Gestolen wachtwoorden Adobe-gebruikers waren niet gehasht

De wachtwoorden van Adobe-gebruikers die zijn buitgemaakt bij een recente aanval op Adobe-servers, waren niet gehasht, zoals wordt aangeraden, maar werden allemaal met dezelfde key versleuteld. Bij de aanval werden 3,4 miljoen Nederlandse e-mailadressen buitgemaakt.

Adobe De wachtwoorden van de 150 miljoen buitgemaakte accounts waren versleuteld met het 3des-algoritme, heeft Adobe toegegeven tegenover CSO Online. Eerder claimde Ars Technica al dat 3des werd gebruikt. Dat algoritme is gebaseerd op het inmiddels achterhaalde data encryption algorithm: data wordt drie keer met des versleuteld, om brute force-aanvallen moeilijker te maken.

Desondanks zijn de wachtwoorden van gebruikers nu makkelijker te achterhalen dan wanneer de wachtwoorden zouden worden gehasht, zoals wordt aangeraden. Bij gebruik van een veilig hashing-algoritme, zoals sha-2 of pbkdf2, is het wachtwoord niet te achterhalen, omdat hashing in principe maar één kant op werkt: de originele waarde is niet af te leiden uit de gehashte waarde. Bij het inloggen wordt de hash berekend uit de invoer van de gebruiker, waarna die wordt vergeleken met de opgeslagen hash. In combinatie met een salt, een unieke waarde die wordt toegevoegd aan het wachtwoord, is het wachtwoord daarmee nog beter beveiligd: daardoor hebben zelfs twee identieke wachtwoorden niet dezelfde hash.

De meeste wachtwoorden zijn alsnog niet triviaal te achterhalen, tenzij de hackers de hand op de gebruikte encryptiesleutel weten te leggen: alle wachtwoorden zijn namelijk met dezelfde secret versleuteld. Om die reden wist beveiligingsonderzoeker Jeremi Gosney een overzicht te maken van de meestgebruikte wachtwoorden: veel gebruikers verwerkten hun wachtwoord in hun wachtwoordhint, en zodra van één gebruiker het wachtwoord bekend was, kan worden bekeken hoeveel gebruikers hetzelfde wachtwoord hebben, omdat voor elk wachtwoord dezelfde sleutel werd gebruikt.

Uit het onderzoek van Gosney blijkt dat het wachtwoord '123456' verreweg het populairst was: die werd 1,9 miljoen keer gebruikt. Ook '123456789', 'password' en 'adobe123' werden echter honderdduizenden keren gebruikt. Bij de aanval op Adobe werden gegevens van 150 miljoen gebruikers ontvreemd; daarvan waren er waarschijnlijk 38 miljoen daadwerkelijk actieve gebruikers. E-mailadressen die eindigen op '.nl' kwamen 3,4 miljoen keer voor. Verder werden versleutelde creditcardgegevens buitgemaakt; of die beter zijn beveiligd, is onduidelijk. Daarnaast werd broncode van onder meer Photoshop en Acrobat gestolen.

IT-banen

Reacties (119)

119

117

Wijzig sortering

Blubber 5 november 2013 12:21

pbkdf2 is geen hashing algoritme, maar password based key derivation function nummertje twee, de RFC kan hier: http://www.ietf.org/rfc/rfc2898.txt gevonden worden. pbkdf2 maakt gebruikt van een willekeurig hashing algoritme om op een veilige manier encryptiesleutels af te leiden van wachtwoorden. Dit kan ook gebruikt worden om wachtwoorden veilig op te slaan.

Hashing algoritmes, zoals het genoemde sha-2, zijn op zichzelf nooit veilig. Men moet het algoritme altijd op de juiste manier toepassen, vaak wordt aangeraden om de hash een aantal keer te herhalen (bijvoorbeeld 1000 keer) en om een salt te gebruiken. Dit is exact wat pbkdf2 doet.

Een ander goed algoritme voor het opslaan van wachtwoorden is bcrypt: https://en.wikipedia.org/wiki/Bcrypt.

Dacuuu 5 november 2013 12:34

Keepass is echt een uitkomst. Mensen die er nog geen ervaring mee hebben zijn vaak kritisch. Test uit, en je zal verbaast zijn.

Yggdrasil

@Dacuuu • 5 november 2013 14:13

Klopt, zo kan ik ook LastPass.com aanbevelen. Ondersteund zo'n beetje elk verschillend platform (browser, OS, device, etc.), synchroniseert je wachtwoorden automatisch en vult ze vanzelf in.

De vault wordt client-side versleuteld met je eigen master wachtwoord en eventuele tweede factor (bijv. Yubikey). Dan pas wordt die versleutelde data geupload en server-side opgeslagen.

Men moet zelf de afweging maken of men LastPass vertrouwd. Ze hebben tot nu toe een zeer goed imago en zijn naar mijn mening uitstekend omgegaan met het beveiligingsprobleem dat ze in 2011 hadden. Ik heb geen reden om aan hen te twijfelen, en maak daarom graag gebruik van het gemak dat LastPass biedt t.o.v. KeePass, maar die keuze zal ieder persoonlijk moeten maken.

Verwijderd 5 november 2013 12:16

Ik ben blij dat ik eindelijk voor elke site een compleet ander wachtwoord heb. Ik was een van de 38 miljoen.

Cyphax Moderator NOS @Verwijderd • 5 november 2013 12:21

Ik ook, maar elk wachtwoord is gegenereerd door KeePass bij mij. Dat klinkt als moeilijk allemaal, en dat is het ook als ik KeePass niet in de buurt heb, sure, maar als er een wachtwoord van mij wordt gekraakt is er relatief niet zo vreselijk veel aan de hand: het wachtwoord heeft toch geen betekenis.

Je zult net een heel sterk wachtwoord hebben verzonnen (maar echt sterk hè) en dat overal voor gebruiken, en dan gebeurt er zoiets. Dat is best een naar probleem.

Denk dat we het beste met z'n allen goed moeten onthouden dat wij maar één van de schakels in de ketting zijn. De andere schakel is in dit geval Adobe en die blijkt zwak te zijn geweest waardoor jouw wachtwoorden, hoe sterk ook, toch buitgemaakt worden. Ik zou zo niet weten welke andere oplossing daarvoor te bedenken is, behalve dan voor elke dienst een ander wachtwoord te pakken en het liefst op zo'n manier dat er geen patroon in zit zodat aan de hand van het achterhaalde wachtwoord jouw andere wachtwoorden niet ook beter te raden zullen zijn. In elk geval moet je niet uitgaan van een veilige opslag van je wachtwoord bij een dienst waarbij je niet aan de binnenkant kunt kijken of ze het wel veilig bewaren.

[Reactie gewijzigd door Cyphax op 23 juli 2024 07:25]

Tourmaline @Cyphax • 5 november 2013 12:25

Zelfde als jou, voor elk account een ander password!
Anders heeft het weinig zin natuurlijk.

Tourmaline @Verwijderd • 5 november 2013 12:19

Ik heb ook meteen een ander wachtwoord aangemaakt via keepass, een 20 caracters tellend WW wat automatisch aangemaakt wordt!

Zenomyscus 5 november 2013 12:18

Ik weet niet welke beveiliger heeft besloten de data te beveiligen met 1 key, maar die mag wat mij betreft ontslagen worden. Zoiets bedenk je toch niet? Zelfs als ze 3des zouden gebruiken is het een eitje om achter de wachtwoorden te komen. Je zou verwachten dat een groot bedrijf als Adobe zijn zaakjes wel op orde zou hebben. Helaas blijkt maar al te vaak dat er niet voorzichtig wordt omgegaan met jouw gegevens. Zelfs niet als er dus150 miljoen gebruikers zijn...

Overigens snap ik ook niet dat mensen 123456 als wachtwoord nemen... Zelfs al zou je een standaardwachtwoord voor elke site nemen (wat ik niet aanraad..) dan kun je toch iets als asdf!@#$% makkelijk onthouden? Soms snap ik mensen niet.. en grote bedrijven blijkbaar ook niet..

biglia @Zenomyscus • 5 november 2013 12:23

Je weet hoe dat gaat. Wanneer zijn de eerste accounts van die lijst aangemaakt? Misschien 15 jaar geleden. Toen werd er minder aandacht aanbesteed. Die conversie naar hash+salt is vrij ingrijpend als je die uitvoert. Daarom wordt die meestal achteraf niet meer uitgevoerd of altijd maar uitgesteld.

beerse @Zenomyscus • 5 november 2013 12:41

Mensen gebruiken heel makkelijk 123456 als wachtwoord: Ooit had adobe een paar interessante producten op de website en op sommige delen van die website moet je een account hebben. Dus snel een account aangemaakt. Doet toch niets, dus wachtwoord kan makkelijk 123456 zijn.

Later biedt Adobe meer en meer aan en ook de producten komen meer en meer achter een password op de site. Dus neemt het belang van het wachtwoord toe, maar er is nooit een vraag/opdracht geweest om het wachtwoord eens te veranderen.

Daarbij neem ik het Adobe het meest kwalijk dat er ook de versleuteling van veel epub boeken bij zit. Voor echte e-boek liefhebbers wordt misbruik van het wachtwoord ook misbruik van hun boeken...

Tjolk @Zenomyscus • 5 november 2013 13:17

Het zou mij niets verbazen als dit 10+ jaar geleden is bedacht door een developer die er inmiddels niet eens meer werkt. En nieuwe developer zal waarschijnlijk al een aantal keer geroepen hebben dat er iets aan veranderd moet worden, maar een developer is zelden degene die de prioriteiten stelt. Als hij steeds genegeerd wordt of zijn leidinggevende geeft hem steeds andere dingen te doen, dan houdt het op een gegeven moment op.

Verwijderd 5 november 2013 12:39

Mijn hoofd bestaat tegenwoordig uit een wachtwoorden database. Ik geloof erin dat je jezelf erin kunt trainen om verschillende codes van 18 characters te kunnen onthouden, wat je bijvoorbeeld kunt doen is een wachtwoord voor facebook wat begint als bijvoorbeeld:
kKkhW3fB[
Linkedin:
kKkhW3lI[
Hyves? ^^
kKkgW3hY[

dat is moeilijk om te ''bruteforcen'' deze codes kun je natuurlijk ook wat langer maken

Zo gebruikte een vriend van mijn dit wachtwoord vroeger: (Kan schokkerend zijn

)
1kb3nd1kk13d1k3n1kh0udv4np!nk

Ik dacht dat iedereen er wel ongeveer van bewust was verschillende wachtwoorden te gebruiken voor verschillende programma's / download sites.. Maargoed

paar tips, hopelijk heb je er wat aan

[Reactie gewijzigd door Verwijderd op 23 juli 2024 07:25]

Smen @Verwijderd • 5 november 2013 13:12

Ik snap dat men denkt dat het moeilijk is om wachtwoorden te raden die niet logisch zijn, of geen woorden vormen. En dat is deels waar als je een dictionary attack gebruikt, maar volstrekt zinloos als je gaat brute-forcen. Dan gaat het juist om lengte en gebruik van speciale tekens.

Het klinkt voor veel mensen misschien gek, maar een wachtwoord met combinatie van speciale tekens en hoofdletters als:
4pPeLt$$rt

is veel makkelijker te kraken dan
mijnmoederiseenblauweEENHOORN

Terwijl dat laatste uit alleen maar letters bestaat en veel gemakkelijk is om te onthouden.

Dus hoewel Microsoft hier vier stappen gebruikt om je wachtwoord veiliger te maken, hebben ze in theorie wel gelijk, maar het is veel onhandiger in dagelijks gebruik.

Dat gezegd hebbende, is het nog makkelijker om slechts één sterk wachtwoord uit je hoofd te leren en voor de rest automatisch gegenereerde wachtwoorden te gebruiken en die op te slaan met Lastpass of Keepass.

ZpAz

Adobe

@Smen • 5 november 2013 14:58

Niet altijd. Want als je een slimmedictionary attack pakt die woorden aan elkaar plakt en wat camelcased hier en daar heb je direct al weer veel minder verschillende mogelijkheden.

Het niet weten van hoe het wachtwoord inelkaar zit is ook een gedeelte van de sterkte van een wachtwoord.

Als er een database lekt met wachtwoorden dan kan je op basis daarvan wat veel gebruikte wachtwoordtypes zijn, als blijkt dat iedereen ineens woorden achter elkaar plakt dan ga je je aanval daar voortaan op toespitsen.

Armin

Netwerk en systeembeheer

@ZpAz • 5 november 2013 22:31

Precies, en het grote gevaar zit hem daarin dat technieken die beschermen tegen brute force, soms juist averechts werken tegen dit soort patroon-aanvallen.

Bijvoorbeeld:

mijnmoederiseenblauweEENHOORN

is hetzelfde als

afghleA

bij dit soort patroom-decrypters. Slechts 8 'tekens'!

Goed, het volledig-capslock zorgt ervoor dat er een paar stappen extra gedaan moeten worden, maar ik denk dat mijn punt wel duidelijk is. Het is veel minder veilig dan mensen denken.

Vergeet brute force. Meer dan 10 tekens is daarvoor in de praktijk meestal goed genoeg (mits goed gehashed etc). Al is meer altijd beter, dus ik zou dat zeker doen indien mogelijk.
Hackers gebruiken brute force echter niet meer om dit soort databases te kraken. Probleem is echter dat mensen nog steeds aangemoedigd worden om dan maar lange zinnen of zo te gebruiken met als argument tegen die brute force. Makkelijk te onthouden, maar moeilijk te hacken zegt men dan. Echter dankzij die patronen soms daardoor juist makkelijker te hacken dan een kort - maar echt random - wachtwoord!

Een wachtwoord moet:
- langgenoeg zijn om brute force onmogelijk te maken
- geen woordenboek woord zijn
- geen patroon hebben

Bij die laatste geldt dan als vuistregel: "makkelijk te onthouden = makkelijker te kraken".

Luiheid wordt hier echt bestraft, en onhandigheid beloond.

Die 4 stappen van Microsoft zijn dus niet zomaar uit de lucht gegrepen.

mcDavid 5 november 2013 12:44

Bij gebruik van een veilig hashing-algoritme, zoals sha-2 of pbkdf2, is het wachtwoord niet te achterhalen

Ik hoop niet dat Tweakers.net daadwerkelijk in de veronoderstelling is dat het knijtersnelle SHA-2 een "veilige" passwordhash oplevert? Dit is supereenvoudig te bruteforcen met consumentenhardware.

Verwijderd @mcDavid • 5 november 2013 12:49

Het door de NSA ontworpen SHA-1 werd in 1995 door het Amerikaanse NIST gepubliceerd. Sinds de ontdekking van kwetsbaarheden in SHA-1 heeft het NIST vier aanvullende hash-functies gepubliceerd, de SHA-224, SHA-256, SHA-384, en SHA-512. Deze algoritmes, die samen als SHA-2 bekend staan, worden echter nog niet veel gebruikt.

Met een boomerang techniek kon je inderdaad de SHA-1 makkelijk kraken. SHA-2 is een heel ander verhaal maat

En nee, dat kraak je niet met ''consumentenhardware'' het ligt er dan ook weer aan wat je daarmee bedoelt, als je 50 ATI kaarten samen laat werken om te bruteforcen valt het nog steeds onder consumenten hardware.. beetje breed begrip

Maar ik begrijp je punt!

Tweakers bedoelt dat het voor een hacker niet meer interessant is om een ''consumentje'' te hacken als hij SHA-2 hashes gebruikt

Gaat veel te veel tijd in zitten man

mcDavid @Verwijderd • 5 november 2013 16:15

Je hoeft niets te kraken, je kunt bruteforcen. Met een modern gamesysteem (2 high-end videokaarten) bereken je binnen 24 uur alle mogelijke SHA2-hashes van max. 8 karakters. Waarschijnlijk heb je dan al 95% van de passwords in een database te pakken. Geef het nog een weekje (of zet gewoon 3 of 4 van datsoort systemen aan het werk) en je hebt de hele database ontfrutseld.
Needless to say dat SHA-1 en MD5 nog sneller gaat, als je een database met MD5-hashes tegenkomt is het een kwestie van minuten voor je overal een match voor hebt.

Duidelijk is dat niet de kwaliteit van het algoritme het probleem is, maar de snelheid. SHA-2 is net als zijn voorgangers ontworpen om zo snel mogelijk te zijn. Da's fijn om integriteit van een dataset snel te kunnen controleren, maar maakt bruteforcen alleen maar makkelijker. Een goed password-hash algoritme is traag. Moeilijk traag. En vooral: Heeft een instelbare workload. Van bijvoorbeeld Bcrypt-hashes kun je de workload instellen. Worden computers sneller, maak je gewoon de workload van al je hashes hoger. Kwestie van een vlaggetje zetten, code hoeft niet aangepast te worden en er hoeft niets geconverteerd te worden.

[Reactie gewijzigd door mcDavid op 23 juli 2024 07:25]

Verwijderd @mcDavid • 5 november 2013 16:19

Of gewoon een botnet -.-

Als jij instellingen gaat bruteforcen met de veronderstelling dat zij 8 character WW gebruiken.... ben ik benieuwd welke jij daarmee bedoelt

De informatie die zij achter deze wachtwoorden zullen hebben, zal dan niet heel erg waardevol zijn

Wat houdt Bruteforce in? Brute kracht, ja dus kraken, een HASH kraak je..

Zo ziet zoeits eruit:
{
public String getHash(String password, String salt) throws Exception {
String input = password + salt;
MessageDigest md = MessageDigest.getInstance(SHA-512);
byte[] out = md.digest(input.getBytes());
return HexEncoder.toHex(out);
}

SHA-2 hjeeft een output grootte van 512bits. Dus het zoeken naar het breekpunt zal O(2^256) tijd in beslag nemen. Het gegeven bestaat niet uit ''slimme attacks'' op het algorimte zelf (of beter gezegd, momenteel niet bekend dat er een SHA-2 hash family algoritme is) Zo lang duurt het om dit algoritme te breken..

Om een gevoel te krijgen wat 2^256 nu daadwerkelijk betekend: Momenteel geloof ik dat het aantal atomen in het gehele universum een kleine 10^80 is.. Wat ongeveer neerkomt op 2^266. Ervanuitgaande 32 byte input (wat redelijk is t.a.v. het voorbeeld) 20 bytes salt + 12 bytes password) Mijn computer ~0,22s (~2^-2s) voor 65536 (=2^16) compilaties. dus 2^256 compilaties 2^240 * 2^16 compilaties nodig, wat neerkomt op:

2^240 * 2^-2 = 2^238 ~ 10^72s ~ 3,17 * 10^64 years

Goodluck

Klaarblijkelijk ben jij een ''sicke'' hacker, die met 4 computersystemen met HIGH END videogame apparatuur wel even SHA-2 hashes gaat ontcijferen, kiss my arse, thank you very much.

PS welke belangrijke instelling gebruikt er in hemels naam nog 8 cijferige codes -.- get real dude.

trouwens, als je nog wat wilt leren:

http://en.wikipedia.org/wiki/Rainbow_table

neem dat even door, kun je echt aan de slag als scriptkiddie.. -0,o-

IK zal binnenkort wel weer een VPNetje opzetten, dan mag jij die SHA-2 Wachtwoorden gaan ''bruteforcen'' met je consumenten hardware -.- 1 tip, het gaat je niet lukken vriend

[Reactie gewijzigd door Verwijderd op 23 juli 2024 07:25]

Armin

Netwerk en systeembeheer

@mcDavid • 5 november 2013 18:46

Op zich eens, maar een administrator die een wachtwoord zonder toevoeging van een ramdom getal juist om de lengthe te vergroten opslaat is natuurlijk ook erg fout bezig.

Een random 32 bits getal toevoegen maakt voor de systeem-performance weinig uit juist omdat de hash algorithmen snel zijn, maar voor de veiligheid wel.

mcDavid @Armin • 6 november 2013 09:56

Je doet beiden.
Een traag algoritme maakt voor de performance van je systeem ook niet uit, tenzij je gebruiker 6 miljard wachtwoorden in moet voeren om in te loggen.

Armin

Netwerk en systeembeheer

@mcDavid • 6 november 2013 17:55

Nogmaals niet oneens, maar vergeet niet dat een server soms wel degelijk 6 miljoen wachtwoorden moet 'invoeren'/lezen. De aanlog-tijd kan dan flink oplopen omdat het systeem gewoon trager wordt met X duizenden parallele gebruikers, en dan gaan ironisch genoeg de gebruikers klagen

mcDavid @Armin • 6 november 2013 18:05

De enige reden waarom dat zou moeten is omdat iemand aan het bruteforcen is. Als er iemand inlogt moet er één wachtwoord éénmalig gehashed worden. Dat kost dan 0.001 seconden ipv 0.0000001 seconden. Dat verschil is op geen enkele manier significant zolang je niet aan het bruteforcen bent.

Armin

Netwerk en systeembeheer

@mcDavid • 6 november 2013 20:10

En vermeningvuldig die getallen nu eens met X honderdduizenden parallelle gebruikers ...

DJMaze @mcDavid • 5 november 2013 13:03

Dat vroeg ik mij ook af. Wat is er mis met bcrypt en scrypt?
Die zijn naast pbkdf2 toch wel het meest handig.
Vergelijking: http://1.bp.blogspot.com/...s1600/AoZCPIECQAI7gvp.png

[Reactie gewijzigd door DJMaze op 23 juli 2024 07:25]

Verwijderd @mcDavid • 5 november 2013 22:32

En bruteforce attacks kan je ook voorkomen om te kijken hoeveel mislukte pogingen voor 1 account in een bepaald moment. Indien meer dan 5 in 5 minuten, account 2 minuten deactiveren

mcDavid @Verwijderd • 7 november 2013 10:07

Het gaat hier over een scenario waarin de database gecompromitteerd is. "Bruteforcen" via een normaal login-scherm is geen bruteforcen, dat is eerder een DOS-aanval.

F.West98

5 november 2013 12:15

* F.West98 gaat nu even heel snel een boel wachtwoorden veranderen

ATS @F.West98 • 5 november 2013 12:19

Toch niet weer met hetzelfde password bij verschillende diensten, hoop ik?

]Byte[ @ATS • 5 november 2013 12:24

En jij gebruikt voor elke site / account een volledig uniek wachtwoord?

Morrar @]Byte[ • 5 november 2013 12:45

Voor elke site een uniek wachtwoord is een ding, maar als je die wachtwoorden ziet zijn ze echt om te janken zo slecht (123456 bijvoorbeeld). Met zo'n wachtwoord verdien je het in mijn ogen ook wel een beetje dat je account "gehacked" wordt. Zelfs als de database niet gekraakt was en het algoritme niet bekend, kom je met een beetje raden er wel in.

Verder denk ik dat websites zich moeten realiseren dat beveiliging met een wachtwoord gewoon heel weinig voorstelt. Bezoekers (of ten minste de grote meerderheid daarvan) van een website gaan niet voor iedere site een uniek, sterk wachtwoord verzinnen en onthouden. Als de accounts niet veilig zijn, moet je jezelf afvragen hoeveel zin het heeft om mensen in te laten loggen. De identiteit van de bezoeker blijft dan sowieso een vraagteken.

Tot slot merk ik zelf dat ik vaak gewoon een crap-wachtwoord voor websites hanteer. Als dat wachtwoord achterhaald wordt, jammer dan. Alle zaken die ik wel belangrijk vind, zitten achter moeilijker te raden wachtwoorden. Andere oplossing die ik ook vaak hoor is dat mensen gewoon willekeurige zooi intypen en dan de 'wachtwoord vergeten' optie gebruiken als ze de website ooit nogmaals bezoeken.

Een password manager is een interessante optie, maar die heb je niet altijd bij de hand. Voor sommigen moet ook betaald worden voor de mobiele variant. Het nadeel is dat je zonder zo'n manager meteen niks kunt en dus is het voor velen te veel gedoe.

Denk dat het al een hoop zou schelen als mensen zichzelf aanleren om wachtzinnen i.p.v. wachtwoorden in te tikken. Alleen loop je dan vaak tegen suffe wachtwoordeisen (1 hoofdletter, geen leesteken en 2 cijfers) aan die niet meer van deze tijd zijn...

[Reactie gewijzigd door Morrar op 23 juli 2024 07:25]

Kees BOFH

Netwerk en systeembeheer

@Morrar • 5 november 2013 12:54

Voor een site als adobe waar ik mij verplicht moet registreren eenmalig om iets te kunnen downlaoden gebruik ik ook 123456 als ww. Lekker makkelijk, hoef ik niet te onthouden en als iemand het dan hacked kan hij met dat ww ook iets downloaden. who. fucking. cares. Voor dit soort sites doe ik geen moeite en ga ik zeker niets onthouden of opslaan. Er staat helemaal niets in, het is een gratis account dat iedereen kan aanmaken en waar helemaal niets speciaals in staat.

Wat ik wel erg vind is dat er nu gewoon een file met 150 miljoen valide adressen op het internet staat, ik verwacht binnenkort weer veel meer 'adobe' spam...

Arjeantonio @Kees • 5 november 2013 13:26

De volgende keer bij een download registratie misschien een wegwerp emailadres gebruiken in plaats van je eigen email:
http://www.mailinator.com

scsirob @Arjeantonio • 5 november 2013 16:57

Zelf een domein registreren en aliassen gebruiken. Als ik bij blah.com een account moet aanmaken dan maak ik eerst een alias blah.com@je_eigen_domein.nl en doe mijn ding. Moch blah.com zich misdragen, spammen, gegevens lekken etc, dan weet ik dat direct en kan ik de alias wegknikkeren.

supersnathan94 @scsirob • 5 november 2013 22:59

oeh das een interessante, net zoiets als bij Gmail mogelijk is (met plusteken dacht ik, gebruik het zelf niet) alleen dan ook nog beheersbaar. Kan je ook gelijk desbetreffend bedrijf op de hoogte stellen van een mogelijk "lek".

Aionicus @Kees • 5 november 2013 17:54

Kijk !

Jij weet waar je het over hebt , al die sites die je verplichten om te registreren : super hatelijk! , adobe is 1 van de meest irritante in dat geval , weet nog dat ik is een "acrobat reader" nodig had. normalite doe ik alles open source maar omdat het om een pdf/A ging met daarbij een specifieke iso encoding en beveiliging was het noodzakelijk "even" acrobat te installeren. En dan krijg je weer zoon rot registratiescherm.

Voor dat soort sites altijd een 10minutemail of een ander "weggooi adres" wat niet geblokkeerd is op de site. Als je deze optiek aanhoud dan is 123456 ook bij lange na geen toevallige verschijning als populairste keuze qua ww.

Ik vind het persoonlijk erg leuk om altijd wat vloekends in de user/pass te zetten , just incase de DBA zijn ww's niet hashed. leest ie miss ooit is hoe ik over zijn registratieplicht denk ;p

Qua spam zal er inderdaad wel weer wat meer bijkomen , Al denk ik niet dat het specifiek adobe spam zal zijn , immers kan iedereen valide email's farmen door simpel weg de juiste query in google in te voeren en dan even de tijd aanpassen naar laaste maand of today etc.

InflatableMouse @]Byte[ • 5 november 2013 12:25

Ja. En zo sterk mogelijk, liefst 14 of 16 chars lang.

[Reactie gewijzigd door InflatableMouse op 23 juli 2024 07:25]

supersnathan94 @InflatableMouse • 5 november 2013 13:19

en dan zeker ook allemaal random tekens en shit.

Tsja. Wat trouwens ook wel leuk is om te weten is dat een Brut-force eigenlijk vrij makkelijk is te foppen door gewoon enkele herhalingen in je Pw te doen.

Hallo43xHallo2j9HalloKLM is bijvoorbeeld lastiger te kraken dan Hallo43x2j9KLM puur vanwege die tien extra characters. namen verwerken in PW's is vaak ook een optie om het te onthouden. er zijn maar weinig hackers die handmatig een PW gaan checken. wat Xtuv hieronder zegt is dus zo gek nog niet.

Jace / TBL @supersnathan94 • 5 november 2013 14:03

Hier ook zo. Voor iedere site/account een uniek password met 15-20 random letters, cijfers en leestekens.

En die onthoud ik natuurlijk niet, die staan encrypted in een soort Keepass achtig iets zodat ik alleen 1 hoofdpassword hoef te onthouden.

DeBierVampier @Jace / TBL • 5 november 2013 14:21

Waarmee je weer een single-point-of-failure introduceert.

Ik snap al die mensen met tientallen, bizar, nooit te onthouden, wachtwoorden niet. "Jah, al mijn wachtwoorden zijn 20+ compleet random characters lang. Onthouden? Nee daar heb ik natuurlijk een handig programmaatje voor." Dan kan je dus net zo goed 1 bizar moelijk te onthouden wachtwoord gebruiken voor al je online activiteiten.

DutchRam @DeBierVampier • 5 november 2013 14:45

Niet helemaal waar natuurlijk. Je creëert met 1 bizar moeilijk wachtwoord juist een hele hoop kansen om gekraakt te worden. Er hoeft immers maar 1 website je wachtwoord uit te laten lekken en al je sites zijn 'besmet'. Met een password manager weet je in ieder geval zeker waar het mis kan gaan en je gebruikt er dus enkel een die je vertrouwt met je data. En die je wachtwoord zelf niet opslaat.

psychodude @DutchRam • 5 november 2013 14:58

Maar ook daar kan het juist net zo gemakkelijk fout gaan. Indien je binnen een online omgeving je wachtwoorden opslaat, dan is het slechts wachten eer al je wachtwoorden op straat liggen.

Ga je er vanuit dat je geen persoonlijk target bent, maar enkel slachtoffer zal kunnen worden voor brute force aanvallen, dan kun je relatief gezien nog veiliger een structuur hanteren zoals bijv.:

tweakers!net=g3h31m3w8w00rd=net!tweakers
nu!nl=g3h31m3w8w00rd=nl!nu
blabla!com=g3h31m3w8w00rd=com!blabla

Qua bruteforcing zal het niet snel zijn eer deze wachtwoorden achterhaald zijn, je bent niet afhankelijk van een centrale opslag van je wachtwoorden en gezien er een zekere structuur in zit kun je voor jezelf vrij gemakkelijk je wachtwoorden onthouden.

Daarnaast qua wegwerp accounts zoals adobe is het overigens sowieso irrelevant hoe sterk je wachtwoord is. Je doet er nooit meer iets mee. Gewoon een junk mail en compleet zinloos wachtwoord opgeven als bijv. abcde, qwerty of 123456. Met eventueel wat extra junk erachter indien het aan bijv. 8 tot 12 karakters dient te voldoen, speciale karakters dient te hebben, etc.

ExoRRSmits @psychodude • 5 november 2013 15:13

Zo moeilijk is het niet.

Gewoon een belachelijke zin maken, die je zelf kan onthouden.
pak daar steeds de eerste letter van de woorden, begin met een hoofdletter en eindig met een uitroepteken.

bv. Mijn oma reed altijd door de van boshuizenstraat en stopte bij nummer 20.

= Moraddvbesbn20!

Zo maak je volgens mij een redelijk moeilijk en te onthouden wachtwoord. je hoeft alleen die belachelijke zin maar te onthouden en te tikken op je toetsenbord.

casparvl @ExoRRSmits • 5 november 2013 15:47

Als ik een algemene tip mag geven: hoofdletter niet aan het begin en getallen / speciale tekens niet aan het eind gebruiken, maar gewoon ergens op een random plek in het woord. Heb laatst een interview gelezen met 3 beveiligings-experts die een file met 14.000 gehashte wachtwoorden kregen. Met brute force hadden ze er binnen no time >12.000 achterhaald. De randomness van jouw letters zorgt dat het gelukkig moeilijk te brute-forcen is, maar wat die jongens in ieder geval doen als ze gaan brute-forcen is altijd eerste letter hoofdletter maken en laatste paar getallen / speciale tekens. Simpelweg omdat de meeste mensen dat ook doen...

jdh009 @ExoRRSmits • 5 november 2013 17:51

Kun je dan niet beter Mijnomareedaltijddoordevanboshuizenstraatenstoptebijnummer20 als wachtwoord gebruiken. Als je zo iets toch al moet onthouden waarom niet meteen gebruiken? Of natuurlijk een variant hierop. Maak het liefst nog wat leuke spellingfouten waardoor de woorden niet in het woordenboek staat en je bent helemaal veilig.

[Reactie gewijzigd door jdh009 op 23 juli 2024 07:25]

gekke-gerrit @jdh009 • 5 november 2013 23:47

ja dat moet je eens proberen bij outlook.com

Microsoft account passwords can contain up to 16 characters. If you've been using a password that has more than 16 characters, enter the first 16.

sowieso raar dat MS wel weet wat de eerste 16 tekens zijn. dit lijkt wel alsof het niet gehashed is

kimborntobewild @gekke-gerrit • 6 november 2013 01:04

16 Karakters max. bij Microsoft? D.w.z. dat dus alle wachtwoorden daar zijn te bruteforcen. Wachtwoorden tot 15 karakters zijn al te brutefiorcen met huis-tuin-en-keuken spul. Dus kan de NSA zeker alle 16 brute-forcen.

mxcreep @ExoRRSmits • 5 november 2013 15:55

Pas op, soms kom ik gewoon sites tegen waar ik dan ineens geen leestekens of zo mag gebruiken in een password

Aionicus @psychodude • 5 november 2013 17:42

de wachtwoorden die je hier geeft als "voorbeeld" zijn opzich allemaal redelijk makkelijk te achterhalen . het idee is zeer goed maar ivm A , het repeaten en B. te weinig " variatie" zorgen ervoor dat je dit redelijk snel kan kraken , afhankelijk natuurlijk van de encryption. Vroeger in het lm en ntlm stadium was het een questie van een table hebben en boom daar vloog je moeilijke 30 karacter ww in 2 minuten eruit.

wat een goede oplossing is tegen brute forcing is een "landelijk" karacter in je ww stoppen.

pak bv het euroteken of alt + 169 etc , dat zorgt ervoor dat je een symbool wat niet standaard actief staat of standaard gebruikt wordt in brute forcing. Plus minus teken / duitse B gebeuren etc) dat soort dingen worden een stuk moeilijker gekraakt , zelfs 1 karacter kan al meer effect hebben dan alle 3 de combinaties van je wachtwoorden samen achter elkaar als ww.

je merkt het ook met sql injectie etc. (zet is thuis een vm op met daarop een hacklab , zodat je beetje kan pielen met injectie en hacks op een "legale en safe" manier. je zal zien dat er bepaalde symbolen en truukjes zijn waardoor het ineens een stuk moeilijker word (zeer leuk om code te kloppen op die manier)

Eigenlijk zouden mensen zich meer druk moeten maken over wat er wordt afgetapt dan om een simpel wachtwoordje :

lees dit maar is over de verbindingen vanuit ons landje. :

http://koen.io/2013/08/wh...sers-should-be-concerned/

edit @ mxcreep : ja dat ken ik , dat heeft te maken hoe ze het opgebouwd hebben en welke taalset ze gekozen hebben , bij ons op werk kan je letterlijk echt alles invoeren , al hebben we zelfs nog 1 dos based systeempje waar wat logjes uitkomen waar je echt alleen maar A tot z als wachtwoord mag gebruiken tot een max van 8 karacters ^^. some things never change haha

[Reactie gewijzigd door Aionicus op 23 juli 2024 07:25]

Sando @DeBierVampier • 5 november 2013 14:48

Nee, want websites en diensten tonen keer op keer op keer aan dat je gegevens op straat komen te liggen. Dan kan je meteen 20+ sites snel aanpassen voordat iemand misbruik maakt van je account.

Als je 20+ verschillende wachtwoorden gebruikt, achter één masterwachtwoord, heb je het ten minste in eigen beheer. natuurlijk is dat niet ideaal. Maar Jan met de pet (of Jace met de pet) loopt een aanzienlijk lager risico om doelwit te worden van een hack waarbij alles op straat komt te liggen.

Bovendien zijn Jannen met de pet blijkbaar kwalitatief een stuk beter bezig dan grote bedrijven als Adobe, LastFM en LinkedIn waar wachtwoorden niet of te simpel worden gehashed.

Ik mis trouwens de link met informatie voor gebruikers? Wie moeten hun wachtwoord waar resetten voor welke services? Wie zijn er compromized? (Staan ze al op pwnedlist?)

mrdemc @Sando • 6 november 2013 10:05

Iedere gebruiker heeft een e-mail gehad en op de Adobe Blog staat er het één en ander over.

Sando @mrdemc • 6 november 2013 14:43

Thanks. Ik had geen email gehad en er staat geen linkje in het artikel, dus ik was even in lichte spreekwoordelijke paniek.

Jace / TBL @DeBierVampier • 5 november 2013 15:15

Dan kan je dus net zo goed 1 bizar moelijk te onthouden wachtwoord gebruiken voor al je online activiteiten.

De situatie uit dit bericht toont nou precies aan waarom dat niet het geval is.

Verwijderd @Jace / TBL • 5 november 2013 14:16

Tja, en als je Keepass database gehacked wordt...

Jace / TBL @Verwijderd • 5 november 2013 15:19

Tja, en als je Keepass database gehacked wordt...

Klopt, maar dat heb ik (in tegenstelling tot bij mijn adobe ID of m'n gmail adres of m'n klanten account bij HenkiesRandomOnveiligeWebshop.nl) zelf in de hand.

Om te beginnen staat het alleen lokaal op mijn PC, achter een router, dus een random hacker kan daar niet bij. Verder staat die database ook nog eens op een truecrypt partitie, scan ik altijd alles op virussen voordat ik iets execute, ben ik tamelijk paranoia wat betreft het installeren van random crap, en heb ik een fatsoenlijke firewall voor het geval er toch spyware op komt zodat die mijn data niet zomaar naar buiten kan sturen.

Dus ik zie het niet gebeuren.

mxcreep @Jace / TBL • 5 november 2013 15:53

De enige reden waarom het niet gebeurt is omdat je info niet interessant genoeg is...

Jace / TBL @mxcreep • 5 november 2013 16:22

De enige reden waarom het niet gebeurt is omdat je info niet interessant genoeg is...

Ja, dat zal inderdaad de enige reden zijn dat mijn passwords nog nooit gestolen zijn, en die van 150 miljoen Adobe gebruikers wel.

Aionicus @Jace / TBL • 5 november 2013 17:32

@jace/tbl , het zal eerder zijn dat jouw wachtwoorden ook gepikt zijn alleen dat ze er niets mee gedaan hebben.

In de afgelopen 20 jaar internet hebben ze minstens een paar van je wachtwoorden te pakken gehad , want wat nu algemeen bekend is als script kiddie hacks (sqli) en naar buiten gebracht wordt werd vroeger echt nooit gedaan.De sites vroeger waren wel 10x zo lek.

over je verhaal met router / random hacker die er niet bij kan , nou als een hacker je wilt hebben dan verzinnen ze wel een maniertje hoor. routers hielden ons in het verleden nooit tegen , nu *ondanks* dat ze beter zijn is het vaak ook nog niet zo heel moeilijk om te checken wat open staat op je router , wat voor model / info etc. het zal miss niet zo zijn dat ze 1-2-3 binnenkomen , maar met je downloadjes hebben ze je zo in een botnetje waar jij als "e-peen" specialist weinig van zal merken.

-True crypt , ondanks redelijk veilig , ze hoeven maar je key files te vinden of je ww 1x te loggen en dan is die beveiliging weg.

-alles met je mcafee / norton scannen helpt ook niet hoor , we gaan in 1 klik langs elke antivirus heen , hell een metasploit script kiddie kan dat nog zelfs , een 0/44 identified injectie pakketje maken waarbij er een remote shell word opgestart , of zelfs beter , 1 die automatisch in je firewall software een uitgaande verbinding " piped " die je al hebt openstaan. jij kijkt 1x via een browser naar iets en boom ik heb een shell zonder dat jouw firewall een melding geeft. of je nu kasperky , of eset etc gebruikt , je kan er alsnog langs.

Ik zou me als ik jou was toch even nog wat meer verdiepen in deze dingen aangezien je aangeeft dat je zo paranoia bent, immers zijn er zoveel manieren mogelijk om iemand goed te pakken te nemen. (de mooiste van een maat op de tu delft was dat hij een "shellcode" had waarmee hij een vpn verbinding opzette en al zijn "bots" in een vpn had zitten wat helemaal gemasked was zodat je niet eens kon zien in windows dat je verbonden was met die vpn.

een programma zoals lastpass/keepass etc is ook niet heel veilig btw. Ja je kan je wachtwoorden erin zetten en dan ben je veilig , er zijn al scripts waarmee je het wachtwoord gedeeltelijk kan decoden (volgens mij zijn er ook al manieren waar echte core hackers gewoon de hele db uit kunnen lezen)

Daarbij als je 1 moeilijk masterpassword hebt voor je lastpass en je krijgt een keylogger op je pc of iemand zit remote op je pc als je al langs je masterpass heenbent en boom jackpot . 10x meer wachtwoorden en de correcte url's erbij ook (heerlijk als het je zo makkelijk gemaakt wordt afentoe)

de enige echte manier om veilig te zijn zou een omgeving zijn waar je alleen maar de sites bezoekt die je gebruikt , je alles automatisch blokkeerd (java/policies etc alles) en dan ook nog is nooit maar ook nooit iets van een non whitelisted domain bezoekt. Beetje geluk (mits je je windows up2date houd) zou je dan relatief veilig kunnen zijn. Al zul je dan zien dat iemand via het toestel van je dochter binnenkomt op je wifi netwerk en tjah dan is het jackpot .

end of story : je overschat jezelf mbt je eigen veiligheid en je onderschat wat een echte hacker doet.... namelijk creatief denken en natuurlijk plannen. een hacker heeft alle tijd van de wereld. jij maakt je ww en gaat verder met je werk .

bwerg @Aionicus • 5 november 2013 18:09

Jammer alleen dat een simpele cracker helemaal geen moeite wil doen om aan die wachtwoorden te komen, beetje moeilijk omwegen zoeken om via via toegang tot een pc te krijgen en daarna keepass, terwijl ze een miljoen keer zoveel wachtwoorden binnenhengelen met één database.

kimborntobewild @Jace / TBL • 6 november 2013 00:52

scan ik altijd alles op virussen voordat ik iets execute

Dat lijkt me geen meerwaarde geven, aangezien je virusscanner sowieso altijd een uitvoerbaar bestand scant, zodra je hem opent.

Armin

Netwerk en systeembeheer

@supersnathan94 • 5 november 2013 18:24

Wat trouwens ook wel leuk is om te weten is dat een Brut-force eigenlijk vrij makkelijk is te foppen door gewoon enkele herhalingen in je Pw te doen.

Waar, maar de 'hackers' gebruiken dan ook geen brute force meer, maar patronen.

Natuurlijk doen ze nog wel een brute force op alle korte wachtwoorden (<6 tekens of zo) en een snelle woordenboek attack omdat - zoals ook nu weer blijkt - veel mensen toch weer 12345 of zo gebruiken.

Maar daarna is het meer een slimme woordenboek-brute force attack met patronen. Ofwel zeg maar brute force met niet zozeer losse tekens, maar andere bouwstenen als onderdelen. Hierbij maakt men gebruik van patronen die mensen veel gebruiken aangevuld met eventueel kennis over de database (bijvoorbeeld eissen die de website stelde).

Een sequence als

MijnMoeilijkeWoord123!MijnMoeilijkeWoord123!

is dan nauwelijks moeilijker te kraken dan

MijnMoeilijkeWoord123!

of zelfs

abc123!

Elk patroon dat jij kunt bedenken, kan de hacker ook bedenken. En erger heeft waarschijnlijk iemand anders al bedacht.

Natuurlijk is langer doorgaans altijd beter en is het niet zo dat het 0 bescherming geeft, maar mijn punt is dat de winst veel en veel kleiner is dan mensen denken. Hackers gebruiken al lang geen brute force (of rainbow of zo) meer, maar juist patronen. Patronen waarvan wij ze juist cynisch genoeg juist vaak maken om brute force om de tuin te leiden.

Amanoo @supersnathan94 • 5 november 2013 14:54

Ik gebruik ook waar mogelijk een mengsel van Latijns schrift, Grieks, Cyrillisch, hanzi, kana en hangul.

supersnathan94 @Amanoo • 5 november 2013 15:24

$_/-\o_$ dat je dat allemaal onthoud

Zit er wel over te denken om voor toepassingen op mn iPhone bv chinees te gebruiken aangezien ik dan de westerse vertaalslag kan gebruiken (woorden worden omgezet naar karakters.) Ik weet alleen niet of dat er dan nog steeds standaard ascii wordt gebruikt met een soort van "woordenboek aanduiding" dus dat het 1 op 1 kan worden teruggezet

mxcreep @Amanoo • 5 november 2013 15:58

Interessant, ik doe altijd alles in Klingon, ook mijn boodschappen lijstjes. Alhoewel ik de laatste jaren geen boodschappen meer hoef te doen van mijn vrouw aangezien ik nog wel eens vreemde zaken mee bracht

Kain_niaK @InflatableMouse • 6 november 2013 00:20

Veel te lastig te onthouden.

Gewoon om je heen kijken en je fantasie gebruiken om 4 of 5 willekeurige woorden achter elkaar plaatsten.
Geen hoofdletters of cijfers en geen spaties.

Als ik kijk wat er hier nu allemaal om mij heen ligt dan zou een password of better gezegd passphrase (wachtwoordzin) bijvoorbeeld worden:

"bekerkachelpompjepen"

Dat zijn 20 karakters en omdat het nederlandse woorden zijn ipv engelse woorden is de kans dat iemand dat bruteforce nog kleiner.

Het is misschien wel lang om in te typen maar je hebt geen shift nodig en hoeft ook niet op het keyboard te zoeken naar speciale tekens.

beker kachel pompje pen is ook vrij makkelijk te onthouden, zeker als je er een beeld in je hoofd bij verzint.

Maar wat nu als je allemaal van die vervelende websites hebt waar je meestal maar één keer op inlogt, of hoogstens een paar keer per jaar?

Dan voeg je een woordje toe dat relevant voor de website is. ws

Mijn passwoord voor de adobe website zou dan zijn:

bekerkachelpompjepenadobe
en mijn password voor tweakers
bekerkachelpompjepentweakers

Natuurlijk gebruik je voor je belangrijkste email en paypal password natuurlijk een unieke wachtwoordzin, en dan doe je 5 of 6 woorden ipv 4. Voor bankzaken is een 2 weg authenticatie systeem natuurlijk essentieel want hoe goed je wachtwoord ook is, een keylogger kan het te pakken krijgen ... of iemand snift je verkeer ... er zijn honderden manieren waarom ze je password te pakken kunnen krijgen zonder een hash te moeten kraken.

Het leuke aan lange wachtwoordzinnen in dat de entropie zoveel hoger ligt dan de standaard wachtwoorden zoals "tw3e@kers" EN ze zijn een stuk makkelijker te onthouden omdat associaties maken met woorden nu eenmaal makkelijker is.

En als je een standaard lang wachtwoord hebt zoals "bekerkachelpompje" en je voegt er een word aan toe dat relevant is voor de site waar je voor gebruikt .... dan zullen alle hashes van deze wachtwoorden verschillend zijn. Dus zelfs als de wachtwoorden niet gesalt opgeslagen worden dan zouden ze nog maar één wachtwoord hebben. Uiteraard heeft een hacker natuurlijk wel door dat je het woordje adobe achter een lang wachtwoord heb geplaats ... maar in deze grote database leaks gaat het om de informatie en patronen van de massa. De hackers hebben die database niet gekraakt omdat ze naar één persoon op zoek waren.

En voor de rest kent elke Tweaker natuurlijk die cartoon van XKCD

Goede passworden die makkelijk te onthouden zijn en redelijk snel kunnen worden ingetypt ... het hoeft niet moeilijk te zijn.

Daarom voor wat gigantisch fout kan gaan als iemand het kraakt .... twee weg identificatie zoals met de random reader bij je bank. Dat kan ook fout gaan maar is technische wel gigantisch moeilijk. Tenzij je natuurlijk oma's van 69 gaat opbellen en ze gewoon vraagt om even op de bank in te loggen en de je de output van de reader te geven . Daar is helaas niks tegen te doen.

Maar onthou één ding goed .... als de beheerders van de hash van je wachtwoord er slecht mee omgaan of het niet goed genoeg hebben versleutelt dan is het nog altijd een waardeloos wachtwoord. Zoals in dit geval. Drie keer DES met dezelfde sleutel voor miljoenen passwoord is gewoon wanbeleid. Wat als jij een goed sterk passwoord had gebruikt dat je ook voor je bankwebsite gebruikt en de hacker steelt nu geld? Adobe zou dan gewoon aangeklaagd moeten worden. Dat is het probleem, er is geen standaard waar aan voldoen moet worden. Als je zonder gordel rijd word je gestraft met een boete, en als je aan het bellen bent ook. Maar eender welke website in de wereld kan miljoenen gevoelige gegevens lekken en er word niemand gestraft. Sterker nog, de overheden van een heleboel landen hebben er nog geld voor over zodat ze lekker kunnen meeluisteren met hun burgers en elke stap online kunnen volgen.

[Reactie gewijzigd door Kain_niaK op 23 juli 2024 07:25]

InflatableMouse @Kain_niaK • 6 november 2013 08:46

Zoveel woorden om simpelweg te zeggen dat je geen sterke wachtwoorden moet gebruiken? Goed advies man! Jij snapt het.

Lastpass (of iets vergelijkbaars). Een wachtwoord en alles wordt automatisch ingevuld inclusief je telefoon.

En dat gezeur dat dat ook gekraakt kan worden is natuurlijk waar, maar tegelijkertijd ook meteen onzin. De moeite om dat te kraken is veels te hoog en loont totaal niet. Alle wachtwoorden van 1 persoon (waarvan 99% forum passwords zijn zonder belangrijke gegevens) valt in het niets bij de waarde van duizenden of in dit geval, meer dan een miljoen personen.

Daarbij komt dat Lastpass met 2 factor authenticatie geconfigureerd kan worden wat de kans minimaal maakt dat het gehackt kan worden.

Geloof me, geen enkele hacker gaat jouw persoonlijke wachtwoorden database hacken, tenzij ze overtuigd zijn dat ze er een wachtwoord uit kunnen halen waarmee informatie te halen valt wat heel veel geld waard is. Zelfs als jij je creditcard er in zou hebben staan denk ik dat de kosten om het hacken (ie, de tijd) niet loont ten opzichte van de opbrengsten. Mijn cc heeft bijvoorbeeld een bestedingslimiet van 2500 euro, denk je dat ze daar uren of dagen voor gaan zitten, met alle gevolgen van dien? Ik dacht het niet ....

Ik weet dus eigenlijk vrij zeker dat het risico van lastpass vele malen kleiner is dan die slappe wachtwoorden van jou.

Want wat is het nadeel van jouw systeem, is dat je waarschijnlijk ook overal het zelfde email adres gebruikt en mischien zelfs wel dezelfde alias/profielnaam. En als je dan 10 verschillende wachtwoorden hebt van objecten om je heen, hoe makkelijk wordt het dan om dat te gaan "raden"? Bepaalde objecten zijn namelijk aannemelijker dat ze op je bureau liggen dan andere, dus dat beperkt al meteen de mogelijkheden.

Ik maak voor elk account een nieuw email adres aan en vaak ook andere profielnaam.

Niets is waterdicht maar het gaat om de moeite die er voor gedaan moet worden. Als ik slordig met m'n lastpass om zou gaan (op elke browser overal waar ik kom die addon installeren en mn wachtwoord invullen bijvoorbeeld) dat is ook niet slim. Of je wachtwoord laten onthouden, of je mobiel niet locken met lastpass open. Als je relatief veilig wilt zijn, moet je er ook secure mee omgaan.

Trommelrem @InflatableMouse • 5 november 2013 13:23

Voor derde partijen sites gebruik ik juist simpele wachtwoorden, omdat ik het wachtwoordbeheer daarvan niet in de hand heb. Mocht iemand dan mijn wachtwoordenalgoritme voor externe partijen kunnen bepalen, dan kan diegene daarmee dat algoritme in ieder geval niet gebruiken voor interne diensten.

Stel dat je namelijk voor al die derde partijen dezelfde complexiteit gebruikt, dan kunnen ze aan de hand daarvan het bruteforceproces voor je interne diensten enorm versnellen door bijvoorbeeld alle woordenboekwoorden weg te laten.

[Reactie gewijzigd door Trommelrem op 23 juli 2024 07:25]

Armin

Netwerk en systeembeheer

@Trommelrem • 5 november 2013 18:39

Drie opmerkingen:

1) Juist als het een random 3e party iets is, is het wellicht gewoon handig om een random tekenreeks te genereren en deze te gebruiken. Die opslaan in een password manager of desnoods papieren boekje.

Let wel, random als zijnde genenereerd door de computer. Niet jij of ik die denken dat we iets randoms maken

Immers er zijn dan geen patronen, en geen duplicaten. En als je het toch zelden gebruikt maakt het ook niet uit als je het niet snel kunt onthouden.

2) Ik zou niet zozeer onderscheid maken tussen 3e partijen en andere, maar meer wat de waarde van de informatie is die erachter zit. Als het enkel een email is, valt het bijvoorbeeld wel mee.

Als het een bankrekening etc is die je moet opslaan zou ik wel iets zwaars gebruiken. Of wellicht - zoals ik altijd doe - mijn bankrekening er niet in zetten, maar iets er tussen zetten wat ik wel vetrouw:. iDeal, CreditCard, PayPal, Amazon, etc.

3) In dit geval overigens bevestigd dit mijn - en ik ben eeerlijk - grote vooroordelen tegen Adobe. Een bedrijf wat verantwoordelijk is voor ruwweg 2/3 van gebruikte alle malware lekken in de Win32 wereld, zat bij mij niet hoog. Het niet hashen en 1 enkele sleutel gebruiken, doet mij - al dan niet terrecht - mijn vooroordeel weer volledig bevestigen.

Mijn punt: Enerzijds gevaarlijk, want de andere kant op moet het niet zo zijn dat ik blind een ander bedrijf ga vertrouwen, maar wat ik wel kan aanraden is om bedrijven die op gebied X laks zijn met security, dat waarschijnlijk op andere gebieden ook zijn.

Om die reden staan bedrijven als Sun, Ziggo en KPN ook op mijn lijst van onbetrouwbare bedrijven. Eventuele wachtwoorden daar zou ik uniek maken en geen enkele relatie met enig ander achtwoord laten hebben.

3raser @]Byte[ • 5 november 2013 12:31

Het is lastig te onthouden al die wachtwoorden. Zeker omdat ze minimaal 12 karakters lang moeten zijn willen ze een beetje weerstand kunnen bieden tegen brute-force. Gebruik anders een wachtwoord manager. Het is even wennen in het gebruik, en je hebt niet overal je wachtwoorden bij de hand, maar je kunt dan wel bij iedere dienst een ander wachtwoord gebruiken. Bovendien kun je met een gerust hart een wachtwoord van 64 random karakters invoeren omdat je hem toch niet hoeft te onthouden.

wildewouter @3raser • 5 november 2013 12:34

Password managers kun je ook op je telefoon installeren. Ik heb een key database op dropbox die ik in sync hou en waar ik dus overal bij kan

veltnet @wildewouter • 5 november 2013 15:52

Dropbox lijkt me niet zo'n goede plek. Ze zijn al meerdere malen gehacked omdat ze geen zout en peper gebruikten. Het is dus een onveilig single point of failure.

wildewouter @veltnet • 5 november 2013 17:16

Gelukkig is mijn password database versleuteld en weet alleen ik het wachtwoord. Dus wanneer Dropbox gehackt wordt hebben ze nog steeds alleen maar een bestand waar ze niet zoveel aan hebben.

Xtuv @3raser • 5 november 2013 12:42

Tips:

Verwerk de naam van de site in je standaardwachtwoord. Bijvoorbeeld: m03ilijkw4chtw00rd-tweakers
Niet supersafe (want als iemand 1 wachtwoord heeft, is de rest te raden...), maar je hoeft in principe maar één wachtwoord te onthouden. Maar al beter dan één wachtwoord voor alles.

Hetzelfde kun je doen met de kleur van een logo, dat maakt het al iets minder doorzichtig. Of door het de eerste drie letters van een site te verwerken in het midden van je wachtwoord...

InflatableMouse @3raser • 6 november 2013 08:46

Het is lastig te onthouden al die wachtwoorden.

Zie ook mijn reactie aan Kain_niaK hierboven.

ATS @]Byte[ • 5 november 2013 13:27

Ja. Random gegenereerd. En die beheer ik met een password manager.

mxcreep @ATS • 5 november 2013 16:00

Hopelijk copy / paste je ze dan wel anders worden ze weer onderschept door die keylogger...

dvz89

@mxcreep • 5 november 2013 16:33

Copy paste is ook geen oplossing want die kan ook afgekeken worden. KeePass gebruikt een combi van beide waardoor je dus beide moet afluisteren en samenvoegen om je wachtwoord te achterhalen.

Maar het blijft een onveilige oplossing. Een matig geraffineerde logger kan dit volgens mij makkelijk aan. Het probleem is dat het ook nooit veilig kán worden op de manier waarop copy/paste werkt, tenzij je gebruik maakt van een native plugin en het probleem omzeilt.

Toch zie ik veel reacties van mensen die een virtueel toetsenbord gebruiken om hun wachtwoord op in te voeren, is dat dan wel veilig? Zo ja, dan kan je toch een virtueel virtueel toetsenbord programmeren die gebruik maakt van dezelfde API?

Daikirai @]Byte[ • 5 november 2013 14:07

Probeer eens PasswordBox, dit is een Chrome plugin en gebruik dit sinds kort (o.a. door dit soort nieuwsberichten). Het genereerd (velige) wachtwoorden voor je en logt je automatisch in wanneer je een website bezoekt. Alleen ervoor zorgen dat je een goed masterpassword hebt!

[Reactie gewijzigd door Daikirai op 23 juli 2024 07:25]

wildewouter @ATS • 5 november 2013 12:33

Ja natuurlijk. 64 karakters volledig willekeurig gegenereerd.

F.West98

@ATS • 5 november 2013 14:09

Ik heb een simpel wachtwoorden bij onbelangrijke dingen. Zoals Adobe, waar je moet registreren voor een trial, forum waar je moet registreren voor bijlages, enz.

Smen @F.West98 • 5 november 2013 12:22

Het is wel grappig dat de meeste mensen dezelfde wachtwoordcombinaties gebruiken. Zeker als de gebruikersnaam het e-mailadres is. Maar toch snap ik jouw reactie zeer goed.

Uit de mail van Adobe bleek destijds al dat geadviseerd werd om alle wachtwoorden aan te passen:

We recommend that you also change your password on any website where you use the same user ID or password.

Alleen stond daarboven:
The attackers may have obtained access to your Adobe ID and encrypted password.

En hoewel dat niet gelogen was, maakt de nuance in dit nieuwsbericht het wel extra noodzakelijk om daadwerkelijk die wijzigingen door te voeren. Immers, een mogelijk gehackt account en encrypted password is wel wat anders dan compromized account en decryptable password.

[Reactie gewijzigd door Smen op 23 juli 2024 07:25]

? ? @F.West98 • 5 november 2013 12:58

aha recent kreeg ik op adobe@mijndomein een spam mail. (ik gebruik voor elke dienst een ander adres, en nog nooit van 'adobe' spam gekregen.
Gasten zijn er vlug bij om mailadressen te verpatsen!

Yoshi @F.West98 • 5 november 2013 13:12

volgens mij werd dat sowieso verandert bij je eerste inlog... Dus misschien heb je je accounts niet nodig en kan je ze gewoon verwijderen? Je kon er simpelweg niet omheen... Ik heb alleszins die boodschap gekregen, en ik kon niet verder voor ik dat veranderd had... Maar dat is niet het enige... Mijn kredietkaart werd geblokkeerd wegens " hacking van de database van Adobe" en ik kreeg netjes een nieuwe van de firma... Al bij al de beste oplossingen die ik de laatste jaren heb gezien wegens een hack van een database.. Maar blijkbaar ook niet zonder reden, wat een faliekante fout (hashing)l

[Reactie gewijzigd door Yoshi op 23 juli 2024 07:25]

Katsunami @F.West98 • 5 november 2013 18:08

Tja. Ik heb hier al tijden lang Keepass geïnstalleerd staan, juist voor dit soort zaken. Elke website heeft bij mij een ander wachtwoord van een teken of 20. De belangrijkste websites hebben zelfs verschillende usernames, of een eigen e-mailadres (wat een alias is naar mijn privéadres).

Keepass onthoudt dat allemaal lekker in een database die is versleuteld, waar ook nog een wachtwoord bij hoort en een key-file. De kans dat je én de database én de keyfile én het master-wachtwoord (wat nergens is opgeslagen behalve in mijn hoofd) te pakken krijgt is danig klein.

Kort gezegd: zelfs als mijn Adobe-account is gehackt, dan is dat de enige van alle accounts.

De enige waar ik me druk om zou maken als die gehackt wordt, is PayPal. Ik laat zoveel mogelijk betalingen via PayPal lopen, zodat ik niet overal apart een creditcard aan hoef te hangen, en ik denk erover om de PayPal-creditcard te vervangen door een prepaid-kaart.

Ergomane 5 november 2013 12:18

Er is ook nog eens ECB gebruikt, waardoor (gezien de TripleDES block size van 64 bits) alle identieke blokken van 8 karakters dezelfde ciphertekst hebben.

Erycius 5 november 2013 12:20

Relevant: deze xkcd comic: http://xkcd.com/1286/

Gamebuster 5 november 2013 12:38

http://imgs.xkcd.com/comics/encryptic.png

edit: Ah, iemanden waren me voor.

edit2: "Daarnaast werd broncode van onder meer Photoshop en Acrobat gestolen."
zomfg

wanneer komt openshop uit?

edit3:
De volledige dump users.tar.gz (3.8GB): http://t.co/0sZc6z0aIw

[Reactie gewijzigd door Gamebuster op 23 juli 2024 07:25]

bredend @Gamebuster • 5 november 2013 15:47

Is de masterkey ook al bekend?

Gamebuster @bredend • 5 november 2013 15:48

Zover ik weet niet, maar ik zou 'm graag willen weten

Als iemand iets weet: Let me know pl0x

Don't worry: Ik heb er geen kwade intenties mee. Ik zit eraan te denken XKCD's idee uit te werken en een wachtwoorden-kruiswoord-puzzel te maken.

[Reactie gewijzigd door Gamebuster op 23 juli 2024 07:25]

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (119)

Sorteer op:

Weergave: