Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Tweeduizend e-mailadressen en wachtwoorden Ziggoklanten buitgemaakt - update

Door , 160 reacties

Een botnet dat de afgelopen maanden miljoenen e-mailadressen en wachtwoorden van Duitsers stal, heeft ook combinaties van Nederlanders buitgemaakt. Het gaat daarbij zeker om klanten van Ziggo en mogelijk om klanten van andere Nederlandse providers.

Ziggo waarschuwt klanten die getroffen zijn in een brief dat hackers toegang hebben gehad tot hun mailaccounts. Woordvoerder Gradus Vos zegt zondagavond dat het om circa tweeduizend e-mailadressen en hoogstwaarschijnlijk ook om de wachtwoorden van abonnees gaat. Die gegevens zijn voor zover bekend verouderd, maar nog wel te gebruiken als ze de afgelopen tijd niet zijn bijgewerkt.

Hoe criminelen de gegevens van Ziggoklanten via het botnet precies buitmaakten, weet Vos niet. Hackers hebben in ieder geval niet direct via de servers en databases toegang tot de accounts gekregen. Ziggo adviseert klanten om hun wachtwoorden te wijzigen. Daarvoor moet eerst worden ingelogd op het klantenbeheerpaneel Mijn Ziggo, wat iemand met alleen het mailadres en het wachtwoord niet zomaar kan doen.

De diefstal van gegevens van Ziggoklanten heeft betrekking op een botnet dat naar schatting 18 miljoen combinaties van e-mailadressen en wachtwoorden heeft buitgemaakt, voornamelijk in Duitsland. Dat gebeurde nadat in januari ook al 16 miljoen combinaties werden gestolen. Het Duitse Bundesamt für Sicherheit in der Informationstechnik stelde vast dat bij die diefstal ook Nederlandse accounts waren betrokken en bracht het Nationaal Cyber Security Centrum op de hoogte. Dat waarschuwde Ziggo vervolgens. Volgens Vos gebeurde dit dinsdag.

Vanwege de grootschaligheid van de hack is het aannemelijk dat ook de e-mailadressen en wachtwoorden van klanten van andere Nederlandse providers zijn buitgemaakt. UPC kan geen commentaar geven en KPN zegt er tot dusver niets over te weten, maar het intern uit te zoeken. Het Nationaal Cyber Security Centrum laat daarnaast desgevraagd weten maandag of na Pasen met meer informatie te komen.

Update, 21.30 uur - Reactie Nationaal Cyber Security Centrum toegevoegd.

Door Yoeri Nijs

Nieuwsposter

20-04-2014 • 20:57

160 Linkedin Google+

Reacties (160)

Wijzig sortering
Mijn grootste probleem is de enorme lijst accounts die ik moet bij- en vooral ook onthouden. Het gaat over honderden accounts, waarvan de bulk voor mijn werk is. In het verleden had ik daar een simpel systeem in, voorbeeld:

Tweakers: 1broodjeaap-tw!
HardwareInfo: 1broodjeaap-hw!

Niet bepaald sterk, en als je er eentje hebt is de rest snel geraden. Ik besloot het beter aan te pakken:

Tweakers: !!!Twk|2006|Banaan&Trekdrop|2007|Twk!!!
HardwareInfo: !!!Hwi|2008|Banaan&Honing|2009|Hwi!!!

Dat ging een tijd aardig, voor elke beginletter van een domein wist ik na een tijdje snel een woord als trekdrop of honing, iets wat ik met zoet of snoep associeer. Banaan was in dit geval de categorie techsite. Ik veranderde periodiek de jaartallen voor alle wachtwoorden, dat gaf me een gevoel van relatieve veiligheid. Grootste probleem was dat niet alle sites alle tekens en lengtes accepteren dus slopen er steeds meer uitzonderingen in en werd het uiteindelijk niet meer te overzien, of te onthouden vooral.

Ik sla nu alles op in een wachtwoordbeveiligd geencrypt document, ik heb er geen oplossing meer voor, wachtwoorden zijn niet meer van deze tijd en het periodiek veranderen kost me een paar uur per kwartaal :-(

Hier nog wel een handige pw-generator
Keepass en Lastpass
Een database die de boel voor je beveiligd en aanmaakt.
eventueel in een truecrypt container opslaan.

Ik heb het in keepass staan, icm mijn dropbox.
Op belangrijke device's synchroniseert hij alle veranderingen, op mijn werkplek gebruik ik de portable versie, en download ik de database als er veel aanpassingen zijn geweest.

( gelukkig ziet onze ICT in dat het een "verklaarbare" download is, en kan ik ermee werken )
Ik heb dergelijke toepassingen overwogen maar paranoďde als ik ben vertrouw ik dat toch niet echt. Ik ben niet zo thuis in Mono maar voor hetzelfde geld worden er backdoors door de c# compiler ingebakken, zoals door Ken Thompson destijds. Veel onveiliger dan mijn huidige oplossing kan het niet zijn, ik ga er toch eens mee spelen, dank voor de tip.
Paranoide en internet gaan niet samen, dus je moet gewoon keuze's maken ;)

De beste keuze is selectief kijken WAT je op internet wilt vrijgeven.
Ik deel mijn gegevens met iedereen, die ze nodig heeft.
Maar wel NA mijn goedkeuring.

Mijn eigennaam in de zoeksite's komt minimaal voor, en de geoefende 'zoeker' zal uiteindelijk mijn profiel wel kunnen samenstellen.
Het is gewoon inherent aan het gebruik van het netwerk, dat er mondjesmaat gegevens opduiken.
Je kan evt nog je database op een encrypted volume bewaren. Dan heb je een soort 'two-factor authentication'.

Het enige is dat je voor de handigheid waarschijnlijk je database óók op onedrive/dropbox wilt hebben. Maar daar heb je dan weer weinig aan een encrypted volume wil je er ook nog toegang toe hebben via je telefoon.
Ja dat is direct het nadeel van een lokale db. Als 'noodoplossing' zou ik die lokale db op mijn laptop kunnen draaien, die heb ik voor mijn werk ieg altijd bij me. Dat ik er privé met mijn smartphones of tablets niet bij kan valt mee te leven, is veel minder belangrijk.
Paranoide en internet gaan niet samen, dus je moet gewoon keuze's maken ;)
@FreshMaker: Ja dat vind ik ook, mijn paranoia weegt uiteindelijk dan ook meestal niet op tegen praktisch nut ;)
Zoals ik het zie, en ja dan leg ik vertrouwen in de provider, is dat het je via een cloudopslagdienst mét 2 factor authentication al wel een flinke bariere oplegt.
Dan moeten ze dus eerst langs de 2 factor authentication komen van de provider en dan nog eens je database met uberduberlang wachtwoord kraken (wat als het goed is vrij lang zal duren en je evt ook nog met key file zou kunnen beschermen).

Ofwel, de desbetreffende hacker moet jou specifiek in het vizier hebben wil het lukken en dan nog kost het vrij veel moeite. Die kans acht ik vrij klein.

dit is onder de aanname dat de clouddienst provider niet ook gelijk de email provider is waar alle password resets naartoe worden gestuurd. want dan hoeven ze niet eens wat met je database :P

[Reactie gewijzigd door analogworm op 21 april 2014 15:17]

Ziggo zou voor bijv. de webmail een e-mail kunnen sturen naar een ander, door jou op te geven, e-mailadres moeten sturen wanneer er ingelogd wordt met jouw credentials vanaf een ander IP dan bijv. thuis. Eigenlijk zoals Gmail en Facebook dat doen.
Jij wil dus dat alle honderdduizenden Ziggo klanten verplicht zijn om ergens anders ook maar een mailadres te hebben EN dat Ziggo dat adres moet weten?

Wat mij betreft is het uitstekend dat Ziggo dat beleid niet heeft en keurig per brief haar klanten in vertrouwen informeert. Al is het alleen maar omdat het niet ondenkbaar is dat diezelfde klanten ook op dat andere mailaccount hetzelfde wachtwoord gebruiken en dat ook al in handen is van de crimineel. Met andere woorden: Ziggo gaat er verstandig van uit dat het veiliger is om een brief te sturen dan een mail naar een adres dat mogelijk niet te vertrouwen is.

[Reactie gewijzigd door kodak op 20 april 2014 23:30]

Jij wil dus dat alle honderdduizenden Ziggo klanten verplicht zijn om ergens anders ook maar een mailadres te hebben EN dat Ziggo dat adres moet weten?
Gelukkig is het allemaal opgelost als Ziggo straks van UPC is en iedereen weer met een schone lei en verse griffel begint.

Nu de dubbele schoolbanken nog vervangen en de inktpotjes reinigen.
Mooi die reactie in die brief. Ze hebben geen idee hoe de wachtwoorden zijn buitgemaakt maar ze weten wel opeens ZEKER dat het niet aan de Ziggo-servers ligt. Wat klopt hier niet?
De BSI heeft niet al te vaak gegevens van botnets als ik het nieuws op hun site mag geloven. Dan is dit waarschijnlijk de bron.

En waarom Ziggo het zeker denkt te weten; de BSi geeft aan dat de informatie uit verschillende bronnen komt, waaronder de pc/laptop/handheld van Internettend volk. Maar belangrijker: zo te lezen hebben behoorlijk wat Ziggo klanten geen brief gehad en lijkt het er sterk op dat niet alle klanten slachtoffer zijn. Als ik crimineel bezig zou zijn dan haal ik de hele database leeg en ga ik niet een klein deel daarvan misbruiken.
Lekker dan!
Weer een les dat regelmatig je wachtwoorden veranderen wel degelijk zin heeft.
Dat zou niet nodig moeten zijn.

Aangenomen dat tijdens de sessie het wacht al versleuteld is en je provider het wachtwoord versleuteld op een goede manier gehashed opslaat. Is er weinig reden om je wachtwoord te veranderen.
Want de botminer heeft dan niets aan de info.
Zou die informatie wel voldoende zijn (bv. rainbowtable) dan heeft om de 3 maanden geen zin, om de dag ook niet, want dan is het systeem lek. En dan is 1 microseconden al genoeg.
Wat ik nog wel zinnig vind is gebruik voor elke zite een ander wachtwoord (in elk geval maar een onderscheid tussen site van belang (bank, winkels) en trivia (bv. forums).

Maar vaak wijzigen is alleen symptoom bestrijding. Bij goede opslag is dat overbodig en onnodig. Geeft een schijn veiligheid. Als een site zo lek is dat je het moet veranderen, ga daar weg,
Grapjurk. Wel eens gehoord van keyloggers? Veel gebruikersnamen/wachtwoorden die criminelen onderscheppen komt rechtstreeks van de client af. Waar denk je dat die botnets meestal uitgezet zijn? Bij nietsvermoedende gebruikers. En die gebruikers doen nog regelmatig aan het hergebruik van hun gebruikersnaam en wachtwoord over veel verschillende diensten.

Vaak wijzigen is geen symptoombestrijding. Het is onderdeel van een reeks aan maatregelen die je maar beter kunt treffen om zo min mogelijk risico te lopen.
Volgens mij ben jij de grapjurk, want als er een keylogger op jouw pc staat heeft een password veranderen ook weinig zin....

De "experts" geven altijd het advies om regelmatig je wachtwoord te wijzigen, maar ze praten nooit over het menselijk brein. Het is namelijk een feit dat het onthouden van een "veilig" wachtwoord - voldoende leestekens, symbolen, nummers etc - lastig is. Op deze manier krijg je de kladblokjes en post-its met wachtwoord, wat weer een hele andere vorm van onveiligheid met zich mee brengt.
Een veilig wachtwoord bestaat niet uit allerlei symbolen en nummers, dat is inderdaad slechts een lastig te onthouden wachtwoord, alleen voldoende leestekens helpt: http://xkcd.com/936/
Helaas zijn de woordenboek-krakers inmiddels ook achter het xkcd.com trucje.

Bruce Schneier: "This is why the oft-cited XKCD scheme for generating passwords -- string together individual words like "correcthorsebatterystaple" -- is no longer good advice. The password crackers are on to this trick." (bron: schneier.com, 3-3-2014)

Voor advies over een 'veilig' wachtwoord zie Bruce Scneier, schneier.com, 3-3-2014.
Nu ben je gewoon iemand aan het napraten, zonder te weten hoe de vork in de steel zit. De betreffende blogpost heeft het namelijk niet bij het juiste eind. Door de hoge entropie van een dergelijk wachtwoord is het juist, ook met kennis van de structuur van het wachtwoord, erg moeilijk het wachtwoord te raden. Je kiest je woorden natuurlijk totaal random (dat wil zeggen: je laat ze random kiezen). :)
Klopt, maar omdat je deze woorden nu als losse posities kan zien (als je dus al weet at het woorden zijn !!) betekent dit dat je in het voorbeeld "banaanpaardironvolkswagen" best een sterkwachtwoord hebt, maar voor een algoritme wat random wat woorden door elkaar schud zijn het nog maar 4 posities hebt en dus in feite een wachtwoord met 4 tekens.

Voor dit soort algoritmes is het dus zaak te zorgen dat je geen standaardwoorden pakt, maar ze zelf iets aanpast. Maak van alle A's bijvoorbeeld een 4 (vanuit de leetspeak dus nog redelijk voorspelbaar) of een ander cijfer. Een c door een ˘, S door $. Dat soort dingen. Als je dat consequent doet dan kan je het ook makkelijk onthouden.

Ook is het gebruik van verschillende talen natuurlijk een pluspuntje. Als meneer Hacker geen swahili in zijn algoritme heeft gebruikt komt hij er natuurlijk nooit met een dergelijk algoritme en gaat het toch brute force worden per karakter.
De entropie van een dergelijk wachtwoord houdt juist rekening met het feit dat de structuur bekend is (de structuur verandert niet - dus de entropie hierin is 0). De truc is nu juist dat je veel meer mogelijkheden hebt per positie en daar komt nu juist je hoge entropie van. Dus inderdaad - als je het ziet als een wachtwoord met vier tekens, zijn het vier tekens uit een grote universe. :)

Het veranderen van die letters van woorden is leuk en aardig, maar bij vijf woorden ben je zelfs zonder aanpassingen een jaar of 10 aan het rekenen voor het raden van je wachtwoord. Lees even bij over entropie, zou ik zeggen :)

[Reactie gewijzigd door Laurent op 21 april 2014 11:16]

is het dus zaak te zorgen dat je geen standaardwoorden pakt, maar ze zelf iets aanpast. Maak van alle A's bijvoorbeeld een 4 (vanuit de leetspeak dus nog redelijk voorspelbaar) of een ander cijfer. Een c door een ˘, S door $. Dat soort dingen. Als je dat consequent doet dan kan je het ook makkelijk onthouden.
Al die character replacements zijn ook al bekend bij de wachtwoord-krakers dus dat biedt geen extra veiligheid.
Wat een gezellige aanname zeg!
Ik baseer me gewoon op de praktijk:
1) De meeste websites zijn restrictief in wachtwoordlengte (lees: < 20 characters).
2) De impliciete boodschap van xkcd, "totaal random", komt niet over.

Ergo, de praktische entropie is een grove factor lager dan de theoretische waarde.

[Reactie gewijzigd door hieper op 21 april 2014 13:36]

In je eerdere post gaf je juist aan dat de wachtwoorden volgens dit schema niet meer voldoende zouden zijn, omdat er weet was van dit schema bij de hackers. Het gaat mij om dat argument.

Over random is XKCD wat mij betreft niet ambigu - "four random common words", random dus. Het moge ook duidelijk zijn, vooral n.a.v. de achtergrond van de maker van de strip, dat de auteur echt random bedoelt. :)

Wat betreft de wachtwoordlengte: ik gebruik het nu al eventjes en het is op verrassend veel plaatsen wel toepasbaar. Gebruik het dus vooral waar het kan, is dan de boodschap.

[Reactie gewijzigd door Laurent op 21 april 2014 16:14]

Of je gebruikt programma's als keepass/lastpass. Hoef je nog maar 1 wachtwoord regelmatig te wijzigen en onthouden. alle andere wachtwoorden mogen een leuke extra lange reeks van random karakters worden.

Dan kom je er helaas wel achter dat sommige sites vreemd genoeg een maximum limiet zetten op het aantal karakters dat je wachtwoord mag zijn (zie ze van 12 tot 16).
Liever een kort wachtwoord dat veilig opgeslagen wordt dan een lang wachtwoord dat als plain text in een database verdwijnt. Of erger nog, in een bevestigingsemail onbeveiligd het internet overgaat.
Het is niet enkel de lengte of ingewikkeldheid van het wachtwoord dat bepalend is.

Ik geef toe dat het stellen van een lage grens een slechte zaak is, bijvoorbeeld 8 of 10 tekens. Over 16 tekens zou ik zelf niet klagen. Maar geen limiet is uiteraard het beste.
Bij sites die een limiet stellen heb ik ook meteen mijn twijjfels over de veiligheid van de opslag van het wachtwoord.
Het is niet enkel de lengte of ingewikkeldheid van het wachtwoord dat bepalend is.
Nee, de lengte bepaald het aantal mogelijkheden, "Ingewikkeldheid" is puur een idee van het menselijke brein. Zodra de aanvaller over moet gaan naar brute force methoden maakt het helemaal niets uit wat voor teken reeks die 10 tekens hebben en een computer maakt het echt geen fluit uit of je nu A I O of S of vervangers @ 1 0 of $ gebruikt, het is en blijft 1 ASCII waarde.

Die "Ingewikkeldheid" zorgt niet voor meer veiligheid maar just dat mensen het op gaan schrijven. Regels als minimaal 1 hoofdletter, 1 cijfer en 1 leesteken VERKLEINEN het aantal mogelijkheden en die regels maken het dus juist onveiliger. Het enige wat dat soort regels doen is vookomen dat je gewone woorden gebruikt, verder is het helemaal nergens goed voor en zelfs contraproductief.

Ik ben al heel lang voorstander van wachtwoord zinnen. Hoge entropie, goed te onthouden en brute force schier onmogelijk te kraken.

Maar ja, bij een inbraak helpt bijna niets behalve dan een derde gegeven als een token of authenticatie code zoals Google dat gebruikt via een app of SMS en zoals bedrijven gebruiken voor VPN tunnels.
Ik ben al heel lang voorstander van wachtwoord zinnen. Hoge entropie, goed te onthouden en brute force schier onmogelijk te kraken.
Hmmz, schier onmogelijk lijkt me wat overdreven. Dan kijk je alleen naar de lengte van het geheel. Maar er is meer informatie, waardoor wachtwoordzinnen ook zwak kunnen zijn. Bijvoorbeeld als jouw password "the quick brown fox jumped over the lazy dog" is, duurt 't niet zolang voordat-ie gekraakt is
Maar "de koe sprong over de gevangen haas" is weer niet een zin die ergens bekend is, en hoewel de woorden "koe", "haas" en "vangen" een relatie hebben zal voor mensen zal een computer daar dat niet doen.

Dus je buit hiermee het kunst van associëren van mensen uit die het daardoor goed kunnen onthouden maar maakt het voor een domme computer heel lastig. Net andersom dan die rare tekens dus die juist voor mensen lastig zijn te onthouden maar voor een computer geen enkel obstakel vormen.
Natuurlijk maakt het wel uit of je een S door een $ vervangt, omdat het de aanvaller dwingt om een grotere karakter set te gebruiken om je wachtwoord te raden. Het zijn zeker wel verschillende ASCII waardes, dus maakt het voor de computer juist uit. Uiteraard zijn de brute force algoritmes wel slim genoeg om veel voorkomende vervangen, zoals een S -> $, eerder te proberen dan bijvoorbeeld S -> @ o.i.d., maar het is zeker veiliger dan alleen letters.

Het gebruik van wachtwoord zinnen is op zich een redelijke oplossing, maar zodra bekend is dat je die gebruikt kan je wachtwoord net zo makkelijk (zo niet makkelijker) met een dictionary attack gekraakt worden.

Uiteindelijk is een lang en random wachtwoord (16 of 20+ tekens) met zoveel mogelijk vreemde tekens het lastigst om brute force te kraken. Het onthouden daarvan is voor de gebruiker inderdaad ook lastig, maar daar heb je tools voor zoals keepass/lastpass/1password/... (die het ook nog eens gemakkelijk voor je kunnen genereren)

Two-factor authentication is ook zeker een goede manier om een extra laag van beveiliging aan je belangrijke accounts toe te voegen.
Wachtwoordzinnen zijn praktisch onmogelijk te kraken als je tenminste 3 tot 4 woorden gebruikt. Bij zo'n aanval gaan ze normaal gesproken maar tot een combinatie van 2 woorden simpelweg omdat t anders te lang duurt. Bij gewone letters heb je per karakter zo'n 100 mogelijke opties, als je per woord kijkt zit je al op duizenden tot honderd duizenden. Als je dus al 4 woorden hebt zijn er met een erg mager woordenboek van 1000 woorden al 1000^4 pogingen nodig. Dan houdt t al snel op, zelfs voor een pc.
Die max wachtwoordlengte of beperking van de tekenset erger ik me erg gaan.
Bv. VISA. Je zou verwachten dat je daar een veilig wachtwoord zou moeten kiezen van > 12 chars. Niets is minder waar. Max 10 tekens. 8)7

Ik snap ook niet waarom je een max zou mogen hebben.
Je leest het wachtwoord en hasht hem en slaat hem op in de DB.
Luno had de insteek dat het wijzigen van wachtwoorden niet zou hoeven omdat het probleem in de opslag zou zitten. Onveiligheid gaat verder dan dat.

Beveiliging is een wedloop, je kan nooit 100% veilig zijn. Daarom is het wijzigen van wachtwoorden een van de vele maatregelen die je zou kunnen nemen.

Als een crmineel controle over je systeem heeft ben je inderdaad het haasje. Maar dat neemt niet weg dat je niet weet wanneer hij/zij op je systeem zit. Het is veiliger om zelfs je wachtwoorden regelmatig te wijzigen dan het nooit te doen. Criminelen houden er niet zo van om telkens wijzigingen over te nemen, die gaan voor de gemakelijkste weg naar hun buit.

Wat betreft het menselijk brein: er zijn meerdere kunstjes om zelfs sterke wachtwoorden makkelijk te kunnen onthouden. Maar he, als jij graag overal hetzelfde wachtwoord jaar in jaar uit wil gebruiken of onveilig met wachtwoorden wil om gaan - de experts zullen er niet mee zitten en de criminelen al helemaal niet. Het is een kwetstie van risico accepteren. Helaas beseffen veel personen niet dat ze daarmee vaak ook een risico vormen voor de rest van het internet, maar dat zal ze een zorg zijn. Lekker eigenwijs doen, dat is vast veilig.
Op deze manier krijg je de kladblokjes en post-its met wachtwoord, wat weer een hele andere vorm van onveiligheid met zich mee brengt.
Dat is in een thuissituatie helagaar niet erg. Je zult dan eerst bij me binnen moeten zijn en vervolgens moeten uitvissen waar mijn 'kleine zwarte boekje' ligt.
Over wachtwoorden en het jezelf moeilijk maken met woorden waarin letters vervangen zijn door cijfers en ander puberaal geneuzel, zijn zat verhalen over te lezen.
En wie gaat jou vertellen of een site lek is of niet?
Dit is de reden voor mij om altijd direct bij verandering van provider, het nieuwe e-mail adres in mijn .fetchmailrc op te nemen op de server en alles direct via één mailaccount te laten lopen.

Was eerder vanmiddag al bezig met iets te bedenken om mijn primaire e-mail adres automatisch om de x-dagen een nieuw wachtwoord te laten genereren en deze via sms naar mij te laten sturen. Alles beter dan steeds zelf allerlij tools te moeten gebruiken.

Blijven alleen DigiD e.d. nog over, maar eens in de zoveel tijd daar misschien maar een 'digid verloren' code aanvragen.

Regelmatig wachtwoorden veranderen is inderdaad wel belangrijk tegenwoordig.
Bij digid gewoon de sms code activeren.
Het mag dan zo zijn dat de reactie van Vendar (hieronder) weggedrukt wordt, maar ik heb ook geen sms-apparaat. Dus waarom en waarop zou ik een sms moeten ontvangen.

Er zijn talloze mensen die de digid maar 1x per jaar nodig hebben; bij het invullen de belastingaangifte. Dus bewaar ik de betreffende gegevens daar in de buurt.
Toch heb ik deze geregeld nodig gehad, maken van afspraak voor indienen van verhuizing, maken van afspraak voor nieuwe id, bekijken van kinderbijslag, toeslagen, belastingaangifte, aanvraag van iets uit het GBA etc.

Steeds meer overheidsinstanties stappen over op DigiD of maken hier reeds gebruik van. Ik kan mij niet voorstellen dat iemand geen sms-device heeft, iedereen heeft wel een mobiele telefoon (smartphone/dumbphone) en van iPhone tot aan de domste Nokia 1616 kunnen naar mijn weten gewoon nog altijd sms ontvangen.

In een tijd waarin de mobiele telefoon niet meer weg te denken valt, lijkt het mij in ieder geval stug dat men geen sms heeft.
In een tijd waarin de mobiele telefoon niet meer weg te denken valt, lijkt het mij in ieder geval stug dat men geen sms heeft.
Ik ben de uitzondering. Kluizenaar die van zn rust houd. En van privacy op het absurde af. Geen mobiel, geen pinpas, geen .. nou ja vanalles niet
Gordijnen dicht. Lekker rustig.

Zelfs anderhalf jaar niet ge-internet en het niet echt gemist.
Ik heb geen GSM.
Lekker handig. Voor die extra veiligheid die dat geeft bij het DigID (onderschat dat dingetje niet. Het is immers je digitale identiteit van de overheid. Kan je een hoop gekkigheid mee uithalen), is het die tien euro wel waard.

Tancodes van de ING heb je zeker ook nog op papier thuis liggen? Zonder GSM kan je tegenwoordig helemaal niks meer, dus als ik jou was zou ik er toch eentje halen, want het is een belangrijke factor in de 2-step verification.
Ik wil geen GSM. Ik wil privacy, geen NSA extensie in mijn jaszak. Ik ga echt niet mezelf voor de gek houden dat ik twee-staps verificatie nodig heb terwijl ik wel de NSA toegang geeft tot locatiebepaling en al die andere dingen die ze kunnen absorberen via een GSM.

Ik weet niet wat die tien euro over gaat. Wat ik verder thuis zou hebben zeg ik lekker niet. Dat zijn privé zaken.
Die tien euro zijn de kosten voor een mobiel telefoontje bij de albert heijn. Locatie is leuk, maar voor verificatie zit je naast je PC. iets waar ze allang de locatie van hebben en nu weten ze dus dat de diegene die erachter zit ook daadwerkelijk degene die erachter zit is. Meer niet. Zo heel fancy hoeft het allemaal niet, maar een simkaartje in huis hebben is toch wel een must. puur alleen voor verificatie zou ik er al een aanschaffen.

Ik Heb het ook helemaal niet over de NSA enzo, maar over doodgewone Hackers en criminelen. De NSA vertrouw ik erop dat ze niet zomaar een uitkering gaan aanvragen op mijn naam. Daar zijn zij immers niks mee gebaat, maar een crimineel wel. Dit is al veelvuldig gebeurt de afgelopen jaren en ook hier op tweakers te lezen geweest. Daarom heb je dus die 2-weg verificatie. voor de NSA maakt het geen drol uit, want die weten dat toch allemaal al wel.


Je hoeft die GSM ook niet constant aan te houden hoor. 5 min aan tijdens het inloggen en daarna weer uit. niks aant handje.
Eerder een idee om geen email van ziggo/home/essent te gebruiken.
Slechtste idee ooit, aangezien het algemeen bekend is dat zulks providers erg slecht omgaan met de versleuteling. De versleuteling van ziggo wachtwoorden is maar 16kbits, daar breek je met enige kennis zo doorheen.
De versleuteling van ziggo wachtwoorden is maar 16kbits...
16000 bits? Terwijl SSL 2048 bits is, als je een wat betere hebt... Een verschil van een factor 8, waar jij dan wel even zo doorheen denkt te kunnen breken, terwijl dat met 2048 bits al moeilijk genoeg is? ;)
sowwy, bedoelde 16bits. 't Is laat :P
Lekker dan!
Weer een les dat regelmatig je wachtwoorden veranderen wel degelijk zin heeft.
Ik snap je punt, maar dan nog geeft het een kwaadwillende tijdelijk toegang tot de e-mail. Genoeg tijd dus om te speuren in iemands privacy en wellicht om het wachtwoord zelf dan maar aan te passen, waardoor je als klant zijnde niet meer bij je eigen e-mail kan. Het is maar net hoe vaak je een wachtwoord veranderd en ik denk niet dat er veel mensen zijn die dat doen.
Dat is ook de reden waarom ik bij mijn e-mail en social media accounts 2 staps verificatie heb ingeschakeld, wachtwoorden blijven toch een zwakke plek.
Lekker dan!
Weer een les dat regelmatig je wachtwoorden veranderen wel degelijk zin heeft.
Of geen hergebruik van wachtwoorden, want het heeft er nu de schijn van dat de email-wachtwoord-combinatie elders buitgemaakt is en dat er een filter (*@ziggo.nl bijvoorbeeld) op losgelaten is om de betreffende provider te waarschuwen.
Zal dan ook weinig zin hebben als je elke keer je wachtwoord kwijt bent aan een hacker.

[Reactie gewijzigd door Maglite-stream op 20 april 2014 23:06]

Tja tegenwoordig zo vaak dat je er tegenwoordig een part-time baan van kan maken.

Maar vaak vergeten nog veel dat als ze van provider veranderen dat hun oude email adres van de provider op den duur weer hergebruikt wordt waardoor nog steed gevoelige informatie eenvoudig ni verkeerde handen kan komen. Ze bevriezen het veelal hooguit een half jaar ... en ik denk daar ook weinig van op de hoogte zijn en dat stukje veiligheid aspect wordt denk ik bij de meeste email diensten ter zijde gelegd.
Het probleem zit 'm vooral in de zelf te kiezen aliassen bij veel providers. Deze hoeven nog geen maand bevroren te zijn of ze kunnen al weer opnieuw worden gebruikt.

Anderzijds is het wel handig. Ik heb 2 jaar terug mijn UPC abonnement beëindigd omdat ik naar Ziggo gebied ging. Mijn moeder heeft ook UPC, en hier heb ik gewoon het toen gebruikte e-mail adres opnieuw aangemaakt. Inmiddels krijg ik gewoon nog altijd netjes mijn e-mails binnen van die partijen die ik het adres ooit gegeven heb.

Daar zat in feite zelfs geen 2 weken tussen. Dus niet iedere isp hanteert een minimum termijn waarop e-mail adressen niet gebruikt worden. Ik ben overigens wel van mening dat ze dit per definitie ten alle tijden moeten blokkeren zonder minimum termijn daar via e-mail vaak zeer privacy gevoelige informatie wordt verzonden.
Had ze net allemaal veranderd nav bloedend hart. Heb bovenstaande mail overigens niet gekregen.
Jup ondertussen heb ik Hotmail zo ver gekregen dat hij me alleen toelaat met een eenmalige code via SMS. met het password kan ik niet meer inloggen op de website en via OSX mail vraagt ie af en toe ook om een PW (gewoon ff enter rammen dus). Op mn iPhone werkt het echter wel goed.
niemad zegt dat de gegevens via zo'n hotspot zijn buitgemaakt.
Dat was niet zijn punt.
Nee, zijn punt is dat hij ziggo verantwoordelijk houdt voor het weglekken van passwords. Maar vooralsnog is daar geen bewijs voor. De man moet niet zoveel blowen . . . ;o)
Ik heb geen brief gehad, dus ik hoef me geen zorgen te maken nu ?
Misschien toch maar even het wachtwoord veranderen.
Het is sowieso verstandig om je wachtwoorden regelmatig te vervangen. Een password manager zoals KeePass of LastPass kan daarbij helpen.
Ja laat ik al mijn wachtwoorden digitaal opslaan, maar inderdaad wel handiger
Ja laat ik al mijn wachtwoorden digitaal opslaan, maar inderdaad wel handiger
Handiger én verstandiger! Het geeft je in ieder geval bescherming tegen Dictionary attacks, herhaaldelijk gebruik van dezelfde wachtwoorden en het bruteforcen van gestolen hashes. Je moet dan wel voorzichtig omgaan met je database, je bewust zijn dat het een single point of failure kán vormen en dat social engineering attacks nog steeds toegang tot je mail kunnen verschaffen.

Volgens mij is het grootste veiligheidsvoordeel dat je in ieder geval niet meer, of iig minder snel, slachtoffer kan worden van grootschalige 'hagelschot' aanvallen. Als iemand jou specifiek wilt hacken zijn daar nog steeds mogelijkheden voor.

Edit: Aanvullend leesvoer: Arstechnica How elite security ninjas choose and safeguard their passwords

[Reactie gewijzigd door analogworm op 21 april 2014 13:20]

Ik snap wat je bedoeld maar zelf onthoudt ik mijn wachtwoorden gewoon liever (1 per account en niet 1 algemeen wachtwoord)
[...]
"Ja laat ik al mijn wachtwoorden digitaal opslaan, maar inderdaad wel handiger"


Handiger én verstandiger! Het geeft je in ieder geval bescherming tegen Dictionary attacks, ...... en het bruteforcen van gestolen hashes.
Leg eens uit hoe een passwordmanager kan helpen tegen dictionary attacks en brute force attacks?
Leesvoer: Arstechnica Anatomy of a Hack: How crackers ransack passwords like “qeadzcwrsfxv1331”

Het komt er dus op neer dat je met een password manager 'volledig' random lange wachtwoorden kunt gebruiken, omdat je geen truukjes meer hoeft te doen om ze te onthouden. En laat lange random wachtwoorden nou net niet gevoelig zijn voor dictionary attacks en een heel stuk moeilijker te bruteforcen.

Wist je trouwens dat er een test case is waarbij 62% vd wachtwoorden binnen het uur 16min gevonden waren? En na 24 20 uur zelfs 90%? Met een password manager hoor je bij dé 10%, daarom dus ;) (zie eerder gelinkte artikel van Arstechnica)

[Reactie gewijzigd door analogworm op 21 april 2014 12:23]

of op papier opschrijven zodat het juist niet digitaal is..
Gewoon onthouden (nee niet 1 voor alles maar 1 per account)
Heb je die eigenlijk wel nodig als je Firefox gebruikt? Heeft ook zoiets in de vorm van een hoofdwachtwoord.
Ik kon betrekkelijk makkelijk mijn wachtwoorden van 'vergeten' accounts uit de firefox database trekken. Weliswaar gebruikte ik geen hoofdwachtwoord.

Het voordeel van een password manager is natuurlijk dat je de wachtwoorden niet zelf hoeft te bedenken maar de random generator het werk kan laten doen, ofwel betere wachtwoorden.
Daarbij wel de kleine aantekening dat het inloggen op de ziggo-klantenpagina niet leek te werken in combinatie met LastPass (helemaal niet, het maakte iets kapot aan het inlogform.) De klantenservice zou dat opgepakt hebben als het goed is, maar ik weet niet of het al gefixt is.

Of dat ook voor email/webmail zelf geldt weet ik trouwens niet.

[Reactie gewijzigd door incaz op 20 april 2014 21:14]

Als je je wachtwoorden regelmatig aanpast (wat ik voor key accounts - mail, technet, ziggo, digid, banken, computer accounts, faceialbook, linkedin) doe dan hoef je niet veel te doen, of niets te doen. elf wijzig ik alles tussen de 30-60 dagen alle accounts met een uniek nieuw wachtwoord. Alleen moet je bereid zijn om er een uurtje voor uit te trekken met zo veel logins.

Het grootste probleem is meer, hoe houd ik mijn wachtwoorden uniek en kan ik deze toch makkelijk onthouden.....

[Reactie gewijzigd door Wim-Bart op 20 april 2014 21:07]

Een uurtje? Echt niet dat je daarin *al* je wachtwoorden kunt veranderen, zeker als je ook de webshops meerekent waarbij je één keer iets hebt besteld en je verplicht een account moest aanmaken. Waste of time, gewoon LastPass gebruiken en overal een uniek password voor gebruiken, wat een verademing. Totdat er een keer een groot lek aan het licht komt, maar dat zien we dan wel weer :z
Het is vooral schikbarend om te zien hoeveel websites gebruik maken van je e-mail adres als login. Als je e-mail en wachtwoord bekend zijn ben je inderdaad echt de lul als je overal hetzelfde wachtwoord voert. Voel me echt een stuk veiliger nu ik overal een ander wachtwoord heb en het werk zo makkelijk :).
Al sinds het eenvoudig werd om meerdere mailaccounts aan te maken, heb ik dat gedaan.
Ik heb de site's "geordend" in mijn safetymatrix, en aan die indeling krijgen ze een 'eigen' mailadres.

Site's waar de risico's op teveel mail / spam hoog is, komen in mijn semi-spam adres terecht, en via mijn hoofdaccount wordt alle mail binnen getrokken, en in categorieen gezet.

Gmail heeft een prima spamfilter, en goede filtermogelijkheden om het in goede banen te leiden.

Met keepass random wachtwoorden aanmaken, zo hoop ik een redelijk veilig net te hebben.
Ik gebruik al jaren de domeinnaam van de site in het emailadres dat ik op geef. Heb toch een catch all op mijn domeinnaam.
Voordeel is dat ik gelijk weet welke site lek is als ik daar ineens spammail op binnen krijg
Ik gebruik al jaren de domeinnaam van de site in het emailadres dat ik op geef. Heb toch een catch all op mijn domeinnaam.
Voordeel is dat ik gelijk weet welke site lek is als ik daar ineens spammail op binnen krijg
Dan is het nog wel te hopen dat je goeie en telkens andere wachtwoorden voor die sites gebruikt.
Want als jouw wachtwoord gekraakt wordt voor tweakers@sunnie.nl dan zal men dat toch ook eerst gaan proberen op facebook@sunnie.nl en twitter@sunni.nl etc.
In ieder geval is je email, dat ook vaak je gebruikersnaam is eenvoudig te achterhalen. Dat maakt het al een stuk makkelijker om jouw gegevens te misbruiken.
Webshops verander ik niet, want daar voer ik geen creditcard gegevens in en ik koop eigenlijk heel weinig via internet, ben zo iemand die iets eerst wil vasthouden voor ik iets koop en dat is die paar euro meer wel waard.

Overigens gebruik ik een heel eenvoudig schema. Zo beginnen al mijn wachtwoorden gewoon met zoals x-letters van de site zoals Pim al zegt. En verwerk ik de datum er in en het jaargetijde.

Bijvoorbeeld: F@Z0m03junAura voor Facebook, op 3 juni veranderd. Hoef ik alleen de datum maar te onthouden. Doordat ik een random aanhoud is de datum altijd uniek. Daarnaast is er een stukje personalisatie van de persoon welke het meest dicht bij die datum jarig was.

Bovenstaande wachtwoord is trouwens een basis, het aantal letters van jaargetijde en site zijn iets anders bij mij ;-)
Je kan ook voor Facebook de 2 step authentication inschakelen.
O die zit ook overal op waar het maar kan :-)
Op een briefje bijhouden en deze in je sokkenla verstoppen werkt al sinds ik voor het eerst een wachtwoord moest aanmaken :P
Heb jij je sokkenla altijd bij je dan?
Waarschijnlijk heeft hij een screenshot van dat briefje op zijn smartphone staan, maar of dat nu zo veilig is... ;)
Waarschijnlijk ken ie dat ene wachtwoord na 20 jaar inmiddels wel uit zijn hoofd.
Lastpass. Generate password. 100% random, vult automatisch in, past automatisch aan. Hoef je nog maar 1 wachtwoord te onthouden. Met android/iphone app.

Makkelijker en beter kan het bijna niet.
En dan word je lastpass wachtwoord achterhaald... zijn meteen al je accounts gehackt. Nee dank je, de meeste wachtwoorden zitten in mijn hoofd en de minder vaak gebruikt op een papiertje ergens weggestopt.

Het papiertje kan ook gestolen worden maar daarvoor moet eerst iemand fysiek mijn woning betreden.
Daarom is het ook zo jammer dat de meeste aanbieders, zoals bv Ziggo geen spaties toestaan om een nog veiliger wachtwoord te gebruiken. Soomige staan zelfs alleen maar letters en cijfers combinaties toe. Dus speciale tekens of spaties helemaal niet toegestaan.
Letters en cijfers is goed genoeg. Ik gebruik zinnen om mijn wachtwoorden van te maken. Succes met het kraken van de 15+ tekens erin
Ik gebruik vaak spaties, maar als dat niet kan doe zulke combinaties en lange wachtwoorden. Maar kan ook niet altijd, want soms tot maximaal 10 toegestaan.
Je kunt ze uniek maken door je wachtwoord te laten beginnen met de eerste X letters van de domeinnaam.. Of als dat de opzichtig is een ander truckje waardoor je overal een uniek wachtwoord hebt, zoals je maar consequent het zelfde truckje gebruikt.
Wat ik niet helemaal begrijp is dat wachtwoorden standaard volgens mij versleuteld worden opgeslagen met hashing algoritmen. Hoe kan het dat de echte wachtwoorden zo vaak buitgemaakt worden?
Omdat dit in de praktijk vaak niet zo blijkt te zijn. Hoe vaak hoor je niet dat procedures verouderd zijn, of dat wachtwoorden gewoon als platte tekst zijn opgeslagen?
En zelfs als het gebeurt is dat alsnog geen garantie - hashing algoritmes blijken ook niet altijd onomkeerbaar te zijn, waardoor een hash alsnog teruggeleid kan worden tot een bepaald wachtwoord. Tien jaar terug was WEP bijvoorbeeld nog een afdoende beveiliging voor je wifi netwerkje, maar vandaag de dag kraak je daar met twee vingers in je neus doorheen...
Om een hash te kunnen controleren moet je het plain text password weten. Dus je onderschept het in plain text (keylogger, mitm, phishing) of je achterhaalt het opgeslagen formaat bij de gebruiker (dat moet immers te decrypten zijn).
Zei kunnen het wachtwoord zo goed versleutellen als ze willen maar als de persoon waarvan het wachtwoord is het op facebook zet tja... (een heel extreem maar helaas voorkoment voorbeeld)
Misschien wordt het tijd dat consumenten programma's zoals Radar, Kassa etc wat actiever het gebruik van tools als keepass gaan promoten om zo de mensen te gaan aansporen overal een ander wachtwoord te gebruiken.
Mee eens, maar krijg het maar eens voor elkaar bij mensen die weinig verstand van computers hebben. Zo heb ik de afgelopen dagen mijn oom geholpen om een nieuwe laptop een beetje klaar voor gebruik te krijgen, en bestanden en mail van zijn XP machine naar zijn Windows 8 laptop te verhuizen. De wachtwoorden-bonanza was als volgt: 2 email accounts, "mijn Ziggo" wachtwoord (omdat hij zijn email adres wachtwoorden kwijt was), Ziggo wifi password, registratie bij Asus (voor de garantie van z'n laptop), Windows 8 lokaal wachtwoord, Windows Live account...

De schok van een nieuwe laptop, en daar bovenop Windows 8 EN nieuwe mail client.. Ik opperde nog wel dat ie iets als keepass of lastpass moest gaan gebruiken, maar de stoom kwam uit de beste man zijn oren.
Tja, het grote probleem van dit soort dingen is dat de gevolgen vaak nagenoeg onmerkbaar zijn voor de slachtoffers. Mensen zoals je oom zouden, en dat bedoel ik niet vervelend naar je oom, eigenlijk geen gebruik van deze technologie moeten maken. Ik snap dat dat praktisch onhaalbaar is, dus er moet zeker moeite gestoken worden om de techniek toegankelijk te maken voor je oom of je oom de nodige kennis bij te brengen, maar dat is in feite wel waar het op neerkomt.

Een gemiddeld bedrijf (om een voorbeeld te geven) peinst er niet over om een onervaren persoon achter een duur stuk apparatuur te zetten, tenzij het een computer betreft. Dan vinden we het allemaal maar normaal.
Keepass is inderdaad een goed hulpmiddel, dan hoef je in principe nog 1 password te onthouden en dat is van keepass zelf. Keepass kan moeilijk te raden passwords genereren, dus eigenlijk is dat best safe.
Als je dan ook nog regelmatig een password vervangt voor een nieuw, kan het haast niet fout.
Wil ik braaf mijn Ziggo wachtwoord wijzigen in een veiligere variant.. krijg je dit
Het wachtwoord (minimaal 5 en maximaal 16 karakters) mag bestaan uit: cijfers, kleine en/of hoofdletters en de volgende tekens: . , & ( ) : ; - _
Lekker bezig! Waarom maximaal 16 karakters? Waarom slechts een beperkt aantal tekens??
Mag hopen dat er slechts een hash wordt opgeslagen???

[Reactie gewijzigd door frickY op 20 april 2014 22:14]

Bijna even belachelijk als bij MoneYou. Daar is het minimaal 8 en maximaal 12, letters klein en groot cijfers en ook een beperkt aantal karakters waaronder geen @ en #... klaag ik al tijden over bij ze. Snap niet dat bedrijven de lengte zo nodig beperkt willen houden en waarom niet alle speciale karakters worden toegestaan!
Maximale lengte aan een wachtwoord kan duiden op twee mogelijke oorzaken
1. Algehele technische onkunde
2. Het wachtwoord wordt niet gehasht en het databaseveld is maar x karakters groot. Zie 1

Aegon heeft dezelfde debiele "eis". Op vragen hierover reageren ze met het antwoord dat ze voldoen aan de regels van DNB. Heb het ook al gezien bij otto.nl en kvk.nl. Hierbij aangemerkt dat alleen kvk via webcare aangaf dat ze hier mee aan de slag zouden gaan.

Misschien idee voor Tweakers om hier eens in te duiken voor een achtergrondartikel.

[Reactie gewijzigd door wackmaniac op 21 april 2014 08:12]

En je kan geen wachtwoorden plakken in het password veld, annoying!
Ik kan prima gebruikersnaam en wachtwoord kopiëren/plakken in het inlogveld en met KeePassX autotype werkt ook.
Bij het invoeren wel, maar bij het veranderen niet.. moet je je wachtwoord 2x overtikken uit je keepass..
Ja, eigenlijk ironisch dat ze op deze manier middelen als keepass in de weg zitten.
Wij zijn klant bij Ziggo maar hebben (nog) geen brief ontvangen. Wanneer moet die dan verstuurd zijn..?

Ga nu maar ff in "Mijn Ziggo" het wachtwoord veranderen...
De brief is donderdag verstuurd naar abonnees. Alleen mensen van wie bekend is dat ze slachtoffer zijn, krijgen de brief.
Ok bedankt! Heb toch maar wel m'n wachtwoord veranderd :)
Geld dit ook voor good old casema/@home en multiweb users? Ben ook een ziggo klant met een casema email adres. Geen brief gehad. Of hebben ze alleen de getroffen gebruikers gepost?
Toch al standaard routine om elke 90 dagen alle wachtwoorden te veranderen maar just in case eerder gedaan..

[Reactie gewijzigd door Qualixo op 20 april 2014 21:16]

Dat zou kunnen, omdat het voornamelijk om oude gegevens gaat. Getroffen klanten krijgen in ieder geval een brief. Desondanks kun je natuurlijk altijd je wachtwoord wijzigen :)

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*