Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Tweeduizend e-mailadressen en wachtwoorden Ziggoklanten buitgemaakt - update

Een botnet dat de afgelopen maanden miljoenen e-mailadressen en wachtwoorden van Duitsers stal, heeft ook combinaties van Nederlanders buitgemaakt. Het gaat daarbij zeker om klanten van Ziggo en mogelijk om klanten van andere Nederlandse providers.

Ziggo waarschuwt klanten die getroffen zijn in een brief dat hackers toegang hebben gehad tot hun mailaccounts. Woordvoerder Gradus Vos zegt zondagavond dat het om circa tweeduizend e-mailadressen en hoogstwaarschijnlijk ook om de wachtwoorden van abonnees gaat. Die gegevens zijn voor zover bekend verouderd, maar nog wel te gebruiken als ze de afgelopen tijd niet zijn bijgewerkt.

Hoe criminelen de gegevens van Ziggoklanten via het botnet precies buitmaakten, weet Vos niet. Hackers hebben in ieder geval niet direct via de servers en databases toegang tot de accounts gekregen. Ziggo adviseert klanten om hun wachtwoorden te wijzigen. Daarvoor moet eerst worden ingelogd op het klantenbeheerpaneel Mijn Ziggo, wat iemand met alleen het mailadres en het wachtwoord niet zomaar kan doen.

De diefstal van gegevens van Ziggoklanten heeft betrekking op een botnet dat naar schatting 18 miljoen combinaties van e-mailadressen en wachtwoorden heeft buitgemaakt, voornamelijk in Duitsland. Dat gebeurde nadat in januari ook al 16 miljoen combinaties werden gestolen. Het Duitse Bundesamt für Sicherheit in der Informationstechnik stelde vast dat bij die diefstal ook Nederlandse accounts waren betrokken en bracht het Nationaal Cyber Security Centrum op de hoogte. Dat waarschuwde Ziggo vervolgens. Volgens Vos gebeurde dit dinsdag.

Vanwege de grootschaligheid van de hack is het aannemelijk dat ook de e-mailadressen en wachtwoorden van klanten van andere Nederlandse providers zijn buitgemaakt. UPC kan geen commentaar geven en KPN zegt er tot dusver niets over te weten, maar het intern uit te zoeken. Het Nationaal Cyber Security Centrum laat daarnaast desgevraagd weten maandag of na Pasen met meer informatie te komen.

Update, 21.30 uur - Reactie Nationaal Cyber Security Centrum toegevoegd.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Yoeri Nijs

Nieuwsposter

Feedback • 20-04-2014 20:57160

20-04-2014 • 20:57

160 Linkedin

Lees meer

Europa: overname Ziggo door UPC mogelijk slecht voor concurrentie - update Nieuws van 8 mei 2014
Botnet maakte 50.000 Nederlandse e-mailadressen en wachtwoorden buit - update Nieuws van 21 april 2014
Opnieuw e-mailadressen en wachtwoorden miljoenen Duitsers gestolen Nieuws van 3 april 2014
'Ziggo verhoogt snelheden per 1 mei voor alle abonnees' - update Nieuws van 31 maart 2014
Ziggo wil Netflix laten betalen voor 'gegarandeerde netwerktoegang' Nieuws van 8 maart 2014
'Botnet steelt e-mailadressen en wachtwoorden van 16 miljoen Duitsers' Nieuws van 21 januari 2014
Meer producten en artikelen
Internettoegang Netwerk en systeembeheer

Reacties (160)

-Moderatie-faq
-11600150+1111+29+30Ongemodereerd22
Wijzig sortering
+2Benno de Bruin
21 april 2014 02:42
Mijn grootste probleem is de enorme lijst accounts die ik moet bij- en vooral ook onthouden. Het gaat over honderden accounts, waarvan de bulk voor mijn werk is. In het verleden had ik daar een simpel systeem in, voorbeeld:

Tweakers: 1broodjeaap-tw!
HardwareInfo: 1broodjeaap-hw!

Niet bepaald sterk, en als je er eentje hebt is de rest snel geraden. Ik besloot het beter aan te pakken:

Tweakers: !!!Twk|2006|Banaan&Trekdrop|2007|Twk!!!
HardwareInfo: !!!Hwi|2008|Banaan&Honing|2009|Hwi!!!

Dat ging een tijd aardig, voor elke beginletter van een domein wist ik na een tijdje snel een woord als trekdrop of honing, iets wat ik met zoet of snoep associeer. Banaan was in dit geval de categorie techsite. Ik veranderde periodiek de jaartallen voor alle wachtwoorden, dat gaf me een gevoel van relatieve veiligheid. Grootste probleem was dat niet alle sites alle tekens en lengtes accepteren dus slopen er steeds meer uitzonderingen in en werd het uiteindelijk niet meer te overzien, of te onthouden vooral.

Ik sla nu alles op in een wachtwoordbeveiligd geencrypt document, ik heb er geen oplossing meer voor, wachtwoorden zijn niet meer van deze tijd en het periodiek veranderen kost me een paar uur per kwartaal :-(

Hier nog wel een handige pw-generator
+1FreshMaker
@Benno de Bruin21 april 2014 07:05
Keepass en Lastpass
Een database die de boel voor je beveiligd en aanmaakt.
eventueel in een truecrypt container opslaan.

Ik heb het in keepass staan, icm mijn dropbox.
Op belangrijke device's synchroniseert hij alle veranderingen, op mijn werkplek gebruik ik de portable versie, en download ik de database als er veel aanpassingen zijn geweest.

( gelukkig ziet onze ICT in dat het een "verklaarbare" download is, en kan ik ermee werken )
0Benno de Bruin
@FreshMaker21 april 2014 12:04
Ik heb dergelijke toepassingen overwogen maar paranoïde als ik ben vertrouw ik dat toch niet echt. Ik ben niet zo thuis in Mono maar voor hetzelfde geld worden er backdoors door de c# compiler ingebakken, zoals door Ken Thompson destijds. Veel onveiliger dan mijn huidige oplossing kan het niet zijn, ik ga er toch eens mee spelen, dank voor de tip.
+1FreshMaker
@Benno de Bruin21 april 2014 13:03
Paranoide en internet gaan niet samen, dus je moet gewoon keuze's maken ;)

De beste keuze is selectief kijken WAT je op internet wilt vrijgeven.
Ik deel mijn gegevens met iedereen, die ze nodig heeft.
Maar wel NA mijn goedkeuring.

Mijn eigennaam in de zoeksite's komt minimaal voor, en de geoefende 'zoeker' zal uiteindelijk mijn profiel wel kunnen samenstellen.
Het is gewoon inherent aan het gebruik van het netwerk, dat er mondjesmaat gegevens opduiken.
+1analogworm
@Benno de Bruin21 april 2014 13:16
Je kan evt nog je database op een encrypted volume bewaren. Dan heb je een soort 'two-factor authentication'.

Het enige is dat je voor de handigheid waarschijnlijk je database óók op onedrive/dropbox wilt hebben. Maar daar heb je dan weer weinig aan een encrypted volume wil je er ook nog toegang toe hebben via je telefoon.
0Benno de Bruin
@analogworm21 april 2014 14:04
Ja dat is direct het nadeel van een lokale db. Als 'noodoplossing' zou ik die lokale db op mijn laptop kunnen draaien, die heb ik voor mijn werk ieg altijd bij me. Dat ik er privé met mijn smartphones of tablets niet bij kan valt mee te leven, is veel minder belangrijk.
Paranoide en internet gaan niet samen, dus je moet gewoon keuze's maken ;)
@FreshMaker: Ja dat vind ik ook, mijn paranoia weegt uiteindelijk dan ook meestal niet op tegen praktisch nut ;)
0analogworm
@Benno de Bruin21 april 2014 15:15
Zoals ik het zie, en ja dan leg ik vertrouwen in de provider, is dat het je via een cloudopslagdienst mét 2 factor authentication al wel een flinke bariere oplegt.
Dan moeten ze dus eerst langs de 2 factor authentication komen van de provider en dan nog eens je database met uberduberlang wachtwoord kraken (wat als het goed is vrij lang zal duren en je evt ook nog met key file zou kunnen beschermen).

Ofwel, de desbetreffende hacker moet jou specifiek in het vizier hebben wil het lukken en dan nog kost het vrij veel moeite. Die kans acht ik vrij klein.

dit is onder de aanname dat de clouddienst provider niet ook gelijk de email provider is waar alle password resets naartoe worden gestuurd. want dan hoeven ze niet eens wat met je database :P

[Reactie gewijzigd door analogworm op 21 april 2014 15:17]

+1Exorcist
20 april 2014 21:19
Ziggo zou voor bijv. de webmail een e-mail kunnen sturen naar een ander, door jou op te geven, e-mailadres moeten sturen wanneer er ingelogd wordt met jouw credentials vanaf een ander IP dan bijv. thuis. Eigenlijk zoals Gmail en Facebook dat doen.
+2kodak
@Exorcist20 april 2014 23:09
Jij wil dus dat alle honderdduizenden Ziggo klanten verplicht zijn om ergens anders ook maar een mailadres te hebben EN dat Ziggo dat adres moet weten?

Wat mij betreft is het uitstekend dat Ziggo dat beleid niet heeft en keurig per brief haar klanten in vertrouwen informeert. Al is het alleen maar omdat het niet ondenkbaar is dat diezelfde klanten ook op dat andere mailaccount hetzelfde wachtwoord gebruiken en dat ook al in handen is van de crimineel. Met andere woorden: Ziggo gaat er verstandig van uit dat het veiliger is om een brief te sturen dan een mail naar een adres dat mogelijk niet te vertrouwen is.

[Reactie gewijzigd door kodak op 20 april 2014 23:30]

0stresstak
@kodak21 april 2014 11:25
Jij wil dus dat alle honderdduizenden Ziggo klanten verplicht zijn om ergens anders ook maar een mailadres te hebben EN dat Ziggo dat adres moet weten?
Gelukkig is het allemaal opgelost als Ziggo straks van UPC is en iedereen weer met een schone lei en verse griffel begint.

Nu de dubbele schoolbanken nog vervangen en de inktpotjes reinigen.
+1FaceDown
20 april 2014 22:26
Mooi die reactie in die brief. Ze hebben geen idee hoe de wachtwoorden zijn buitgemaakt maar ze weten wel opeens ZEKER dat het niet aan de Ziggo-servers ligt. Wat klopt hier niet?
+2kodak
@FaceDown20 april 2014 23:17
De BSI heeft niet al te vaak gegevens van botnets als ik het nieuws op hun site mag geloven. Dan is dit waarschijnlijk de bron.

En waarom Ziggo het zeker denkt te weten; de BSi geeft aan dat de informatie uit verschillende bronnen komt, waaronder de pc/laptop/handheld van Internettend volk. Maar belangrijker: zo te lezen hebben behoorlijk wat Ziggo klanten geen brief gehad en lijkt het er sterk op dat niet alle klanten slachtoffer zijn. Als ik crimineel bezig zou zijn dan haal ik de hele database leeg en ga ik niet een klein deel daarvan misbruiken.
+1Tr4il
20 april 2014 21:00
Lekker dan!
Weer een les dat regelmatig je wachtwoorden veranderen wel degelijk zin heeft.
+1Luno
@Tr4il20 april 2014 21:48
Dat zou niet nodig moeten zijn.

Aangenomen dat tijdens de sessie het wacht al versleuteld is en je provider het wachtwoord versleuteld op een goede manier gehashed opslaat. Is er weinig reden om je wachtwoord te veranderen.
Want de botminer heeft dan niets aan de info.
Zou die informatie wel voldoende zijn (bv. rainbowtable) dan heeft om de 3 maanden geen zin, om de dag ook niet, want dan is het systeem lek. En dan is 1 microseconden al genoeg.
Wat ik nog wel zinnig vind is gebruik voor elke zite een ander wachtwoord (in elk geval maar een onderscheid tussen site van belang (bank, winkels) en trivia (bv. forums).

Maar vaak wijzigen is alleen symptoom bestrijding. Bij goede opslag is dat overbodig en onnodig. Geeft een schijn veiligheid. Als een site zo lek is dat je het moet veranderen, ga daar weg,
+1kodak
@Luno20 april 2014 23:24
Grapjurk. Wel eens gehoord van keyloggers? Veel gebruikersnamen/wachtwoorden die criminelen onderscheppen komt rechtstreeks van de client af. Waar denk je dat die botnets meestal uitgezet zijn? Bij nietsvermoedende gebruikers. En die gebruikers doen nog regelmatig aan het hergebruik van hun gebruikersnaam en wachtwoord over veel verschillende diensten.

Vaak wijzigen is geen symptoombestrijding. Het is onderdeel van een reeks aan maatregelen die je maar beter kunt treffen om zo min mogelijk risico te lopen.
+1ekimpadd
@kodak21 april 2014 00:30
Volgens mij ben jij de grapjurk, want als er een keylogger op jouw pc staat heeft een password veranderen ook weinig zin....

De "experts" geven altijd het advies om regelmatig je wachtwoord te wijzigen, maar ze praten nooit over het menselijk brein. Het is namelijk een feit dat het onthouden van een "veilig" wachtwoord - voldoende leestekens, symbolen, nummers etc - lastig is. Op deze manier krijg je de kladblokjes en post-its met wachtwoord, wat weer een hele andere vorm van onveiligheid met zich mee brengt.
+2Benno de Bruin
@ekimpadd21 april 2014 01:45
Een veilig wachtwoord bestaat niet uit allerlei symbolen en nummers, dat is inderdaad slechts een lastig te onthouden wachtwoord, alleen voldoende leestekens helpt: http://xkcd.com/936/
+1hieper
@Benno de Bruin21 april 2014 09:16
Helaas zijn de woordenboek-krakers inmiddels ook achter het xkcd.com trucje.

Bruce Schneier: "This is why the oft-cited XKCD scheme for generating passwords -- string together individual words like "correcthorsebatterystaple" -- is no longer good advice. The password crackers are on to this trick." (bron: schneier.com, 3-3-2014)

Voor advies over een 'veilig' wachtwoord zie Bruce Scneier, schneier.com, 3-3-2014.
+2Laurent
@hieper21 april 2014 10:38
Nu ben je gewoon iemand aan het napraten, zonder te weten hoe de vork in de steel zit. De betreffende blogpost heeft het namelijk niet bij het juiste eind. Door de hoge entropie van een dergelijk wachtwoord is het juist, ook met kennis van de structuur van het wachtwoord, erg moeilijk het wachtwoord te raden. Je kiest je woorden natuurlijk totaal random (dat wil zeggen: je laat ze random kiezen). :)
+1supersnathan94
@Laurent21 april 2014 10:58
Klopt, maar omdat je deze woorden nu als losse posities kan zien (als je dus al weet at het woorden zijn !!) betekent dit dat je in het voorbeeld "banaanpaardironvolkswagen" best een sterkwachtwoord hebt, maar voor een algoritme wat random wat woorden door elkaar schud zijn het nog maar 4 posities hebt en dus in feite een wachtwoord met 4 tekens.

Voor dit soort algoritmes is het dus zaak te zorgen dat je geen standaardwoorden pakt, maar ze zelf iets aanpast. Maak van alle A's bijvoorbeeld een 4 (vanuit de leetspeak dus nog redelijk voorspelbaar) of een ander cijfer. Een c door een ¢, S door $. Dat soort dingen. Als je dat consequent doet dan kan je het ook makkelijk onthouden.

Ook is het gebruik van verschillende talen natuurlijk een pluspuntje. Als meneer Hacker geen swahili in zijn algoritme heeft gebruikt komt hij er natuurlijk nooit met een dergelijk algoritme en gaat het toch brute force worden per karakter.
+2Laurent
@supersnathan9421 april 2014 11:15
De entropie van een dergelijk wachtwoord houdt juist rekening met het feit dat de structuur bekend is (de structuur verandert niet - dus de entropie hierin is 0). De truc is nu juist dat je veel meer mogelijkheden hebt per positie en daar komt nu juist je hoge entropie van. Dus inderdaad - als je het ziet als een wachtwoord met vier tekens, zijn het vier tekens uit een grote universe. :)

Het veranderen van die letters van woorden is leuk en aardig, maar bij vijf woorden ben je zelfs zonder aanpassingen een jaar of 10 aan het rekenen voor het raden van je wachtwoord. Lees even bij over entropie, zou ik zeggen :)

[Reactie gewijzigd door Laurent op 21 april 2014 11:16]

+1Rivanni
@supersnathan9421 april 2014 11:27
is het dus zaak te zorgen dat je geen standaardwoorden pakt, maar ze zelf iets aanpast. Maak van alle A's bijvoorbeeld een 4 (vanuit de leetspeak dus nog redelijk voorspelbaar) of een ander cijfer. Een c door een ¢, S door $. Dat soort dingen. Als je dat consequent doet dan kan je het ook makkelijk onthouden.
Al die character replacements zijn ook al bekend bij de wachtwoord-krakers dus dat biedt geen extra veiligheid.
+1hieper
@Laurent21 april 2014 13:34
Wat een gezellige aanname zeg!
Ik baseer me gewoon op de praktijk:
1) De meeste websites zijn restrictief in wachtwoordlengte (lees: < 20 characters).
2) De impliciete boodschap van xkcd, "totaal random", komt niet over.

Ergo, de praktische entropie is een grove factor lager dan de theoretische waarde.

[Reactie gewijzigd door hieper op 21 april 2014 13:36]

+1Laurent
@hieper21 april 2014 13:55
In je eerdere post gaf je juist aan dat de wachtwoorden volgens dit schema niet meer voldoende zouden zijn, omdat er weet was van dit schema bij de hackers. Het gaat mij om dat argument.

Over random is XKCD wat mij betreft niet ambigu - "four random common words", random dus. Het moge ook duidelijk zijn, vooral n.a.v. de achtergrond van de maker van de strip, dat de auteur echt random bedoelt. :)

Wat betreft de wachtwoordlengte: ik gebruik het nu al eventjes en het is op verrassend veel plaatsen wel toepasbaar. Gebruik het dus vooral waar het kan, is dan de boodschap.

[Reactie gewijzigd door Laurent op 21 april 2014 16:14]

+1lappro
@ekimpadd21 april 2014 01:43
Of je gebruikt programma's als keepass/lastpass. Hoef je nog maar 1 wachtwoord regelmatig te wijzigen en onthouden. alle andere wachtwoorden mogen een leuke extra lange reeks van random karakters worden.

Dan kom je er helaas wel achter dat sommige sites vreemd genoeg een maximum limiet zetten op het aantal karakters dat je wachtwoord mag zijn (zie ze van 12 tot 16).
+1Rivanni
@lappro21 april 2014 11:33
Liever een kort wachtwoord dat veilig opgeslagen wordt dan een lang wachtwoord dat als plain text in een database verdwijnt. Of erger nog, in een bevestigingsemail onbeveiligd het internet overgaat.
Het is niet enkel de lengte of ingewikkeldheid van het wachtwoord dat bepalend is.

Ik geef toe dat het stellen van een lage grens een slechte zaak is, bijvoorbeeld 8 of 10 tekens. Over 16 tekens zou ik zelf niet klagen. Maar geen limiet is uiteraard het beste.
Bij sites die een limiet stellen heb ik ook meteen mijn twijjfels over de veiligheid van de opslag van het wachtwoord.
+2pe1dnn
@Rivanni21 april 2014 13:02
Het is niet enkel de lengte of ingewikkeldheid van het wachtwoord dat bepalend is.
Nee, de lengte bepaald het aantal mogelijkheden, "Ingewikkeldheid" is puur een idee van het menselijke brein. Zodra de aanvaller over moet gaan naar brute force methoden maakt het helemaal niets uit wat voor teken reeks die 10 tekens hebben en een computer maakt het echt geen fluit uit of je nu A I O of S of vervangers @ 1 0 of $ gebruikt, het is en blijft 1 ASCII waarde.

Die "Ingewikkeldheid" zorgt niet voor meer veiligheid maar just dat mensen het op gaan schrijven. Regels als minimaal 1 hoofdletter, 1 cijfer en 1 leesteken VERKLEINEN het aantal mogelijkheden en die regels maken het dus juist onveiliger. Het enige wat dat soort regels doen is vookomen dat je gewone woorden gebruikt, verder is het helemaal nergens goed voor en zelfs contraproductief.

Ik ben al heel lang voorstander van wachtwoord zinnen. Hoge entropie, goed te onthouden en brute force schier onmogelijk te kraken.

Maar ja, bij een inbraak helpt bijna niets behalve dan een derde gegeven als een token of authenticatie code zoals Google dat gebruikt via een app of SMS en zoals bedrijven gebruiken voor VPN tunnels.
+1Brahiewahiewa
@pe1dnn21 april 2014 13:52
Ik ben al heel lang voorstander van wachtwoord zinnen. Hoge entropie, goed te onthouden en brute force schier onmogelijk te kraken.
Hmmz, schier onmogelijk lijkt me wat overdreven. Dan kijk je alleen naar de lengte van het geheel. Maar er is meer informatie, waardoor wachtwoordzinnen ook zwak kunnen zijn. Bijvoorbeeld als jouw password "the quick brown fox jumped over the lazy dog" is, duurt 't niet zolang voordat-ie gekraakt is
+1pe1dnn
@Brahiewahiewa21 april 2014 18:04
Maar "de koe sprong over de gevangen haas" is weer niet een zin die ergens bekend is, en hoewel de woorden "koe", "haas" en "vangen" een relatie hebben zal voor mensen zal een computer daar dat niet doen.

Dus je buit hiermee het kunst van associëren van mensen uit die het daardoor goed kunnen onthouden maar maakt het voor een domme computer heel lastig. Net andersom dan die rare tekens dus die juist voor mensen lastig zijn te onthouden maar voor een computer geen enkel obstakel vormen.
+1JiriB
@pe1dnn21 april 2014 18:20
Natuurlijk maakt het wel uit of je een S door een $ vervangt, omdat het de aanvaller dwingt om een grotere karakter set te gebruiken om je wachtwoord te raden. Het zijn zeker wel verschillende ASCII waardes, dus maakt het voor de computer juist uit. Uiteraard zijn de brute force algoritmes wel slim genoeg om veel voorkomende vervangen, zoals een S -> $, eerder te proberen dan bijvoorbeeld S -> @ o.i.d., maar het is zeker veiliger dan alleen letters.

Het gebruik van wachtwoord zinnen is op zich een redelijke oplossing, maar zodra bekend is dat je die gebruikt kan je wachtwoord net zo makkelijk (zo niet makkelijker) met een dictionary attack gekraakt worden.

Uiteindelijk is een lang en random wachtwoord (16 of 20+ tekens) met zoveel mogelijk vreemde tekens het lastigst om brute force te kraken. Het onthouden daarvan is voor de gebruiker inderdaad ook lastig, maar daar heb je tools voor zoals keepass/lastpass/1password/... (die het ook nog eens gemakkelijk voor je kunnen genereren)

Two-factor authentication is ook zeker een goede manier om een extra laag van beveiliging aan je belangrijke accounts toe te voegen.
0lappro
@JiriB22 april 2014 10:57
Wachtwoordzinnen zijn praktisch onmogelijk te kraken als je tenminste 3 tot 4 woorden gebruikt. Bij zo'n aanval gaan ze normaal gesproken maar tot een combinatie van 2 woorden simpelweg omdat t anders te lang duurt. Bij gewone letters heb je per karakter zo'n 100 mogelijke opties, als je per woord kijkt zit je al op duizenden tot honderd duizenden. Als je dus al 4 woorden hebt zijn er met een erg mager woordenboek van 1000 woorden al 1000^4 pogingen nodig. Dan houdt t al snel op, zelfs voor een pc.
+1BushWhacker
@lappro21 april 2014 10:15
Die max wachtwoordlengte of beperking van de tekenset erger ik me erg gaan.
Bv. VISA. Je zou verwachten dat je daar een veilig wachtwoord zou moeten kiezen van > 12 chars. Niets is minder waar. Max 10 tekens. 8)7

Ik snap ook niet waarom je een max zou mogen hebben.
Je leest het wachtwoord en hasht hem en slaat hem op in de DB.
+1kodak
@ekimpadd21 april 2014 01:47
Luno had de insteek dat het wijzigen van wachtwoorden niet zou hoeven omdat het probleem in de opslag zou zitten. Onveiligheid gaat verder dan dat.

Beveiliging is een wedloop, je kan nooit 100% veilig zijn. Daarom is het wijzigen van wachtwoorden een van de vele maatregelen die je zou kunnen nemen.

Als een crmineel controle over je systeem heeft ben je inderdaad het haasje. Maar dat neemt niet weg dat je niet weet wanneer hij/zij op je systeem zit. Het is veiliger om zelfs je wachtwoorden regelmatig te wijzigen dan het nooit te doen. Criminelen houden er niet zo van om telkens wijzigingen over te nemen, die gaan voor de gemakelijkste weg naar hun buit.

Wat betreft het menselijk brein: er zijn meerdere kunstjes om zelfs sterke wachtwoorden makkelijk te kunnen onthouden. Maar he, als jij graag overal hetzelfde wachtwoord jaar in jaar uit wil gebruiken of onveilig met wachtwoorden wil om gaan - de experts zullen er niet mee zitten en de criminelen al helemaal niet. Het is een kwetstie van risico accepteren. Helaas beseffen veel personen niet dat ze daarmee vaak ook een risico vormen voor de rest van het internet, maar dat zal ze een zorg zijn. Lekker eigenwijs doen, dat is vast veilig.
+1stresstak
@ekimpadd21 april 2014 11:03
Op deze manier krijg je de kladblokjes en post-its met wachtwoord, wat weer een hele andere vorm van onveiligheid met zich mee brengt.
Dat is in een thuissituatie helagaar niet erg. Je zult dan eerst bij me binnen moeten zijn en vervolgens moeten uitvissen waar mijn 'kleine zwarte boekje' ligt.
Over wachtwoorden en het jezelf moeilijk maken met woorden waarin letters vervangen zijn door cijfers en ander puberaal geneuzel, zijn zat verhalen over te lezen.
+1downtime
@Luno20 april 2014 22:09
En wie gaat jou vertellen of een site lek is of niet?
+1DarkForce

@Tr4il20 april 2014 23:37
Dit is de reden voor mij om altijd direct bij verandering van provider, het nieuwe e-mail adres in mijn .fetchmailrc op te nemen op de server en alles direct via één mailaccount te laten lopen.

Was eerder vanmiddag al bezig met iets te bedenken om mijn primaire e-mail adres automatisch om de x-dagen een nieuw wachtwoord te laten genereren en deze via sms naar mij te laten sturen. Alles beter dan steeds zelf allerlij tools te moeten gebruiken.

Blijven alleen DigiD e.d. nog over, maar eens in de zoveel tijd daar misschien maar een 'digid verloren' code aanvragen.

Regelmatig wachtwoorden veranderen is inderdaad wel belangrijk tegenwoordig.
+1SunnieNL
@DarkForce21 april 2014 08:27
Bij digid gewoon de sms code activeren.
+1stresstak
@SunnieNL21 april 2014 11:09
Het mag dan zo zijn dat de reactie van Vendar (hieronder) weggedrukt wordt, maar ik heb ook geen sms-apparaat. Dus waarom en waarop zou ik een sms moeten ontvangen.

Er zijn talloze mensen die de digid maar 1x per jaar nodig hebben; bij het invullen de belastingaangifte. Dus bewaar ik de betreffende gegevens daar in de buurt.
0DarkForce

@stresstak22 april 2014 00:39
Toch heb ik deze geregeld nodig gehad, maken van afspraak voor indienen van verhuizing, maken van afspraak voor nieuwe id, bekijken van kinderbijslag, toeslagen, belastingaangifte, aanvraag van iets uit het GBA etc.

Steeds meer overheidsinstanties stappen over op DigiD of maken hier reeds gebruik van. Ik kan mij niet voorstellen dat iemand geen sms-device heeft, iedereen heeft wel een mobiele telefoon (smartphone/dumbphone) en van iPhone tot aan de domste Nokia 1616 kunnen naar mijn weten gewoon nog altijd sms ontvangen.

In een tijd waarin de mobiele telefoon niet meer weg te denken valt, lijkt het mij in ieder geval stug dat men geen sms heeft.
0stresstak
@DarkForce22 april 2014 01:26
In een tijd waarin de mobiele telefoon niet meer weg te denken valt, lijkt het mij in ieder geval stug dat men geen sms heeft.
Ik ben de uitzondering. Kluizenaar die van zn rust houd. En van privacy op het absurde af. Geen mobiel, geen pinpas, geen .. nou ja vanalles niet
Gordijnen dicht. Lekker rustig.

Zelfs anderhalf jaar niet ge-internet en het niet echt gemist.
0Vendar
@SunnieNL21 april 2014 09:16
Ik heb geen GSM.
+1supersnathan94
@Vendar21 april 2014 11:01
Lekker handig. Voor die extra veiligheid die dat geeft bij het DigID (onderschat dat dingetje niet. Het is immers je digitale identiteit van de overheid. Kan je een hoop gekkigheid mee uithalen), is het die tien euro wel waard.

Tancodes van de ING heb je zeker ook nog op papier thuis liggen? Zonder GSM kan je tegenwoordig helemaal niks meer, dus als ik jou was zou ik er toch eentje halen, want het is een belangrijke factor in de 2-step verification.
0Vendar
@supersnathan9423 april 2014 09:55
Ik wil geen GSM. Ik wil privacy, geen NSA extensie in mijn jaszak. Ik ga echt niet mezelf voor de gek houden dat ik twee-staps verificatie nodig heb terwijl ik wel de NSA toegang geeft tot locatiebepaling en al die andere dingen die ze kunnen absorberen via een GSM.

Ik weet niet wat die tien euro over gaat. Wat ik verder thuis zou hebben zeg ik lekker niet. Dat zijn privé zaken.
0supersnathan94
@Vendar23 april 2014 10:16
Die tien euro zijn de kosten voor een mobiel telefoontje bij de albert heijn. Locatie is leuk, maar voor verificatie zit je naast je PC. iets waar ze allang de locatie van hebben en nu weten ze dus dat de diegene die erachter zit ook daadwerkelijk degene die erachter zit is. Meer niet. Zo heel fancy hoeft het allemaal niet, maar een simkaartje in huis hebben is toch wel een must. puur alleen voor verificatie zou ik er al een aanschaffen.

Ik Heb het ook helemaal niet over de NSA enzo, maar over doodgewone Hackers en criminelen. De NSA vertrouw ik erop dat ze niet zomaar een uitkering gaan aanvragen op mijn naam. Daar zijn zij immers niks mee gebaat, maar een crimineel wel. Dit is al veelvuldig gebeurt de afgelopen jaren en ook hier op tweakers te lezen geweest. Daarom heb je dus die 2-weg verificatie. voor de NSA maakt het geen drol uit, want die weten dat toch allemaal al wel.


Je hoeft die GSM ook niet constant aan te houden hoor. 5 min aan tijdens het inloggen en daarna weer uit. niks aant handje.
+1YouriHL
@Tr4il20 april 2014 23:48
Eerder een idee om geen email van ziggo/home/essent te gebruiken.
Slechtste idee ooit, aangezien het algemeen bekend is dat zulks providers erg slecht omgaan met de versleuteling. De versleuteling van ziggo wachtwoorden is maar 16kbits, daar breek je met enige kennis zo doorheen.
+1CH4OS
@YouriHL21 april 2014 00:57
De versleuteling van ziggo wachtwoorden is maar 16kbits...
16000 bits? Terwijl SSL 2048 bits is, als je een wat betere hebt... Een verschil van een factor 8, waar jij dan wel even zo doorheen denkt te kunnen breken, terwijl dat met 2048 bits al moeilijk genoeg is? ;)
+1YouriHL
@CH4OS21 april 2014 00:58
sowwy, bedoelde 16bits. 't Is laat :P
+1CH4OS
@Tr4il21 april 2014 00:53
Lekker dan!
Weer een les dat regelmatig je wachtwoorden veranderen wel degelijk zin heeft.
Ik snap je punt, maar dan nog geeft het een kwaadwillende tijdelijk toegang tot de e-mail. Genoeg tijd dus om te speuren in iemands privacy en wellicht om het wachtwoord zelf dan maar aan te passen, waardoor je als klant zijnde niet meer bij je eigen e-mail kan. Het is maar net hoe vaak je een wachtwoord veranderd en ik denk niet dat er veel mensen zijn die dat doen.
+1WouterR10
@CH4OS21 april 2014 01:28
Dat is ook de reden waarom ik bij mijn e-mail en social media accounts 2 staps verificatie heb ingeschakeld, wachtwoorden blijven toch een zwakke plek.
+1TD-er
@Tr4il20 april 2014 21:02
Lekker dan!
Weer een les dat regelmatig je wachtwoorden veranderen wel degelijk zin heeft.
Of geen hergebruik van wachtwoorden, want het heeft er nu de schijn van dat de email-wachtwoord-combinatie elders buitgemaakt is en dat er een filter (*@ziggo.nl bijvoorbeeld) op losgelaten is om de betreffende provider te waarschuwen.
+1Maglite-stream
@Tr4il20 april 2014 23:06
Zal dan ook weinig zin hebben als je elke keer je wachtwoord kwijt bent aan een hacker.

[Reactie gewijzigd door Maglite-stream op 20 april 2014 23:06]

+1BoringDay
@Tr4il20 april 2014 23:53
Tja tegenwoordig zo vaak dat je er tegenwoordig een part-time baan van kan maken.

Maar vaak vergeten nog veel dat als ze van provider veranderen dat hun oude email adres van de provider op den duur weer hergebruikt wordt waardoor nog steed gevoelige informatie eenvoudig ni verkeerde handen kan komen. Ze bevriezen het veelal hooguit een half jaar ... en ik denk daar ook weinig van op de hoogte zijn en dat stukje veiligheid aspect wordt denk ik bij de meeste email diensten ter zijde gelegd.
0DarkForce

@BoringDay22 april 2014 00:45
Het probleem zit 'm vooral in de zelf te kiezen aliassen bij veel providers. Deze hoeven nog geen maand bevroren te zijn of ze kunnen al weer opnieuw worden gebruikt.

Anderzijds is het wel handig. Ik heb 2 jaar terug mijn UPC abonnement beëindigd omdat ik naar Ziggo gebied ging. Mijn moeder heeft ook UPC, en hier heb ik gewoon het toen gebruikte e-mail adres opnieuw aangemaakt. Inmiddels krijg ik gewoon nog altijd netjes mijn e-mails binnen van die partijen die ik het adres ooit gegeven heb.

Daar zat in feite zelfs geen 2 weken tussen. Dus niet iedere isp hanteert een minimum termijn waarop e-mail adressen niet gebruikt worden. Ik ben overigens wel van mening dat ze dit per definitie ten alle tijden moeten blokkeren zonder minimum termijn daar via e-mail vaak zeer privacy gevoelige informatie wordt verzonden.
+1desalniettemin
@Tr4il21 april 2014 07:23
Had ze net allemaal veranderd nav bloedend hart. Heb bovenstaande mail overigens niet gekregen.
0supersnathan94
@Tr4il21 april 2014 11:04
Jup ondertussen heb ik Hotmail zo ver gekregen dat hij me alleen toelaat met een eenmalige code via SMS. met het password kan ik niet meer inloggen op de website en via OSX mail vraagt ie af en toe ook om een PW (gewoon ff enter rammen dus). Op mn iPhone werkt het echter wel goed.
+1martijn_tje
@Titan_Fox21 april 2014 08:45
niemad zegt dat de gegevens via zo'n hotspot zijn buitgemaakt.
0Sangroid
@martijn_tje21 april 2014 11:28
Dat was niet zijn punt.
0Brahiewahiewa
@Sangroid21 april 2014 13:59
Nee, zijn punt is dat hij ziggo verantwoordelijk houdt voor het weglekken van passwords. Maar vooralsnog is daar geen bewijs voor. De man moet niet zoveel blowen . . . ;o)
+1Speedy_Gonzalez
20 april 2014 21:00
Ik heb geen brief gehad, dus ik hoef me geen zorgen te maken nu ?
Misschien toch maar even het wachtwoord veranderen.
+1piderman
@Speedy_Gonzalez20 april 2014 21:02
Het is sowieso verstandig om je wachtwoorden regelmatig te vervangen. Een password manager zoals KeePass of LastPass kan daarbij helpen.
0fantafriday
@piderman20 april 2014 21:39
Ja laat ik al mijn wachtwoorden digitaal opslaan, maar inderdaad wel handiger
+2analogworm
@fantafriday20 april 2014 23:17
Ja laat ik al mijn wachtwoorden digitaal opslaan, maar inderdaad wel handiger
Handiger én verstandiger! Het geeft je in ieder geval bescherming tegen Dictionary attacks, herhaaldelijk gebruik van dezelfde wachtwoorden en het bruteforcen van gestolen hashes. Je moet dan wel voorzichtig omgaan met je database, je bewust zijn dat het een single point of failure kán vormen en dat social engineering attacks nog steeds toegang tot je mail kunnen verschaffen.

Volgens mij is het grootste veiligheidsvoordeel dat je in ieder geval niet meer, of iig minder snel, slachtoffer kan worden van grootschalige 'hagelschot' aanvallen. Als iemand jou specifiek wilt hacken zijn daar nog steeds mogelijkheden voor.

Edit: Aanvullend leesvoer: Arstechnica How elite security ninjas choose and safeguard their passwords

[Reactie gewijzigd door analogworm op 21 april 2014 13:20]

+1fantafriday
@analogworm21 april 2014 00:02
Ik snap wat je bedoeld maar zelf onthoudt ik mijn wachtwoorden gewoon liever (1 per account en niet 1 algemeen wachtwoord)
0Rivanni
@analogworm21 april 2014 11:42
[...]
"Ja laat ik al mijn wachtwoorden digitaal opslaan, maar inderdaad wel handiger"


Handiger én verstandiger! Het geeft je in ieder geval bescherming tegen Dictionary attacks, ...... en het bruteforcen van gestolen hashes.
Leg eens uit hoe een passwordmanager kan helpen tegen dictionary attacks en brute force attacks?
+1analogworm
@Rivanni21 april 2014 12:13
Leesvoer: Arstechnica Anatomy of a Hack: How crackers ransack passwords like “qeadzcwrsfxv1331”

Het komt er dus op neer dat je met een password manager 'volledig' random lange wachtwoorden kunt gebruiken, omdat je geen truukjes meer hoeft te doen om ze te onthouden. En laat lange random wachtwoorden nou net niet gevoelig zijn voor dictionary attacks en een heel stuk moeilijker te bruteforcen.

Wist je trouwens dat er een test case is waarbij 62% vd wachtwoorden binnen het uur 16min gevonden waren? En na 24 20 uur zelfs 90%? Met een password manager hoor je bij dé 10%, daarom dus ;) (zie eerder gelinkte artikel van Arstechnica)

[Reactie gewijzigd door analogworm op 21 april 2014 12:23]

+1silverfaustx
@fantafriday21 april 2014 00:00
of op papier opschrijven zodat het juist niet digitaal is..
0fantafriday
@silverfaustx21 april 2014 00:01
Gewoon onthouden (nee niet 1 voor alles maar 1 per account)
+1desalniettemin
@piderman21 april 2014 07:25
Heb je die eigenlijk wel nodig als je Firefox gebruikt? Heeft ook zoiets in de vorm van een hoofdwachtwoord.
+1analogworm
@desalniettemin21 april 2014 12:16
Ik kon betrekkelijk makkelijk mijn wachtwoorden van 'vergeten' accounts uit de firefox database trekken. Weliswaar gebruikte ik geen hoofdwachtwoord.

Het voordeel van een password manager is natuurlijk dat je de wachtwoorden niet zelf hoeft te bedenken maar de random generator het werk kan laten doen, ofwel betere wachtwoorden.
+1incaz
@piderman20 april 2014 21:13
Daarbij wel de kleine aantekening dat het inloggen op de ziggo-klantenpagina niet leek te werken in combinatie met LastPass (helemaal niet, het maakte iets kapot aan het inlogform.) De klantenservice zou dat opgepakt hebben als het goed is, maar ik weet niet of het al gefixt is.

Of dat ook voor email/webmail zelf geldt weet ik trouwens niet.

[Reactie gewijzigd door incaz op 20 april 2014 21:14]

+1Wim-Bart
@Speedy_Gonzalez20 april 2014 21:06
Als je je wachtwoorden regelmatig aanpast (wat ik voor key accounts - mail, technet, ziggo, digid, banken, computer accounts, faceialbook, linkedin) doe dan hoef je niet veel te doen, of niets te doen. elf wijzig ik alles tussen de 30-60 dagen alle accounts met een uniek nieuw wachtwoord. Alleen moet je bereid zijn om er een uurtje voor uit te trekken met zo veel logins.

Het grootste probleem is meer, hoe houd ik mijn wachtwoorden uniek en kan ik deze toch makkelijk onthouden.....

[Reactie gewijzigd door Wim-Bart op 20 april 2014 21:07]

+1Wortelsoep
@Wim-Bart20 april 2014 22:13
Een uurtje? Echt niet dat je daarin *al* je wachtwoorden kunt veranderen, zeker als je ook de webshops meerekent waarbij je één keer iets hebt besteld en je verplicht een account moest aanmaken. Waste of time, gewoon LastPass gebruiken en overal een uniek password voor gebruiken, wat een verademing. Totdat er een keer een groot lek aan het licht komt, maar dat zien we dan wel weer :z
+1frennek
@Wortelsoep20 april 2014 23:57
Het is vooral schikbarend om te zien hoeveel websites gebruik maken van je e-mail adres als login. Als je e-mail en wachtwoord bekend zijn ben je inderdaad echt de lul als je overal hetzelfde wachtwoord voert. Voel me echt een stuk veiliger nu ik overal een ander wachtwoord heb en het werk zo makkelijk :).
+1FreshMaker
@frennek21 april 2014 06:38
Al sinds het eenvoudig werd om meerdere mailaccounts aan te maken, heb ik dat gedaan.
Ik heb de site's "geordend" in mijn safetymatrix, en aan die indeling krijgen ze een 'eigen' mailadres.

Site's waar de risico's op teveel mail / spam hoog is, komen in mijn semi-spam adres terecht, en via mijn hoofdaccount wordt alle mail binnen getrokken, en in categorieen gezet.

Gmail heeft een prima spamfilter, en goede filtermogelijkheden om het in goede banen te leiden.

Met keepass random wachtwoorden aanmaken, zo hoop ik een redelijk veilig net te hebben.
+1SunnieNL
@FreshMaker21 april 2014 08:32
Ik gebruik al jaren de domeinnaam van de site in het emailadres dat ik op geef. Heb toch een catch all op mijn domeinnaam.
Voordeel is dat ik gelijk weet welke site lek is als ik daar ineens spammail op binnen krijg
0Rivanni
@SunnieNL21 april 2014 11:49
Ik gebruik al jaren de domeinnaam van de site in het emailadres dat ik op geef. Heb toch een catch all op mijn domeinnaam.
Voordeel is dat ik gelijk weet welke site lek is als ik daar ineens spammail op binnen krijg
Dan is het nog wel te hopen dat je goeie en telkens andere wachtwoorden voor die sites gebruikt.
Want als jouw wachtwoord gekraakt wordt voor tweakers@sunnie.nl dan zal men dat toch ook eerst gaan proberen op facebook@sunnie.nl en twitter@sunni.nl etc.
In ieder geval is je email, dat ook vaak je gebruikersnaam is eenvoudig te achterhalen. Dat maakt het al een stuk makkelijker om jouw gegevens te misbruiken.
+1Wim-Bart
@Wortelsoep20 april 2014 22:28
Webshops verander ik niet, want daar voer ik geen creditcard gegevens in en ik koop eigenlijk heel weinig via internet, ben zo iemand die iets eerst wil vasthouden voor ik iets koop en dat is die paar euro meer wel waard.

Overigens gebruik ik een heel eenvoudig schema. Zo beginnen al mijn wachtwoorden gewoon met zoals x-letters van de site zoals Pim al zegt. En verwerk ik de datum er in en het jaargetijde.

Bijvoorbeeld: F@Z0m03junAura voor Facebook, op 3 juni veranderd. Hoef ik alleen de datum maar te onthouden. Doordat ik een random aanhoud is de datum altijd uniek. Daarnaast is er een stukje personalisatie van de persoon welke het meest dicht bij die datum jarig was.

Bovenstaande wachtwoord is trouwens een basis, het aantal letters van jaargetijde en site zijn iets anders bij mij ;-)
+1Padje
@Wim-Bart21 april 2014 00:24
Je kan ook voor Facebook de 2 step authentication inschakelen.
0Wim-Bart
@Padje21 april 2014 00:25
O die zit ook overal op waar het maar kan :-)
+1Martijntje42
@Wim-Bart20 april 2014 21:48
Op een briefje bijhouden en deze in je sokkenla verstoppen werkt al sinds ik voor het eerst een wachtwoord moest aanmaken :P
+1kodak
@Martijntje4220 april 2014 23:26
Heb jij je sokkenla altijd bij je dan?
+1tweaker2010
@kodak21 april 2014 08:36
Waarschijnlijk heeft hij een screenshot van dat briefje op zijn smartphone staan, maar of dat nu zo veilig is... ;)
+1Rivanni
@kodak21 april 2014 11:44
Waarschijnlijk ken ie dat ene wachtwoord na 20 jaar inmiddels wel uit zijn hoofd.
+1InflatableMouse
@Wim-Bart20 april 2014 21:55
Lastpass. Generate password. 100% random, vult automatisch in, past automatisch aan. Hoef je nog maar 1 wachtwoord te onthouden. Met android/iphone app.

Makkelijker en beter kan het bijna niet.
+1triflip
@InflatableMouse21 april 2014 05:56
En dan word je lastpass wachtwoord achterhaald... zijn meteen al je accounts gehackt. Nee dank je, de meeste wachtwoorden zitten in mijn hoofd en de minder vaak gebruikt op een papiertje ergens weggestopt.

Het papiertje kan ook gestolen worden maar daarvoor moet eerst iemand fysiek mijn woning betreden.
+1desalniettemin
@Wim-Bart21 april 2014 07:29
Daarom is het ook zo jammer dat de meeste aanbieders, zoals bv Ziggo geen spaties toestaan om een nog veiliger wachtwoord te gebruiken. Soomige staan zelfs alleen maar letters en cijfers combinaties toe. Dus speciale tekens of spaties helemaal niet toegestaan.
+1SunnieNL
@desalniettemin21 april 2014 08:33
Letters en cijfers is goed genoeg. Ik gebruik zinnen om mijn wachtwoorden van te maken. Succes met het kraken van de 15+ tekens erin
0desalniettemin
@SunnieNL21 april 2014 19:19
Ik gebruik vaak spaties, maar als dat niet kan doe zulke combinaties en lange wachtwoorden. Maar kan ook niet altijd, want soms tot maximaal 10 toegestaan.
+1pim
@Wim-Bart20 april 2014 21:50
Je kunt ze uniek maken door je wachtwoord te laten beginnen met de eerste X letters van de domeinnaam.. Of als dat de opzichtig is een ander truckje waardoor je overal een uniek wachtwoord hebt, zoals je maar consequent het zelfde truckje gebruikt.
+1jeroenarioni
20 april 2014 21:26
Wat ik niet helemaal begrijp is dat wachtwoorden standaard volgens mij versleuteld worden opgeslagen met hashing algoritmen. Hoe kan het dat de echte wachtwoorden zo vaak buitgemaakt worden?
+1Seal64
@jeroenarioni20 april 2014 22:31
Omdat dit in de praktijk vaak niet zo blijkt te zijn. Hoe vaak hoor je niet dat procedures verouderd zijn, of dat wachtwoorden gewoon als platte tekst zijn opgeslagen?
En zelfs als het gebeurt is dat alsnog geen garantie - hashing algoritmes blijken ook niet altijd onomkeerbaar te zijn, waardoor een hash alsnog teruggeleid kan worden tot een bepaald wachtwoord. Tien jaar terug was WEP bijvoorbeeld nog een afdoende beveiliging voor je wifi netwerkje, maar vandaag de dag kraak je daar met twee vingers in je neus doorheen...
+1Dorank
@jeroenarioni21 april 2014 11:53
Om een hash te kunnen controleren moet je het plain text password weten. Dus je onderschept het in plain text (keylogger, mitm, phishing) of je achterhaalt het opgeslagen formaat bij de gebruiker (dat moet immers te decrypten zijn).
0fantafriday
@jeroenarioni21 april 2014 00:53
Zei kunnen het wachtwoord zo goed versleutellen als ze willen maar als de persoon waarvan het wachtwoord is het op facebook zet tja... (een heel extreem maar helaas voorkoment voorbeeld)
+1Webgnome
20 april 2014 21:05
Misschien wordt het tijd dat consumenten programma's zoals Radar, Kassa etc wat actiever het gebruik van tools als keepass gaan promoten om zo de mensen te gaan aansporen overal een ander wachtwoord te gebruiken.
+1ExtremelyBroken
@Webgnome20 april 2014 21:31
Mee eens, maar krijg het maar eens voor elkaar bij mensen die weinig verstand van computers hebben. Zo heb ik de afgelopen dagen mijn oom geholpen om een nieuwe laptop een beetje klaar voor gebruik te krijgen, en bestanden en mail van zijn XP machine naar zijn Windows 8 laptop te verhuizen. De wachtwoorden-bonanza was als volgt: 2 email accounts, "mijn Ziggo" wachtwoord (omdat hij zijn email adres wachtwoorden kwijt was), Ziggo wifi password, registratie bij Asus (voor de garantie van z'n laptop), Windows 8 lokaal wachtwoord, Windows Live account...

De schok van een nieuwe laptop, en daar bovenop Windows 8 EN nieuwe mail client.. Ik opperde nog wel dat ie iets als keepass of lastpass moest gaan gebruiken, maar de stoom kwam uit de beste man zijn oren.
+1Patriot
@ExtremelyBroken21 april 2014 01:34
Tja, het grote probleem van dit soort dingen is dat de gevolgen vaak nagenoeg onmerkbaar zijn voor de slachtoffers. Mensen zoals je oom zouden, en dat bedoel ik niet vervelend naar je oom, eigenlijk geen gebruik van deze technologie moeten maken. Ik snap dat dat praktisch onhaalbaar is, dus er moet zeker moeite gestoken worden om de techniek toegankelijk te maken voor je oom of je oom de nodige kennis bij te brengen, maar dat is in feite wel waar het op neerkomt.

Een gemiddeld bedrijf (om een voorbeeld te geven) peinst er niet over om een onervaren persoon achter een duur stuk apparatuur te zetten, tenzij het een computer betreft. Dan vinden we het allemaal maar normaal.
+1Speedy_Gonzalez
@Webgnome20 april 2014 21:09
Keepass is inderdaad een goed hulpmiddel, dan hoef je in principe nog 1 password te onthouden en dat is van keepass zelf. Keepass kan moeilijk te raden passwords genereren, dus eigenlijk is dat best safe.
Als je dan ook nog regelmatig een password vervangt voor een nieuw, kan het haast niet fout.
+1frickY
20 april 2014 22:13
Wil ik braaf mijn Ziggo wachtwoord wijzigen in een veiligere variant.. krijg je dit
Het wachtwoord (minimaal 5 en maximaal 16 karakters) mag bestaan uit: cijfers, kleine en/of hoofdletters en de volgende tekens: . , & ( ) : ; - _
Lekker bezig! Waarom maximaal 16 karakters? Waarom slechts een beperkt aantal tekens??
Mag hopen dat er slechts een hash wordt opgeslagen???

[Reactie gewijzigd door frickY op 20 april 2014 22:14]

+1gooos
@frickY21 april 2014 00:22
Bijna even belachelijk als bij MoneYou. Daar is het minimaal 8 en maximaal 12, letters klein en groot cijfers en ook een beperkt aantal karakters waaronder geen @ en #... klaag ik al tijden over bij ze. Snap niet dat bedrijven de lengte zo nodig beperkt willen houden en waarom niet alle speciale karakters worden toegestaan!
+1wackmaniac
@gooos21 april 2014 08:11
Maximale lengte aan een wachtwoord kan duiden op twee mogelijke oorzaken
1. Algehele technische onkunde
2. Het wachtwoord wordt niet gehasht en het databaseveld is maar x karakters groot. Zie 1

Aegon heeft dezelfde debiele "eis". Op vragen hierover reageren ze met het antwoord dat ze voldoen aan de regels van DNB. Heb het ook al gezien bij otto.nl en kvk.nl. Hierbij aangemerkt dat alleen kvk via webcare aangaf dat ze hier mee aan de slag zouden gaan.

Misschien idee voor Tweakers om hier eens in te duiken voor een achtergrondartikel.

[Reactie gewijzigd door wackmaniac op 21 april 2014 08:12]

0Ramon
@frickY20 april 2014 23:24
En je kan geen wachtwoorden plakken in het password veld, annoying!
+1Soldaatje
@Ramon21 april 2014 00:14
Ik kan prima gebruikersnaam en wachtwoord kopiëren/plakken in het inlogveld en met KeePassX autotype werkt ook.
0analogworm
@Soldaatje21 april 2014 16:31
Bij het invoeren wel, maar bij het veranderen niet.. moet je je wachtwoord 2x overtikken uit je keepass..
0analogworm
@Ramon20 april 2014 23:31
Ja, eigenlijk ironisch dat ze op deze manier middelen als keepass in de weg zitten.
+1Boesta
20 april 2014 21:14
Wij zijn klant bij Ziggo maar hebben (nog) geen brief ontvangen. Wanneer moet die dan verstuurd zijn..?

Ga nu maar ff in "Mijn Ziggo" het wachtwoord veranderen...
Auteur+1Ossebol
@Boesta20 april 2014 21:14
De brief is donderdag verstuurd naar abonnees. Alleen mensen van wie bekend is dat ze slachtoffer zijn, krijgen de brief.
0Boesta
@Ossebol23 april 2014 22:38
Ok bedankt! Heb toch maar wel m'n wachtwoord veranderd :)
+1Qualixo
20 april 2014 21:15
Geld dit ook voor good old casema/@home en multiweb users? Ben ook een ziggo klant met een casema email adres. Geen brief gehad. Of hebben ze alleen de getroffen gebruikers gepost?
Toch al standaard routine om elke 90 dagen alle wachtwoorden te veranderen maar just in case eerder gedaan..

[Reactie gewijzigd door Qualixo op 20 april 2014 21:16]

Auteur+1Ossebol
@Qualixo20 april 2014 21:17
Dat zou kunnen, omdat het voornamelijk om oude gegevens gaat. Getroffen klanten krijgen in ieder geval een brief. Desondanks kun je natuurlijk altijd je wachtwoord wijzigen :)
1 2 3

Op dit item kan niet meer gereageerd worden.

Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True