaars naam in loggen) maar niet voor mensen thuis

[Reactie gewijzigd door r0n1n112 op 15 juli 2011 16:08]

Microsoft sluit niet uit dat gebruikers die nu een zwak wachtwoord hebben, in de toekomst gedwongen hun wachtwoord moeten wijzigen.
Als MS dat weet, hebben ze de wachtwoorden dan wel versleuteld opgeslagen? Of ze hebben misschien een eigen versleuteling ontwikkeld ;)
Gewoon, een wordlist er overheen, plus wat nummers. Als je hem dan achterhaald, was het kennelijk onveilig... en moet je hem veranderen.
Dat zou betekenen dat de wachtwoorden f zonder salt zijn gehashed en opgeslagen, of allemaal met dezelfde sleutel zijn gencrypt. Is hoe dan ook een beveiligings-risico, en henkbiertank heeft dan ook een goed punt.
Gewoon een check tussen het verwerken van het invoerveld, en het hashen van het wachtwoord. Je ziet ook dat de gebruiker pas wordt geattendeerd als hij het password invoert.
Ik kan niet zeggen dat ik een grootmeester ben in security, maar Microsoft weet toch met welke salt ze hashen? Zoniet kunnen ze toch ook nooit controleren of een wachtwoord, net ingegeven door de gebruiker, het juiste is?

Dan kunnen ze toch zonder problemen een hele lijst aan triviale wachtwoorden hashen en kijken of er een match is?
Microsoft sluit niet uit dat gebruikers die nu een zwak wachtwoord hebben, in de toekomst gedwongen hun wachtwoord moeten wijzigen.
Het moet niet veel gekker worden. Hoe weet Microsoft of ik een zwak wachtwoord gebruik? Juist! Alleen als ze het wachtwoord weten, en het dus onversleuteld hebben opgeslagen.lk mag toch hopen dat dat niet waar is, deze zin impliceert het wel.
Ik kan het me inderdaad niet voorstellen dat wachtwoorden onversleuteld op hebben geslagen. Maar ik neem aan dat je bij hotmail elk half jaar of zo opnieuw in moet loggen en als je dan je wachtwoord intikt, hebben ze wel het onversleutelde wachtwoord. Op zo'n moment kunnen ze dus wel tegen je zeggen dat je je wachtwoord moet veranderen.
Niet noodzakelijk. Op veel sites zie je 'password strength indicators' (om die dingen maar een naam te geven). Ze kunnen bijvoorbeeld ook gewoon de sterkte van een paswoord hebben opgeslagen (al zullen ze dat nog niet van in het begin gedaan hebben) en op basis daarvan accounts afvlaggen.
Die indicators zeggen weinig. Ik gebruikte een string van 16 letters en deze vond de ene site 'sterk' en de andere site 'zwak'. Zelfs als je bestaande woorden gebruikt is 16 letters nog een hele kluif, tenzij het n woord is. :D
Zo gek is het al jaren. En niet alleen bij Microsoft. Ze kunnen niet alleen je wachtwoorden bekijken maar ook je mail, contactenlijst en de sites die je bezoekt vanaf Hotmail of Bing. Ze mogen alleen formeel niets met die data doen. En mocht er toch iets 'uitlekken' dan komen ze er makkelijk met een sorry van af. Denken dat ze een gratis service weggeven omdat ze je zo aardig vinden is erg naief. En het idee dat ze mensen gaan dwingen hun wachtwoord te veranderen omdat ze bang zijn dat iemand het kan raden vind ik nogal ongeloofwaardig. Hoezo zouden ze daar wakker van liggen?
Ik vind het de laatste tijd onder bepaalde bedrijven nogal een trend worden om de eindgebruikers zelf neer te zetten als de oorzaak van allerlei veiligheidsproblemen. Maar ik denk dat in werkelijkheid software en datacommunicatie dermate veilig kunnen zijn dat vrijwel alle pogingen om beveiligde data te bemachtigen niet meer de moeite lonen. En ook nog zo dat niemand daarvoor enige privacy moet inleveren.
Het probleem is dat extreem veilige software en datacommunicatie de softwaremarkt (die voor het grootste deel uit lucht bestaat) kapot zouden maken en er daarom veel onveilige troep blijft bestaan. Kijk naar de term malware, wat staat voor zoiets als "een programma dat zich meestal ongemerkt op een computer installeert en waardevolle informatie doorspeelt." Dan vraag ik me in de eerste plaats af:hoe dat programma zomaar aan permissies komt om te starten, bestanden te lezen en informatie te verzenden. Het lijkt me sterk dat dat komt omdat ik 1234 als Hotmail-wachtwoord heb. De wortel van het probleem zit volgens mij ergens anders.
Uhm, nee,

Als jij je wachtwoord ingeeft kunnen zij toch even checken of het een zwak wachtwoord is. Als dit dan correct valideert tegen de opgeslagen hash, dan betekent dit dat jij een zwak wachtwoord hebt en wul je het dus moeten veranderen.

MS hoeft de wachtwoorden niet in plain-text te hebben om dit te kunnen controleren
Ik kreeg pas ineens de melding "er zijn vreemde activiteiten waar genomen op uw account" moest ik ook m'n wachtwoord wijziggen. moest ik een wachtwoord met 8 karakters, waarvan minimaal 1 cijfer, 1 letter, 1 hoofdletter en 1 overig symbool.

zo heb ik afgelope week zeker 5 wachtwoorden moeten wijziggen in onmogelijk te onthouden constructies
ik word er een beetje moe van, als ik een onveilig (makkelijk) wachtwoord wil voor een niks zeggende dienst moet ik dat toch zelf weten?
ik word er een beetje moe van, als ik een onveilig (makkelijk) wachtwoord wil voor een niks zeggende dienst moet ik dat toch zelf weten?
Wanneer jij de enige bent die er last van zou hebben dan natuurlijk wel. Het probleem zit 'm hier in het feit dat er veel gebruikers zijn die last hebben van jouw onbeveiligde account; ze krijgen spam en 'aanbiedingen' van mensen die ze vertrouw(d)en: jou.

Om het imago van hotmail/live mail hoog te houden, dan wel naar een hoger niveau te tillen, willen ze voorkomen dat mensen zoals jij gemakkelijk vatbaar zijn voor virussen, hacks en dat soort zaken. Op die manier wordt de live/hotmail dienst beter te gebruiken door de mensen die wl serieus gebruik maken van de functionaliteit die het biedt, zonder dat ze dood worden gespamd door mensen die het niet interessant vindt als ze hun contacten blootstellen aan allerhande rotzooi.
Ik snap de bedoeling achter deze wijziging, maar waarom moeten websites zulke verplichtingen opleggen aan gebruikers.

IMO moet de gebruiker ten alle tijde zelf kunnen bepalen hoeveel risico hij/zij wil lopen. Waarschuwen zou altijd moeten kunnen natuurlijk, maar de beslissing is toch altijd nog aan mezelf. Iets afdwingen kan alleen maar negatief uitpakken. Zelf heb ik al eens een registratie ergens niet gedaan waar dergelijke verplichtingen werden gezet. Maar dat was nog extremer: minimaal 1 speciaal teken, minimaal 1 hoofdletter / kleine letter en 1 cijfer. Maar goed, zo ver is hotmail dan weer niet.
Maar dat was nog extremer: minimaal 1 speciaal teken, minimaal 1 hoofdletter / kleine letter en 1 cijfer.
Sorry hoor, maar zo extreem vind ik dit niet; dit is heel gewoon. En ik snap al helemaal niet waarom je omwille van die reden een registratie weigert.
Heel gewoon? Heel irritant zul je bedoelen!

Elke volgende website heeft weer een nieuw wachtwoord-schema bedacht en je kunt je 'onbelangrijk'-wachtwoord niet gebruiken en je moet weer iets nieuws verzinnen en onthouden. En aangezien je bij elke webwinkel tegenwoordig eerst een account schijnt te moeten aanmaken voordat je iets mag kopen, wordt dat best irritant.
Iedereen heeft wel een wachtwoord dat ze even snel opgeven voor een onbelangrijk iets.

En zelfs mensen die wel steeds een nieuw, veilig wachtwoord bedenken lopen tegen irritaties omdat ze zo ongeveer een puzzel op moeten gaan lossen om een wachtwoordt te vinden dat voldoet.

Doe mij een wachtwoord met minimaal 2 sets van 3 opeenvolgende klinkers, geen bestaande woorden, minimaal 8, maximaal 16 tekens met minimaal 2 leestekens, 2 klinkers, 6 medelinkers (waarvan 2 hoofdletters) en 3 cijfers.

Pfff. Volgens mij heb je sneller een concurrent gevonden waar je nog wel welkom bent.

De hoeveelheid mogelijke wachtwoorden wordt door die regeltjes ook veel kleiner, dus hoeft een hacker er ook veel minder te proberen (en vervolgens zal de site dan bepalen dat een wachtwoord langer moet worden en zo is het cirkeltje rond.)
Elke volgende website heeft weer een nieuw wachtwoord-schema bedacht en je kunt je 'onbelangrijk'-wachtwoord niet gebruiken en je moet weer iets nieuws verzinnen en onthouden.
Onthouden is niet per s nodig. Het overgrote merendeel van mijn wachtwoorden is zeer secure, en ik ken er geen enkel van. :)
Ik gebruik ondertussen al enkele maanden keepass. Ik ken nog 3 wachtwoorden vanbuiten: dat van m'n gmail-account, dat van m'n dropbox-account en dat van m'n keepass .kdbx file. Door middel van zaken als Keepassdroid en ChromeIPass wordt integratie met android en surfen op het internet een pijnloze ervaring.

Als je ergens een nieuwe account aanmaakt, steek je die snel even in je .kdbx en je gebruikt het automatisch gegenereerde paswoord (je kan allerhande regels instellen waaraan dit moet voldoen). De meeste van mijn wachtwoorden heb ik als dusdanig zelfs nog niet eens gezien.
De hoeveelheid mogelijke wachtwoorden wordt door die regeltjes ook veel kleiner, dus hoeft een hacker er ook veel minder te proberen (en vervolgens zal de site dan bepalen dat een wachtwoord langer moet worden en zo is het cirkeltje rond.)
De hoeveelheid "echte" woorden en zinnen is slechts een minieme hoeveelheid ten opzichte van willekeurige reeksen cijfers, letters en speciale tekens. Gerichte dictionary-attacks worden moeilijker met deze aanpak, waardoor het eindresultaat zal zijn dat er veel en veel minder gekraakt kan worden.
Omdat hotmail hun domein wil beschermen natuurlijk. Als er veel mensen niet veel veiligheid willen en dan gehacked worden, komt het hotmail-domein in de blacklists en hebben de "veilige" mensen er last van.
Het probleem ligt dan toch echt by Microsoft zelf. Waarom zouden ze in hemelsnaam toestaan dat iemand 100+ wachtwoorden probeert?
Als de dat nou even blokkeren, is een wachtwoord van 3 tekens ineens beresterk.

Je pincode mag je ook maar 3 keer proberen voordat je pas geblokkeerd wordt.

En tegen een virus dat meeleest wat je intypt, werkt zelfs het sterkste wachtwoord niet.
Een btje outside the box denken mag ook wel. Stel je voor dat iemand de centrale hotmail database binnenkraakt, en alle paswoorden in MD5-hashes kan bereiken. Dan is een paswoord van 3 tekens in 1 minuut gekraakt.

Gebruik je een middelgroot botnet, dan kun je in 5 minuten een paswoord van 6 tekens kraken (bij wijze van spreken uiteraard ;) )
maar waarom moeten websites zulke verplichtingen opleggen aan gebruikers.
Zodat ik voortaan geen last meer heb van mensen die er bewust voor kiezen om een zwak wachtwoord te hebben waardoor ze mogelijk gehackt worden met als gevolg dat mijn mailbox door hun vervuild wordt.

Kortom: jij denkt enkel aan het feit dat je een goed wachtwoord moet gebruiken, wat jij kennelijk erg ingewikkeld vind, ik denk aan de overlast die mensen die hun zaakjes niet op orde hebben aan anderen bezorgen.
Dan mogen zie 'geheime' vraag ook wel eens aanpakken.
Inderdaad. Een heleboel van die vragen zijn vrij eenvoudig te achterhalen bij veel mensen: de meisjesnaam van je moeder, je eerste leraar, de naam van je hond.... Gewoon even Facebook openen en bij de helft van de mensen weet je het antwoord op minstens n van die "security questions"...
Dan pak je het toch echt verkeerd aan, je moet namelijk bij de 'geheime vragen' nooit de waarheid invullen.

Wanneer je altijd als vraag "meisjesnaam van je moeder" kiest en als antwoord "de naam van je hond", dan zal niemand dit kunnen misbruiken.
Dan moet je wel zelf nog onthouden welk foute antwoord je hebt ingesteld.

En die geheime vraag is natuurlijk heel dubbel: je wachtwoord mag niets bestaands zijn en liefst uniek voor elke site, terwijl je bij de geheime vraag juist wordt aangemoedigd om bestaande woorden/namen te gebruiken en is altijd hetzelfde (en inderdaad eenvoudig te achterhalen)
Sommige sites geven je de optie om zelf een vraag te kiezen, dat is ideaal imho. Wat ik dan doe is een catchphrase of bijnaam nemen, die flink reduceren en dat als vraag gebruiken. Dit werkt natuurlijk het beste met zaken die niet al te bekend zijn.

Ik neem "Shaken, not stired", de vraag wordt dan "stired", antwoord, "James".
Of "neighbour" en "Sparhawk", je moet bepaalde boeken gelezen hebben om de connectie te begrijpen, en zelfs al heb je ze gelezen zal je eerst denken aan een echte buurman.
Ik zie dat vele het toejuichen, maar ben zelf toch iets terughoudender.
Wij werken hier met een SAP module en daar wordt je verplicht dat het wachtwoord minimaal een lengte heeft van 9 tekens. Daarbij moet het wachtwoord minstens 1 hoofdletter, 1 kleine letter, 1 cijfer en 1 punctuatie bevatten en dan moet je 'm ook nog eens 1 keer per 2 maanden veranderen.
Ik kan alleen maar zeggen dat dat echt irritant is. :(
Ik begrijp dat beveiliging belangrijk is, maar ik hoop niet dat dit soort eisen gesteld gaan worden. Tegelijkertijd vraag ik me af, hoe ze het anders moeten afdwingen...
Eindelijk iemand die het snapt. Ik begrijp die positieve reacties van iedereen hier ook niet helemaal.

Wat heb je aan een sterk wachtwoord wanneer een keylogger/spyware deze simpel registreerd.

Hierdoor wordt het alleen maar moeilijker gemaakt om een wachtwoord te verzinnen. 8)7

[Reactie gewijzigd door Fealine op 15 juli 2011 16:29]

met als risico dat mensen hun wachtwoord op een post-it schrijven en op hun monitor plakken....een zwak pasword is in dat geval toch veiliger
De grap is dat een wachtwoord van 9 tekens met minstens 1 hoofdletter, 1 kleine letter, 1 cijfer en 1 punctuatie, veel zwakker is dan een wachtwoord van 9 tekens zonder deze aanvullende eisen :+
Hoe gaat Microsoft dat doen met SPAM bots die een open relay SMTP servertje gebruiken om een SPAM mail te versturen met als FROM-header joost.maghetweten@hotmail.com naar een hele bunch mensen? Lijkt me niet dat ze daar zelf veel aan kunnen doen, maar veel mensen denken dan toch dat ze 'gehackt' zijn... Dat heb ik heel vaak gezien en ik vermoed dat Microsoft daar bar weinig tegen kan doen.
Ik denk dat ze dat wel doorhebben door het ontbreken van o.a. SPF en DKIM.
Dat zijn technieken die door de ontvanger ondersteund moeten worden, niet door de servers van Microsoft (hoewel Microsoft hier natuurlijk zelf een DNS-recordje voor aan moet maken), dus daar kan Microsoft zelf weinig tegen doen.
Niemand weet wat SPF en DKIM is.

[Reactie gewijzigd door zonoskar op 15 juli 2011 15:22]

iemand die een mailserver beheert, hoort het wel te weten :)
Het lijkt me dat je deze "I think this person is hacked" knop ziet staan als je een bericht van betreffende persoon opent / bekijkt. Je geeft dus aan aan de hand van welke mail je vermoed dat iemand gehacked is. Microsoft kan eenvoudig zien dat je gemarkeerde spam helemaal nooit verstuurd is via hotmail / het account genoemd als afzender.
Daar heb je geen SPF/DKIM/DK vooor nodig (al helpt het wel).

Trouwens, in plaats van steeds weer regeltjes bedenken om wachtwoorden 'sterker' te maken, zouden veel diensten er goed aan doen in plaats daarvan (of ernaast) de gebruiker te educeren over sterke wachtwoorden. Bijvoorbeeld door de eerste letters van een grappige zin/spreuk te pakken, en bepaalde letters daaruit door cijfers/leestekens/hoofdletters/etc te vervangen. Wat ik zelf dan nog doe om te zorgen dat ik niet alsnog 1 wachtwoord voor 1000 sites heb, is ergens in dat wachtwoord (een afkorting van) de url/site naam te zetten. Iemand die je ww van site A heeft en handmatig op site B probeert, komt er misschien snel genoeg achter, maar een script dat 10,000 gestolen wachtwoorden van site A op site B-Z probeert laat jou met rust :-)
Of je gebruikt natuurlijk iets als KeePass (+usb stick).

edit:
@dj.verhuist : wat jij beschrijft s dus open relay, waar DaSt1986 het nou juist over had..

[Reactie gewijzigd door paulus83 op 15 juli 2011 17:09]

dat kan wel als men bij verplicht aanmelden bij uitgaande smtp overal gaan instellen.

dan kunnen ze geen afwijkend e-mail adres als afzender gebruiken als men niet is aangemeld ,, moet wel van alles aangepakt worden ,, de meeste mail client kunnen wel aanmelden bij smtp gebruik maar niet dat er een check met afzender adres ,, maar als ze dat doen zou dat enorm schelen omdat die spammers meestal niet de account gegevens hebben en de mensen die legitiem een ander antwoord e-mail adres gebruiken kunnen dan toch deze mogelijkheden gebruiken,, het zou weer veel irritante spam schelen
Zeer goede stap die "I think this person was hacked!", ik kan in mijn MSN-lijst zo zien wie er gechaked is, en wie niet. Meestal zijn het Nederlanders die ineens in het Engels beginnen over een afbeelding xD.

Dit geld dan echter wel voor mail, maar daar geld voor mij hetzelfde.
Mja, bij hotmail is dat wel heel erg. Alle berichten die ik ooit heb gekregen die onzin waren van mijn directe contactpersonen hadden een hotmail account 8)7

Ik ben blij dat microsoft eindelijk wat meer gaat doen aan veiligheid.
Wat ik nu nog wel smerig vind is dat je automatisch een hotmail account hebt terwijl je vroeger alleen een windows live passport had. Nee microsoft, omdat ik nu ook hotmail heb naast mijn geliefde gmail betekend niet dat ik hotmail ga gebruiken :+
Je kunt ook een Windows Live Passport koppelen aan een ander email adres, zo heb ik een Live Passport voor een emailadres op mijn eigen domein.
Yep, dat gebruik ik ook.

www.passport.net ;).

Mij zie je niet aankomen met die Hotmail-troep. Wat denk je dat Hotmail vraagt als je online inlogt? Koppel nu mail van *domeinnaam* in je Hotmail. Dan heb ik echt zoiets van WTF? Dat probeer ik zo dus juist te voorkomen!
Ja, dat heb ik ook gedaan, maar toch heb ik nu ook hotmail 8)7
Die mensen zijn niet zozeer gehackt, die hebben eerder een spyware/virus op hun pc staan.
Waardoor hun wachtwoord is doorgespeeld naar een spambot. Ik weet niet wat jouw definitie van hacken is, maar in mijn woordenboek past het er wel onder.

Ik vind het overigens een goede zaak, maar beter zou zijn om gewoon externe smiley programma's te verbieden, mijn moeder installeert zoveel van die crap op onze PC dat ik een andere partitie ben begonnen waar alleen ik het wachtwoord op heb.
MSN smileys = virussen, die veranderen je default search naar zo'n gesponsorde Bing search ofzo en dat is er lastig uit te krijgen.

[Reactie gewijzigd door Wolfos op 15 juli 2011 15:14]

bing-search is van microsoft en wordt bij veel MS-software als standaard ingesteld, dat heeft nix met virussen te maken
Nee, dat is niet het geval. Bij mij zag je eerst kort een URL met "free-MP3 nogwat" en daarna ging hij pas naar Bing.
Daarnaast geloof ik niet dat Microsoft iets zo diep in Firefox verstopt dat je je profile bestanden aan moet passen om het eruit te krijgen.
Zoekmachines in FF kun je beheren in je about:config.
Verder kan het best zijn dat een virusmaker Bing gebruikt om zijn eigen crap / sporen te maskeren.
Hij heeft het hier alleen over een gesponsorde bing search engine, ofwel, de hacker krijgt een klein bedrag wanneer iemand deze engine gebruikt.

Dus in dat geval heeft het wel te maken met malware wat je startpagina verandert.
Misschien is het handig om gelijk te vertellen hoe mensen hier van af kunnen komen. Ik heb namelijk de laaste tijd ook last datvanuit mijn email spam wordt verzonden en ontvang dus ook regelmatig emails die mislukt zijn om te verzenden en als ik in verzonden emails kijk staat daar ook een lijst met onbekende emails (maar wel naar onbekende mensen), maar het is erg vervelend... Oplossing?
Je PC doorscannen of er spyware/malware opstaat. Daar zijn genoeg gratis tools voor te vinden. Het liefst meerdere tools draaien, zodat je nagenoeg zeker bent dat er geen zooi meer op je PC staat. Als je daar klaar mee bent, pas je je wachtwoord van hotmail aan. Klaar. :)

Ben blij dat deze stappen worden ondernomen. Vooral het kunnen aangeven dat een account waarschijnlijk gehackt is, zal zoden aan de dijk zetten. Als je zelf die mensen mailt, doen ze er vaak weinig aan. Aan Microsoft zelf de mensen dwingt in ieder geval het wachtwoord aan te passen, ben je het ergste al kwijt.
Gewoon je wachtwoord veranderen. Het heeft niets te maken met Spyware die op je PC staat.

Ik dacht dat ik een sterk wachtwoord had en lachte altijd iedereen uit die in die situatie terechtkwam. Gisteren had ik toevallig zelf 40 postmaster-berichten van mensen die van mij spam zouden hebben gekregen.

Zelf al mensen aangeraden om hun wachtwoord aan te passen en dat werkt over het algemeen zonder problemen.
Die 40 postmaster-berichten krijg je omdat iemand je mail-adres misbruikt, niet omdat die op je account ingebroken is...
Ook de zinsbouw is goed gekozen. "I think this person was hacked" klinkt vl beter dan "I think this account was hacked", vanuit microsoft's standpunt dan :)
Mijn eerste gedachte is: Zou een keer tijden worden! Het is toch niet meer van deze tijd dat een bedrijf als Microsoft zwakke wachtwoorden toelaat. Ik vind dat Microsoft gebruikers tegen zichzelf in bescherming moeten nemen en ze verplichten om sterke wachtwoorden te nemen.

Wat positief is, is dat ze ook veel gebruikte passphrases gaan verbieden. Iedereen kan op internet gigabytes aan wachtwoord lijsten downloaden en aan het cracken slaan, en met deze maatregel wordt dit nog enigszins afgeremd. Al met al een goede stap van onze vriend Bill.
En waarom zou een 'zwak' wachtwoord niet mogen? Een wachtwoord dat bestaat uit 6 lowercase chars is zwak. Het is ook compleet onmogelijk te bruteforcen online. Dat is tenzij MS het accepteert dat een maand lang iemand continue willekeurige wachtwoorden probeert.

Wachtwoorden worden gestolen via phishing mails en semi-phishing (voer hier je email stuff in om je e-card te ontvangen). Daar helpt dit helemaal niks tegen, en bruteforce is gewoon compleet onmogelijk online.
Je hoeft niet n account te gaan bruteforcen; je kan net zo goed op 10000000 accounts nagaan of ze soms "password" als wachtwoord gebruiken. Daar helpt een lockout policy niet tegen; je kan een gebruiker toch niet buitensluiten omdat "hij" 1 keer een fout wachtwoord gebruikt?
Dat zou nog steeds door hun opgepikt moeten worden. Maar daar helpen deze eisen ook geen drol tegen. Iedereen die niet uit zichzelf een sterk wachtwoord heeft en een hoofdletter erbij moet doen, doet de eerste letter als hoofdletter -> geen extra security.

Cijfers erbij doen schiet ook weinig op, of ze doen een 1 erachter, of ze verwisselen letters door bijbehorende cijfers (e -> 3).

Speciale tekens verplichtstellen en ze doen een uitroepteken aan het einde erbij.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True