Last.fm waarschuwt voor mogelijk gestolen wachtwoorden

Muziekdienst Last.fm heeft een bericht op zijn website geplaatst waarin het meldt dat hackers mogelijk wachtwoorden van gebruikers in handen hebben gekregen. Gebruikers zouden hun Last.fm-wachtwoord direct moeten wijzigen.

Last.fm-t-shirt Last.fm zegt in een posting op zijn website dat het nog onderzoekt of er daadwerkelijk wachtwoorden van gebruikers zijn buitgemaakt. De muziekdienst stelt dat het uit voorzorg al zijn gebruikers dringend adviseert om direct hun wachtwoord te wijzigen. Last.fm meldt verder niet hoeveel gebruikers mogelijk zijn getroffen.

De muziekdienst verwijst in zijn posting wel naar recente incidenten waarbij bestanden met wachtwoorden zijn gepubliceerd, daarbij indirect doelend op het LinkedIn-incident van woensdag. Daarbij ging het om een bestand dat miljoenen wachtwoordhashes bevatte. Ook inloggegevens van de datingsite eHarmony zouden in de lijst zijn opgenomen.

IT-banen

Reacties (91)

Spacespider 7 juni 2012 19:48

Iemand op Twitter weet hier meer over te melden:

A bit of stats on last.fm leak: 1) It happened a WHILE ago. 2010/2011 2) 17.3 million raw-md5 3) 16.4 million cracked. 95% cracked.

The most common "words" in the lastfm leak? lastfm last love alex abc may mike june jan chris max music blue password qwerty july angel

Over 43,000 of the leaked last.fm hashes contained the string 'lastfm' in some way.

Bron: https://twitter.com/#!/crackmeifyoucan

Kampfimann 7 juni 2012 23:53

Ik zie hier allemaal suggesties om sterke wachtwoorden te creëren voor jezelf, maar de echte kracht zit 'm gewoon in de lengte (en de diversiteit aan tekens) maar vooral lengte.

Want ik geloof best dat er md5 rainbow-tables zijn gemaakt door supercomputers die alle mogelijke combinaties onder de 5~6 tekens hebben gehad. Wellicht meer tekens. Dus korte wachtwoorden zijn mijns inziens sowieso nooit veilig. Om te testen of een wachtwoord echt sterk is kun je het best testen via deze calculator: https://www.grc.com/haystack.htm ..is gisteren geloof ik ook gepost. Maar zo krijg je een beetje inzicht in de sterkte van je eigen wachtwoorden.

[Reactie gewijzigd door Kampfimann op 26 juli 2024 20:19]

The-Priest-NL @Kampfimann • 8 juni 2012 00:45

probleem is echter dat je wel afhankelijk bent van de website en hun password eisen en hoe ze er mee omgaan.

Ik ken nog wel een aantal sites waar ze wachtwoorden langer als 12 karakters niet ondersteunen.

Of en dit had ik volgens mij bij Asus of Nikon, je voert een wachtwoord in van 32 karakters en je krijgt geen foutmelding. tijdje later wil je weer inloggen lukt niet en wat blijkt na onderzoek ze accepteren wel een wachtwoord van 32 karakters echter strippen ze alles na het 16e karakter maar dat vertellen ze niet

Oftwel als gebruiker heb je inderdaad een verantwoordelijkheid, maar de sites moeten het wel mogelijk maken om sterke wachtwoorden te gebruiken.

Ook nog een leuke gezien al het gedoe om Blizzard de laatste tijd, wachtwoorden zijn niet case sensitive bij Blizzard, dus z`sexZyY# kan je gewoon invoeren als z`sexzyy# of Z`SEXZYY# en je kan gewoon inloggen gelukkig kan je daar ook two way doen middels de authenticator

World Citizen @The-Priest-NL • 8 juni 2012 02:14

Ik heb een credit card van de ABN.... daar zijn bv tekens als @#$%^&* NIET toegestaan... Ik vind dit nog steeds ongelofelijk!

En ze hadden het aan kunnen pakken, want onlangs is de boel vernieuwd.. maar nog steeds mag ik geen @ gebruiken..

Ow en volgens mij Vodafone ook...

[Reactie gewijzigd door World Citizen op 26 juli 2024 20:19]

pim @Kampfimann • 8 juni 2012 03:07

Want ik geloof best dat er md5 rainbow-tables zijn gemaakt door supercomputers die alle mogelijke combinaties onder de 5~6 tekens

Onder de 11 tekens..
En die tool van je is schijnveiligheid, die neemt de meest gebruikte wachtwoorden niet mee..

Voor de gemiddelde gebruikers is de enige manier om een sterk wachtwoord te genereren, dat ze zelf niet mogen kiezen, maar dat de website een wachtwoord genereert, en dat de gebruiker deze moet bewaren..

Want een wachtwoord als 123456789abc is ook zo gekraakt.

Er is een lijst met de 1 miljoen meest gebruikte nederlandse wachtwoorden.. Daarmee kom je al een heel eind bij elke willekeurige website in Nederland.

En als "je" toegang wilt tot iemands email/facebook/twitter etc wil ga je niet die site aanvallen, maar pak je een website waarvan je weet dat die gebruiker daar een account heeft, en die niet 100% beveiligd is tegen hackers.
Zo kun je op 99% van de websites(zoals tweakers.net?) oneindig veel inlogpogingen doen met een password hack tool.

Als je daar het wachtwoord vandaan hebt, is er een grote kans dat je met hetzelfde wachtwoord in kunt loggen op iemands email..
Lost password functie gebruiken, en tadaa, overal binnen.

En dan hebben we het nog niet over truckjes als Phishing..

De gebruiker is de zwakste schakel..

[Reactie gewijzigd door pim op 26 juli 2024 20:19]

WoC @Kampfimann • 8 juni 2012 00:34

Volgens mij gaat het vooral om lengte, zie bijvoorbeeld http://xkcd.com/936/ (en vergelijk met die GRC tool).

Kampfimann @WoC • 8 juni 2012 00:52

Dat zeg ik dus ook, vooral de lengte inderdaad

Met 'sterkte' doel ik dus ook vooral op de lengte. Die site laat op eenvoudige manier zien dat theoretisch D0g..................... een sterker ww is dan PrXyc.N(n4k77#L!eVdAfp9 puur vanwege de lengte en niet de diversiteit aan tekens.

[Reactie gewijzigd door Kampfimann op 26 juli 2024 20:19]

PilatuS 7 juni 2012 19:39

Voor iedere site een ander wachtwoord gebruiken wordt steeds belangrijker. Hoewel er volgens mij maar weinig mensen zijn die het doen. Ik gebruik al een tijd KeePass voor mijn wachtwoorden zodat ik dingen als: sdfhkjhu324iodsf2sd als wachtwoord kan gebruiken.

Anoniem: 282840 @PilatuS • 7 juni 2012 19:52

Heb ooit ergens de volgende tip gelezen en gebruik dit nu al jaren, en in mijn ogen werkt dit zeer goed

1. Je gebruikt een aantal verschillende wachtwoorden die goed te onthouden zijn (bijvoorbeeld poscode huisadres straatnaam of geborten jaar broer naam broer) deze gebruik je voor sites waar je minder waarde aan hecht.
2. Je neemt 1 zeer moeilijk te raden wachtwoord iets in de trand van kh2g33hd67ukkha
3. En dat is in mijn ogen de belangrijkste je neemt van elke site bijvoorbeeld eerste letter (kan ook tweede zijn of derde enz enz) deze zet je aan begin van je wachtwoord en je neemt de laatste letter van een website en deze zet je aan eind van je wachtwoord hierdoor heb je heel veel verschillende wachtwoorden. Maar toch zeer makkelijk te onthouden.

Voorbeeld:
Tweakers.net: t1885peters
last.fm: l1885petert
gmail.com: gl5duagc67s4s/l

dejeroen @Anoniem: 282840 • 7 juni 2012 20:44

zoiets heb ik ook gehoord. je kunt zo ook de kleur van een website kunnen gebruiken (de eerste kleur van de eerste letter van het logo).

standaard wachtwoord + kleur van eerste letter in hoofdletters + eerste letters van website

standaarwachtwoord = qw3r

dan is tweakers
qw3rWtw

last.fm
qw3rWla

google account (gmail)
qw3rBgo

je zou ook kunnen gebruiken:
eerste letters van je naam + laatste letter van website in hoofdletter + jaartal van oprichting site (staat meestal onderaan).

je initialen + standaard wachtwoord + eerste en laatste letter van de website

op deze manier zijn er vele varianten te verzinnen om overal een ander wachtwoord te hebben en toch veilig.

Martao @dejeroen • 7 juni 2012 20:54

Leuke ideeeen, maar allemaal dingen die het moeilijk maken.
De kleur van een website kan veranderen (ok, niet vaak) en het zoeken van zo'n datum is ook niet echt iets wat 1 seconde duurt.

dejeroen @Martao • 7 juni 2012 21:50

als het een website is dat je wekelijks gebruikt dan zal je het vanzelf wel onthouden.
zelf gebruik ik het voor website waar ik niet vaak kom en dan vind ik het ook niet erg dat het dan even 2 seconden langer duurt omdat je bijvoorbeeld naar onderen moet scrollen voor het jaar van oorsprong, of dat je moet zoeken wat de kleur van de eerste letter van het vorige logo ook alweer was.

Anoniem: 399807 @dejeroen • 8 juni 2012 08:50

Het is beter helemaal geen systematiek te gebruiken. Als het is, ik tegen de PC, dan wint de PC, want de PC heeft meer rekenkracht dan ik en kan snel patronen herkennen. Als men 2 maal wq3r ontdekt dan gaat een slim stuk software, als het goed is, want ik neem hier aan dat die software dat doet, alvast bij het derde wachtwoord wq3r proberen. Kost maar een milliseconde maar kan wel tijd besparen bij het crunchen.

Veiligheid op internet lijkt een illusie, beveiliging loopt structureel achter bij wat men kan hacken. De evolutie van internet is nu eenmaal zo gelopen. Daarom is de beste veiligheid: gewoon niet registreren. Hoe handig een website ook is...kom nou. Last.fm? Wel, iets met fm' er in is wel het laatste wat ik zou registreren. Zal wel een of andere muziek dienst zijn. Nu ga ik er van uit dat dj's geen benul hebben van ICT, of hun managers, of zelfs de ICT techneut waaraan ze dat uitbesteden. Maar ik heb geen associatie tussen iets met 'fm' er in en internet security.

En dat is allemaal lekker vooroordeel maar...it serves me well. Registratieneurose heb ik geen last van.

i7x @Anoniem: 282840 • 7 juni 2012 20:08

Zo'n soort constructie gebruik ik inderdaad ook, al heb ik 3 verschillende veiligheidsniveaus. De laagste is een ww dat overal hetzelfde is maar enkel wordt gebruikt op nutteloze sites en fora (desondanks bevat het ww cijffers en letters en is het 8 tekens lang), de tweede is voor bijvoorbeeld email accounts en dingen als paypal en mijning. Dit wachtwoord verschilt per site en gebruikt veel verschillende tekens. Desondanks zit er tot op zekere hoogte wel een bepaalde indeling in. Daarom zijn deze 'level 2' accounts zijn vervolgens allemaal ook nog eens gelinkt aan een 'level 3' account (mijn hoofd email account). Dit heeft een eigen uniek wachtwoord wat zo bizar in elkaar zit dat het nagenoeg onkraakbaar is. Mocht iemand een account willen aanpassen, dan zal dit altijd via een link in een email aan mijn level 3 account moeten (welke dus 'onmogelijk' is te openen).

Eigenlijk dus jouw constructie maar dan met een extra link naar een extern account zodat, zelfs als je inbreekt, dingen aanpassen onmogelijk is.

mokkol @PilatuS • 7 juni 2012 19:46

heeft iemand goede ervaringen met een KeePass alternatief voor osx? Hoeft niet gratis te zijn, als hij maar heel goed + safe is. Ik ben nog steeds degene met maar een paar passwords en moet dringend overal andere passwords voor hebben....

Zou top zijn dat zo'n password programma ook bijhoud wanneer er grote hacks zijn geweest en je daarvoor dan waarschuwt.

[Reactie gewijzigd door mokkol op 26 juli 2024 20:19]

shadylog @mokkol • 7 juni 2012 20:32

Lastpass heeft apps voor android/iphone windows phone.
Heeft ook browserextensies zodat je passwords automatisch ingevuld worden. Wanneer je je aanmeld bij een site vraagt de extensie of hij een wachtwoord van je kan genereren en slaat deze op.
Alle passwords worden keurig ge-encrypt met EEN master wachtwoord. Uiteindelijk moet je dus een erg sterk wachtwoord (ik gebrijk altijd een zin met spaties) hebben om de kluis dicht te gooien en je bent klaar.
De ge-encrypte passwords worden voor het gemak opgeslagen op lastpass servers zodat je cross-pc je wachtwoorden kan gebruiken.

Als dit allemaal nog niet genoeg is en je two-factor authenticatie wil dan kun je een Yubikey aanschaffen (een soort usb stick) die met behulp van one-time-passwords je lastpass account nog beter kan beschermen. (Tevens werks Yubikey voor alle OS en browsers omdat het een keyboard emuleert).

Er zijn alternatieven genoeg zoals lastpass, maar zeker is dat je er een moet hebben als je zoals mij rond de 30 sites een account hebt. Alleen al het administratief bijhouden van die sites is al handig. (bijvoorbeeld om op te zeggen wanneer niet meer nodig)

Om te voorkomen dat je onveilig bent heeft lastpass ook een "Security test" ontwikkeld waarbij het een fraaie uitdraai geeft van hoe veilig je bent in het gebruik van wachtwoorden. http://2.bp.blogspot.com/.../securitycheckresults.png

[Reactie gewijzigd door shadylog op 26 juli 2024 20:19]

RobIII Moderator GoT @shadylog • 7 juni 2012 21:10

En ipv een "dure"^* yubikey kun je ook de gratis Google Authenticator gebruiken

Dat is sowieso handig want je gmail e.d. wil je ook 2-factor hebben (mits je gmail gebruikt natuurlijk

). Werkt op alle smartphones (afaik).

* Nja, $25 is imho niet duur, maar wel duurder dan gratis

[Reactie gewijzigd door RobIII op 26 juli 2024 20:19]

hab2000 @shadylog • 7 juni 2012 23:21

Lastpass was vorig jaar nog gehackt, of er was iets aan de hand dat ze het niet meer zeker konden stellen dat het betrouwbaar was.

JanvdVeer @hab2000 • 8 juni 2012 00:40

Niet helemaal. Het punt was dat bepaalde server side traffic niet verklaard kon worden.

Lastpass blog
Tuesday morning we saw a network traffic anomaly for a few minutes from one of our non-critical machines. These happen occasionally, and we typically identify them as an employee or an automated script.

In this case, we couldn't find that root cause. After delving into the anomaly we found a similar but smaller matching traffic anomaly from one of our databases in the opposite direction (more traffic was sent from the database compared to what was received on the server). Because we can't account for this anomaly either, we're going to be paranoid and assume the worst: that the data we stored in the database was somehow accessed.

Lastpass is heel erg op beveiliging gefocust. Zelfs als een kwaadwillende (zowel van binnen het bedrijf, als extern) bij jouw database komt kan hij er niets mee zonder masterpassword. Als je toegang wil tot je kluis wordt de database als BLOB gedownload en client-side decrypted. Het wachtwoord dat je invoert komt Lastpass zélf dus ook niet te weten. En aangezien de verbinding SSL encrypted is, is een MITM-attack ook bijna uitgesloten.

arjankoole

Beveiliging
Hackers

@JanvdVeer • 8 juni 2012 06:43

En aangezien de verbinding SSL encrypted is, is een MITM-attack ook bijna uitgesloten.

Tenzij die MITM achter het ssl terminatie punt zit. Veel bedrijven hebben SSL offloaders aan de voorkant, maar achter dat ding gaat het gewoon over http.

En bij lastpass leken ze bang voor een compromised backend systeem, waar dat heel goed mogelijk is.

[Reactie gewijzigd door arjankoole op 26 juli 2024 20:19]

mokkol @shadylog • 7 juni 2012 20:59

Thanks allen! Even lastpass proberen!

Wharfedale @mokkol • 7 juni 2012 19:54

Keepassx (keepass versie voor osx) samen met dropbox. Zo kan ik op elk besturingssysteem (windows, osx, ubuntu en android(keepassdroid)) aan mijn wachtwoorden. Ze zijn terug bezig met keepassx verder te ontwikkelen naar versie 2.0.
Al deze programma's zijn gratis.

@Martao: Natuurlijk beveiligd met een masterwachtwoord.

[Reactie gewijzigd door Wharfedale op 26 juli 2024 20:19]

Martao @Wharfedale • 7 juni 2012 20:44

huh? je zet je wachtwoorden op een "onveilige" cloud? :-)

Joshua @Martao • 7 juni 2012 20:47

Ik doe hetzelfde, alleen is mijn database met wachten nog beveiligd met een wachtwoord en keyfile. Keyfile staat natuurlijk niet op dropbox.

Anoniem: 398412 @mokkol • 7 juni 2012 21:28

1Password is echt een super app. Ik gebruik dit al jaren. Is ook uit voor iPad en iPhone. Ik ken geen enkel paswoord van buiten. Als ik moet inloggen ergens anders dan bij mij thuis heb ik nog steeds alle paswoorden bij op mijn iPhone.

1Password is al jaren de N1 voor OSX

1Password website

[Reactie gewijzigd door Anoniem: 398412 op 26 juli 2024 20:19]

Plofkotje @mokkol • 7 juni 2012 19:49

Ik gebruik zelf al heel lang 1Password, werkt prima op OS X.

xAi112 @mokkol • 7 juni 2012 19:59

Keepass werkt ook met Mono, dus zal op OSX moeten draaien. Ik heb iig geen problemen met Keepass + Mono op Linux.

Jrz @mokkol • 7 juni 2012 20:14

Gewoon de ingebouwde keychain?

sko @mokkol • 7 juni 2012 20:39

probeer lastpass eens, gebruik het al jaren om mijn 300+ wachtwoorden bij te houden en werkt op alle os'sen en mobiles, evt met dual authenticatie

Hiawathay @PilatuS • 7 juni 2012 19:44

Ja alleen dan zit even inloggen op school of bij iemand thuis er ook niet meer in, daarom vind ik zulke programma's toch ook niet de beste oplossing.

fdkuyper @Hiawathay • 7 juni 2012 20:36

KeePass ken ik niet, maar met Lastpass kan je gewoon online al je wachtwoorden opzoeken. Je hebt alleen je hoofdwachtwoord nodig. En als je dat onveilig vindt i.v.m. keyloggers e.d. in bijvoorbeeld een internetcafé of hotel, dan kan je een lijst met eenmalige wachtwoorden laten genereren. (Op Android is het als app, maar dan moet je wel betalen, zal wel hetzelfde zijn voor iOS).

RobIII Moderator GoT @fdkuyper • 7 juni 2012 21:34

keyloggers

Lastpass voorziet in een screen keyboard

internetcafé of hotel

Geen probleem. Er wordt SSL gebruikt wat 't al lastig maakt en daarbij trek je over die SSL enkel een encrypted DB binnen die heftig encrypted is en client-side pas decrypted wordt. En daar bovenop kun je nog 2-factor authentication gebruiken met een yubikey / Google Authenticator.

[Reactie gewijzigd door RobIII op 26 juli 2024 20:19]

Anoniem: 401705 @RobIII • 7 juni 2012 21:58

Screen keyboards kunnen net zo goed gelogd worden door middel van screenshots. Het enige wat redelijk werkt is 2-factor authentication. En dan ben je nog afhankelijk van de partij die het aanbiedt.

3dfx @RobIII • 8 juni 2012 08:00

[...]

Lastpass voorziet in een screen keyboard

Kijk anders eens onderstaande video door, dan zul je zien dat een onscreen keyboard ook geen uitkomst biedt als er door de malware screenshots gemaakt worden

video: Demonstratie: hoe gaan cybercriminelen te werk?

Vanaf ong. 13m45 gaat het over screenshots.

RobIII Moderator GoT @3dfx • 12 juni 2012 17:24

Ik weet wel dat je screenshots kunt maken (been there, done that enzo

)
Maar tegen keyloggers, precies datgene wat ik quote, werkt een screen keyboard wél prima

_Thanatos_ @fdkuyper • 7 juni 2012 22:00

Met Lastpass is er dus altijd nog één partij die al je wachtwoord kent, of zou kunnen kennen. Betekent ook dat het een partij is die je moet vertrouwen, en omdat je niet kan meten hoe betrouwbaar en dus hoe vertrouwenswaardig ze zijn, zijn ze voor zulke gevoeleige zaken wat mij betreft nooit betrouwbaar genoeg. Er hoeft maar een malafide medewerker te zitten en je bent de klos.

RobIII Moderator GoT @_Thanatos_ • 7 juni 2012 23:03

Onzin. Zelfs bij Lastpass kennen ze je password niet. Alles wordt client-side encrypted en het enige wat er gebeurt is dat je de encrypted "file" of "DB" bij hun parkeert zodat je elders ook bij je gegevens kunt.

_Thanatos_ @RobIII • 8 juni 2012 12:58

Dat is wat ze je vertellen... Maar is dat ook echt zo? Kun je dat verifiëren?

Ik bedoel, wat jij kan encrypten, kunnen zij misschien decrypten. Als het een black box is, dan kun je daar niet achter komen, hoeveel wachtwoorden je ook moet invoeren om erbij te kunnen.

[Reactie gewijzigd door _Thanatos_ op 26 juli 2024 20:19]

Patriot @Hiawathay • 7 juni 2012 19:49

Er is een android variant van het programma. Dat maakt het mogelijk om ook onderweg hiervan gebruik te maken, aangenomen dat je een Android hebt.

Precision @Patriot • 7 juni 2012 19:50

Alleen is deze niet gratis, je kunt wel gewoon inloggen op de website en daar het wachtwoord copy pasten.

Twixie @Precision • 7 juni 2012 20:06

Hoezo niet gratis ?
https://play.google.com/s...com.android.keepass&hl=nl

Precision @Twixie • 7 juni 2012 22:48

Ah excuus ik las KeePass als LastPass, blijkbaar geen helder moment gehad.

PilatuS @Hiawathay • 7 juni 2012 19:50

De meeste sites hoef ik niet op in te loggen bij iemand anders. Voor een aantal site's heb ik wachtwoorden die ik wel kan onthouden. Voor een of ander forum waar ik maar zelden op inlog of een website waar ik soms iets koop heb ik dus van die onmogelijke wachtwoorden. Voor zulk soort sites hetzelfde wachtwoord gebruiken als voor mijn email vind ik geen optie.

_Thanatos_ @Hiawathay • 7 juni 2012 21:57

Dan gebruik je toch de portable versie op een USB stick.

Sn0wblind @PilatuS • 7 juni 2012 19:53

is ook niet zo handig als je op 50+sites moet registreren.

Bauknecht @PilatuS • 8 juni 2012 09:49

Waarbij "Yeah right, ik ben de koning van Mesopotamie!" een paar grootteordes moeilijker te kraken is (hoofdletters, leestekens én langere string) en je dat tenmiste kan onthouden.

soundblast 7 juni 2012 19:38

Fijn dat hieruit blijkt dat er toch nog sites zijn die hun gebruikers op de hoogte houden als ze het vermoeden hebben dat er iets niet in de haak is

ThePendulum @soundblast • 7 juni 2012 21:26

Het zou je inderdaad verbazen hoeveel sites de afgelopen jaren gehackt zijn, maar veilig lijken puur doordat ze alles op alles zetten om te zorgen dat het niet bekend wordt.

Dutchiee.tv @ThePendulum • 7 juni 2012 22:09

Ook dit van Last.FM schijnt al wat eerder te zijn gebeurd.

Stats on last.fm leak:
1) It happened a WHILE ago. 2010/2011
2) 17.3 million raw-md5
3) 16.4 million cracked.

Toch is het overigens jammer dat er weinig Google Authenticator mogelijkheden zijn op andere website's. Ik vind het namelijk erg handig werken dat je eerst een wachtwoord in moet vullen en vervolgens een code die je nodig hebt via je mobiel of e-mail, ergo: Two-factor authentication

Toch is dat Lastpass wel leuk en aardig, maar wat als je hoofdwachtwoord wordt ontvreemd of je deze verliest? Dan heb je naar mijn mening alle info die in de container staan. Dat kan toch ook niet de bedoeling zijn?

Edit: typfout
Edit2: Zer0, daar heb je ergens gelijk in inderdaad, het ging me meer om het idee dat er nog meer handelingen 'kunnen' worden gedaan om het zelfde resultaat te kunnen halen. En dan is het in dit geval zo slecht nog niet.
Je moet inderdaad wel meer handelingen uitvoeren. Echter, doe het met plezier als ik zeker weet dat mijn gegevens beter beveiligd zijn.

[Reactie gewijzigd door Dutchiee.tv op 26 juli 2024 20:19]

ILUsion @Dutchiee.tv • 7 juni 2012 22:31

LastPass kan je ook met two-factor beveiligen: ze ondersteunen Yubikeys, hun eigen Sesame, Google Authenticator en briefjes met statische secundaire wachtwoorden. Als je dus daar een keuze uit maakt, ben je al heel wat veiliger.

Nu ja, veiliger hangt er natuurlijk ook maar van af hoe je alles bekijkt. LastPass beweert wel dat alle data geëncrypteerd op hun servers staat, maar dat hoeft natuurlijk niet zo te zijn. Ook hangt de veiligheid er maar van af hoe ze alles bewaren en geïmplementeerd hebben. Maar al bij al vertrouw ik hen wel: een jaar geleden hadden ze een mogelijk veiligheidsprobleem en dat hebben ze in mijn ogen goed aangepakt. Iedereen kreeg de melding om zijn wachtwoord te veranderen en je kon zelf kiezen om het al dan niet te doen. Ik heb liever een bedrijf dat meteen de alarmbel luidt als er misschien iets (of niets) mis is dan dat ze het stilhouden met alle mogelijke gevolgen van dien.

Het is natuurlijk ook een berekend risico dat je neemt. Alles op één plaats bewaren, zorgt ervoor dat die plaats erg aantrekkelijk kan zijn. Als je dat risico niet wilt nemen, moet je natuurlijk maar zelf een oplossing knutselen (bv. Keepass op een USB-stick, eventueel met nog extra encryptie erover). Maar dergelijke wachtwoordbeheerders maken het mogelijk om voor elke dienst een ander wachtwoord te kiezen dat bovendien op gebied van entropie amper te kraken is. Zelf gebruik ik LastPass met voor elke site een ander random wachtwoord van 40 tekens (al zijn er heel wat sites die dat niet ondersteunen). Dan maakt het ook weinig uit of één site gecompromitteerd is, want meestal valt daar toch niet al te veel informatie te rapen en andere sites blijven even veilig als ervoor.

Precision @Dutchiee.tv • 7 juni 2012 22:47

En onlangs werd Cloudflare "gehackt" dankzij Google Authenticator:
http://blog.cloudflare.com/post-mortem-todays-attack-apparent-google-app
http://blog.cloudflare.com/the-four-critical-security-flaws-that-resulte
Het bleek een spelletje tussen hackers en trollen want dit alles werd gedaan om de dns data van 4chan aan te kunnen passen.

Anoniem: 126717 @Dutchiee.tv • 7 juni 2012 22:28

Toch is dat Lastpass wel leuk en aardig, maar wat als je hoofdwachtwoord wordt ontvreemd of je deze verliest?

Met het gebruik van Lastpass, Keepass, en soortgelijke services heb je wel het voordeel dat je maar 1 (een) password gebruikt per site. Dus als je ww wordt gejat komen ze er niet ver mee.
Ik heb iets van 400 inlogs, en zo goed als geen dubbelingen. Mijn Lastpass ww is een verrekte lastige om te onthouden, maar wel een behoorlijk veilige. En mocht die toch gekraakt worden heb ik nog steeds mijn inetbankieren er niet tussen staan,

XBL @Anoniem: 126717 • 8 juni 2012 14:47

Waarom heb je een lastig te onthouden wachtwoord? Een goed wachtwoord is niet per definitie lastig te onthouden, het enige wat je moet je vergeten is de term 'wachtwoord' en vervangen met 'wachtzin' (pass phrase, zo u wilt).

Neem een zin die niet makkelijk te herleiden is; gooi er wat weinig voorkomende woorden in (bijvoorbeeld typisch Nederlandse woorden, merknamen, eigennamen); type gewoon de spaties, hoofdletters, komma's, etc; klaar. Door de spaties, eventuele andere tekens zoals de apostrof of komma en de totale lengte is de entropie van je wachtwoord goed. Brute forcen is dus praktisch onmogelijk. Ook een dictionary attack is lastig, want a) de kraker moet dan weten dat je een zin als wachtwoord hebt en b) moet dan een enorm aantal combinaties langsgaan van woorden.

Een makkelijk te onthouden zin met 10 woorden is dus uiteindelijk veiliger dan een moeilijk te onthouden wachtwoord van 10 karakters met rare tekens.

LDenninger @Dutchiee.tv • 8 juni 2012 09:37

nieuws: LastPass forceert nieuwe wachtwoordaanmaak na mogelijke hack
http://it.slashdot.org/st...s-password-service-hacked

[Reactie gewijzigd door LDenninger op 26 juli 2024 20:19]

Zer0 @Dutchiee.tv • 7 juni 2012 22:18

Ik vind het namelijk erg handig werken dat je eerst een wachtwoord in moet vullen en vervolgens een code die je nodig hebt via je mobiel of e-mail,

Veiliger, zeker, handig, absoluut niet. Met two-factor authentication moet je meer handelingen uitvoeren, en dat is altijd onhandiger dan een enkel wachtwoord gebruiken.

mad_max234 @Zer0 • 7 juni 2012 22:48

Eens per maand moet je opnieuw handeling uitvoeren zolang het je eigen pc is waar je steeds achter zit, rest van de maand log je automatisch in natuurlijk als je al eerder heb ingelogd. In veel gevallen heb je er dus amper last van maar geeft je heel veel meer veiligheid, ik ben er erg blij mee, is nu stuk lastiger voor kwaadwillende om in google account te komen.

Jochem_ @soundblast • 8 juni 2012 08:24

Ik zou het eerlijk gezegd wel prettig vinden als ze dit soort dingen even op de mail zetten. Ik weet niet hoe het met jou zit, maar ik kom nu niet bepaald dagelijks op hun website, en via de applicaties die last.fm gebruiken (player, scrobbler) zie je deze berichten niet.

Het is dat ik dit nu toevallig op tweakers zie (waar ik overigens OOK niet elke dag kijk).

Mustii_93 @Jochem_ • 8 juni 2012 23:08

Hebben ze ook gedaan
http://i.imgur.com/VcBZ6.png

Anoniem: 215492 7 juni 2012 19:46

Ik zeg:

aanpakken die hackers, dit begint toch gewoon irritant te worden. Het nieuws staat er vol mee...

Shyva @Anoniem: 215492 • 7 juni 2012 19:49

Ja lekker praktisch.. Ik zeg: verplicht bedrijven salts en moderne hash functies te gebruiken, dan maakt het niet meer uit of zo'n database gejat wordt of niet. Kost ook geen tijd en een techniek die al eindeloos bekend is. Website bouwers zijn gewoon lui of dom. Ik gok beide.

Anoniem: 342185 @Shyva • 7 juni 2012 19:53

Nederlander, lekker de boosdoener verdedigen. Hackers oppakken en in de cel gooien. Je blijft lekker met je jatten van die gegevens van andere af.

i7x @Anoniem: 342185 • 7 juni 2012 20:11

Makkelijker gezegd dan gedaan, dat oppakken. Alsof die mensen niet weten hoe je compleet onder de radar kunt blijven... Shyva geeft juist een oplossing waardoor hacken een stuk nuttelozer zou worden en dus zou afnemen.

Desondanks ben ik het er niet mee eens omdat ik niet geloof in dingen verplichten op het internet maar dat terzijde.

Shyva @i7x • 7 juni 2012 20:15

Reactie op michaaeel en i7x:
Ik geloof zelf ook niet in verplichtingen op het internet, zullen om de zelfde redenen niet werken als hackers op pakken. Ik bedoelde er meer mee te zeggen dat er een klimaat heerst bij bedrijven waardoor hackers überhaupt een kans hebben (dit zijn namelijk echt volkomen onnodige fouten, net als de sql-injecties van een tijdje terug). Dat veranderen zou een stuk meer nut hebben dan de oplossing van jafd01 of steff261991.

[Reactie gewijzigd door Shyva op 26 juli 2024 20:19]

Shyva @Anoniem: 342185 • 7 juni 2012 19:56

Verdedigen? Leer lezen. Ik zeg alleen dat het geen nut heeft. Je pakt nooit alle hackers, en als je bedrijven lekker de hand boven het hoofd blijft houden zullen die hackers die je niet pakt alsnog de beveiliging kraken zonder dat je der iets mee kan. Je lost het probleem dan dus niet op.
Maar ik snap dat principieel hameren op je rechten leuker is dan een probleem daadwerkelijk oplossen.

Anoniem: 282840 @Shyva • 7 juni 2012 20:03

Idee is mooi alleen uitvoering zeer lastig, aangezien de naam het al zegt World With Web. Makkelijk voorbeeld is bijvoorbeeld thepiratebay in hoeveel landen zijn ze inmiddels al wel niet gesomeerd hun activiteiten te stoppen. Voor grote sites gaat dit nog werken, maar voor kleinere sites gaat dit toch lastiger worden om ze te beboeten. En hoe ga je dit preventief voorkomen, moet de overheid hackers in dienst nemen die non-stop sites gaan proberen te hacken? Of moeten websites een koppie in leveren van hun databases als bewijs dat ze goed beveiligd zijn? Het eerste idee kan werken, maar dit gaat zoveel extra kosten op leveren dat het niet rendabel gaat zijn ben ik bang. En in tweede geval begint gelijk de halve wereld in de steigers te schieten i.v.m Privacy.

Het is ook niet strafbaar om snachts je deuren niet op slot te doen, alleen als er ingebroken word word er niks vergoed door de verzekering. Wel is het strafbaar om inbraken te plegen en daar word ook actief achter aan gezocht (gaan we in iedergeval van uit) Persoonlijk vind ik voor hacken het zelfde gelde, de hackers moeten aan gepakt worden en de bedrijven die slechte beveiliging hebben mogen niet aan aankloppen bij verzekering en eventuweel opdraaien voor de kosten.

En mensen dom noemen is wel heel makkelijk, denk niet dat de website bowers lui zijn. Zijn denk maar weinig ITers die voor de makkelijke weg gaan maar waar meestal het probleem zit is de hogere hand waar naar koste plaatje word gekeken. En een meer ervaren werknemer kost nou eenmaal meer. En als iemand die voor helft van salaris werkt het voor het ook (in hun ogen) goed kan doen is de keuze makkelijk gemaakt.

Spacespider @Anoniem: 215492 • 7 juni 2012 19:50

Ik ben het met je eens dat de hackers aangepakt moeten worden. Maar aan de andere kant zijn het natuurlijk ook de bedrijven die hun beveiliging beter op orde moet hebben. Bedrijven zouden eigenlijk verplicht moeten worden om hun gebruikersgegevens op een bepaalde manier te encrypten.

Lisadr @Anoniem: 215492 • 7 juni 2012 19:51

Dank zij deze hackers worden grote organisaties hopelijk wakker en worden onze bestanden en gegevens beter beveiligd!

AmbroosV 7 juni 2012 19:56

Daarom dus dat ik een voorstander ben van systemen zoals Facebook Connect. Natuurlijk verplicht je daarmee wel je gebruikers om een FB-account te maken én ben je afhankelijk van Facebook voor je beveiliging. De beveiliging bij een bedrijf als Facebook lijkt mij dan wel weer in orde, ik kan me moeilijk voorstellen dat Facebook wachtwoorden niet op een wel heel erg veilige manier opslaat. De servers zullen daar ook wel in orde zijn.

Handig is ook dat je dan automatisch voor erg veel sites gebruik kan maken van de two-factor authentication van Facebook. Dat is een enorm sterke beveiligingsmethode.

[Reactie gewijzigd door AmbroosV op 26 juli 2024 20:19]

Spacespider @AmbroosV • 7 juni 2012 20:01

Helaas zitten hier ook weer nadelen aan, mocht iemand je Facebook wachtwoord achterhaald hebben (phising, social engineering, trojan) heeft deze persoon gelijk toegang tot al je accounts.

Verder had ik verwacht dat grote bedrijven als LinkedIn en Last.fm ook op zijn minst gebruik zouden maken van encryptie met SALT voor het opslaan van wachtwoorden. Dit blijkt helaas ook niet zo te zijn.

[Reactie gewijzigd door Spacespider op 26 juli 2024 20:19]

ATS @AmbroosV • 7 juni 2012 22:04

Gebruik dan gewoon OpenID. Kan kan de gebruiker zelf kiezen wie hij vertrouwd met zijn login gegevens, en desnoods zelf een authenticatie service draaien. FaceBook verplichten is voor mij een reden om geen account te maken. Ik heb geen FB, en ik wil geen FB.

findftp @AmbroosV • 7 juni 2012 23:05

ik kan me moeilijk voorstellen dat Facebook wachtwoorden niet op een wel heel erg veilige manier opslaat. De servers zullen daar ook wel in orde zijn

Alu hoedje opzetten.

De reden dat van linkedin waarschijnlijk alle wachtwoorden op straat liggen laat zien dat dit blijkbaar ook zo kan gebeuren bij facebook.

Infant 7 juni 2012 20:01

Opzich had een mailtje ook leuk geweest inplaats van wachten tot ik op de site zelf kom, via tweakers in dit geval.

DeMantis @Infant • 7 juni 2012 20:28

Daar ben ik het helemaal mee eens. Vind het vreemd dat zoveel mensen deze informatievoorziening prijzen, terwijl je dus naar de site toe moet om erachter te komen. Ik gebruik last.fm, maar niet dagelijks. Dus voor hetzelfde geld kwam ik er over een week achter dat wellicht mijn wachtwoord op straat ligt.

Voor mijn gevoel komt de informatiegang over beveiligingsrisico's te traag op gang en is erg vaak gewoonweg te terughoudend in toegeven dat het een beveiligingslek is wat serieus genomen moet worden.

MAher 7 juni 2012 20:31

LastPass, vrijwel elk platform een client en natuurlijk altijd via browser te benaderen. Je kan een lijst met extra codes gebruiken zodat je nooit met enkel het password erbij kunt.

Martao @MAher • 7 juni 2012 20:55

Tja, hoe veilig is dat?

RobIII Moderator GoT @Martao • 7 juni 2012 21:17

Behoorlijk.
2-factor (als je wil) met yubikey/Google Authenticator, alles gebeurt client-side (dus je password "DB" staat alleen in encrypted vorm bij hun (lees: in hun "cloud")), SSL, screen keyboard (tegen keyloggers), fatsoenlijk aantal PBKDF2-SHA256 rounds, ... ga maar door.

[Reactie gewijzigd door RobIII op 26 juli 2024 20:19]

Lisadr 7 juni 2012 19:43

Je zou dingen dat met een bijna dagelijkse lek en alle nieuwsaandacht bedrijven hun dingen op order hebben. Helaas word extra beveiliging en securitytesting vaak gezien als kosten en iets dat projecten vertraagt.

- peter -

7 juni 2012 20:51

Ja, ik had ook al spam op mijn lastfm adres dat ik uniek daarvoor gebruik. Samen met de Linkedin toch beiden opvallend. Ze zullen wel alle emailadressen hebben buitgemaakt.

Op dit item kan niet meer gereageerd worden.

Last.fm waarschuwt voor mogelijk gestolen wachtwoorden

Lees meer

IT-banen

Reacties (91)

Sorteer op:

Weergave: