Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 42 reacties
Submitter: WhatsappHack

Hackers zouden het beheerdeel van het Avast-forum eenvoudig zijn binnengedrongen doordat een van de admins vermoedelijk zijn wachtwoord ook elders heeft gebruikt. Dat stellen developers van Simple Machines Forum, opensource-forumsoftware die ook door Avast werd gebruikt.

Eind mei haalde Avast, een bedrijf dat antivirussoftware ontwikkelt, zijn forum offline nadat hackers het admin-deel van de forumsoftware waren binnengekomen. De nog onbekende aanvallers zouden gegevens van circa 400.000 personen hebben buitgemaakt. Avast kondigde aan over te stappen op veiligere forumsoftware.

Avast gebruikte ten tijde van de hack Simple Machines Forum, opensource-forumsoftware op basis van php en MySQL. De ontwikkelaars hebben nu in een reactie afstand genomen van de suggestie van Avast dat hun forumsoftware onveilig zou zijn. Volgens een eigen onderzoek, waarbij de ontwikkelaars toegang hadden tot Avast-serverlogs van eind mei, zijn er geen aanwijzingen gevonden voor een exploit of een andere veelgebruikte hackmethode en lijkt er dus geen kwetsbaarheid in de code van Simple Machines Forum te zijn misbruikt.

De ontwikkelaars concluderen juist dat het zeer waarschijnlijk is dat een van de admins van het Avast-forum zijn wachtwoord op verschillende plaatsen heeft gebruikt en dat dit ergens is buitgemaakt. Vervolgens hadden de hackers op kinderlijk eenvoudige wijze toegang tot het beheerdeel. Verder zouden er sterke aanwijzingen zijn dat de aanvallers al maanden geleden het Avast-forum waren binnengedrongen. Daarbij wijzen de ontwikkelaars naar een aantal gewijzigde bestanden op de server.

De ontwikkelaars steken de hand ook deels in eigen boezem. Zo geven zij toe dat als een hacker eenmaal het admin-deel op het forum is binnengedrongen, hij met behulp van tools als de Theme Editor en de Package Manager krachtige tools in handen heeft om bijvoorbeeld malware op de site te plaatsen. Simple Machines Forum stelt echter dat het bewust voor deze opzet heeft gekozen, omdat het het beheer van een forum zo eenvoudig mogelijk wil houden.

Volgens Simple Machines Forum is voor dit publieke statement gekozen omdat Avast geweigerd zou hebben om de hack van zijn forum voldoende te onderzoeken in samenwerking met de bouwers van de software. Daarnaast waarschuwen de ontwikkelaars nog maar eens dat internetgebruikers nooit een wachtwoord moeten hergebruiken op andere websites, een fenomeen dat ook bekendstaat als 'password recycling'. Ook wordt gewezen op het juist instellen van de bestandspermissies op Linux- en Unix-systemen, zodat het manipuleren van bestanden door een aanvaller lastiger wordt.

Moderatie-faq Wijzig weergave

Reacties (42)

Hoe krijg je nou wachtwoorden uniek, onthoudbaar en veilig?
Leuk hoor, dat je geen wachtwoorden moet hergebruiken. Maar het is ook niet handig om al je wachtwoorden in een bestandje ergens te bewaren. Een kladblokje naast je pc is evenmin handig.

Een format bedenken? geboortedatum + sitenaam?
Dus 19810223Tweakers? En dan 19810223Gmail?
Dat is ook een vorm van hergebruik, want als iemand je wachtwoord op die manier ziet als ze bij tweakers de data komen jatten... en ze zien in je account dat je een gmail account hebt ben je ook klaar.
De truc is om gewoon makkelijk te onthouden zinnetjes te gebruiken, dat maakt het ook nog eens een stuk moeilijker om de wachtwoorden te ontcijferen.

Deze comic legt kort en geinig uit waarom, en deze is nog een leuke toevoeging
De comics zetten me zeker aan het denken. Dat neemt niet weg dat ik vaak voldoende restricties op de wachtwoorden tegenkom die dit niet toelaten. Ik bedoel restricties op de toegestane lengte van wachtwoorden en het verplichten van cijfers en vreemde tekens. Het is dus méér een mooi concept dan dat het een realistische vervanging is voor mijn huidige wachtwoorden.
Een paar jaar geleden ben ik gestopt met alle wachtwoorden proberen te onthouden.
Tot die tijd had ik een systeem waarbij ik inderdaad van Password recycling gebruik maakte.

Eenvoudige onbenullige websites waar registratie verplicht was, maar voor mij van totaal geen waarde waren gaf ik standaard een flutwachtwoord à la 123456.
Als zo'n website gehackt werd of als mijn account gehackt werd, had ik er geen last van.

Websites die ik iets belangrijker vond, zoals bijvoorbeeld YouTube, Facebook, Hyves, etc, kregen een iets lastiger wachtwoord. Het was een wachtwoord dat ik zeer snel kon intypen en dat dus overal gelijk was.

Mailaccounts en dergelijke kregen weer een sterker wachtwoord, maar ook dit was gelijk voor alle accounts.

Bankzaken kregen ... je raad het nooit... nog een sterker wachtwoord. En bij deze lijst had ik steeds 1 teken verschil. Veiligheid voor alles was de gedachte. ;)

Maar toen begon de ellende...
Hoe vaak ben je niet de foutmelding tegengekomen: "Uw wachtwoord is te zwak" of "Uw wachtwoord moet minimaal de volgende X bevatten: ... "?
Daarnaast kreeg ik steeds meer mailboxen, logins voor systemen, websites, geheime vraag/antwoord combinaties, tokenkeys om logins te restoren.. noem maar op.

Dus kwam er een documentje met wachtwoorden. Want ik kon het allemaal niet meer onthouden. De wachtwoorden waren voor mij nog eenvoudig te herkennen op het wachtwoordendocument, maar nog steeds waren veel wachtwoorden quasi gelijk.

Een jaar geleden heb ik besloten maar te kappen met wachtwoorden. Ik ken tegenwoordig niet meer veel wachtwoorden. Ze zijn volledig adrandom samengesteld. Door een generator en dan nog iets erbij. Dus 42658n cpghp2v4 50cm zou best wel eens mijn wachtwoord voor Tweakers.net kunnen zijn.

Ja ik weet het, dit heeft ook nadelen. Tenslotte zal ik niet meer snel "even" inloggen op een andere computer. Want ik weet het wachtwoord gewoon niet. Maar het grote voordeel is wel dat ik meer rust heb gekregen. Thuis en op mijn mobiel heb ik een aantal services ingelogd staan en thuis heb ik alle wachtwoorden bij de hand. En ben ik ergens anders? Dan moet ik het even doen zonder Tweakers, of Facebook, of wat dan ook. Bereikbaar blijf ik toch, maar het geeft nét even dat beetje extra rust. Misschien dat het nog niet zo erg is dat al die wachtwoorden zo lastig moeten worden. Het maakt het leven net iets relaxter.

Nu even mijn 15 mailboxen checken, want daar ben ik even niet aan toegekomen door dit bericht 8)7
Daar heb je gelijk in, er word veel te vaak verplicht om speciale symbolen te gebruiken, of een wachtwoord wat niet langer mag zijn dan 16 tekens enzo.

Ik kom echter af en toe wel sites tegen waar ze een middenweg proberen te bereiken, is je wachtwoord kort dan moeten er symbolen in, is je wachtwoord lang dan is dit niet meer verplicht. (in alle eerlijkheid ook maar 2x gezien, maar zou gaaf zijn als dat gemeengoed word)
Juist. En dan is er nog een hele sloot websites waar het wachtwoord kort en (relatief) makkelijk moet zijn, m.a.w.: beperkt aantal karakters en ik mag geen symbolen gebruiken behalve [A-Za-z0-9] :(
Maar met tientallen accounts over het internet verspreid moet je nog steeds tientallen zinnetjes gaan onthouden... Dat is dus nauwelijks een oplossing voor het probleem van password recycling.
Ik gebruik zelf inderdaad ook lastpass en gebruik zoveel mogelijk door lastpass gegenereerde wachtwoorden. Het verhaal van xkcd (over 4 woorden gebruiken) werkt namelijk ook niet, de entropie daarvan is vele malen kleiner dan volledig willekeurige karakters over 16 posities of zo. Als veel mensen gewoon vier woorden gebruiken dan kun je dus je password cracker instellen om alle combinaties van woorden af te gaan. Dat gaat nog steeds lang duren maar VEEL minder lang dan alle combinates van hoofdletters, kleine letters, cijfers en bijzondere tekens.
Alleen bestaan er een ontelbaar aantal woorden (wereldwijd) dus de meeste 'crackers' zullen het gewoon met een rainbowtable proberen (per character dus)

En heel moeilijk is het ook niet, iedereen kent wel de songtext van zn favo liedje bijvoorbeeld, dat zijn zo al 50 wachtwoorden van een paar woorden per stuk
Ontelbaar? Pak een engels woordenboek en begin daar eens mee, ik denk dat je er heel wat mee vangt hoor... Het bekende correct horse battery staple voorbeeld is op die manier in ieder geval relatief makkelijk te kraken.
Ok, het kan alsnog maanden duren om het te bruteforcen, maar vergelijk dat met het bruteforcen van 16 karakters wat je waarschijnlijk in een mensenleven niet haalt (ik heb het idee dat het nog VEEL langer zou duren dan een mensenleven maar ik kan niet terugvinden waar ik dat vandaan heb dus wellicht vergis ik me).
Hier een wat uitgebreidere uitleg van de eerste comic;
http://www.explainxkcd.com/wiki/index.php/936

(edit; het gaat dus niet eens zo zeer om of de woorden nou uniek zijn of niet, het gaat om hoe een computer op dat wachtwoord zou kunnen komen)

[Reactie gewijzigd door olivierh op 6 juni 2014 17:35]

Het probleem daar is dat er vergeleken wordt met korte random passwords en dan wint het password opgebouwd uit woorden. Dat korte password is echter in no time te kraken dus dat zegt helemaal niks.
Ik heb het er over dat een password bestaande uit 16 willekeurige karakters VEEL sterker is dan een password bestaand uit bestaande engelse woorden.
Bij die uitleg gaan ze uit van een woordenschat van 2048, maar laten we eens zeggen dat we 30.000 woorden hebben om uit te kiezen (komt wat meer in de buurt van een woordenboek). Met 4 woorden gekozen uit die 30.000 heb je dan 30^4 mogelijke combinaties. Dat is zoveel:
810000000000000000
Als we dit vergelijken met 16 posities willekeurig gekozen uit 94 mogelijke karakters, dan krijg je 94^16 en dat is dit:
37157429083410091685945089785856
Het tweede getal is net geen 46 biljoen (46000 miljard) keer groter dan het eerste. Vandaar, als het een half jaar kost om dat woordenpassword te kraken, dan kost het 23000 miljard jaar om mijn willekeurige 16 karakter lange password te kraken.

Als je geen bijzondere tekens mag gebruiken maar alleen kleine en hoofdletters en cijfers dan is het willekeurige password van 16 tekens trouwens nog steeds een slordige 59 miljard keer zo complex dan het password van 4 willekeurige woorden uit een woordenschat van 30000.

Met andere woorden, ik blijf wel bij mijn door lastpass gegenereerde wachtwoorden.
Als de ene helft die "random" wachtwoorden blijft gebruiken en de andere helft aanelkaar geplakte woorden. Blijven we beide veilig.
van zn favo liedje
Je zal maar fan van instrumentaal zijn. ;)

50 wachtwoorden verzinnen zal misschien niet het probleem zijn, maar onthouden welk wachtwoord bij welke plek hoort is alweer een stuk lastiger.

En dan heb je nog het probleem dat je eigenlijk de entropie moet verhogen met cijfers en leestekens.

Ik ben geen enorme fan van password managers, maar aangezien je tegenwoordig voor van alles en nog wat een account met wachtwoord nodig hebt denk ik toch dat het de meest werkbare oplossing is. Ik heb al moeite genoeg om de accountnamen en wachtwoorden voor werkplekken bij klanten te onthouden.
Hehe dat is waar, als je prat gaat op techno enzo dan word het een stukje moeilijker daar wachtwoorden uit te halen (nou ja, tuut tuut tuut is ook een wachtwoord hehe)

En tuurlijk is het daarna het moeilijkste om te onthouden welk stukje songtext bij welke site hoorde, maar toch is het (in mijn ogen) een betere oplossing dan van die password managers, die vertrouw ik gewoon niet.

Ik moet trouwens toegeven dat ik voor niet-belangrijke-zaken nog best wel aan password recycling doe, maar alles wat maar een beetje belangrijk is (als er geld mee gemoeid is, of bijv m'n email accounts) hang ik allemaal lange en unieke wachtwoorden aan.
Alleen bestaan er een ontelbaar aantal woorden (wereldwijd) dus de meeste 'crackers' zullen het gewoon met een rainbowtable proberen (per character dus)

De meeste craskers gebruiken patronen. Dat is dus expliciet niet per character testen, maar met variable lengte segmenten.

Eenn segment kan een woord zijn, maar ook een tekenreeks die geen enkele betekenis heeft, maar vaak voorkomt in passwoorden. Mensen gebruiken zowel bewust als onbewust heel veel patronen in passwoorden.

finraziel heeft namelijk gelijk dat de entropie in een zin lager is dan je denkt. Ook als je eeen spelfout maakt, maken mensen zelfden willekeurige spelfouten. Natuurlijk is dat sterker dan een 5 teken wachtwoorden, maar veel minder sterk dan mensen vaak denken. Een zin blijft een patroon, en een patroon is een zwakheid.
"En heel moeilijk is het ook niet, iedereen kent wel de songtext van zn favo liedje bijvoorbeeld, dat zijn zo al 50 wachtwoorden van een paar woorden per stuk "

En hier gaat het dus helemaal fout. Een songtext is namelijk niet random.

"Alleen bestaan er een ontelbaar aantal woorden (wereldwijd) dus de meeste 'crackers' zullen het gewoon met een rainbowtable proberen (per character dus)"

Zolang de toegestane wachtwoordlengte kort is, is het aantal bruikbare woorden laag en dus veel minder random.
Gewoon een korte zin, waarbij je 1 woord verandert naar de site. I love tech.

I love tweakers
I gemail tech
forum love tech

etc.

Voor jou altijd max 3 pogingen (meestal limiet op sites) maar met 1 gestolen password kunnen ze bijna niks (als ze al de site naam zelf weten te wijzigen, kunnen ze toch op een stuk minder plaatsen terecht). Mix er 2-3 mail accounts bij en dan wordt de kans erg klein dat ze toevallig dezelfde site aanvallen als waar jij een identiek wachtwoord (dat ze dus al aanpassen voor die site) en mailaccount gebruikt.

[Reactie gewijzigd door Xanaroth op 6 juni 2014 17:30]

Hee dat lijkt me een heel goed systeem. En op het eerste zicht lijkt 't me inderdaad veilig, als ze 1 paswoord vinden kunnen ze niet gelijk al je andere paswoorden raden... Maar wel een deel natuurlijk (naast 'i love tweakers' heb je nog 'i love X' paswoorden, niet allemaal, maar toch 1/3 van al je paswoorden, statistisch gezien).

LastPass is wel leuk, maar ik zou toch liever zelf m'n paswoorden kunnen onthouden...
Dat van die zin is aardig. Maar dat zou ik beslist NIET in het engels doen, dat is namelijk de eerste taal die ze aan de andere kant gebruiken.
olivierh
@Cryothic • 6 juni 2014 16:14
De truc is om gewoon makkelijk te onthouden zinnetjes te gebruiken, dat maakt het ook nog eens een stuk moeilijker om de wachtwoorden te ontcijferen.

Deze comic legt kort en geinig uit waarom, en deze is nog een leuke toevoeging
Je tweede link is pure propaganda. Ik hoop dat je dat ook inziet.
Die komt overduidelijk van henzelf vandaan. :S
Eerste is een goeie les voor iemand die nog steeds dezelfde passwords voor meerdere accounts gebruikt.

[Reactie gewijzigd door HMC op 6 juni 2014 17:44]

Software als KeePass of LastPass helpt je al een eind op weg.
maar dat kan ook gehacked worden en dan hebben ze ook nog eens exact alle locaties waar jij inlogd.
Maar je hoeft niet bang te zijn dat ze op de server van LastPass inbreken, want zij kennen je wachtwoord niet (vandaar dat je ook geen 'wachtwoord vergeten' functie hebt).

Het enige wat dan nog kan gebeuren is dat men een keylogger o.i.d. op je PC installeren, maar daar kun je desnoods het onscreen keyboard voor gebruiken.
onscreen keyboard stuurt gewoon keyboard events, net zoals een gewoon keyboard
als je veilig wilt zijn van keyloggers zou ik in ieder geval een ander on screen keyboard gebruiken, zoals neo's safekeys
persoonlijk vind ik dit redelijk omslachtig om zo je passwoord in te geven, zelf gebruik ik wel zemana antilogger free, wat eigenlijk een programma is dat je keyboard encrypteerd op driver level en decrypteert op application level, wat beschermd tegen veel keylogging methodes
werkt tegen alle methodes die in het AKLT staan (anti keylogging tester)
Zoals gezegd: LastPass, extreem veilig en simpel in gebruik.
Anderzijds is Clef een mooi iets voor veiligheid te verzekeren.
Clef vervangt namelijk je wachtwoord (op sites waar mogelijk) met een on-screen wave, die je synct met je smartphone. Zeer intressant iets! Ik bouw het atm overal eigenlijk in!
Voor meer info: http://getclef.com
De ontwikkelaars steken de hand ook deels in eigen boezem. Zo geven zij toe dat als een hacker eenmaal het admin-deel op het forum is binnengedrongen, hij met behulp van tools als de Theme Editor en de Package Manager krachtige tools in handen heeft om bijvoorbeeld malware op de site te plaatsen.
Wellicht handig om bij een volgende release Two-factor authentication te implementeren voor administrator accounts.
Zo kan ik het ook... wellicht handig voor beheerders om IDS te implementeren voor de diensten die ze aanbieden.
Binnenkort misschien op de markt.. Google glasses met ingebouwde brainwave scanner... hoef je je password ook niet meer in te typen. Maar misschien worden dan wel je gedachten gehacked door deze ook globaal af te lezen?

[Reactie gewijzigd door JinZa op 6 juni 2014 21:30]

Eenvoudig te voorkomen met onze nieuwste TFH 2.0 (Tin Foil Hat)!

Daarnaast maakt deze je icm de Google Glass echt een stijl icoon!
Sowieso is het al stom om het beheerderspaneel toegankelijk te maken voor iedereen buitenaf.

Ik snap ook niet waarom ze op "veiligere forumsoftware" gaan overstappen terwijl dit een fout is geweest van een administrator. Voor zover ik weet is SMF erg veilig en zijn er vrijwel geen (public) exploits voor.
Het blijft natuurlijk wel "slechts" het forum. Afhankelijk van de support opzet kan het wel handig zijn om flexibel te zijn met werkplek. Rechten beperken van admins (je hoeft niet remote themes te gaan aanpassen of users te emailen) zou al een goeie stap zijn maar het artikel suggereerd een beetje dat dit met SMF wat lastig is? Zelf niet echt admin ervaring met SMF.

Je blijft tegenwoordig nog vaak de afweging tussen veiligheid en gebruikersgemak maken zoals SMF ook al aangeeft. Misschien dat dit in de toekomst makkelijker wordt.
Het is dan wel "slechts" het forum, maar zoals je kan lezen zijn er dan dus ook van "slechts" 400.000 mensen gegevens gestolen, het is gewoon slordig van de admins, maar ook wel een beetje van de software, wijzigingen e.d zouden niet zo maar gemaakt kunnen worden, een cofirmatie email of een email wanneer iemand wilt inloggen vanaf een "vreemd" ip zou moeten kunnen lijkt me.
Om het te laten lijken dat het niet de fout van Avast was natuurlijk :p
Ik ben zelf al jaren lang "fan" van avast, toch zet ik de nodige vraagtekens bij de software, nu als blijkt dat men zo "simpel" binnen kon komen door iets als 'password recycling'....
Hun forum staat volledig los van hun antivirusproduct. Al zou het natuurlijk ook kunnen wijzen op een slordige bedrijfscultuur...
Ik zei het een beetje krom , maar jij verwoord het beter idd. Als beveiliging hoog in het vaandel staat, dan zou je dat intern ook verwachten...
Ik denk niet dat er een logische manier is om de kwaliteit van een malware scanner te koppelen aan de domheid van een forum beheerder. Die vraagtekens kan je derhalve weer vraagtekens bij zetten of die echt wel terecht zijn.
Wat zou het prachtig zijn moest Goolge in zijn Chrome browser een standaard functionaliteit toevoegen die wachtwoorden geëncrypteerd opslaat, automatisch sterke wachtwoorden genereert, ... LastPass dus, maar dan ingebouwd in de browser wat dan ook kan gebruikt worden op Chrome mobile.

Tegenwoordig is de browser zo sterk in andere zaken te doen buiten het browser van het WWW, dat dit soort functionaliteit er ook wel bij kan - zeker omdat het de veiligheid van de gebruiker betreft.

Google speelt sterk in op veiligheid van diens gebruikers met de invoer van 2-step authentication en de onlangs uitgebrachte mail encryptie. Meer stappen in deze richting zie ik enkel als de juiste stap in de juiste richting.

[Reactie gewijzigd door GigaPixels op 6 juni 2014 17:30]

Er zijn ook wel password generators voor Google Chrome maar niet van Google zelf, dus dan kan je je weer afvragen of het wel zo veilig is (het zou bijvoorbeeld best een slimme actie zijn om alle gegenereerde wachtwoorden door te spelen naar een centrale server, krijg je een behoorlijk goeie dictionairy voor niet-voor-de-hand-liggende wachtwoorden) En Chrome kan verder gewoon logins bewaren, en heb nog nooit gehoord dat iemand zn facebook of bank ofzo via Chrome gehackt is

[Reactie gewijzigd door olivierh op 6 juni 2014 17:34]

Met Google heb je een aardig voorbeeld dat het ook anders kan: Je kan daar kiezen voor 2-weg authenticatie met een sms-code. Gewoon instellen. Maar ze beseffen dat het niet altijd kan, dus kan je ook nog steeds met een enkel wachtwoord bij je instellingen. Maar dat wachtwoord hoef je maar op een beperkt aantal plaatsen te gebruiken.

Tel daar bij op dat het google account (en facebook en andere 'populaire' accounts) in zijn geheel gerecycled kunnen worden op andere sites. Dat geeft dan weer een ander gevoel van veiligheid...
Even terug naar het Avast forum... De account gegevens van het forum zijn dus openbaar. Maar is dat nu het zelfde als de account gegevens van de Avast website zelf? Wat je ook bij avast software instelt? Is daar enige koppeling?

Nu twijfel ik of ik mij op het forum heb geregistreerd. Dat kan ik niet meer controleren omdat het forum dus off-line is. Maar het is niet meer dan logisch dat ik op het forum en de website het zelfde account en/of wachtwoord gebruikt zou hebben. Graag zou ik daarover door Avast geïnformeerd willen worden. Bijvoorbeeld als bericht aan mijn account, ook al heb ik mogelijk geen forum-account maar alleen een avast-account.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True