Helft gebruikers Tweakers.net blijkt zwak wachtwoord te hebben

Uit onderzoek van Tweakers.net blijkt dat veel geregistreerde gebruikers in de praktijk een relatief zwak wachtwoord hebben ingesteld. In minder dan een half uur bleek de helft van de versleutelde wachtwoorden eenvoudig te kraken.

Er gaat geen maand voorbij waarin Tweakers.net niet bericht over gekraakte websites en uitgelekte databases - reden te meer om ervoor te zorgen dat bij Tweakers.net de boel op orde is. Mede daarom heeft Tweakers.net eind vorige maand de opslag van wachtwoorden verbeterd, waarbij onder meer het gebruik van de zwakke md5-methode is uitgefaseerd.

Omdat we benieuwd waren wat er zou zijn gebeurd als de oorspronkelijke wachtwoordendatabase was uitgelekt, hebben we zelf de digitale breekijzers uit de kast gehaald en losgelaten op de ruim 330.000 wachtwoorden in de database.

Om de hashes te kraken hebben we hashingtools gebruikt die de rekenkracht van de gpu benutten. Dit bleek in de praktijk zelfs zo snel te gaan dat het downloaden van een rainbow table om de wachtwoorden te kraken, langer zou hebben geduurd. Ook hebben we uit diverse lijsten woorden verzameld om een dictionary attack te kunnen uitvoeren.

Deze aanpak bleek efficiënter dan een brute-forceaanval. Het zou immers vele uren geduurd hebben om alle mogelijke wachtwoorden van maximaal acht tekens te berekenen, terwijl we met de vrij verkrijgbare woordenlijsten in minder dan een half uur 48,9 procent van de wachtwoordhashes wisten te kraken.

In totaal wisten we op redelijk eenvoudige wijze 195.000 wachtwoorden te kraken, waarbij het bij 55.000 stuks kinderspel was; voor deze wachtwoorden had de tool slechts 14 seconden nodig om ze te kraken.

Aantal karakters
Aantal accounts
0 1
1 13
2 68
3 397
4 3138
5 8082
6 24308
7 16648
8 75160
9 32210
10 19455
11 8625
12 4740
13 1753
14 947
15 324

Nota bene: zoals ook in de uitgebreidere .plan is vermeld, is dit onderzoek uitsluitend door medewerkers van Tweakers.net verricht. De benodigde gegevens zijn vernietigd en niet aan derden ter beschikking gesteld. Alleen een niet tot wachtwoorden herleidbaar overzicht van gebruikersnummers is bewaard om gebruikers met een zwak wachtwoord te kunnen waarschuwen.

Door Wilbert de Vries

13-09-2011 • 13:30

476

Reacties (476)

476
454
258
34
2
44
Wijzig sortering
Één account zonder wachtwoord: opvallend. ;)

Waarom überhaupt zulke korte wachtwoorden toestaan? Ancient accounts?

Wat ik mij in het licht van de recente discussies afvraag: hebben jullie puur gekeken naar het aantal karakters? Want hoe verhoud ditismijnheelgeheimewachtwoord zich t.o.v. kf*46r8$ ?

[Reactie gewijzigd door Eagle Creek op 23 juli 2024 07:47]

Die eerste (random woorden acher elkaar) zou wel eens een stuk sterker kunnen zijn dan die tweede (woord met random karakters). xkcd heeft daar laatst een treffend stripje over geplaatst.
Dit is geheel afhankelijk van de aanvalsmethode en parameters. Met een 'bruteforce' (willekeurig alle mogelijke combinaties van tekens nalopen) aanval zou de eerste een aanzienlijk stuk moeilijker (vrijwel onmogelijk) te kraken zijn omdat het meer tekens omvat. Een dictionary attack zou er weinig moeite mee hebben.

Een lang wachtwoord met een zelf verzonnen woord, met een (op een willekeurige plek) willekeurig teken ertussen, zoals 'correcthorsebat¬terystaple' is in de praktijk dus een heel sterk wachtwoord.

[Reactie gewijzigd door Inny op 23 juli 2024 07:47]

Niet helemaal waar. Dit voorbeeld zijn al 6 woorden waarbij voor ieder woord duizenden mogelijkheden zijn als alleen al veel gebruikte woorden worden geprobeerd. Dit komt al gauw neer op 1e20 mogelijkheden (uitgaande van zo'n 2000 woorden). Het tweede voorbeeld zijn 8 karakters met ieder laten we zeggen 100 veel gebruikte mogelijkheden, dit komt neer op 1e16 combinaties. Ofwel, zelfs met een dictionary attack is de eerste zo'n 10.000 keer sterker dan de tweede.
Gaat hierom dus exaxt om bestaande woorden?
Of ook om wachtwoorden met alleen cijfers?
Inderdaad zefl woorden verzinnen of aanpassen valt makkelijk te onthouden en is ook niet kwetsbaar voor dictionary attacks.

Ik het had dit alles eerder al eens uiteengezet in mijn stukje 'Eenvoudige sterke wachtwoorden'

De verwarring rondt hoeveel karakters het veiligst zijn is ontstaat vooral omdat men zich vergeet af te vragen voor welke toepassing het wachtwoord wordt gebruikt.

Voor draadloze netwerken is het beste om hele zinnen te gebruiken, maar dan welk ook met wat unieks erin wat het niet voor dictionary attacks kwetsbaar maakt.

Daarom heb ik ook het vervolg stukje geschreven: 'Eenvoudige Lange Wachtwoorden'
ik heb zomaar wat tekens in getypt zonder te kijken. in totaal ruim 20 met letters cijfers en speciale tekens. hoe snel is zon string random characters te kraken?
Een dictionary attack heeft weinig moeite met het raden van een wachtwoord die uit een enkel bestaand woord bestaat. Maar wanneer je wachtwoord uit een heleboel woorden bestaat, verslikt een dictionary attack zich daar ook flink in hoor.
Is het een kwestie van tijd voordat er tools komen die woorden uit dictionary's combineert? Met de snelheden van vandaag de dag is dat vaak ook niet echt een probleem lijkt me.
Helaas. Met de huidige dictionaries duurt het al een hele poos om één wachtwoord te kraken. Ik heb een dictionary van (compressed) 33 GB en daarmee zijn de meeste zwakke wachtwoorden goed te raden. Maar ik moet er niet aan denken om daarna ook nog eens ieder woord uit die dictionary te combineren met ieder ander woord in verschillende volgordes...
Maar je vindt toch ook een beetje dat Exorcist zijn angst wel begrijpelijk is?
Met de hoeveel botnets in het *nieuws* alléén al, laat staan wereldwijd verborgen, kan ik me indenken dat er wel ontzettend veel rekenkracht te vergaren is om een groter percentage hits te krijgen met de hashes.

Een regeltje code om extra te combo's uit te proberen kost minder rekenkracht dan bijvoorbeeld hele routines opnieuw laden voor het volgende object of hash.
Het combineren zorgt voor een kwadratische toename in de tijd die je nodig hebt om het wachtwoord te kraken. Als je een zinnetje van 8 a 10 woorden als wachtwoord neemt, is dat ook met een dictionary praktisch onkraakbaar, zelfs als het hele gewone woorden zijn.
Anoniem: 295700 @Inny13 september 2011 19:17
Wellicht, maar wat kan iemand met je tweakers account?
Op tweakers.net je account (reputatie) vandaliseren (je reacties, op 't forum etc.) Iets waar ik zelf niet wakker van zou liggen. Via je account gestolen waar verkopen in "vraag en aanbod". Dat is al een stuk vervelender, me dunkt.

Maar je gaat natuurlijk gelijk opzoek naar andere plaatsen waar mogelijk hetzelfde wachtwoord icm de account naam gebruikt wordt. Wie weet kom je achter een email of een registar account met hetzelfde wachtwoord.

Ik hoop dat de mods en adjes hier wel een sterk wachtwoord gebruiken O-)

[Reactie gewijzigd door mie9iel op 23 juli 2024 07:47]

Anoniem: 18254 @Inny14 september 2011 14:22
Een lang wachtwoord met een zelf verzonnen woord, met een (op een willekeurige plek) willekeurig teken ertussen, zoals 'correcthorsebat¬terystaple' is in de praktijk dus een heel sterk wachtwoord.
Je hebt het dus nog steeds niet begrepen. De boodschap die het stripje wil overbrengen is juist dat het toevoegen van extra woorden vrij veel entropie toevoegt, zonder dat het voor mensen veel moeilijker wordt om het wachtwoord te onthouden.

In plaats van de oplossing die jij voorstelt kun je ook gewoon een vijfde woord toevoegen. Dit levert ongeveer evenveel extra entropie (en dus veiligheid) op, terwijl het een stuk makkelijker te onthouden is. Voor nog meer veiligheid voeg je een zesde woord toe. Et cetera ad infinitum (of in elk geval tot de grenzen van je langetermijngeheugen). ;)

Overigens maakt het gebruik van spaties (tussen de woorden, dus makkelijk te onthouden) het wachtwoord ook (iets) veiliger.

[Reactie gewijzigd door Anoniem: 18254 op 23 juli 2024 07:47]

Volgens mij is de sterkte van je wachtwoord geheel afhankelijk van degene aan wie je het vraagt. Ik heb verschillende online password strength tools geprobeerd maar ze geven met hetzelfde wachtwoord meestal verschillende resultaten. De meeste zijn erg geïnteresseerd in vreemde tekens en hoofdletters terwijl een ander gewoon minimaal 14 karakters wil zien.

Er zijn veel online diensten die je wachtwoord "testen" om te zien of het sterk genoeg is. Uit deze test blijkt maar dat dit dus eigenlijk nergens op slaat. Mijn wachtwoord wordt door Tweakers gezien als zwak terwijl de meeste diensten en tools hem zien als redelijk sterk.
Blijkbaar kon tweakers dus je wachtwoord makkelijk kraken ongeacht wat andere websites zeggen.

Voor mij was het niets anders als een bevestiging... gebruikte voor tweakers.net nog een oud wachtwoord dat ik nu dus maar verandert heb :+ bedankt voor de herinnering!
De vraag is, laat Tweakers het oneindig toe om je wachtwoord uit te proberen. Als er een limiet is per zoveel minuten of iets dergelijks dan zal het niet zo makkelijk meer zijn.
Nu zitten ze natuurlijk rechtstreek in de database. Dus als we ons wachtwoord kwijtraken lijkt mij dit een zwakte van Tweakers en niet de gebruikers.
t.net gebruikte daarbij natuurlijk ook een SALT. Dus ook al zou de database uitlekken, dan nog zou een hacker niet bijzonder veel uit kunnen richten.
Van de andere kant, als de hacker eenmaal de database heeft zal het vast ook niet al te ingewikkeld zijn om de salt te verkrijgen. Die zal vermoedelijk in een 1 of ander config bestandje staan.

Zou best wel eens zo`n testje zelf willen doen op een database. Gewoon voor de leuk, kijken of het nog sneller te kraken is.
Alleen hebben die andere site wat testjes uitgevoerd en heeft tweakers daadwerkelijk je wachtwoord op heel korte tijd kunnen kraken.
M.a.w.: tweakers bewijst in de praktijk dat jouw wachtwoord zwak is ;-)
Ja maar het wachtwoord dat ik gebruik om te reageren op nieuws websites zal me een zorg zijn. Dat is een makkelijk wachtwoord dat ik voor dingen gebruik waar geen persoonlijke info is te vinden (dat is misschien niet voor iedereen het geval op tweakers).
Bekijk ook de generator voor zulke wachtwoorden.

Disclaimer: Het aanmaken van random wachtwoorden op de site van een ander bevat natuurlijk altijd een mate van risico.
Disclaimer: Het aanmaken van random wachtwoorden op de site van een ander bevat natuurlijk altijd een mate van risico.
Wees vooral bang wanneer ook gevraagd wordt voor welke site het is zodat er bij wijze van service een extra veilig random wachtwoord voor je gemaakt wordt.
Als ik een zwak wachtwoord heb, dan is het de schuld van Tweakers zelf. :+

Ik vergeet hem namelijk nog wel eens en dan stuurt de random-generator van Tweakers mij een nieuwe en die blijf ik dan gebruiken tot ik mijn temp bestander weer eens opschoon.
Het gaat hier ook niet om de inlog van je bank gegevens zeg. Ik heb al genoeg wachtwoorden (werk, email, etc) die nogal veeleisend zijn wat betreft # karakters, cijfers en hoofdletters. Als ik mijn wachtwoord van 1234 voor een nieuws site zo wil houden moet ik dat toch zelf weten.

Steeds meer websites verlangen hele complexe wachtwoorden, nog even en je moet het ook elke maand veranderen en het mag geen opvolgend nummer zijn en hij mag niet te veel op de vorige lijken. Dit zou toch eigenlijk mijn eigen verantwoording moeten zijn(en dus mijn keuze)?

Hoe dan ook ik hou mijn simpele wachtwoord voor deze nieuws site, succes ermee als je mijn inlog kraakt
Die eerste (random woorden acher elkaar) zou wel eens een stuk sterker kunnen zijn dan die tweede (woord met random karakters). xkcd heeft daar laatst een treffend stripje over geplaatst.
Wat een goeie reden is om iets in de geest van
Mijntoffewachtwoord,H4|4p3ñ0p3p3r,wasnietsterkgenoeg!
te gebruiken.
Eeeeeenjoy :)
Hangt erg van de gebruikte tools af.

Een tooltje die met woordenlijst werkt, gaat vaak na het testen van losse woorden over in combinaties daarvan.

Tegen Brute-Force zijn een aantal willekeurige woorden dus inderdaad een stuk sterker, simpelweg omdat er meer tekens in het wachtwoord zitten, maar voor geavanceerdere tools kan het juist een zwakte veroorzaken.

Dit geeft een hele interessante discussie:
Bescherm je je account tegen een 'high-tech' of een 'low-tech' dreiging?

De kans dat een script-kiddie met zo'n tooltje kloot is stukken groter dan dat een échte goede hacker zijn tijd hier in gaat investeren. Echter is het risico in sommige gevallen weer erg groot.
Zie ook 'What happens when you steal a hackers computer'.
Hij legt het beter uit dan ik zou kunnen, is zeker informatief en ook erg grappig :+
Lengte is belangrijker dan complexiteit voor passwords:
http://www.infoworld.com/...word-size-does-matter-531
http://blogs.mcafee.com/m...licy-length-vs-complexity

De eerste is een stuk moeilijker te kraken dan de laatste.
Dat InfoWorld artikel spreekt zichzelf enorm tegen:

"94 tekens gebruiken voor lengte 8 is onmogelijk te kraken" stelt het, dus dan boeit lengte kennelijk niet omdat de complexiteit hoog is. "Maar omdat de meesten maar 32 tekens gebruiken, moet je de lengte in"

Nogal een BS-bewering: Als iedereen idd. netjes die 94 tekens random zou gebruiken is die lengte dus helemaal niet belangrijk.
Hangt er van af hoe er gebruteforced wordt. Als een tool eerste alle uppercase mogelijkheden zou testen, dan alle lowercase en dan pas álle mogelijkheden dan is een wachtwoord met alleen maar uppercase inderdaad minder veilig dan hetzelfde wachtwoord waar één letter ook lowercase is.
Mede daarom heeft Tweakers.net eind vorige maand de opslag van wachtwoorden verbeterd,
Hoe precies is het achterhalen van de clear-texts van passwords en het vrijgeven hiervan aan bepaalde personen (in ieder geval de auteurs van het artikel) een 'verbetering' van de veiligheid? |:(

Eerst wist niemand mijn password. Nu weten jullie admins en de auteurs van dit artikel hem. Wat mij betreft is mijn wachtwoord nu niet meer veilig, en hebben jullie mijn privacy geschonden door zonder mijn toestemming mijn password te hacken.

Ik ga dit tot op de bodem uitzoeken, en er komt zeker een aangifte als dit juridisch een mogelijkheid blijkt.

Maar om dit nu een 'verbetering' te noemen is echt lachwekkend.

[Reactie gewijzigd door tofus op 23 juli 2024 07:47]

ACM Software Architect @tofus13 september 2011 13:59
De redacteuren hebben geen toegang gehad tot de wachtwoordhashes of wachtwoorden. Zij hebben enkel statistieken gekregen uit ontkoppelde gegevens. Oftewel er was wel een lijst van gekraakte wachtwoorden om de lengte-analyse op te doen, maar die lijst had geen relatie meer tot useraccounts.

De verbetering van de beveiliging zit 'm uiteraard in onze nieuw wachtwoordopslag. Zie de uitleg in de genoemde .plans over hoe PBKDF2 werkt en hoe zich dat verhoudt tov vanilla md5.
Er blijven toch wat vragen hangen.
Dat de redactie geen toegang had tot de wachtwoorden is misschien wel zo, maar de personen die de "test" hebben uitgevoerd hadden dat wel. Dus wachtwoorden inclusief accounts. Hoe konden anders de personen met een zwak wachtwoord een melding krijgen?
En hoe weet Tweakers de lengte van een wachtwoord van 15 karakters? Hebben ze dit wachtwoord dan toch gekraakt? Ik mag aannemen dat de lengte niet wordt vastgelegd omdat dit het risico op kraken enorm vergroot.

Ik begrijp dat dit een onschuldig onderzoek is, maar het doelbewust kraken van wachtwoorden is niet zo onschuldig als het voor veel vertrouwelingen van Tweakers misschien lijkt. Zelfs al hebben jullie er de beste bedoelingen mee.
Dat de redactie geen toegang had tot de wachtwoorden is misschien wel zo, maar de personen die de "test" hebben uitgevoerd hadden dat wel. Dus wachtwoorden inclusief accounts.
Dat zijn aannames die je maakt, maar die helemaal niet waar hoeven zijn.

In een gecontroleerde omgeving kun je het alsvolgt doen zonder ooit een koppeling te leggen:
  • Je hebt een database met daarin MD5 hash gekoppeld aan user-id.
  • De databasebeheerder extract een lijst met alle MD5 hashes uit de database, die geeft hij aan het kraak-team
  • Het kraak-team kraakt alle MD5 wachtwoorden. Uit het daadwerkelijke wachtwoord halen ze wat gegevens, zoals de lengte. Vervolgens gooien ze het wachtwoord weg. De vergaarde gegevens worden verwerkt in de statistieken die vervolgens aan de auteurs van het artikel gegeven worden, en wat er tot slot aan informatie over blijft bij de MD5 is louter of hij gekraakt was of niet - deze informatie wordt teruggekoppeld naar de databasebeheerder
  • Om de betreffende users te emailen zoekt de databasebeheerder het user-id op dat de betreffende MD5 heeft gebruikt. Hij weet niet wat het wachtwoord was, maar wel dat hij gekraakt is geweest.
Resultaat: geen enkel persoon heeft op enig moment een koppeling kunnen leggen tussen user en wachtwoord.

[Reactie gewijzigd door .oisyn op 23 juli 2024 07:47]

Het lijkt me juist reuzepositief als websites eens in de zoveel tijd eens een audit doen op hun eigen users database.
op zich wel. Anderszijds is het wachtwoord van tweakers niet zo super spannend.
Al hoewel het in theorie wel misbruikt kan worden.

Met name het vraag en aanbod systeem is zo lek als een mandje. Men zou met behulp van mijn account nepspullen kunnen verkopen, zonder dat ik het snel in de gaten heb.
Aangezien ik een relatief hoog karmalevel heb, zouden mensen mij wellicht snller vertrouwen dan andere mensen.

Toch maar eens mijn wachtwoord moeilijker maken. Irritant dat ik dan weer een lastiger wachtwoord moet gaan onthouden....
Volledig los van het feit of ik het met Tofus eens ben of niet (!), heeft hij absoluut een punt: het zou veel netter geweest zijn van T.net als ze deze actie van tevoren hadden aangekondigd met de mogelijkheid om hier expliciet bezwaar tegen te maken en een testmethode te kiezen die het mogelijk maakt om degenen, die dit bezwaar kenbaar hadden gemaakt, uit te sluiten van de brute-force attack.

Het "zomaar" uitvoeren van een pen(etration) test is verboden, plain and simple. Zelfs al zijn de bedoelingen goed, er moet altijd IETS van toestemming zijn.

Daarnaast geeft T.net aan dat er zorgvuldig is omgesprongen met de verkregen data/informatie, maar er is geen onpartijdig orgaan bij betrokken geweest, die dit kan bevestigen. Als Fox-IT of Madison Ghurka dit soort dingen zouden "vergeten", zouden ze geen werk meer hebben ...
ACM Software Architect @m_w_mol13 september 2011 14:46
Ik ben geen jurist, maar volgens mij geldt wat jij zegt vooral of zelfs alleen voor derden. Fox-IT mag niet zomaar Tweakers.net onderzoeken zonder toestemming van Tweakers.net. Maar Fox-IT mag wel Tweakers.net onderzoeken in opdracht van (en/of met expliciete toestemming als ze het pro-bono zouden willen doen). Volgens mij is Tweakers.net niet verplicht om al haar gebruikers toestemming te vragen voor dat onderzoek...
Sterker nog, Tweakers is eigenaar van de database en kunnen binnen bepaalde grenzen doen wat ze willen met de DB. Zolang ze deze niet verkopen of delen met derde zal de antiprivecywet hier niet veel mee kunnen. Ze hebben de Data toch al.

Daarnaast had misschien wel netjes geweest om een POL op te zetten. Mogelijk zijn hier gebruikers die hun wachtwoord zowel voor T.net gebruiken als voor de bank!!
Anoniem: 379651 @ACM14 september 2011 01:14
Volgens mij is Tweakers.net niet verplicht om al haar gebruikers toestemming te vragen voor dat onderzoek...
Wettelijk gezien misschien niet. Moreel zondermeer wél, als ik zo vrij mag zijn. Niet dat ik in reactie op deze actie van het T.net team mijn biezen zal pakken, maar, het is toch wel weer een punt in mindering.

En er komt natuurlijk wel een moment waarop ik zeg - "Jongens, teveel punten in mindering. Even goede vrienden, maar, ik ben weg."
Hij heeft zeker een punt. Zat me ook al te bedenken of dit wel zo netjes is. Daarnaast gaan jullie aan de hobbel voorbij de je eerst bij de database zal moeten komen. Als ik het artikel zo lees hebben jullie vrij toegang.

De waarschuwing die ik zojuist kreeg klikte per ongeluk weg doordat ik meteen op MyReact klikte. Bleef niet staan daarna.
Volgens mij wordt hier toch iets gemist. Als - wat ik vermoed - de wachtwoorden ontkoppeld zijn vóór het kraken dan is er helemaal geen sprake van een penetratietest, of van het schenden van privacy. Een wachtwoord heeft alleen waarde als je weet bij welk account het hoort. Zonder die koppeling, of op z'n minst een lijst van accounts, kan je er niet veel mee.

Toegegeven, het had netter gekund, maar er zijn nu wel een hoop tweakertjes wakker geschud, en dat is ook wat waard.

Edit @ onder: idd, die koppeling moet in stand zijn gebleven. Dat betekent niet dat iemand de wachtwoorden ook heeft bekeken, maar wel dat het kon. Nou vertrouw ik tweakers wel, maar mensen die wachtwoorden voor meerdere sites gebruiken moeten zich nu wel even op het hoofd krabben.

[Reactie gewijzigd door TheekAzzaBreek op 23 juli 2024 07:47]

In de laatste alinea van het bericht kan men lezen dat een lijst met gebruikersnummers wordt bijgehouden. Dat impliceert dus wel degelijk dat er een koppeling is voordat de kraak is uitgevoerd. Na de kraak is die koppeling er inderdaad niet meer.

edit:
Ik weet niet precies wanneer men kan spreken van een penetratietest, maar stel dat zo'n test uitgevoerd zou worden op een database met weinig gebruikers dan is het opeens veel makkelijker om gekraakte wachtwoorden weer te koppelen aan gebruikers-accounts.

Erger nog, door een lijst bij te houden is het beveiligingsmechanisme afgezwakt. Mocht een hacker toegang weten te verschaffen tot de database dan weet hij dus ook welke gebruikersaccounts slechter bestand zijn tegen een kraak.

[Reactie gewijzigd door JeromeB op 23 juli 2024 07:47]

Aangezien ik een melding in beeld heb dat MIJN wachtwoord mogelijk niet sterk genoeg is ga ik er vanuit dat Tweakers dus heel goed weet welk wachtwoord bij welke account hoort.
Het "zomaar" uitvoeren van een pen(etration) test is verboden, plain and simple.
Ik weet niet of je gelijk hebt.

In feite is een wachtwoord een gemeenschappelijk eigendom van T.net en de user. Het wordt immers door beide partijen gebruikt om de user te identificeren. Dat dit wachtwoord door T.net gehashed wordt opgeslagen is een service, geen verplichting. Ze hadden dus net zo goed de wachtwoorden plain-text kunnen opslaan.
ouch ik ging er van uit dat het paswoord in plain text opgeslagen wordt, dat gebeurd toch zo overal ?
PSN bvb. }>
Dus ging ik ervan uit dat ze toegang hebben tot mijn paswoord. Veel plezier ermee.
Ja het is niet sterk, maar ook de sterke bleken te kraken zijn.

maar er is zelf de mogelijkheid dat T.net niet weet wat de gebruikte paswoorden zijn, ook al zijn ze gekraakt.
Als de tool per gehackt account even inlogde ter verificatie en dan in een log de tijd weg schreef en niet het zwakke paswoord, dan zijn de paswoorden nog steeds onbekend, maar de sterkte wel. En wist T.net zelfs niet da ik een zwak paswoord hanteer op hun site had ik het niet verteld in deze post.
Ik ben het met je oneens m_w_mol,

Ik heb ervaring met het onderhouden en enforcen van security policies binnen een bedrijf waar ik vroeger werktte.
Het uitvoeren van een penetration test tegenover een systeem die eigendom is van je eigen organisatie is op zich volkomen legaal (opgelet: ik spreek vanuit het standput van de Belgische wet, ik weet niet hoe het in NL zit).
Natuurlijk is het nogal logisch dat je hiervoor schriftelijk toestemming vraagt aan de nodige mensen binnen Tweakers en daarvoor heeft Tweakers.net veronderstel ik ook de nodige security policies ontwikkeld (?)

Als derde partij lijkt het me wiedes dat dit natuurlijk illegaal is.

Wat men doet bij security firma's die security scans uitvoeren vanuit een externe server (er zijn er zat geautomatiseerd), is dan ook deze security policies tot op de letter volgen om misverstanden te vermijden.

Intern is dit hetzelfde verhaal, maar dit gaat natuurlijk iets makkelijker.

edit: typos

[Reactie gewijzigd door PierkenAas op 23 juli 2024 07:47]

van te voren aankondigen? :+ zodat iedereen hun wachtwoord snel gaat veranderen in de hoop dat het zo lang mogelijk duurt, dan krijg je dus valse resultaten..

het lijkt mij stug dat iemand van tweakers jou account naam + wachtwoord gaat onthouden, als zij er sowieso al bij kunnen komen als ze het willen


haal die alu hoedjes maar weer uit de kast... Tweakers is evil!!!!!

kom op mensen... doe normaal AUB
regelmatig van wachtwoord wisselen maakt het NOG veiliger.
Vandaag lijkt me een mooi moment...
Broodje aap. Regelmatig wisselen zorgt er voor dat je niet weet weet wat het laatste wachtwoord was waardoor men toevlucht neemt tot óf opschrijven óf een wachtwoord met een teller. Kortom maakt het onveiliger.

Veilig is om een lang wachtwoord te kiezen dat je goed kan onthouden. Bijvoorbeeld "tweakers is een top site!".
Als je paswoord echt gekraakt is dan weet je dat zelden of nooit, zeker als de hacker je enkel bespioneerd (zie: News of the World schandaal). Als je het paswoord af en toe eens verander, zorg je ervoor dat een mogelijke hack ongedaan wordt gemaakt.

Hoe vaak, dat is vrij persoonlijk.
Dat ze mijn tweakers account kraken is niet zo belangrijk, met het gevolg dat het paswoord al 10 jaar oud is (en blijkbaar nog steeds veilig genoeg ^_^).
E-mail, cloud, bank... ja dat verander ik toch wel om de 12 à 18 maand.

[Reactie gewijzigd door IStealYourGun op 23 juli 2024 07:47]

Regelmatig wisselen zorgt er voor dat je niet weet weet wat het laatste wachtwoord was waardoor men toevlucht neemt tot óf opschrijven óf een wachtwoord met een teller. Kortom maakt het onveiliger.
Of je gebruikt iets als keepass. Hoef je slechts 1 wachtwoord te onthouden, en dat is het dan.

Ik heb het net even nageteld en mijn T.net-wachtwoord bestaat blijkbaar uit 20 karakters. Goed dat ik dat niet hoef te onthouden :)
Kreeg ook de gele balk op een wachtwoord van 9 tekens.

Dus mijn wachtwoord maar eens veranderd na 9 jaar :)

Nu is het meer in de trend van : 6^Jhdv!mK4lH

Ik gebruik zelf roboform voor het genereren en onthouden van wachtwoorden tegenwoordig.

[Reactie gewijzigd door Emunator op 23 juli 2024 07:47]

7 tekens en geen gele balk hier :Y)
Hier ook 7 karakters en wel een popup, 1 letter veranderd door een hoofdletter en opeens had ik wel een sterk wachtwoord. Snap het algoritme wat tweakers voor die herkenning heeft dus niet helemaal.
Van tweakers.net weet je hoe je wachtwoord opgeslagen is, van andere sites weet je dat meestal niet. En dan heb ik het nog niet eens over malafide sites die jouw wachtwoord bewust onderscheppen, of sites die je wachtwoord in plain tekst opslaan in de database.

En dat is het grote gevaar, niet dat wij weten dat wij je wachtwoord kunnen kraken (zonder die uberhaubt in te zien) dus wij waarschuwen jou dat als wij dat al (zo snel) kunnen doen, dat een echte hacker er nog veel minder moeite mee heeft als er weer ergens een database met wachtwoord hashes lekt (en dat gebeurd regelmatig).
Van Tweakers.net weet ik dus niet hoe mijn wachtwoord opgeslagen is en ik hoor nu pas dat MD5 gebruikt werd. Dit had vele jaren geleden al verboden moeten worden !

De meeste tools welke gebruikt zijn zullen ook door een hacker gebruikt worden dus stellen dat een echte hacker minder moeite heeft is kul. Ook ik werd gewaarschuwd dat mijn wachtwoord te slap was (bekend) en ik wens ieder programma een prettige wedstrijd met mijn huidige wachtwoord.
Een echte hacker zou er waarschijnlijk meer resources tegenaan gooien. Hoe meer rekenkracht, hoe sneller het gaat natuurlijk. Dat is waar Kees op doelt vermoed ik ;) Denken dat kwaadwillenden dit niet sneller zouden kunnen doen is vrij naïef.
Je moet ook niet voor elke site, hetzelfde wachtwoord gebruiken...

Interessant stukje over het kraken van wachtwoorden... link

Ik had gelukkig geen melding, mijn collega echter wel!
Vind het wel netjes dat Tweakers.net op deze manier hun gebruikers waarschuwt!

Daar zouden andere bedrijven nog een hoop van kunnen leren!
Nu is er weer een bestand met onbeveilgde wachtwoorden gegenereerd. Joepie.
Er is dus geen bestand met wachtwoorden gegenereerd:
...De benodigde gegevens zijn vernietigd en niet aan derden ter beschikking gesteld. ...

[Reactie gewijzigd door GateKeaper op 23 juli 2024 07:47]

hoeveel sites ik wel niet ken die mij mijn echte wachtwoord gewoon kunnen opsturen als ik dat vraag.....

Die slaan het dus allemaal plain text op, wat echt niet meer kan maar ja ze doen het

Dus wat tweakers hier heeft gedaan is niks erger dan al die sites die de wachtwoorden gewoon plain text op slaan. Sterker nog, ik vind die sites eigenlijk veel erger... Die hebben gewoon echt jouw wachtwoord opgeslagen als die lekt hebben ze hem direct.
Humbug, wees blij dat het Tweakers zelf is, en niet een of andere persoon die sites hackt voor de lol en dan de hele database op pastebin ofzo zet...

Tweakers.net kon sowieso al bij jou wachtwoorden komen als ze het willen.. en raad eens.. dat hebben ze nog steeds neit gedaan, dus zet AUB dat alu hoedje af en ga eens normaal nadenken
en het vrijgeven hiervan aan bepaalde personen (in ieder geval de auteurs van het artikel)
En
Eerst wist niemand mijn password. Nu weten jullie admins en de auteurs van dit artikel hem
Leuke aannames die je daar doet. Waaruit blijkt dat? Uit niets. Ze hebben grofweg 200.000 wachtwoorden gekraakt, waarbij het voor het onderzoek niet relevant was om die gekraakte wachtwoorden ook daadwerkelijk op te slaan, laat staan te onthouden. De auteurs van het artikel hoeven voor het schrijven van het artikel niet eens de wachtwoorden te weten, louter de statistieken.

Als je ergens een probleem van wilt maken, vraag jezelf dan liever af hoe t.net is overgeschakeld op een nieuwe manier van opslag van wachtwoorden terwijl het enige dat ze hadden een MD5 van je oude wachtwoord is, en je bij het inloggen ook niet altijd je wachtwoord opstuurt aangezien ze daar (optioneel) een challenge/response systeem voor gebruiken (makkelijk te verklaren overigens, maar imho veel interessanter)

[Reactie gewijzigd door .oisyn op 23 juli 2024 07:47]

Als je ergens een probleem van wilt maken, vraag jezelf dan liever af hoe t.net is overgeschakeld op een nieuwe manier van opslag van wachtwoorden terwijl het enige dat ze hadden een MD5 van je oude wachtwoord is, en je bij het inloggen ook niet altijd je wachtwoord opstuurt aangezien ze daar (optioneel) een challenge/response systeem voor gebruiken (makkelijk te verklaren overigens, maar imho veel interessanter)
Dat staat uitgelegd in plan: Development-round-up augustus 2011 - iteratie #4 :)
Eerst uitzoeken, dan schreeuwen, tofus.
Dan was je er achter gekomen dat de veiligheid wel degelijk verbeterd is zonder dat admins en auteurs je wachtwoord gezien hebben. (Als je ze niet met je wachtwoord vertrouwt, waarom geef je dat dan?)

[Reactie gewijzigd door alx op 23 juli 2024 07:47]

"Als je ze niet met je wachtwoord vertrouwt, waarom geef je dat dan?"

Is in mijn ogen ook niet een helemaal eerlijke beredenering. de meeste wachtwoorden worden dusdanig opgeslagen dat voor de admins ook niet (zonder kraken) te achterhalen is wat dit wachtwoord was.
Kan onkraakbaar opgeslagen zijn, maar als het gaat om de achterliggende gegevens, kunnen de admins daar toch wel bij en als het gaat om het wachtwoord zelf (mss voor andere sites), dan zouden de admins/devvers het wachtwoord kunnen zien voordat het door de hash functie gaat. Niemand controleert (handmatig of automatisch) iedere keer dat ie inlogt of de javascript code die tweakers en andere sites je voorschotelen wel ok is.
admins beheren de systemen... die kunnen dus kiezen hoe ze wachtwoordenopslaat, ze beheren de site dus doen met je account wat ze willen. Door hun jouw wachtwoord te geven (wat je gedaan hebt bij het creeeren van je account) heb je de admins in vertrouwen genomen.

suck it up of grow up and get out of here

het is wel degelijk een verbetering dat ze er iets aan doen. Stel dat iemand de site kraakt en de gehashte wachtwoorden te pakken krijgt en meer dan de helft is "onveilig", dan weet ik dat liever van de admins van de site die ik vertrouw dan dat ik het later lees in een torrent die een hacker clubje online zet nadat zij hetzelfde doen als de admins hier.

just my 2 cents

ps. als jouw wachtwoord veilig was, weten ze het toch nog altijd niet? enkel als je een slecht paswoord hebt wat iedereen makkelijk kan raden weten ze het, maar dus dan was het ook gemakkelijk te raden en dus al publiek

[Reactie gewijzigd door harrydg op 23 juli 2024 07:47]

Hier zat ik dus ook al aan te denken.
Hoewel er goede bedoelingen achter zitten en ik de crew van T.net wel vertrouw is het toch privacy-gevoelig om wachtwoorden te gaan hacken in de naam van veiligheid.

Wellicht was het beter om een opt-in systeem vantevoren op te zetten. Hoewel dit de resultaten wel enigszins zou affecteren weet je dan wel zeker dat niemands privacy geschonden wordt.

Verder vind ik het wel een goed initiatief, zeker daar de helft van alle wachtwoorden zó eenvoudig te kraken was.
Als alleen de hash was gedumpt en deze niet tot accounts te herleiden was, dan was dit minder spannend geweest en een leuk onderzoek, maar nu maak ik mij iets meer zorgen over hoe er met die data is omgegaan, aangezien tweeakters.net weet welke accounts een zwak wachtwoord hebben.

Ik zie te weinig informatie over de gehanteerde procedures, welke systemen deze data heft bevat, maar tja, dat gaat verder. Wie kan er bij de tweeakters.net database met user account hashes?

ETc. etc. etc.
Waarschijnlijk is het zo opgezet dat alleen de bovenstaande statistieken er uit rolden, en niet een volledige lijst met username:password.

Edit: Er is dus toch een waarschuwing ;)

[Reactie gewijzigd door donny007 op 23 juli 2024 07:47]

als dat zo was, had je een mooie gele balk bovenaan je pagina gezien, met een link naar de .plan en een link om je pass te veranderen.
Dat hangt helemaal af van de output van het systeem. Maakt het systeem en lijst van passwords, of maakt het een lijst van accounts en alleen de length van het password en de tijd die nodig was om de passwords te hacken.
Wat een overdreven reactie.

Ik ben trouwens één van de 15, ghe, wat een eer.

Maar wat ik me afvraag, hoe weet Tweakers dat er 15 accounts zijn met 15 characters of meer?

Die hebben ze vast niet gekraakt, of hebben ze toch een clearpassword of enkel de lengte opgeslagen?
Dat weten ze niet? Het artikel geeft aan dat ze 195.000 wachtwoorden eenvoudig konden kraken. Van deze 195k gekraakte wachtwoorden geeft de tabel aan dat er 324 stuks van 15 karakters waren.

Er wordt in de tekst niets gerept over de lengte van de overige, niet gekraakte, wachtwoorden.

[Reactie gewijzigd door Zoefff op 23 juli 2024 07:47]

Och man, serieus... "privacy geschonden". Grow up - als je in je profiel niet gelogen hebt over je geboortedatum dan wordt het wel eens dringend tijd om volwassen te worden.

Tweakers zoekt (deels ten behoeve van de gebruikers, deels ten behoeve van zichzelf) uit welke accounts zwakke paswoorden gebruiken en jij gaat een beetje zeuren....
Ga jij het maar lekker tot op de bodem uitzoeken.

Zeker niks beters te doen.

Ik heb mijn password gewoon gewijzigd, het was een zwak password waar ik in bijna 10 jaar geen problemen mee heb gehad bij tweakers.
In theorie zijn wachtwoorden versleuteld. De lengte van de sleutel maakt het decrypten moeilijker. "mijnlekkerlangwachtwoord" is dus moeilijker te kraken dan "w@tn0u".
Zeker als je substitutietabellen van de veelvoorkomende karakters meeneemt
(@ =a, 4=a, !=i, 1=i enz).

Zoals je in de tekst hebt kunnen lezen hebben ze voornamelijk bibliotheken gebruikt, wat duidt op wachtwoorden zoals "welkom", "mickey", "toyota" enz.
Als je bruteforcet, maakt het niet uit welke karakters je gebruikt. Zo'n substitutietabel zou alleen nuttig zijn als je het bijv combineerd met een dictionary attack.
Natuurlijk wel. Bij bruteforcen geef je aan welke karakters allemaal meegenomen moeten worden. Aangezien bruteforcen duur is, ga je bij voorkeur geen karakters meenemen die toch niet kunnen worden gebruikt (omdat ze niet worden toegestaan door het verificatie algoritme), en ook geen karakters waarvan je denkt dat ze niet zullen worden gebruikt. (Omdat ze niet op je toetsenbord staan, bijvoorbeeld).
In theorie klopt jouw stelling.
Maar ook met bruteforce wil je het wachtwoord zo snel mogelijk en niet pas binnen 10 jaar,
daarom ga je bij brute force vermoedelijk toch iets wat meer intelligentie gebruiken en bvb eerst enkel proberen met de meest voorkomende karakters (a-z,A-Z,0-9) en pas daarna, als je niets vindt, ook de speciale karakters gebruiken.
Op die manier ga je de meeste wachtwoorden immers veel sneller kraken omdat je eerst de meest logische karakters gebruikt.
Dit is niet echt puur brutoforce en daarom heb je wel gelijk, maar ik denk dat je wel kan stellen dat niemand echt pure domme brute force zal toepassen.
Één account zonder wachtwoord: opvallend.
please do tell me this was the administrator account...
zou dat niet BC3_user kunnen zijn?

voor degenen zonder Tnet-geschiedskennis, dat is een 'onechte' user die ooit gemaakt is toen men (in 2001 of 2002) een backup van oude forumpostings welke door een crash (BC3, Big Crash 3) verloren gegaan waren, herinvoerde warbij alle post welke geen bestaande user toegeordend konden worden, aan Bc3_user gekoppelt werden

[Reactie gewijzigd door RM-rf op 23 juli 2024 07:47]

of zijn wachtwoord begon met een spatie..? Veel hackprogramma's lopen daar op vast...
Inderdaad, maar veel users ook. Want bij copy-paste worden spaties aan het begin/eind vaak vergeten.
Je weet dan toch als gebruiker dat je wachtwoord heb met spatie of niet. :)
En toch vind ik het gek dat ik een geel balkje te zien kreeg dat ik een zwak wachtwoord heb met 5 letters en drie cijfers, waarvan één letter capitalised. Toch maar even het wachtwoord veranderd (en op andere sites ook meteen, gezien die eenzelfde structuur hadden).
Ik gebruik zelf 20 karakters. Keepass <3
Één account zonder wachtwoord: opvallend. ;)
Heel grote kans dat in de praktijk die best nog veilig is, je gaat er immers niet vanuit dat iemand geen wachtwoord heeft. Iets goed om te onthouden, niet om toe te passen natuurlijk.
Ik begrijp jullie goede bedoelingen.... Maar toch vind ik dit niet helemaal netjes.
Een encryptie wordt tenslotte niet voor niets gebruikt, en er zullen ook mensen zijn die overal hetzelfde wachtwoord gebruiken.

Persoonlijk had ik liever gehad dat jullie hier toestemming voor gevraagd hadden.
Ik ben het helemaal met jou eens.

Echter, ik ben ook blij dat ze dit even aan de kaak stellen en het iets 'persoonlijker' maken juist om te confronteren -hoe- zwak jouw wachtwoord nu eigenlijk is.

Misschien was het ook wel aardig geweest dat het artikel gelijk had aangekaart voor de getroffen mensen hou je eenvoudig een stuk sterker wachtwoord kunnen maken en het risico op verlies van gevoelige data aanzienlijk reduceren.

Het had opt-in moeten zijn.
[...] Echter, ik ben ook blij dat ze dit even aan de kaak stellen en het iets 'persoonlijker' maken juist om te confronteren -hoe- zwak jouw wachtwoord nu eigenlijk is.
[...]
Eigenlijk vind ik ook dat het wat "persoonlijker" had gemoeten, dat wachtwoord kraken.
Maak maar duidelijk wat de gevolgen van een hack kunnen zijn.
Gewoon gelijk iemands "galerij" defacen ... :P
Je moet nooit zelfde PWD op meerdere sites gebruiken. Je moet nmlk nooit uitgaan van de goodwill van de site admins.
Ik begrijp je zorg, en ergens ben ik het er ook nog mee eens. Maar als je je ww op meerdere plaatsen gebruikt moet je voor de schuldige alleen in een spiegel kijken...
Fijn dat ik niet de enige ben die er zo over denkt.

Ik vind het niet kunnen dat dit soort dingen worden gedaan zonder overleg of een opt-out optie.

Lijkt me sterk dat ik toestemming heb gegeven voor dit soort acties bij het accepteren van de algemene voorwaarden.

Ik ben verre van blij...
Van de ene kant snap ik je reactie, van de andere kant (de statistische kant), zodra je vantevoren een "waarschuwing" geeft, of een opt-on gebruikt, dan vervuil je je gegevens enorm. Onaangekondigd testen is de enige manier om er iets zinnigs over te kunnen zeggen.
Overigens, passwords moet je niet encrypten maar hashen. Dat is een subtiel*), maar zeer belangrijk verschil.

*) Zowel encrypten als hashen maakt er "onleesbare zooi" van, maar encryptie is eenvoudig omkeerbaar (decrypten), terwijl hashing juist is ontworpen om niet omkeerbaar te zijn (vandaar het gebruik van methodes zoals brute-force, dictionary-attack of rainbow tables). Als je encryptie zou gebruiken, dan kan de site-eigenaar (of een hacker die genoeg informatie te pakken krijgt), eenvoudig alle passwords, hoe sterk ze ook zijn, bepalen.
Anoniem: 340068 @Oeroeg14 september 2011 09:14
Ik begrijp jullie goede bedoelingen.... Maar toch vind ik dit niet helemaal netjes.
Een encryptie wordt tenslotte niet voor niets gebruikt, en er zullen ook mensen zijn die overal hetzelfde wachtwoord gebruiken.

Persoonlijk had ik liever gehad dat jullie hier toestemming voor gevraagd hadden.
Misschien verveelde ze zich en dachten zo even wat te doen met hun vingers en toen dacht een aapje, he laten we ff de user database hacken want we hebben niks nuttigs te doen.. En het trekt publiciteit :+
In minder dan een half uur bleek de helft van de versleutelde wachtwoorden eenvoudig te kraken
Ondanks dat dit spectaculair lijkt, zal het in het echt nogal meevallen. Op iedere andere website zou het veel langer duren:

* jullie gebruiken de gpu om de wachtwoorden te achterhalen, terwijl je directe toegang tot de DB hebt, dit zorgt voor een behoorlijke performance winst

* iedere web frontend voorziet meestal tot 5 loginpogingen, waarna je IP even inactief wordt of dat je een captcha moet invullen => aantal pogingen per seconde daalt sterk.

Dus ongetwijfeld dat deze kraakpoging relatief snel ging, maar jullie zitten in een bevoorrechte positie om de boel te kraken.
Je hebt deels gelijk, het probleem ontstaat wanneer de database onverhoopt op straat komt te liggen wat angstvallig vaak voorkomt. Mensen die een databasedump hebben met alle wachtwoord hashes zouden dit ook gewoon kunnen doen.
Dan is het nog makkelijker, ze hebben dan waarschijnlijk de hashes, salt etc. al te pakken en hoeven het niet meer te gokken.
met een hash en een salt ben je ook even zoet als je het originele wachtwoord wil achterhalen.
Salt maakte in dit geval niet uit. Als er een salt is gebruikt heeft een rainbow table geen nut meer en moet je de paswoorden gaan kraken, en dat is precies wat ze gedaan hebben.
Het is begrijpelijk dat mensen hun wachtwoord zo goed mogelijk beveiligen. Mijn theorie is echter dat je de mate van beveiliging af moet laten hangen van de importantie van de website. Ik zal het kort uitleggen:

De meeste mensen hebben eenzelfde wachtwoord voor meerdere websites. Op deze manier is het makkelijker te onthouden: je zult nooit op een website aankomen en je wachtwoord vergeten zijn. Sommige websites verlangen echter cijfers en leestekens om de wachtwoorden te 'vermoeilijken'. Dit zorgt ervoor dat je toevoegingen moet doen aan je wachtwoord, bijvoorbeeld een 'dash' ( - streepje) of een 'underscore' ( _ liggend streepje). De websites die dit verlangen zijn veelal sites waar privé informatie van de gebruiker op staat. Het is daarom belangrijk dat dit niet gekraakt wordt.

Om nu je wachtwoord te kunnen onthouden is er een simpel ezelsbruggetje: hoe erg zou het zijn wanneer de gegevens die ik op deze website gebruik gestolen worden of in het openbaar verschijnen?
Hoe vervelender het is, hoe moeilijker je wachtwoord is. De creditcard maatschappij is hier een voorbeeld van, of je e-mail account. Maakt het niet uit wanneer gegevens gestolen worden, bijvoorbeeld bij een spelletjeswebsite of een website van een krant, dan hoeft het wachtwoord niet zo ingewikkeld te zijn, en gebruik je een simpelere versie van het wachtwoord.

Waarom niet altijd een 'ingewikkeld' wachtwoord gebruiken? Dat is simpel: het typt veel sneller wanneer je een simpele variant moet invoeren. Vergelijk zelf:
katertje vs. kAtErTjE_34!

Wat is jullie visie?
Het hele sterke/zwakke-wachtwoorden-gebeuren is onzinnig voor het inloggen op actieve systemen.
Als je 3 keer probeert in te loggen moet je account gewoon (tijdelijk) geblokkeerd worden en dan is 'd' in principe even sterk als 'Hatsef1at5'.

En brute-force-beveiligingen zijn zo simpel:
Als de server na elke 3 pogingen een account 15 minuutjes blokkeert, kost het gemiddeld al ruim een jaar om een wachtwoord van 3 karakters (a-zA-z0-9_) middels brute-force te kraken.
Of verleng na elke poging de timeout. De tweede poging mag na 1 seconde, de derde na 2sec, de derde na 4 sec, etc. Dan ben je wel echt een stugge hacker als je meer dan 16 pogingen doet.

Een website die zijn gebruikers gaat zitten verwijten dat ze een zwak wachtwoord gebruiken, is een pot die de ketel verwijt dat hij zwart ziet.

Het is alleen van toepassing op de hash van de wachtwoorden en op systemen die eindeloos (foutief) inloggen toestaan, dus in het geval t.net zijn database laat hacken. Dan is het hek toch al van de dam.

Een hash is te breken, of dat nu 1 seconden of 1 uur duurt maakt dan niet uit. De hash laten uitlekken is maar marginaal beter dan het plain-text wachtwoord laten lekken. Beiden heel erg kwalijk.

Maar ach.. zolang we nog inloggen via http is alles relatief zinloos.
zolang we nog inloggen via http is alles relatief zinloos.
Exact.
Hoe kan de opslag van wachtwoorden 'verbeterd' worden vraag ik me af. Als het een MD5 hash wass waarmee de wachtwoorden zijn opgeslagen en nu bijvoorbeeld een SHA-512 hash, dan moet het wachtwoord alsnog bekend zijn wil je een 'nieuwe' hash maken.

De enige plausibele oplossing is een SHA-512 hash van de oorspronkelijke MD5-hash. Ook op slinkse manier uitloggen en dan weer in laten loggen om vervolgens de SHA512 te berekenen kan niet, aangezien dan het wachtwoord onversleuteld over het internet gaat.

Kortom Tweakers; hoe is deze 'overstap' gegaan?
ACM Software Architect @Scyth13 september 2011 14:17
Overstap is vrij simpel gegaan: We hebben een functie pbkdf2 (die effectief heel vaak sha512 uitvoert) en we hadden natuurlijk de md5-hash.

Uiteindelijk is dat opgeslagen als pbdkf2(md5hash) ipv pbdkf2(password). Voor mensen die opnieuw inloggen wordt wel de laatste variant gebruikt. Het voordeel van de eerste is dat er alsnog wel direct random-salting en uitgebreide "key stretching" werd toegepast.

En ja, bij inloggen en/of wachtwoord wijzigen gaat het wachtwoord plain-text over de lijn. Weliswaar via SSL en/of RSA-encryptie, maar in beginsel plain-text. Anders zou je het namelijk mogelijk maken om domweg een goede hash te hebben en dan in te kunnen loggen, ipv het goede wachtwoord te weten. Bovendien verplicht je het dan om die rekenfunctionaliteit in javascript te verwerken, terwijl dat helemaal niet zo sterk is met cryptografische functionaliteit.
Ongeveer wel zoals je zelf beschrijft, alleen dan niet met SHA-512.
Daarnaast worden de wachtwoorden niet onversleuteld over het internet gegooid, aangezien er inmiddels https is aangezet.
Aantal karakters 0 :P das vast de admin account ;)

zelf vind ik het knap als je een ww van 15 hebt die je ook onthouden kan.

[Reactie gewijzigd door Fryske_Apoc op 23 juli 2024 07:47]

Er was hier laatst iemand die een cartoon had geplaatst over wachtwoord policies... daarbij wordt juist aangeraden om een lang wachtwoord te maken, maar dan niet

"35365$GT$YB$#YT#"

maar meer zoiets als

"appels en nog wat peren is best lekker samen"

want dan heb je WEL een heel lang wachtwoord, maar ook 1 die je ERG makkelijk kan onthouden. Makkelijk voor mensen, moeilijk voor computers :D En dat wil je.

[als reactie hier onder]
Je kan natuurlijk ook een website-sensitive wachtwoord maken - zoals voor Tweakers bijvoorbeeld "even wat lezen over hardware en zo!" - en klaar. Dat zal per persoon anders zijn, en voor een anonieme computer die in china wat wachtwoordjes staat te kraken is dat ECHT niet een zin die bij hem opkomt!

[Reactie gewijzigd door Webdoc op 23 juli 2024 07:47]

Anoniem: 126717 @Webdoc13 september 2011 13:50
Simpele sommetjes zouden kennelijk ook hier goed geholpen hebben.
Gewoon een wachtwoord als Q256/16=A4^2
12 karakters waarje makkelijk nog eens g03d aan kan toevoegen voor een 16 karakter wachtwoord.
http://xkcd.com/936/

Deze inderdaad. Heeft me ook inspiratie gegeven voor een nieuw wachtwoord.
Ja, maar wat er niet bij gezegd werd is dat je met dictonary attacks dit veel en veel sneller heb gekraakt, zoals hierboven mij al vaker is gezegd. Het beste is dus een combinatie van makkelijk onthoudbare woorden en leestekens.
Nee, dat kost zelfs met een dictionary attack (de entropie-bits onder correct horse battery staple hebben betrekking op een dictionary attack, vandaar ook dat het aantal bij elk woord gelijk is) meer tijd dan een kort "random" password.
@GSF en Stefan: linken naar XKCD om 13:37, goede timing ;)
Je hebt gelijk, sorry te vroeg geoordeeld.
Dat valt volgens mij wil mee als je veel woorden gebruikt. Ik denk niet dat veel dictionary attacks meer dan 5 woorden aan elkaar gaan sleutelen. Desnoods doe je er wat comma's tussen - dan is het echt zeer moeilijk te kraken. Bijkomende voordeel is ook dat je dan geen briefjes op de monitor hoeft te maken ;)
Inderdaad een goede tip! Echter, hoe ga je dat doen met 5 verschillende wachtwoorden? Dan wordt het toch weer ingewikkeld!
Mjop, mijn wachtwoord is zelfs 19 karakters, samengesteld uit een cryptisch ding zoals 3itra6&$A en daarna nog een lang woord (de exacte verhoudingen ga ik natuurlijk niet prijsgeven ;) ). Ik gebruik vaak combinaties en variaties van mijn wachtwoorden, waardoor ik af en toe wel een aantal keer een fout wachtwoord in typ hier en daar.

Mijn backbone is wel mijn email adres, als ik een keer ergens écht me wachtwoord niet herinner dan doe ik retrieve password. Daarom wil ik op me mail dan ook een zo sterk mogelijk ww hebben, alleen gaat Windows Live mail maar tot 16 characters :S. En daar waarschuwen ze ook niet voor, nee, maar je kan gewoon max 16 chars invullen in het wachtwoordveld, zo ook bij WLM...

Ik doe nog wel te vaak 'wachtwoord onthouden' in firefox met Xmarks enzo, denk dat het beter is om dat een keertje te verwijderen..
Hottentottententententoonstelling is toch lang en makkelijk te onthouden. ;)

Er zijn uiteraard programma's beschikbaar die je wachtwoord onthouden. Zo gebruik ik Keepass en zijn er nog maar een paar wachtwoorden die ik echt weet.
Even voor je nagekeken :P

hotten
hottentot
hottentots
hottentotse
hottentotten


even verderop:
tenten


en:
tentoonstellen
tentoonstelling
tentoonstellingen


het hele wachtwoord, en enkele aanverwanten bestaat volgens de lijsten die ik heb uit drie delen. Technisch is het net zo ingewikkeld te kraken als aap-noot-mies.
Maar feitelijk 1 woord, wat in een dictionary zou kunnen staan. Beter is een samenstelling van woorden die feitelijk weinig met elkaar van doen hebben.
Maar dan weer heel slecht omdat het gewoon een woord is dat zeker in tal van woordenlijsten staat.
Laten we zeggen, 1 van de 10000 gebruikelijke woorden in een woordenlijst. 4 woorden achter elkaar betekent dus 10000 * 10000 * 10000 * 10000 mogelijkheden. Ongeveer gelijk aan 8 willekeurige tekens (hoofd- en kleine letters, cijfers, interpuncties) achter elkaar, maar veel gemakkelijker te onthouden.
Gewoon een bepaald systeem bedenken. Bijvoorbeeld: laatste 3 letters van het hoofddomein + naam van je kind. Zit je op een makkelijk te onthouden, lang wachtwoord dat voor elke site anders is.
Als je dus ergens op een duister domein een account hebt aangemaakt, kunnen zij dus overal bij.
Nee want je wachtwoord voor tweakers is bijvoorbeeld:
ersanita (ers = laatste van tweakers en anita = random naam).
Maar voor google is je w8woord gleanita.
Dus jouw wachtwoord voor bol.com is bolanita. Je krijgt zometeen de rekening wel toegestuurd :)
Beetje krom, want is zijn gebruikersnaam het zelfde op Bol ?
Dus hoe weet je dan dat het om deze persoon gaat ?

Daarnaast kan zijn systeem goed werken, mits zijn dochter een andere naam heeft als anita. Want 3+5= nog maar 8 karakters.
Misschien niet, maar ik neem aan dat iemand op een dergelijke manier wachtwoorden maakt die makkelijk te onthouden zijn, het zichzelf niet moeilijk gaat maken door overal andere gebruikersnamen te verzinnen. Op heel veel sites is je mailadres je username, dus een dubieuze site die je mailadres inclusief gecombineerd wachtwoord heeft kan in ieder geval proberen.
Daarnaast kan zijn systeem goed werken, mits zijn dochter een andere naam heeft als anita. Want 3+5= nog maar 8 karakters.
Ik begrijp niet wat je hiermee bedoelt. De naam is nl. niet van belang, en deze was sowieso fictief.

[Reactie gewijzigd door Rijper op 23 juli 2024 07:47]

Op heel veel sites is je mailadres je username, dus een dubieuze site die je mailadres inclusief gecombineerd wachtwoord heeft kan in ieder geval proberen.
Een beetje tweaker ondervangt dat door voor iedere site een ander e-mailadres te gebruiken (met dank aan catch all >:) ). Is ook handig om te zien welke sites/bedrijven e-mailadressen doorverkopen >:)
maar ik heb ook totaal geen zin om het uit te leggen
Reageer dan niet...

Jullie hebben allebei een beetje gelijk; als een systeem overduidelijk is, dan kan de aanvaller ook wel gokken hoe het systeem werkt. Als ie een database van miljoenen uitgelekte accounts heeft dan is dat niet erg; dan automatiseer je de controle of je er ergens anders mee binnenkomt, lukt niet en de scan gaat naar de volgende. Als een klein aantal accounts uitlekt, dan controleer je handmatig of je er iets aan hebt en dan zal een simpel systeem mogelijk wel gezien worden.
Volgens mij begrijp jij het ook niet helemaal, dus laat ik het toch maar uitleggen: stel bij de PirateBay heeft iemand met de username "ApexAlpha" het password 'bayanita', en stel de PirateBay is een dubieuze site die wachtwoorden gebruikt om illegale dingen mee te doen. Zij kunnen dan gemakkelijk gokken dat bij Hotmail iemand met de username "ApexAlpha" het password "mailanita" of "ailanita" heeft.
Klopt maar mijn systeem is slechts een voorbeeld... je kan het zo moeilijk maken als je zelf wil.
bwa hangt af hoe je wachtwoord eruit ziet.

Als ik mijn nummerplaat (6 tekens) tweemaal neem als wachtwoord heb ik er eentje van 12 tekens, zet er nog iets makkelijks tussen en je komt aan 15.
offtopic:
00-XX-XX00-xx-xx

zijn er al 16, inc leestekens, cijfers en hoofdletters :p


Wat ik interessant vind om te weten is of mijn wachtwoord ook gekraakt is. Kunnen jullie niet een PM oid sturen naar de gekraakten?

Edit:
@hieronder: sorry, ik had je zachte g niet gelezen ;)

@mezelf: plan: Analyse: zwakke wachtwoorden op Tweakers.net

[Reactie gewijzigd door EnsconcE op 23 juli 2024 07:47]

Niet als je in België woont, en al een paar jaar die nummerplaat hebt... wijsneus :+

bv. xxx-xxx

edit: ok 7 dan met dat streepje erbij... :)

[Reactie gewijzigd door jastas op 23 juli 2024 07:47]

Ik gebruik zelf 24 karakters voor mijn draadloze verbinding thuis.

Inmiddels ken ik hem gelukkig uit mijn hoofd.
15 karakters is makkelijk haalbaar zoals bijvoorbeeld te zien is in het voorbeeld van Jastas hier boven.
Ik ben ooit begonnen met een wachtwoord van 6 cijfers en heb deze af en toe een keer uitgebreid met 3 extra getallen. Ik ga dit wachtwoord nooit meer vergeten, en heb het er razendsnel uit gestampt op een num-pad. ( De eerste keer op een laptop zonder num-pad was licht problematisch though :+ )
Nadeel is alleen dat er maar 10 cijfers zijn, terwijl je met een letter / cijfercombinaties op alle plekken 36 keuzes hebt... Brute-Froce wordt bij jouw dus niet al te lastig.

Het enige wat lastig wordt is gokken adhv logica,,
Ik ben eens gaan kijken in hoeverre dit daadwerkelijk waar was.

Via google ben ik bij deze website uitgekomen welke een mooie calculator aanbied om uit te rekenen hoe lang het duurt om een wachtwoord te kraken met pure brute force.

Zie hier het resultaat.

Op 1 pc is het in ieder geval niet te doen (3,3 jaar), en je hebt er meer dan 1200 nodig om de tijd te reduceren tot minder dan 24u.

Ik acht mijn wachtwoord nu toch aardig veilig :Y) .

Edit: ik heb het even terug gerekend, en ze gaan uit van 2.386.093 pogingen per seconde. ik weet niet hoe realistisch dit is. Ben aan het zoeken, maar is lastig te vinden.

Edit 2: op deze website wordt er dmv een Radeon 5770 3.3miljard pogingen gemaakt per seconde, dus ruim een factor 1300 (!) sneller dan door MandyLion beweerd wordt.
Met 1 redelijk normale pc is het dus mogelijk om een 15cijferig wachtwoord te kraken in minder dan 24u. Toch een stuk minder veilig dan ik oorspronkelijk dacht.

Edit 3: Een vriend wees me er op dat ((10^15) / 3.300.000.000) / (60 * 60 * 24) = 3,50729517 dagen. Ik weet niet wat die excel formules van MandyLion doen..maar dat scheelt toch behoorlijk. Iemand opheldering?

[Reactie gewijzigd door wouzy op 23 juli 2024 07:47]

Njah mijn ww is 11 tekens lang dus 1234 er achter zetten is niet zo lastig :P
Het vrijgeven van de wachtwoordlengte maakt het voor een potentiële brute-forcer een stuk makkelijker.
Klopt alleen best jammer dat een dictionary attack weinig zin heeft en een brute force er vrij lang overdoet (niet getest met GPU versnelling met wel met een quad core cpu)
Sterker, ik neem aan dan er bij een brute-force attack op Tweakers wel een belletje gaat rinkelen.

Brute-Froce zou alleen zin hebben wanneer ze de (volledige) database in handen hebben.
"hoi dit is mijn wachtwoord"

26 tekens, sterk, makkelijk te onthouden.
"Hoi nu niet meer ;)"

hehe, jah ik gebruik regels uit songteksten :) makkelijk te onthouden, moeilijk te kraken. of je moet precies weten welk lied ;)
Ik heb meerdere wachtwoorden van 12 + - karakters. Kwestie van een bepaalde logica erin, of een password manager gebruiken.
cijfertje, tekentje, hier en daar een letter. En dan zit je zo op 13 tekens. (en dan moeten ze mijn nickname ook nog eens juist weten te spellen :)
Je kan natuurlijk ook gewoon een zin ipv een wachtwoord gebruiken:

5Pils3Bierkommaarhier!

of gewoon met spaties als dat kan
of gewoon met spaties als dat kan
Daar ben ik zelf heel voorzichtig mee; ik zit niet te wachten op een site die, bij het instellen van "5 Pils" als password het opslaat als "5". En het wordt pas echt "leuk" als de logica die je password instelt wel met spaties om kan gaan, maar het inlogformulier niet...
uhm lang wachtwoord onthouden is gewoon kwestie van herhalen herhalen herhalen herhalen herhalen blablabla :+
Heb er zelf 1 van 15 tekens, prima te onthouden :)
even zoeken naar een nickname van 15 karakters :-)
Tja, heb zelf een wachtwoord van 13. Prima te onthouden :P
VoorbeeldWachtwoord: Noord-Brabant_6029

Hoeveel tekens?
*oeps* Beter lezen.

[Reactie gewijzigd door ClementL op 23 juli 2024 07:47]

Omdat we benieuwd waren wat er zou zijn gebeurd als de oorspronkelijke wachtwoordendatabase was uitgelekt, hebben we zelf de digitale breekijzers uit de kast gehaald en losgelaten op de ruim 330.000 wachtwoorden in de database.
Ik vertrouw erop dat mijn wachtwoorden en de database waarin deze zijn opgenomen met de juiste respect door de site-eigenaar (in dit geval Tweakers.net) wordt behandeld.

Mijn vertrouwen (en dat van 299.999 mede-tweakers) misbruiken door mijn wachtwoord te achterhalen middels brute-force is niet iets wat ik in de voorwaarden terug kan vinden, en eerlijk gezegd ook iets wat ik zeer kwalijk vindt en nooit akkoord mee was gegaan.

Hoe halen jullie het in hemelsnaam in je hoofd om de wachtwoorden van je EIGEN gebruikers te hacken?! En er dan ook nog met trots een artikel over schrijven...stelletje idioten!

Ik twijfel nog of ik hierover aangifte zal doen, maar als dit wettelijk mogelijk is kunnen jullie zeker een strafzaak verwachten!

[Reactie gewijzigd door tofus op 23 juli 2024 07:47]

Ik wilde zelf ook met dit argument een reactie plaatsen maar dan met een andere toon.

Ik heb geen toestemming gegeven om mijn wachtwoord te "testen". Is het juridisch toegestaan wat jullie hebben gedaan?
Aan de andere kant vindt ik het wel een goede zaak, maar het lijkt me juridisch een grijs gebied.
Anoniem: 296873 @Jorvs13 september 2011 13:59
Ik vraag het me sterk af of dit juridisch een grijs gebied is: je hebt toch zelf vrijwillig in de eerste instantie je wachtwoord afgegeven aan tweakers? Ik verwacht ook niet dat er ergens in de algemene voorwaarden o.i.d. een garantie staat dat tweakers nooit gaat proberen de wachtwoorden te kraken. Het zou een ander verhaal zijn als tweakers een database van een ander bedrijf zonder toestemming zou gaan kraken. Nu hebben ze alleen maar hun eigen gegevens geanalyseerd.
Ik denk niet dat wachtwoord 'afgeven' de juiste term is.

Om mijn account te beveiligen heeft Tweakers.net de eis gesteld dat ik een wachtwoord instel.
Bij een dergelijke site heb ik het gerede vertrouwen dat deze volledig automatisch versleuteld wordt opgeslagen en niet toegankelijk is voor de medewerkers.

En dat vertrouwen is in principe geschonden.
(NB: ikzelf heb hier geen moeite mee, aangezien ik Tweakers.net nog steeds vertrouw dat ze geen gekke dingen met accounts doen)

Wachtwoorden afgeven zou mijns inziens zijn dat een Tweakers.net medewerker mij een bericht stuurt met het verzoek mijn wachtwoord te geven, en dat ik vervolgens daadwerkelijk stom genoeg zou zijn om dat te doen.

Maar het is een interessante discussie: vertrouwen vs. veiligheid

[Reactie gewijzigd door Darkmane op 23 juli 2024 07:47]

Bij een dergelijke site heb ik het gerede vertrouwen dat deze volledig automatisch versleuteld wordt opgeslagen en niet toegankelijk is voor de medewerkers.

En dat vertrouwen is in principe geschonden.
Hoe dan? Medewerkers hebben nog steeds niet per se toegang gehad tot de hash van jouw wachtwoord met daarbij de koppeling aan jouw account. Ze hebben louter de beschikking gehad over de hash zelf. En wellicht ook dat dat dus herleidbaar was naar "geheim123". Maar nog steeds wisten ze niet van wie dat wachtwoord was.

Maar daarnaast, je vertrouwde t.net nu toch ook al met je gegevens? Denk je niet dat een devver toegang heeft tot de database, en dus in feite altijd al in staat was stiekem jouw wachtwoord te kraken? Maar omdat het nu in een nieuwsbericht staat, is het ineens een probleem?
In de algeme nvoorwaarden staat ook niet, dat tweakers het recht heeft om mijn wachtwoord te gebruiken voor zo'n test.

Begrijp mij niet verkeerd, ik ben blij dat tweakers dit gedaan heeft. Het geeft andere mensen stof om over na te denken, hoe ze met hun wachtwoorden om moeten gaan.
Anoniem: 296873 @wica14 september 2011 08:51
Nee, maar als jij vrijwillig je wachtwoord op hun website invult, en ze hebben nergens in de algemene voorwaarden beloofd dat ze er niks mee zullen doen, dan betekend dit dus dat ze het recht hebben om er wat mee te doen. Ze hebben je nooit beloofd dat niet te doen.
Ik zou me over de juridische kant maar geen zorgen maken, T.net heeft een juridisch zwaargewicht in dienst.
Je hebt zelf je wachtwoord aan tweakers.net gegeven. Dus ze hadden het al kunnen weten. Daarbij is er niks gekraakt, tweakers.net kan niet hun eigen data kraken.
eh....ze hebben niets gedaan met de informatie in de database, technisch gezien.

Ze hebben gewoon een brute force - die IEDEREEN kan doen - losgelaten op de huidige wachtwoorden om te zien wat een extreem simpele hack voor schade had kunnen aanrichten.

Dit heet de beveiliging testen en aanscherpen, en vind ik een vrij normale en intelligente stap van Tweakers.net.

Ik kan je verzekeren dat allerlei bedrijven hun eigen beveiliging regelmatig testen - doen ze dat niet, DAN zou er iets te klagen zijn...

Dat Tweakers.net hun test publiceert kan je over twisten - ik vind het iig positief.
Ze hebben gewoon een brute force - die IEDEREEN kan doen - losgelaten op de huidige wachtwoorden om te zien wat een extreem simpele hack voor schade had kunnen aanrichten.
Alleen als je admin-toegang tot de database met de encrypted wachtwoorden hebt....en mijn vetrouwen was er nu juist op gebasseerd dat ze die niet aan iedereen met een 'digitaal breekijzer' beschikbaar stellen. Al helemaal niet voor de sake van de leescijfers.

Kom op zeg, ik werk zelf als systeembeheerder. Als ik zonder expliciete toestemming de accounts van mijn gebruikers/collega's ga brute-forcen, wordt ik ontslagen! Wat dacht je nu zelf?!

[Reactie gewijzigd door tofus op 23 juli 2024 07:47]

ACM Software Architect @tofus13 september 2011 13:50
Dat hangt er van af met welke insteek je het doet. Vziw is het zelfs vrij gebruikelijk bij een security-audit om wachtwoordsterkte te verifieren. Maar wees niet bang, niet 'iedereen met een digitaal breekijzer' mocht die lijst met hashes inzien. We hebben juist aan de admins zo'n digitaal breekijzer gegeven om ermee aan de slag te gaan.
Vziw is het zelfs vrij gebruikelijk bij een security-audit om wachtwoordsterkte te verifieren.
Dit gebeurd vooraf, bij ingave van het wachtwoord. Anders zou het de privacy van gebruikers schenden.

Dus niet door achteraf de systeembeheerders de wachtwoord-databases te laten brute-forcen. Dat zou, net als dit geval, gewoon belachelijk zijn.

En ja, ik ben zelf al jaaaaaren systeembeheerder/security-expert, dus ik weet e.e.a. van security. Ik verdien er zelfs m'n brood mee :)

[Reactie gewijzigd door tofus op 23 juli 2024 07:47]

En toch... Als security expert zou je hier wel het een en ander vanaf moeten weten... Wanneer ik een script draai die wachtwoorden "kraakt", die wachtwoorden staan opgeslagen in een tabel met ten minste 3 kolommen. 1 username, 2 password, 3 veilig (1 of 0). Wanneer het script een wachtwoord heeft gekraakt verwijderd hij het origineel en zet hij in kolom 3 een 1 (gekraakt) of een 0 (veilig) neer. Dit script slaat verder niks op en genereert ook geen log files oid.

Schend je dan alsnog de privacy?
Ik vraag me echt af waar je je nu eigenlijk zorgen over maakt. Wat moet tweakers.net nu met jouw wachtwoord? Je telebankieren overhoop halen, geld van je rekening afboeken, betalingen met jouw paypal doen? Waarom zouden ze dat risico op de hals halen.

Ik snap dat het bij jou om een principekwestie gaat, maar dat gaat het bij tweakers.net ook. Een tweakers website die niet zelf onderzoek doet naar zijn eigen beveiliging is als een bedrijf wat certificaten uitgeeft die totaal niet veilig blijken... Oh wacht...
Dus als jou baas jou opdracht geeft om voor een veiligheidscheck dat te doen word je ontslagen?
Onder een veiligheidscheck wordt doorgaans nooit het 'achterhalen van de clear-texts van user-passwords' verstaan.

Dit is op het niveau van een bank-medewerker die je belt om je te vragen naar je PIN-code om te checken of het niet '1111' is. Het hoort niet, het zou vanaf security-perspectief niet moeten gebeuren. Punt uit.

Of ze hier juridisch over de schreef zijn gegaan laat ik nog even in het midden.

[Reactie gewijzigd door tofus op 23 juli 2024 07:47]

De conclusie die je trekt is volkomen onlogisch. De kans is onwijs klein dat ook maar iemand jou gebruikersnaam en wachtwoord in een Excel bestandje heeft gehad. In jou voorbeeld heeft de bank gebruiker toegang tot jou naam en pin code. In dit geval heeft niemand dat ooit gehad, het enige wat dr is gebeurd is dat wanneer jou password gekraakt is, iemand van tweakers ziet dat jou password is gekraakt, hij heeft dan alsnog niet jou password zelf opgehaald en ziet dus ook geen link tussen jou wachtwoord en jou account.

Kom op nu een ander excuus verzinnen of gewoon accepteren dat ze hun best voor je hebben gedaan, kan je het niet accepteren dan.... sjah weg wezen hier, je bent hier niet veilig ;)
ik werk ook als sysadmin en ik doe regelmatig scans op zwakke wachtwoorden. Kraak ik er 1 dan wordt die account afgesloten en mag hij persoonlijk bij mij komen om zijn account te deblokkeren en een nieuw wachtwoord in te typen. De brute force die ik laat lopen, loopt iedere keer een week.

en die mensen kunnen op hunne kop gaan staan, ik verwacht veilige wachtwoorden en als ze daar niet mee willen leven , moeten ze maar op een ander gaan. Ik laat mijn veiligheid niet in gedrang komen door amateurs die geen zin hebben in een goed wachtwoordsysteem
Eh, er staat vast ook niet in de voorwaarden dat websites de wachtwoorden moeten encrypten, voor het zelfde geld staan ze lekker als plain text in de database en hoeft de admin ze niet te hacken voor hij ze kan zien.. Dan zou dat geen probleem zijn volgens jou logicia...

(ik word is zonder t, serieus...)
En jou is in dit geval met een w, serieus.

Ontopic: goed initiatief van Tweakers. Geen melding gekregen, maar ik gebruik wel vaak hetzelfde wachtwoord her en der..toch maar 's aanpassen naar een wat beter wachtwoord.

Met name de strip die genoemd is, is een eye-opener. :)
Hoe kom je erbij dat "iedereen" dit kan uitvoeren? Hoe komt "iedereen" aan die database dan? Is die te downloadebn ergens? Heb je een URL?

Ik vind de reactie van tofus wat overdreven, maar hij heeft wel een punt! Ik ben het hier ook niet mee eens en hoe kunnen zei mij garanderen dat de gegevens zijn vernietigt?

Ik ga ook eens kijken wat voor juridische stappen gevolgt kan worden.
Hoe kom je erbij dat "iedereen" dit kan uitvoeren?
Je kunt nooit garanderen dat je niet gehacked wordt. Iedereen met de juiste vaardigheden en genoeg vasthoudendheid zou die database mogelijk te pakken kunnen krijgen. Dat staat trouwens ook gewoon in het artikel:
Omdat we benieuwd waren wat er zou zijn gebeurd als de oorspronkelijke wachtwoordendatabase was uitgelekt
hoe kunnen zei mij garanderen dat de gegevens zijn vernietigt?
Niet, net zoals je gister geen garantie had dat de gegevens niet gegenereerd waren.
Ik ga ook eens kijken wat voor juridische stappen gevolgt kan worden.
Zucht, dan is er een keer een site die probeert mensen iets te leren, krijg je dit... Zolang geen enkele persoon de plain-text wachtwoorden heeft gezien lijkt er mij niks aan de hand (maar ik ben natuurlijk geen jurist; waar is Arnoud? ;) ).


@Wilbert: is het misschien mogelijk dat jullie de (pseudo)code van het testscriptje openbaar maken, zodat iedereen die niet dusdanig paranoïde is dat ie niet gelooft dat dat de echte code was kan zien dat er niks aan de hand was?

@Mensen die wel paranoïde zijn: denk eens even goed na; als de T.net-redactie kwaad in de zin had, waarom zouden ze dan iedereen vertellen dat ze dit onderzoek uitgevoerd hebben? Ze kunnen het prima doen zonder het bekend te maken, en dan is het veel makkelijker om misbruik te maken van de resultaten.
Pfff, beetje triest dit. Ze maken je bewust, zijn een professionele site die absoluut niet uit is op hacken, dus doe een beetje volwassen..
eh....ze hebben niets gedaan met de informatie in de database, technisch gezien.
Echt niet? En dan lees ik:

"Nota bene: Dit onderzoek is uitsluitend door medewerkers van Tweakers.net verricht. De benodigde gegevens zijn vernietigd en niet aan derden ter beschikking gesteld. Alleen een niet tot wachtwoorden herleidbaar overzicht van gebruikersnummers is bewaard om gebruikers met een zwak wachtwoord te kunnen waarschuwen."

Nou dat hopen we dan maar... hoe zijn die gegevens vernietigd dan?
Doei!

Wees blij dat er tenminste 1 site is die wachtwoordveiligheid serieus neemt, en actief op checked. En bovendien de gebruikers die in gevaar zijn op de hoogte brengen.

Zolang een persoon de gehackte wachtwoorden niet heeft ingezien is er geen privacy issue, noch een vertrouwensbreuk. Sterker nog, ik dank tweakers dat ze bij deze bevestigd hebben dat mijn persoonlijke wachtwoord methodiek goed is.
Zolang een persoon de gehackte wachtwoorden niet heeft ingezien is er geen privacy issue,
En hiervoor moeten we dus blauwe ogen geloven, waar we eerst op de 'relatieve' veiligheid van een encryptie-algoritme konden vertrouwen. Ik zie niet in hoe dit een vooruitgang qua veiligheid is.

Als de bank belt om te vragen of je PIN-code niet toevallig '1111' is, in het kader van 'veiligheidsverbetering', dan is dat toch ook vreemd te noemen?
En hiervoor moeten we dus blauwe ogen geloven, waar we eerst op de 'relatieve' veiligheid van een encryptie-algoritme konden vertrouwen.
Ja, want wie zegt dat t.net niet een sniffer/logger had zitten tussen jouw wachtwoord en hun encryptie algoritme?

Als jij aapnootmies invult, gaat dat echt als 'aapnootmies' het systeem in, wordt door (in de oude situatie) een md5-hasher gehaald, en vervolgens tegen een database entry gechecked. NIETS maar dan ook werkelijk NIETS garandeerde je enige vorm van veiligheid en betrouwbaarheid, behalve die blauwe ogen van de t.net crew.

Als jij ze niet voldoende vertrouwt, en dat dus al nooit deed, dan heb je uberhaupt nooit een account aangemaakt. Toch?
Tweakers heeft jij toch ook niet gebeld met de melding jou wachtwoord: Aapje123 is niet goed genoeg? Het enige wat je volgens mij krijg is de melding dat je wachtwoord niet sterk genoeg is

Ik vind dat je wel een beetje heel erg aan het overdrijven bent hoor... Wees blij dat ze dit controleren, liever dat iemand die werkt voor Tweakers de wachtwoorden checked dan iemand van Anonymus ;) En trouwens de kans is echt heel klein dat ook maar iemand jou wachtwoord en je username heeft gezien... Dit soort taken worden geprogrammeerd/gescript

[Reactie gewijzigd door Mellow Jack op 23 juli 2024 07:47]

volgens mij ging het gewoon om een lijst met md5 hashes die ze 1 voor 1 'gehackt' hebben. Wachtwoorden waren wellicht niet gekoppeld aan de gebruikers.

Zolang ze de wachtwoorden maar niet hebben opgeslaan, en/of ze de wachtwoorden niet gaan gebruiken om op accounts te gaan inloggen, is er volgens mij geen probleem.

advies: Allemaal even je wachtwoord veranderen op tweakers.net!
ACM Software Architect @Baggeraar13 september 2011 13:52
Wij kunnen uiteraard met onze admin-tools ook zonder jouw wachtwoord te weten, gebruik maken van jouw account :P Maar de wachtwoorden zijn niet in samenhang met de accounts gekraakt, er is slechts een lijst van hashes gemaakt aan de hand van de database en verder is dat volledig ontkoppeld gebruikt.
er is slechts een lijst van hashes gemaakt aan de hand van de database en verder is dat volledig ontkoppeld gebruikt.
Als dit niet gekoppeld is geweest, hoe is het dan mogelijk dat sommige gebruikers een melding hebben ontvangen dat hun wachtwoord zwak was?

Daarvoor is toch echt een direkte koppeling tussen wachtwoord<->account nodig....

En als die koppeling is gebruikt, waarom roepen jullie dan dat er geen koppeling is? Ik blijf echt een hele nare nasmaak houden bij dit geheel....

[Reactie gewijzigd door tofus op 23 juli 2024 07:47]

ACM Software Architect @tofus13 september 2011 15:02
Neehoor. De gekraakte hashes zijn weer in een lijstje gezet en daar zijn de userids bij opgezocht. Vervolgens werd dat lijstje userids geimporteerd in de productiedatabase. De lijst gekraakte hashes noch de lijst gevonden wachtwoorden heeft zelfs maar op een productiesysteem gestaan.

Indirect is er uiteraard een koppeling te leggen, maar niet zo simpel als jij het voorstelt.
De koppeling is gewoon gemaakt hoe moeilijk of hoe simpel je het ook wilt noemen.
Die koppeling is dus expliciet gesplitst: de userid-lijst met zwakke wachtwoorden is naar productie gegaan, en alleen de statistieken (zonder userid of wat dan ook; alleen aantallen) is naar de redactie gegaan. Wie welk wachtwoord had is niet bekend; er is alleen gevlagd dat iemand een zwak wachtwoord heeft, that's all.
niet door blijven zeiken.

Put your money where your mouth is en ga er dan ook echt werk van maken, doe aangifte en neem een advokaat.

Laat maar weten wat de uitslag is.

Of ben je alleen babbels?
Wachtwoorden waren wellicht niet gekoppeld aan de gebruikers.
Aangezien diverse gebruikers een mail hebben gekregen over de "onveiligheid"' van hun wachtwoord lijkt me dat niet het geval.

[Reactie gewijzigd door Zer0 op 23 juli 2024 07:47]

A: "Hey B, wachtwoord hash <MD5 hash> is wel makkelijk te kraken"
B: "Oh ok, ik zoek het user-id erbij op en ik mail 'm even".

A weet de user niet en B weet het wachtwoord niet. Toch kunnen ze je informeren.

[Reactie gewijzigd door .oisyn op 23 juli 2024 07:47]

Alsjeblieft zeg, ik ben verbaasd dat ze dit niet al veel eerder hebben gedaan (het zijn en blijven tweakers). Verder hoef je je echt geen zorgen te maken, dit hebben ze volledig geautomatiseerd gedaan en er is (naar ik aanneem, gebaseerd op de reputatie van T.net) geen persoon die kennis heeft genomen van de achterhaalde wachtwoorden.
En als een kwaadwillende interne gebruiker/admin met toegang tot deze systemen dit gedaan had was het wel goed geweest?

Zoals altijd dien je je te wapenen tegen externe EN interne bedreigingen als is de audit methode in dit geval misschien wat onorthodox :)
Kom op, niet zo pessimistisch. Tweakers brengt dit niet naar buiten en zal er niks mee doen. Zo laten ze zien dat het makkelijk is om gekraakt te worden, en dat je dus goed na moet denken over je wachtwoord.
Je spreekt volgens mij niet namens alle Tweakers leden. In ieder geval niet voor mij, dus niet zo voorbarig graag.

Gezien de hack en crack geschiedenis van de afgelopen paar maanden vind ik dat Tweakers hun database serieus nemen en logisch gezien testen. En hoewel het natuurlijk altijd trickie is dat er gegarandeerd wordt dat er geen gegevens bewaard zullen worden, heeft Tweakers bij mij de meeste kuddo's om dat te vertrouwen.

Beter voorkomen dan genezen in dit geval. En mocht je er niet mee eens zijn, niemand houd je tegen om je af te melden.
Ach ja gaan we weer op die toer. Niet mee eens met het beleid of een idee dat tweakers heeft? Nou dan meld je je toch af? :/
LOL als je het goed leest zie je dat het om een oude lijst ging, de nieuwe lijst wordt beter beveiligd doordat onder andere MD5 hashes vervangen werden door PBKDF2. Het is misschien een beetje raar om dit te doen, echter moet je erbij denken dat ze om jou wachtwoord te weten hun eigen lijst niet moesten hacken...
als je het goed leest zie je dat het om een oude lijst ging
En als je goed nadenkt snap je dat het om dezelfde wachtwoorden gaat, alleen anders opgeslagen.
Moet je dit nou echt 2x posten? wees blij dat ze er iets aan doen!
Beste Tweakers.net, dit is echt een absolute not done! Je kan niet zomaar de wachtwoorden van je leden gaan zitten kraken. Mensen gebruiken het misschien ook voor andere accounts. Verder heb ik helemaal geen zin in het feit dat iemand bij Tweakers.net mijn wachtwoord weet. Bij dit soort onderzoekjes geldt naar mijn mening dat de mensen eerst op de hoogte gestelt moeten worden en dan ook nog eens hun toestemming moeten geven. Erg slordig!
Verder heb ik helemaal geen zin in het feit dat iemand bij Tweakers.net mijn wachtwoord weet.
We weten _jouw_ wachtwoord helemaal niet. Het enige dat we gedaan hebben is gezien welke users een zwak wachtwoord hadden, niet wat dat wachtwoord is. De gekraakte lijst is ondertussen allang vernietigd en het enige wat overgebleven is, is een lijst met userids van mensen met een zwak wachtwoord, that's it.
Mensen gebruiken het misschien ook voor andere accounts.
Ik kan geen beter antwoord bedenken dan je nogmaals te quoten:
Erg slordig!
Als je wachtwoord ongeveer 30 karakters lang is weet ik niet of dit erg slordig is, of gewoon praktisch. Voor elke site een ander wachtwoord onthouden van 30 karakters is ook wat, zeker voor sites waar je eigenlijk maar 1 keer per jaar komt. Enfin, ik had ook het addendum nog niet gelezen met daarin het plan, en las ook pas later dat mensen met een zwak wachtwoord zijn geinformeerd. Het is natuurlijk wel goed dat Tweakers intern naar de beveiliging kijkt, en de verdeling van de lengte van wachtwoorden is ook wel wetenschappelijk weer interessant.
Je moet er rekening mee houden dat er nog steeds sites zijn die hun wachtwoorden plaintext opslaan. Zo kreeg ik laatst bij het opvragen van mijn wachtwoord op Marktplaats vrolijk een email waarin mijn wachtwoord stond. Iemand die toegang heeft tot de database van zo'n site kan gewoon dertig tekens lange wachtwoord lezen en eens uitproberen of die ook op andere sites werkt.
Ja ik weet dat ook, heel vervelend. Ben er van de week op geattendeerd dat iemand mijn twitter account gebruikte voor spam. Dat wachtwoord (ook geen eenvoudige) was door iemand achterhaald. Dit wachtwoord gebruikte ik ook voor een paar andere sites waarvan de hacker er waarschijnlijk ook al twee heeft bekeken en mijn account heeft gebruikt / gezien. Met mijn achternaam is het ook niet zo moeilijk zoeken wat ik op het web doe. Gelukkig dat ik voor echt belangrijke dingen een heel ander wachtwoord gebruik.

Ook grappig om te zien dat opeens heel de Tweakers staf reageert op een bericht... jullie steunen elkaar in ieder geval wel :)
Dat (wachtwoord in plain text opgeslagen bij martkplaats) is inmiddels niet meer het geval.
Bestaande passwords zijn geconverteerd.

[Reactie gewijzigd door ookhoi op 23 juli 2024 07:47]

Dat is een afweging die je moet maken...
Het punt is dat je password op meerdere manieren gekraakt kan worden; inloggen via http (in plaats van https), een database met plain-text passwords die uitlekt, een database met gehaste passwords die uitlekt en "gekraakt" wordt, etc.
In sommige van die gevallen (alle varianten op "lees de plain-text versie") maakt het geen bal uit hoe sterk je wachtwoord is. In de andere gevallen zal het weinig uitmaken of je password zeer sterk of extreem sterk is; tenzij iemand specifiek jouw password probeert te kraken is er gewoon zo iets als "sterk genoeg" (met andere woorden: sterker dan die van de meeste andere gebruikers).

Wat wel altijd een probleem is: zodra je password eenmaal bij iemand anders bekend is (dus onder de aanname: het is al fout gegaan), dan zal nagenoeg elke hacker proberen of je dat password ergens anders ook gebruikt hebt (en waarom niet, het is snel te controleren). Daarom lijkt mij disclaimer: ik ben geen expert op dit gebied password hergebruik een nog groter probleem dan zwakke wachtwoorden.
Dus ja, als iemand zijn password (sterk of zwak) hergebruikt, dan vind ik dat sowieso ontzettend slordig, om een nette term te gebruiken.
Stel je niet aan, wees blij dat Tweakers een audit doet op zijn de wachtwoorden van z'n eigen userbase. Gewoon ff je wachtwoord aanpassen en klaar is klara (als je bang bent dat een Tweakers medewerker nu jou wachtwoord zou weten)...
Wat gebruikt tweakers nu dan in plaats van md5?
We gebruiken nu PBKDF2. Meer info daarover kan je in plan: Development-round-up augustus 2011 - iteratie #4 lezen. :)

Op dit item kan niet meer gereageerd worden.