Hackers maken gebruikersdata buit op eBay

Hackers hebben op veilingsite eBay toegang gehad tot een database met gebruikersgegevens. Daarbij zijn onder andere versleutelde wachtwoorden buitgemaakt. Ebay vraagt aan al zijn gebruikers om hun wachtwoord te wijzigen.

De aanval op de database zou ergens tussen eind februari en begin maart plaats hebben gevonden nadat de hackers inloggegevens van een medewerker hadden bemachtigd. De hackaanval zou echter pas twee weken geleden door eBay zijn ontdekt. Naast versleutelde wachtwoorden kregen de aanvallers ook toegang tot e-mailadressen, huisadressen, geboortedata, gebruikersnamen en telefoonnummers.

Volgens de veilingsite zijn er naar alle waarschijnlijkheid geen creditcardgegevens gestolen. Ook claimt het bedrijf dat er geen aanwijzingen zijn dat de gestolen data gebruikt is bij verdachte transacties op zijn veilingplatform.

Ondanks dat de wachtwoorden in de database waren versleuteld, kunnen aanvallers pogen deze alsnog te kraken. Ebay heeft daarom besloten om al zijn 112 miljoen gebruikers te vragen hun wachtwoord te wijzigen. Ook waarschuwt de veilingsite om niet te kiezen voor een wachtwoord dat al op andere websites wordt gebruikt, een gewoonte die ondanks de gevaren nog voor veel internetgebruikers van toepassing is. Dochterbedrijf PayPal had al eerder aan zijn gebruikers verzocht om hun eBay-wachtwoord te wijzigen.

IT-banen

Reacties (98)

chopper88 21 mei 2014 16:57

"Ebay heeft daarom besloten om al zijn 112 miljoen gebruikers te vragen hun wachtwoord te wijzigen."

Ben ik hier nu uniek of.. Ebay heeft mij helemaal niks gevraagd? Zelfs als ik nu naar Ebay toe ga lees ik er niks over terug.

i7x @chopper88 • 21 mei 2014 17:07

Op zowel de .com als de .nl variant wordt mij nog niet gevraagd een nieuw wachtwoord in te vullen. In het berichtje waar Tweakers naar linkt staat wel dat ze het "later vandaag" zullen gaan doen. We moeten dus gewoon nog even wachten.

chopper88 @i7x • 21 mei 2014 23:33

Het hele punt is juist wat de persoon onder mij ook schreef. Ebay hoort dit eerst bij mij aan te geven als gedupeerde alvorens zo'n bericht de wereld in te helpen.

En ook al is de gedachte dat het lang duurt om iedereen te notificeren en daarom maar een persbericht, dan nog zou het wel fijn zijn om ieder geval een bericht op de website terug te vinden. Desnoods een éénmalige popup of banner oid, uiteindelijk bevinden zich daar toch je klanten/gebruikers...

Afijn, inmiddels m'n wachtwoord al lang veranderd, maar toch verlies ik hier een klein stukje vertrouwen in de organisatie.

mkessels @chopper88 • 21 mei 2014 17:33

De emailadressen zijn gestolen*, dus ze kunnen je niet meer mailen, want ze hebben je mail-adres dan dus niet meer

.

* stelen:
heimelijk wegnemen, zich eens anderen goed onregtmatig toeëigenen
bron: http://www.dbnl.org/tekst...cali003nieu01_01_0022.php

[Reactie gewijzigd door mkessels op 23 juli 2024 15:15]

aval0ne @mkessels • 22 mei 2014 13:09

De emailadressen hebben ze nog gewoon hoor. Er is helemaal niets verwijderd.

Douweegbertje @chopper88 • 21 mei 2014 19:39

112 miljoen mailtjes, duurt wel eventjes. Het kan best zijn dat je dat vandaag of morgen nog gaat krijgen.

Robbedem 21 mei 2014 16:49

Ook waarschuwt de veilingsite om niet te kiezen voor een wachtwoord dat al op andere websites wordt gebruikt, een gewoonte die ondanks de gevaren nog voor veel internetgebruikers van toepassing is.

Natuurlijk gebruiken de meeste mensen hetzelfde wachtwoord voor verschillende sites. Overal vraagt men je om je te registreren. Probeer maar eens 20 verschillende wachtwoorden te onthouden... Ik probeer het voor mijzelf te beperken tot drie. 1 wachtwoord voor alle onbelangrijke en ongevaarlijke dingen, een ander voor de dingen die ik toch liever niet kwijtraak en een laatste voor echt belangrijke zaken. Spijtig genoeg moet ik soms toch nog een ander wachtwoord gebruiken omwille van bepaalde eisen die gesteld worden. (vind ik dom, want aan hoe minder eisen een wachtwoord moet voldoen, hoe meer het er kunnen zijn en dus moeilijker te achterhalen)

-36- @Robbedem • 21 mei 2014 16:53

door achter je vaste wachtwoord een ezelsbruggetje te maken per verschillende website door bv de 2e en 4e letter van de sitenaam toe te voegen kan je al een heleboel redelijk unieke te onthouden wachtwoorden maken.

Armin

Netwerk en systeembeheer

@-36- • 21 mei 2014 18:35

Klopt, alleen zijn die zwak.

Ik zal dat uitleggen, maar eerst: elk handig systeenm dat jij bedenkt, bedenken hackers ook. En belangrijker bedenken die miljoenen andere gebruikers ook. En dus ontdekken hackers het ook.

De wijze waarom men pasworden kraakt is namelijk anders. Men gaat niet brute-force of zelfs rainbow tables. Men gebruikt brute-force met patronen.

Dus stel dat jij een wachtwoord hebt dat zegt:

MijnWachtwoord###

met ### het site specifieke deel, dan heb jij effectief een wachtwoord van slechts 4 tekens. Hackers weten namelijk dat mensen dit soort patronen gebruiken, en proberen dus woorden, stukjes van woorden, lettercombinaties, letter-cijfer-combinaties, etc ipv woorden of gewone brute force.

Nu goed, als het niet belangrijk is, is jouw methode welicht geen problem, maar beseft dus wel dat het niet erg sterk is.

Je moet er vanauit gaan dat elk patroon dat jij bedenkt al reeds bekend is. Echt veilige wachtwoorden hebben dus geen patronen.

Sisko @Armin • 21 mei 2014 19:12

Wanneer de wachtwoorden gehashed zijn, is het verschil tussen wachtwoordab en wachtwoordcd net zo onherkenbaar als tussen wachtwoordab en xF%4ggy&2a1M, aan de hashwaarden zal je geen patronen kunnen ontdekken.

(correct me if i'm wrong, ik hoop dat ik het niet verkeerd heb, zo zou het iig moeten zijn)

Armin

Netwerk en systeembeheer

@Sisko • 21 mei 2014 20:20

correct me if i'm wrong, ik hoop dat ik het niet verkeerd heb, zo zou het iig moeten zijn

Je hebt gelijk, maar dat maakt dus niet uit. De wijze waarop hackers password databases hacken is door botweg te proberen door de hash uit te rekenen en te vergelijken.

Dus stel jouw wachtwoord is MijnWachtwoord123. Wat hackers proberen is

MijnWachtwoord111
MijnWachtwoord112
MijnWachtwoord113
etc.

Dat zjn dus slechts 4 unieke karakters en kost een PC slechts luttlele seconden om allemaal uit te proberen. Men rekent dus gewoon de hash uit en vergelijkt met de waarde in de gestolen database.

En nog erger, want ze weten dat mensen vaker 123 of 321 gebruiken. Dus ze beginnen met die cijfercombinaties die mensen meestal gebruiken.

Let wel ik simplificeer, maar mijn punt is dat ze hele bouwstenen gebruiken van vaak voorkomende stukjes. Dat kunnen woorden zijn, maar ook stukjes van woorden, lettercombinaties, cijfer-lettercombinaties, etc. Hackers hebben vaak jarenlange informatie en kennis over patronen die mensen - vaak ook geheel onbewust - gebruiken.

Dat de hash total verschilt bij een hele kleine wijziging klopt, maar maakt niet uit want de hacker relent de hash dus real-time uit. Moderne hardware met videokaarten kan zo verschrikkelijk snel rekenen dat men gewoon heel veel combinaties kan proberen.

De klassieke brute force sommen zijn dus niet echt relevant, want men probeert alleen de slimme combinaties. Enkel die combinaties waarvan bekend is dat de meeste mensen ze gebruiken. En probleem is dat als ik slimmer dan de hacker denk te zijn en een 'geheime' combinatie/patroon gebruik, het zo goed als gegarandeerd is dat andere mensen hetzelfde slimme patron bedachten en reeds gebruikten en dus bekend is bij een hacker

Er zijn twee tegenmethoden. Eentje als gebruiker en eentje als system-admin. Als gebruiker kun je je wapenen door een echt computer-genereerd pseudo-random wachtwoord te gebruiken.

En als system-admin kan je meer rounds te gebruiken. Men hash dus niet 1 keer, maar 1000 of 10000 keer. De hacker moet dan in mijn voorbeeld nog steeds maar 4 karakters proberen, maar wel de hash 1000 a 10000 keer uitvoeren. Wat enkele seconden duurt, duurt dan minuten. Wat minuten duurt dagen en een totale database opeens jaren.

Ander algorithmen zijn speciaal ontwikkeld dat ze niet makkelijk in dedicated hardware of videokaarten geoptmimaliseerd kunnen worden. Videokaart hardware vind rekenen heerlijk, maar branches (if-statements) verschrikkelijk. Ook kunnen ze vaak optmiaal werken indien de geheugenruimte vast is. Bibliotheken als bcrypt en scrypt maken hiervan gebruik door algorithmen te gebruiken die heel erg slecht te optimaliseren zijn. Dat maakt niet uit als je één hash wilt berekenen (als password verificatie), maar wel als je er miljoenen wilt berekenen als crimineel.

Helaas zijn de teveel system-admins lui en gebruiken slechte password systemen of lage aantallen rounds die niet door de jaren aangepast worden. En developers zijn juist niet lui genoeg

en gaan hun eigen stoere en slimme hash-algorithme implementeren ipv een standaard bibliotheek-functie aan te reopen die dit allemaal in een paar regels code automatisch doet.

En eerlijk is eerlijk, onbegrip over waarom hashing daadwerkelijk beschermt en hoe hackers te werk gaan werken dit in de hand, dus ook mensen met de beste intenties maken vaak dit soort fouten.

Sisko @Armin • 21 mei 2014 22:22

Ok, op die manier. Je hebt dan wel een punt, maar dit geld dus alleen voor die wachtwoorden die veel gebruikt worden zoals "wachtwoord" "inloggen" , "w4chtw00rd" of de naam van de kat, het kind etc.

Zijn nog inderdaad teveel mensen die zulke ww-en hebben, maar als je een ww als "Dw2Fz%klS" hebt en die afwisselt met 01, 02, 03 erachter(bij maandelijkse wijziging) zul je van deze methode niet zo snel last hebben (totdat dat ww ergens eens ongecodeerd opgeslagen blijkt te zijn na een hack en ze deze combinatie ook gaan toevoegen aan het rijtje bekende ww-en natuurlijk)

persoonlijk gebruik ik steeds vaker de ww generator uit keepass voor nieuwe wachtwoorden

Armin

Netwerk en systeembeheer

@Sisko • 21 mei 2014 22:35

Zijn nog inderdaad teveel mensen die zulke ww-en hebben, maar als je een ww als "Dw2Fz%klS" hebt en die afwisselt met 01, 02, 03 erachter(bij maandelijkse wijziging) zul je van deze methode niet zo snel last hebben

Eens, maar wel met de nadruk op 'niet zo snel'.

Maar je hebt gelijk en voor minder belangrijke zaken inderdaad niet zo'n probleem.

Alleen ...

dat ww ergens eens ongecodeerd opgeslagen blijkt te zijn na een hack en ze deze combinatie ook gaan toevoegen aan het rijtje bekende ww-en natuurlijk

Er zijn alleen dit jaar al meer dan een miljard passwoorden gestolen aldus statistieken van o.a. Holden Security. Besef verder dat ruim 10% nooit ontdekt wordt, zelfs niet na jaren ...

De kans is dus best groot

Maar zolang je het niet bij je bank en email gebruikt, maakt dat wellicht niet uit. Met merendeel van de wachtwoorden wordt namelijk enkel gebruikt om te proberen in combinatie met jouw email-adres.

Als je email een uniek wachtwoord is, zit je meestal goed. En wanneer mogelijk zet two-factor aan, en je hoeft je weinig zorgen te maken.

analogworm @Armin • 22 mei 2014 09:14

Maar dan op het volgende punt. Je hebt uitgebreid uitgelegd hoe wachtwoorden gekraakt kunnen worden, vandaaruit is de conclusie dat het een goed idee is om een password database zoals keepass te gebruiken.

Maar wat zijn nu de best practices om je database te beschermen?

Armin

Netwerk en systeembeheer

@analogworm • 22 mei 2014 18:46

Maar wat zijn nu de best practices om je database te beschermen?

Dat is een vak apart, waar ik ook geen expert in ben.
Maar een aantal zaken kan ik wel aangeven:

1) niet zelf gaan hashen, maar gebruikt een standaard algorithm als bcrypt of pbkdf2
2) Gebruik een unieke salt, en liefst per wachtwoord.
3) Gebruik genoeg rounds (pbkdf2 gebruikt 1000 standaard, maar meer kan vaak best), en maak dit liefst een parameter die je later kunt wijzigen zonder de software te hercompileren.
4) Evalueer elke X jaar de security. Wellicht heb je dan meer round nodig, of voldoet je oude algorithme niet meer.

Dit lost van de fysieke beveiliging van je database natuurlijk, en de beveiliging van je server-software. Dit gaat puur over de password opslag.

analogworm @Armin • 22 mei 2014 19:12

Ja ja, maar ik bedoelde natuurlijk de database van keepass.. Sorry voor de verwarring

Armin

Netwerk en systeembeheer

@analogworm • 22 mei 2014 20:05

Ik vertrouw online databases per definitie niet. Ik ben paranoide geef ik toe, maar ik zie dat als een 'single point of failure' voor al mjn wachtwoorden.

Ik sla het dus lokaal op met de volgende wijzigingen:
1) De hele PC disk zelf is encrypted met TrueCypt of Bitlocker. Als mijn PC/laptop/tablet/telefoon/etc ooit gestolen wordt kan ik dus rustig slapen.
2) Database zelf is uiteraard ook encrypted (3DES/AES) zodat als je ooit toch malware op de PC krijgt terwijl je ingelogd bent, die niets kan. Veel tools toen dat al voor je.
3) Encrypt uiteraard ook je backups (USB stick/HDD) met Bictlocker of TrueCrypt of andere tool.

Aanvullend kun je toepassen:
4) Niet als admin inloggen, en via 'run as' je database benaderen. Als je echt paranoide bent

5) Je kunt de database nogmaals transparent encrypten. Daar merk je als ingelogd gebruiker niets van aangezien decryptie automatisch gebeurd, maar een andere gebruiker - zelfs als die admin rechten heeft! - kan nog niets.

Zie cipher.exe:

http://technet.microsoft.com/en-us/library/bb490878.aspx

[Reactie gewijzigd door Armin op 23 juli 2024 15:15]

analogworm @Armin • 22 mei 2014 21:03

"Ik vertrouw online databases per definitie niet. Ik ben paranoide geef ik toe, maar ik zie dat als een 'single point of failure' voor al mijn wachtwoorden."
Niet alleen die van jou maar ook die van heel veel anderen, wat het tot een potentieel veel interessanter target maakt.

Ja het encrypten van de HDD en USB sticks is natuurlijk wel zo handig.

Enne die value voor key transformations, doe je daar nog iets mee of heb je die gewoon op de standaard 6000 laten staan? Want als ik het goed begrijp is dat het keer op keer hashen toch?

Armin

Netwerk en systeembeheer

@analogworm • 22 mei 2014 21:32

Want als ik het goed begrijp is dat het keer op keer hashen toch?

Tenzij ik je nu verkeerd begrijp, dat is server-side. Server-side doet hashen. Client-side doe je encryptie.

Hashen is namelijk onomkeerbaar. Enige wat een server hoeft te weten is of jij het juiste password hebt ingetypet, maar niet het password zelf. Als dus na bijvoorbeeld 6000 rounds de hash van het net door de client gestuurde wachtwoord gelijk is, aan het op de server opgeslagen hash-getal (wat al 6000x pre-hased is) was het wachtwoord goed.

JIj aan de client-side moet je wachtwoord wel uit de lokale password-database kunnen halen. Immers dat moet je kunnen uitlezen en exact goed invoeren/naar de server sturen. Die wordt dus niet gehashed, maar encrypted. Encryptie hoeft maar één keer (mits goed gedaan).

Dus op de server doet men bijvoorbeeld 6000 rounds SHA1, maar de client kan volstaan met een enkele encryptie-laag van bjivoorbeeld AES of 3DES.

(Waarom doen servers dan geen encryptie? Dat doen sommige servers dan ook. Password library pbkdf2 is hash based, maar bcrypt is intern meer een vorm van encryptie. Beide hebben hun voordelen en nadelen.)

Dorank @Armin • 21 mei 2014 21:16

Je kan er wel een heel lang verhaal van maken, maar de oplossing voor gebruikers zijn reproduceerbare password generatoren. Iets wat heel simpel te reproduceren is met standaard aanwezige tools, zo heb ik jaren lang als wachtwoord een substring van base64(md5(md5(geheim+ceil(unixtime/31536000))+geheim+doel)) gebruikt. Het probleem is echter de vaak debiele eisen aan wachtwoorden waardoor je niet 1 algorithme kan gebruiken.

Beste alternatief is dan helaas een keychain/wallet met unieke wachtwoorden per doel, beveiligt met een leuke passphrase.

Hiermee ben je als gebruiker niet overgeleverd aan de implementatie aan de andere kant, het maakt immers niets uit voor je andere accounts indien je wachtwoord van een bepaalde dienst op straat komt te liggen

Armin

Netwerk en systeembeheer

@Dorank • 21 mei 2014 21:28

maar de oplossing voor gebruikers zijn reproduceerbare password generatoren

Amen!

Mijn lange verhaal is vooral om uit te leggen waarom je dat nodig hebt.

Zoals je kunt lezen zijn er veel mensen die een verkeerd beeld hebben van hoe hackers te werk gaan en waarom bepaalde wachtwoorden sterk of zwak zijn.

Je krijgt dan opmerkingen als ik wil een 48+ tekens wachtwoord gebruiken, of een lange zin met een enkel voor mij bekend patroon, etc. En dat zijn precies de dingen die of niets helpen, of zelfs averechts.

-36- @Armin • 21 mei 2014 19:14

Zoals gezegd redelijk uniek en zeker niet onfeilbaar of perfect maar het is altijd schipperen tussen gemak en veiligheid en iig alweer een stuk veiliger dan overal 1:1 hetzelfde wachtwoord. Als je er genoeg tijd en moeite insteekt is uiteindelijk alles te kraken.

GORby @Robbedem • 21 mei 2014 17:01

Dat laatste is een bijzonder gevaarlijke veralgemening. Wanneer er geen eisen opgelegd worden aan een wachtwoord, zal een groot deel van de gebruikers een zeer eenvoudig wachtwoord kiezen. Wanneer deze eisen slim opgesteld worden, zal dit een significante verbetering van de veiligheid van de wachtwoorden tot gevolg hebben.

Als er bijvoorbeeld aan 3 van deze voorwaarden voldaan moet zijn
- minstens één lowercase letter
- minstens één uppercase letter
- minstens 1 cijfer
- minstens 1 leesteken
- minstens 12 karakters
EN altijd minstens 8 karakters

Dan kan een gebruiker kiezen om een wachtwoord zonder leestekens of cijfers te gebruiken (want dat is een pest op een iPad, waar het toetsenbord dat niet makkelijk laat combineren) op voorwaarde dat het minstens 12 karakters lang is. Gebruikers die graag korte wachtwoorden hebben, kunnen dat door een cijfer of leesteken te gebruiken.

Nog beter is natuurlijk dat de site een indicatie geeft van de veiligheid van je wachtwoord terwijl je typt en dan bijvoorbeeld minimum een bepaald niveau van wachtwoord wil.

rboerdijk @GORby • 21 mei 2014 18:54

Heb je al een geprobeerd een account te maken bij ICS ( die regelen de creditcard voor abn-amro). Ik kon het niet geloven toen ik de melding kreeg dat mijn wachtwoord geen speciale tekens mocht hebben... Nog sterker mijn verbazing de melding dat mijn wachtwoord "te lang" was.

Mijn mail aan ze:

"Hallo, ik heb net een nieuw account aangemaakt voor mijn creditcard, en het valt me op dat jullie het onmogelijk maken om *echt* sterke wachtwoorden te gebruiken. Mijn wachtwoorden bevatten altijd bijzondere tekens (zoals #$%^) dit is bij jullie niet zijn toegestaan - en hebben ook (veel) meer dan de door jullie maximaal toegestane 10 karakters.
Ik wil opmerken dat hierdoor wachtwoorden gemakkelijker te kraken zijn - vooral in deze context (bankzaken) vind ik dit zeer verontrustend..."

reactie =>

Dank voor uw e-mail van 19-02-2012. Met excuses voor de late reactie informeren we u graag als volgt.

We vinden het vervelend dat onze eisen voor het wachtwoord niet voldoet aan uw verwachtingen.

ICS doet er alles aan om uw persoonlijke gegevens te beschermen. Vandaar dat uw wachtwoord voor Creditcard Online aan een aantal strenge veiligheidseisen moet voldoen. Voor de huidige samenstelling van het wachtwoord hebben wij getracht deze zoveel mogelijk af te stemmen op de wensen van de gebruikers zonder dat dit ten koste gaat van de veiligheid.

=> Serieus... strenge eisen? Laat me niet lachen.

Eegee @rboerdijk • 21 mei 2014 21:20

Ik weet niet over welke site je het dan precies hebt, want mijn wachtwoord bij hen bevat wel degelijk bijzondere tekens en is langer dan 10 karakters.

rboerdijk @Eegee • 21 mei 2014 22:45

Misschien hebben ze ondertussen hun policy gewijzigd en het wachtwoord meer afgestemd op veiligheid, ipv "af te stemmen op de wensen van de gebruikers".

Update: Heb het getest - nu zijn sterke wachtwoorden inderdaad toegestaan.

[Reactie gewijzigd door rboerdijk op 23 juli 2024 15:15]

Robbedem @GORby • 21 mei 2014 17:11

Een paar eisen is op zich idd geen probleem, maar het wordt een probleem als ik hetzelfde wachtwoord wil gebruiken, maar dit niet gaat omwille van tegenstrijdige eisen.
Zo heb ik al gehad dat ik eenzelfde wachtwoord wilde gebruiken voor verschillende sites, maar bij de ene moest het wachtwoord langer zijn dan 12 tekens en bij de andere kon het niet langer zijn dan 12 tekens... Hetzelfde met leestekens, soms zijn die verplicht, soms zijn die niet mogelijk. Verder heb ik persoonlijk niet graag leestekens in mijn wachtwoorden, want dat durft wel eens problemen te geven als ik van een AZERTY bord naar een QWERTY bord ga.

Het lijkt erop dat er geen andere oplossing is dan wat -36- voorstelt (vind ik best nog wel een goed idee, maar zal er even op moeten puzzelen om iets goed te vinden).
Anders moet ik maar gewoon op papier alle wachtwoorden bijhouden en proberen goed leesbaar te schrijven.

GORby @Robbedem • 21 mei 2014 17:22

Je kan het natuurlijk ook eenvoudig houden en een password manager gebruiken. Op die manier kan je unieke en voldoende sterke wachtwoorden combineren met een wat betrouwbaarder geheugen dan dat van jou en mij.

kowapanga 21 mei 2014 17:00

Wat ik toch het ergste hieraan vind is dat de "hack" meer dan 2 maanden onopgemerkt is.
Er is dus door een buitenstaander ingelogd in het systeem van Ebay met de username/password van een medewerker om vervolgens DBs te downloaden.
En dit alles word pas opgemerkt naar 2maanden?

En dan nu met het advies komen om dringend het wachtwoord te veranderen?
Ik denk dat de meeste wachtwoorden al lang zijn gedecrypt en het kwaad al geschiet heeft.
Zeer slecht security beleid van Ebay..

Luke-san @kowapanga • 21 mei 2014 17:58

En dan is de vraag, wie is verantwoordelijk als er iets met jouw gestolen user en pwd gedaan wordt?
Het ip address hebben ze, maar dan kan mooi gespoofd worden.
Komt erbij dat er waarschijnlijk veel mensen hun paswoord op paypal hetzelfde is als op ebay en de schade is niet te overzien.

analogworm @Luke-san • 22 mei 2014 09:19

Das dan een beetje dom.. Ik kan me nog voorstellen dat evt schade bij ebay nog te verhalen valt.. Maar de redenatie mijn wachtwoord is bij ebay gejat en op paypal gebruikt gaat natuurlijk nergens over..

CopyCatz 21 mei 2014 16:53

"een gewoonte die ondanks de gevaren nog voor veel internetgebruikers van toepassing is. " Ja godsamme zeg, onderhand wordt elke site waar ik op zit 1x per week gehackt en krijg ik een mail of ik zo vriendelijk wil zijn mijn wachtwoord te resetten nav hun blunder. Kan onderhand wel een secretaresse nemen. Het wordt tijd voor iets beters dan wachtwoorden..

smekkos @CopyCatz • 21 mei 2014 16:57

het zou mooi zijn als je zoiets had als ldap maar dan prive! gewoon een paar gebruikersnamen & wachtwoorden instellen, en wijzigen wanneer nodig.

Robbedem @CopyCatz • 21 mei 2014 16:59

Idd, het is echt niet meer te doen met al die wachtwoorden. Misschien moeten we dan maar een ouderwetse fichebak maken om al die wachtwoorden bij te houden.

Bloodhoundje 21 mei 2014 21:38

Mijn Ebay account is vorige week gehacked. Gelukkig geen betalingen uitgevoerd omdat ik mijn PayPal/creditcard niet gekoppeld heb staan. Wel is gepoogd om meerdere rolex horloges aan te schaffen onder mijn naam. Gelukkig heeft Ebay alles net afgehandeld en de transacties teruggedraaid nadat ik contact met ze had opgenomen. Echter verbaasde ik mij erover aangezien mijn wachtwoord van Ebay op slechts 1 systeem gebruikt wordt en dat systeem 100% virusvrij is. Mogelijk heeft deze hack dus toch geleid tot misbruik?

Wat ik persoonlijk erg vind is dat Ebay tot op heden nog steeds geen two-step authentication heeft. Ik heb via PayPal een identifier proberen aan te schaffen hiervoor, echter worden deze niet geleverd in Nederland. Het is belachelijk dat zo een belangrijke feature tot op heden nog niet wereldwijd beschikbaar is.

immetjes @Bloodhoundje • 22 mei 2014 10:02

Stom van e-bay dat je geen melding op je SMS/e-mail adres krijgt als je e-mail of verzendadres wijzigt.

Net geprobeerd: Ik kan een verzendadres toevoegen zonder dat e-bay mij hierover een melding stuurt.

Dit lijkt me iets wat ebay asap moet aanpassen. Kan gezeur voorkomen lijkt me.

Zenomyscus 21 mei 2014 16:42

Ik vind het altijd opvallend als een artikel in de eerste alinea de nadruk legt op het buitmaken van versleutelde wachtwoorden. Dat terwijl in mijn ogen met het stelen van e-mailadressen en telefoonnummers veel meer gedaan kan worden. Bovendien kan je met de combinatie van email, gebruikersnaam en huisadres achterhalen waar iemand woont. Als je dit zou combineren met gegevens van aankopen dan weet je precies waar je welke spullen kunt halen... Al is mij niet bekend of er aankoop gegevens buit zijn gemaakt. Ik ga er dan wel vanuit dat de wachtwoorden ook degelijk versleuteld zijn en in principe waardeloos zijn.

RGAT @Zenomyscus • 21 mei 2014 18:04

met de combinatie van email, gebruikersnaam en huisadres achterhalen waar iemand woont

Euhm, als het huisadres er al bij staat heb je de combinatie niet meer nodig

Ik denk dat vooral het telefoonnummer, wat de gebruiker bij aanmelden heeft moeten bevestigen, gelekt is, zeer kwalijk dat het eBay 2 weken kost om een bericht naar buiten te brengen...
Dat het niet direct gebeurt omdat ze het zeker willen weten is te begrijpen, maar 2 weken.... bovenop 2 maanden...

analogworm @RGAT • 22 mei 2014 08:49

Zou ik daarom een smsje van Mr Gan Sh-yee hebben gehad??

ouwedibbes @RGAT • 23 mei 2014 01:23

Zou het kunnen dat Zenomyscus bedoelt dat je met het emailadres, de gebruikersnaam en het huisadres weet WIE waar woont? Ik probeer hem te helpen, ook al verwacht ik dat in de database van eBay de namen van hun gebruikers ook staan.

hondeman 21 mei 2014 16:40

wachtwoord policy 6 maanden: zijn de 6 maanden alweer voorbij?

theMob @hondeman • 21 mei 2014 16:45

Hoe verander je eigenlijk je wachtwoord op ebay? Kan het niet vinden...

Blaadje1982 @theMob • 21 mei 2014 21:05

Ik wist me wachtwoord al niet meer. Om het wachtwoord te veranderen moest ik me ... wachtwoord invullen..

Dus het snelste om te veranderen is bij het inloggen " wachtwoord vergeten " te gebruiken.

Daarna via de link in het mailtje dat je krijgt een nieuw wachtwoord kiezen.

Easy

vespino @theMob • 21 mei 2014 16:48

Klopt, was even zoeken: Mijn ebay => account => persoonlijke gegevens

theMob @vespino • 21 mei 2014 16:57

Gevonden, maar ik moest wel een 'vraag' stellen om bij de link te komen, die stond nergens in 'Mijn Ebay'.

flippy @hondeman • 21 mei 2014 16:45

meeste mensen houden gewoon de standaard policy van 6 decennia aan.

Verwijderd @flippy • 21 mei 2014 17:00

meeste mensen houden gewoon de standaard policy van 6 decennia aan.

IMO liever een lang password (16 karakters) met alle type leestekens dan een 6 karakter password ( minimum volgens eBay ). Als eBay de passwords hashed dan zal de hacker snel zien dat jouw password niet een standaard gemakkelijk te vinden password is en doorgaan met kraken van het password van een andere gebruiker.

Tevens log ik bijna nooit aan op eBay en ik gebruik geen IE en Windows dus de kans dat mijn password via een malware achterhaald wordt ook heel klein is.
nieuws: Nederlandse politie: gebruik geen Internet Explorer

eejin @Verwijderd • 21 mei 2014 17:12

Het problem dat je aankaart van IE is al meer dan 20 dagen opgelost. Je moet trouwens wel je best doen om malware op je computer te krijgen. Een beetje oplettende internetgebruiker zal nauwelijks malware oplopen.

Padje @eejin • 21 mei 2014 23:38

Nooit gewerkt in een Enterprise omgeving? Ik namelijk wel en ook nog een waar IE6 aangehouden diende te worden ivm de business critical applications daar was malware een van de grootste problemen op de clients. Dus dat iets 20 dagen geleden is opgelost wil niet zeggen dat het ook verholpen is voor iedereen of wel?

maussie95 @Padje • 22 mei 2014 10:25

Dat bedrijven nog steeds IE6 gebruiken en jij daarom als gebruiker IE moet ontwijken is natuurlijk onzin. 20 dagen is het opgelost voor de normale consument met een normaal updatet IE. Als die Business Critical Applications alleen op IE6 draaien, hoe kan je dan IE vermijden?

Blokker_1999

Hackers
Netwerk en systeembeheer

@Verwijderd • 21 mei 2014 17:40

Liever een lang wachtwoord (een zin) met enkel letters dan een kort, moeilijk te onthouden wachtwoord met hoofdletters, cijfers, speciale tekens ... : http://xkcd.com/936/

16 tekens was 10 jaar terug misschien een lang wachtwoord, maar de hardware word steeds krachtiger en met 16 begin je vandaag dus al aan de kortere kant te komen.

IE is vandaag trouwens een stuk veiliger dan vroeger en malware komt vaak via plugins binnen die in meerdere browsers verwerkt zit (flash, java, ...) het niet gebruike van IE is dus zeker geen enkele zekerheid op hogere veiligheid.

Armin

Netwerk en systeembeheer

@Blokker_1999 • 21 mei 2014 18:27

Liever een lang wachtwoord (een zin) met enkel letters dan een kort, moeilijk te onthouden wachtwoord met hoofdletters, cijfers, speciale tekens

Dat is even sterk als een middellang wachtwoord dat echt random is met een brede mogelijke karakterset ...

Na hashen is namelijk die lange zin identiek aan een ander wachtwoord dat veel korter is, maar waarschijnlijk een brede karakterset heeft. Hashen reduceert namelijk effectief de tekenset tot de lengte van je algorithme. Vandaar ook dat men vaak het aantal wachtworod tekens beperkt, omdat langer geen zin heeft.

Het voordeel van een lange zin is wellicht dat het in het begin makkelijker te onthouden is (al zal de gemiddelde persoon zelfs een random 20 tekens string kunnen onthouden na een paar keer intypen),maar nadeel is dat jij per ongeluk patronen gebruikt.

EDIT: off topic? Lijkt me meer op iemand die oneens was

[Reactie gewijzigd door Armin op 23 juli 2024 15:15]

Douweegbertje @Armin • 21 mei 2014 19:28

Laten we nou even zeggen waar het om gaat..
Een sterk wachtwoord is een mix van zowel lengte,onvoorspelbaarheid en complexiteit.

Alleen de vraag is, hoe ga je achter het wachtwoord komen? Zelfs met bovenstaande zou je een relatief veilig wachtwoord binnen een dag of 2 kunnen raden als het bijvoorbeeld "maar" 6 karakters heeft, ongeacht hoe complex je hem hebt gemaakt.

Even onderstaande copy/paste waar word uitgelegd hoe de sterkte van een password berekend kan worden op basis van "entropy".

The entropy of the first character is four bits;
The entropy of the next seven characters are two bits per character;
The ninth through the twentieth character has 1.5 bits of entropy per character;
Characters 21 and above have one bit of entropy per character.
A "bonus" of six bits is added if both upper case letters and non-alphabetic characters are used.
A "bonus" of six bits is added for passwords of length 1 through 19 characters following an extensive dictionary check to ensure the password is not contained within a large dictionary. Passwords of 20 characters or more do not receive this bonus because it is assumed they are pass-phrases consisting of multiple dictionary words.

Daarom kun je beter een langer wachtwoord hebben, dan een ~6 karakter password dat dit is: Tw3@kE*s

Nogmaals: http://security.stackexch...ong-dictionary-passphrase

Armin

Netwerk en systeembeheer

@Douweegbertje • 21 mei 2014 20:35

Alleen de vraag is, hoe ga je achter het wachtwoord komen

Gewoon proberen ...

En nee dat duurt geen dag of 2 maar luttlele seconden op een beetje modern PC met een setje videokaarten met special hash-software. Precies de software die elke wannabe-Chinese hacker gratis kan downloaden.

Dat is precies waar ik op doel. Vergeet dictionairy en brute force. Dat doet men enkel in het eerste uurtje om het laaghangende fruit te pakken. Daarna gaat men over op patroon-hacks.

Meeste adviesen betreft wachtwoord sterkte neemt nog steeds aan dat mensen brute force of woordenboek, of zelfs rainbow tables gebruikt. Dat doet men al jaren niet meer!

Jouw entropie-verhaal is juist maar geldt enkel bij volledig random karakters.

Daarom kun je beter een langer wachtwoord hebben, dan een ~6 karakter password dat dit is: Tw3@kE*s

Klopt, maar ik stel wat anders. Ik stelde een middellang wachtwoord.

Wat jij namelijk mist is allereerst dat langer dan de hash-lengte geen effect heeft. Een 128 tekens wachtwoord met een 160 bits hash algorithme, is onzinnig want alles wordt gereduceert tot een 20 tekens string/hash die een collision heeft met een ander wachtwoord van slechts 20 tekens lang.

Langer dan 20 tekens is dan enkel zinnig als het jou helpt makkelijker te onthouden. Echter dan komt het volgend risico om de hoek ...

Immers als je weten hoe hackers te werk gaan, weet je dat boven een bepaald aantal tekens enkel relevant wordt dat jouw wachtwoord random genoeg is. Een lang wachtwoord dat patronen bevat - hoe lang ook - is dan zwakker dan een middellang (!) wachtwoord dat geen patronen bevat.

En een lang echt random wachtwoord zonder patronen is dus net zo veilig als een echt random wachtwoord dat 20 tekens heeft. Per definitie ivm hoe hashing werkt.

Goderic @Armin • 21 mei 2014 21:49

wat bedoel je precies met een patroon-hack?

Armin

Netwerk en systeembeheer

@Goderic • 21 mei 2014 22:27

Een patroon-hack is de gangbare manier van paswoorden kraken. Men begint met wat woordenboek aanvallen en alle wachtwoorden onder 6 tekens + alles lowercase onder 8 tekens of zo brute force. En daarna gaat men patronen gebruiken.

Deze hackers zijn doorgaans al jaren in het vak, en hebben tientalle databases onderzocht. Zij hebben een eigen 'woordenboek' met patronen. Deze patronen kun je met elkaar combineren tot wachtwoorden.

Mensen gebruiken namelijk vrijwel altijd patronen met het maken van wachtwoorden. Zelfs als ze slim proberen/denken te zijn.

Dus ipv brute force te rekenen, rekent men enkel een hele specifieke subset van alle mogelijkheden uit. Daarmee kan men binnen een paar uur vaak al 60% van de wachtwoorden uit een slecht beveiligde database halen. Paar dagen rekenen en men zit op soms angstaanjagende aantallen tegen de 80 a 90% van alle wachtwoorden bij een slecht beveiligde database.

Besef nu dat eBay 2 maanden geleden gehacked is ...

Nu hoop ik dat eBay goede database bescherming heeft. In dat geval ben je veilig zelfs met een relatief kort wachtwoord. Maar aangezien we dat niet weten...

Extreem simplistisch voorbeeld. Mensen gebruiken vaak iets van

Woord123!

Hoofdletter aan het begin, nummer erachter en een leesteken op het laatst. Dus ga je eerst al die combinaties proberen en niet

wOord123!

Maar denk nu niet slim te zijn, en dus zoiets te doen. Immers die 2e letter is ook weer een bekend patroon. Alles wat jij bedenkt, is ook al door iemand anders bedacht, en vaak al eens voorbij gekomen in een database die zo'n hacker gezien heft.

Zelfs wachtwoorden die op het eerste gezicht complex zijn door heel slim typefouten te maken, of zelf random text te gebruiken, zijn vaak helemaal niet random. Menselijke hersenen vinden al snel iets random of moeilijk, waar computers feiloos patronen herkennen. En besef nu dat die hackers al jaren (!) bezig zijn met hun eigen patroon-databases samen te stellen, die men steeds verder bijstelt.

Een lang wachtwoord zoals een zin is dan op eens heel kwetsbaar. Maak je wat spelfouten helpt dan absoluut, maar mensen maken zelden random spelfouten. Pas op dat je jezelf niet in slaap sust.

Samengevat:
- een wachtwoord moet een minimale lengte hebben om brute force tegen te gaan. Doorgaans is 8 a 10 tekens genoeg mits een combinatie van hoofdletters/cijfers/tekens. Neem echter wat marge.
- geen woord gebruiken
- geen patroon gebruiken

Dat laatste wordt vaak vergeten! Een lange zin met patroon is dan slecht. Een lange zin, met moeilijk patroon niet slecht, maar wel zwakker dan mensen denken, en bovendien vergelijkbnaar met een korter middellang wachtwoord dat geen patron bevat.

Langer dan laten we zeggen 16 tekens heeft meestal geen zin meer. Immers als 16 tekens 100 jaar rekenen vereist, dan is 20 tekens misschien wel 100.000 jaar, maar dat maakt evident niet uit want een hacker stopt al bij iets wat een paar dagen duurt, en schakelt over op een andere methode.

En langer dan 20 tekens heeft zelden zin aangezien de meest gebruikte hashing algorithmen nog steeds MD5 en SHA1 zijn, welke maximaal 20 tekens kunnen bevatten.

[Reactie gewijzigd door Armin op 23 juli 2024 15:15]

Gomez12 @Armin • 21 mei 2014 23:53

Dat laatste wordt vaak vergeten! Een lange zin met patroon is dan slecht. Een lange zin, met moeilijk patroon niet slecht, maar wel zwakker dan mensen denken, en bovendien vergelijkbnaar met een korter middellang wachtwoord dat geen patron bevat.

Het enige probleem is dat dit puur technisch bekeken is, ga je het praktisch bekijken dan gaat je wachtwoord zonder patroon op post-its belanden omdat niemand ze kan onthouden / ze geen password manager mogen installeren.

En langer dan 20 tekens heeft zelden zin aangezien de meest gebruikte hashing algorithmen nog steeds MD5 en SHA1 zijn, welke maximaal 20 tekens kunnen bevatten.

Hier maak je een misvatting, het gaat tegenwoordig al lang niet meer om daadwerkelijk in kunnen loggen op 1 dienst, maar meer om het daadwerkelijke wachtwoord achterhalen zodat men kan inloggen op andere diensten. En zolang boekwerk 1 een andere hash produceert dan boekwerk 2 dan hebben langere wachtwoorden nog steeds nut hiervoor, want ze kunnen wel de hash vinden, maar die kan dan voor boekwerk 1 of boekwerk 100 t/m 999 staan en hun weten niet welk boekwerk jouw daadwerkelijke wachtwoord is. Dus bij andere diensten ben je nog wel veilig.

En zou je eens wat linkjes kunnen geven over die 20 tekens bij MD5 / SHA1 want die ken ik niet en op zich ben ik daar wel in geinteresseerd, want ik ken redelijk wat systemen die dan vrijwel nutteloos zouden zijn omdat daar veelal al een salt van 12 tekens inzit.

Armin

Netwerk en systeembeheer

@Gomez12 • 22 mei 2014 00:10

Hier maak je een misvatting, het gaat tegenwoordig al lang niet meer om daadwerkelijk in kunnen loggen op 1 dienst, maar meer om het daadwerkelijke wachtwoord achterhalen zodat men kan inloggen op andere diensten.

Geheel eens, maar ik zie niet hoe dat mijn verhaal aantast?

Maar je hebt gelijk, en in de meeste gevallen is je email het eerste doelwit om spam en malware te kunnen versturen.

Mijn punt is overigens niet dat lange epistel slecht zijn, maar onnodig omdat ze geen security meerwaarde hebben tov een middellang echt random wachtwoord.

Praltisch wellicht wel ivm jouw postit verhaal, maar dan is er weer het risico dat men een patroon gebruikt in welk geval het epistel weer potentieel zwak is ondanks de lengte.

Overigens zijn postits doorgaans niet eens heel erg, want iemand in China heeft geen toegang tot jouw postit

Alleen wel lastig als men de laptop mét postit steelt ...

En zou je eens wat linkjes kunnen geven over die 20 tekens bij MD5 / SHA1 want die ken ik niet en op zich ben ik daar wel in geinteresseerd, want ik ken redelijk wat systemen die dan vrijwel nutteloos zouden zijn omdat daar veelal al een salt van 12 tekens inzit.

SHA1 is 160 bits, dus je kunt niet meer dan 20 tekens aan ruimte kwijt. Dus zou je meer dan 20 tekens hashen krijg je vanzelf een collission met een ander wachtwoord.

De salt mag best heel kort zijn, zoals 12 tekens. Die is enkel om de hash uniek te maken, zodat in jouw database 'mijnwachtwoord123' een andere hash heeft dan in mijn database. Anders gebruikt men een pre-calculated database van een paar DVDtjes.

En is de salt uniek per wachtwoord, moet men een unieke set hashes genereren per wachtwoord en wordt de hacker al snel heel chagrijnig $_/-\o_$

Statistiek leert dat dat lange epistel wachtwoord waarschijnlijk wel heel random is, maar dat is precies mijn punt. Een lang epistel is net zo veilig als een veel korter wachtwoord dat echt random is

Goderic @Armin • 22 mei 2014 07:39

Een lang epistel is net zo veilig als een veel korter wachtwoord dat echt random is

Inderdaad, maar dat heeft niemand ooit ontkend. Het is nu gewoon zo dat mensen beter zijn in het onthouden van een lang wachtwoord bestaand uit woorden dan een kort, volledig willekeurig wachtwoord.

Goderic @Armin • 21 mei 2014 22:56

Dus gewoon een uitgebreide dictionary attack.
Wat je nog vergeet: een diceware wachtwoord is ook goed, mits je de woorden natuurlijk random kiest met een dobbelsteen (of iets anders echt random).

Killer @Blokker_1999 • 22 mei 2014 10:15

Liever een wachtwoord dat ik zelf ook niet kan onthouden. Voor sites waar ik iets kan kopen/geld kan uitgeven maak ik per bezoek een volledig idioot wachtwoord aan met willekeurige combinaties, die ik niet kan onthouden.
Bij het volgende bezoek aan die bewuste site druk ik standaard op de functie 'Wachtwoord vergeten'. Krijg ik een mailtje en vervolgens maak ik een nieuw vreselijk random password aan voor die sessie.

Op die manier hoef ik geen wachtwoorden te onthouden en kan ik lange passworden gebruiken met allerlei vreemde combinaties. Inloggen duurt dan misschien 1 minuut langer, maar dat is dan ook het enige nadeel.
Het enige wachtwoord dat ik veilig moet houden en onthouden is dat van mijn mailbox.

aval0ne @Killer • 22 mei 2014 13:00

Dit zal wel goed werken zolang het een website is die voor jou een paswoord genereert. En ebay doet dat niet.

Killer @aval0ne • 24 mei 2014 10:52

Nee, maar ik verzin dan gewoon zelf een vreemd wachtwoord dat nergens op slaat en dat ik zelf ook niet kan onthouden.

zxcvb 21 mei 2014 16:42

The database, which was compromised between late February and early March, included eBay customers’ name, encrypted password, email address, physical address, phone number and date of birth. However, the database did not contain financial information or other confidential personal information. The company said that the compromised employee log-in credentials were first detected about two weeks ago. Extensive forensics subsequently identified the compromised eBay database, resulting in the company’s announcement today.

Welke persoonlijke informatie zou je nog meer hebben op zo'n soort site...? In deze zin doen ze net alsof het wel meevalt. Daarnaast als ze er zo zeker van zijn dat er geen financiële informatie in zit, waarom zeggen ze dan 'naar alle waarschijnlijkheid'...

[Reactie gewijzigd door zxcvb op 23 juli 2024 15:15]

Armin

Netwerk en systeembeheer

@zxcvb • 21 mei 2014 18:31

Welke persoonlijke informatie zou je nog meer hebben op zo'n soort site

BSN ...

In Nederland is dat al potentieel gevaarlijk, maar in de USA ben je dan echt zwaar in de problemen aangezien hun meer decentrale system (= goed voor privacy) helaas ook inherent minder bescherming tegen identiteitsdiefstal geeft.

Nu is het redelijk evident dat men geen BSN nodig heft en dus opgeslagen heeft, maar het gemelde is gewoon een standaard zinnetje dat in alle breach-persberichten staat.