Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 174 reacties

Russische hackers hebben volgens een beveiligingsbedrijf ongeveer 1,2 miljard combinaties van gebruikersnamen en wachtwoorden gestolen. Het gaat vermoedelijk om de grootste roof van inloggegevens tot nu toe. Er werden ook 500 miljoen e-mailadressen buitgemaakt.

Dat meldt The New York Times op basis van een vondst van het beveiligingsbedrijf Hold Security. Volgens het bedrijf heeft een groep met Russische hackers in totaal ongeveer 1,2 miljard gebruikersnamen en wachtwoorden gestolen van ongeveer 420.000 websites. Bij de digitale roof waren ook 500 miljoen e-mailadressen betrokken. The New York Times stelt dat een door hen geraadpleegde onafhankelijke beveiligingsexpert de vondst van Hold Security als authentiek beschouwt.

Hold Security heeft geen namen vrijgegeven van bedrijven die slachtoffer zijn geworden van de hackers. Wel zou het gaan om zowel grote als kleine bedrijven, zowel binnen als buiten de Verenigde Staten. Een topman van Hold Security stelt dat de meeste getroffen websites nog steeds vatbaar zijn voor hacks, waardoor er geen namen worden vrijgegeven.

Vooralsnog zouden de verantwoordelijken de data voornamelijk gebruiken voor het versturen van spam en zijn de gestolen gegevens waarschijnlijk nog niet verkocht. De precieze plannen van de verantwoordelijke hackersgroep zijn echter niet duidelijk. Vermoedelijk is de diefstal van 1,2 miljard inloggegevens de grootste digitale roof die tot nu toe is ontdekt. Het cybercrime-unit van het Verenigd Koninkrijk noemde onlangs Russische hackers nog het grootste gevaar voor de cyberveiligheid in Europa.

Hold Security ontdekte vorig jaar al een omvangrijke hack op de servers van Adobe, waarbij de gegevens van 38 miljoen gebruikers werden gestolen. Ook ontdekte Hold Security eerder dit jaar een omvangrijke hack waarbij maar liefst 360 miljoen persoonlijke gegevens werden gestolen.

Moderatie-faq Wijzig weergave

Reacties (174)

Hold Security. Never heard of. En de website is ook niet echt een je-van-het PR-communicatie uithangbord en domein is pas in 2013 geregistreerd.

En hier ontbreekt weer concreet, verifieerbaar bewijs, zoals welke bedrijven / websites gehackt zijn, wanneer dat heeft plaats gevonden, etc.

Het kan net zo goed een firma zijn die opgericht is om dit soort nieuws de wereld in te brengen om de Russen weer in kwaad daglicht te stellen.
Vind het ook zeer vreemd dat de getroffen websites niet genoemd worden, want die gestolen gegevens zijn nou eenmaal gebeurd, waarom zouden de websites dan nog geheim gehouden worden?

Edit: Hoofd Artikel is aangepast met:
Een topman van Hold Security stelt dat de meeste getroffen website nog steeds vatbaar zijn voor hacks, waardoor er geen namen worden vrijgegeven.

[Reactie gewijzigd door Fuubar op 6 augustus 2014 00:42]

Een deel van de bewuste websites is schijnbaar nog vatbaar - men wil voorkomen dat andere partijen zich met de vatbare websites gaan vermaken.

Dat maak ik in ieder geval op uit het artikel :)

Overigens is het artikel, zowel hier als op holden's website, zeer matig voorzien van details. Korreltje zout?

[Reactie gewijzigd door ThaRabbit op 6 augustus 2014 00:40]

Raar dat alles geregistreerd staat op Alex Holden. Als je de registratieplaats opzoekt met Google maps kom je in een gewone woonwijk terecht. Ik vraag mij af of het een klein zelfstandig bedrijfje is dat die hack heeft gevonden, de website niet op het echte bedrijf geregistreerd is om een of andere reden, of er toch meer aan de hand is...
Ik heb alleszins geen idee welke informatie juist is, maar het kan wss geen kwaad om voor de zekerheid wachtwoorden te veranderen.
Precies. Deze foto in het originele artikel van de New York Times maakt ook niet zo veel indruk. In tegendeel ik ken tweakers van cableporn die hier kwaad over kunnen worden.


edit: ondertussen is de foto vervangen door deze --> http://static01.nyt.com/i...ck-web1-superJumbo-v2.jpg
De registratie in 2013 is logisch aangezien toen het bedrijf pas is opgericht. Op zijn LinkedIn kun je lezen dat hij eerst de directeur was van een ander beveiligingsbedrijf. http://www.linkedin.com/in/aaholden
Aardig bericht van Forbes:
Firm That Exposed Breach Of 'Billion Passwords' Quickly Offered $120 Service To Find Out If You're Affected
(...)
Panic time, right? You can’t even change your passwords to protect yourself because you don’t know which websites are affected or if they’re still vulnerable. This is the worst kind of news, spare on details and causing a panic without offering a solution. Oh wait, but there is a solution! You can pay “as low as $120″ to Hold Security monthly to find out if your site is affected by the breach. Hold Security put a page up on its site about its new breach notification service around the same time the New York Times story went up.
(...)
It’s certainly in the interest of any security firm to to portray the state of cybersecurity as dire to make their wares more appealing, and that’s something any reader should keep in mind when reading quotes from a security professional. But this is a pretty direct link between a panic and a pay-out for a security firm. Yes, I expect security firms to make money for making the Internet more secure, but I am skeptical of a firm with a financial incentive in creating a panic to be the main source for a story that causes a panic. If nothing else, it should be disclosed in the New York Times story that the firm that reported a major breach hoped to directly profit from it. We don’t just need hashed passwords salted, we need grains of salt in our reporting around security.
Bron
Voor de hosters/webprogrammeurs onders ons...

Volgens holden maken deze jongens gebruik van botnets die SQL Injection-lekken zoeken.
Test hiervoor de variabelen in jullie websites met b.v. sqlmap (aanrader!) om te zien of jullie wel degelijk veilig zijn.
Nee, prepared statements gebruiken en controleren of de input overeenkomt met wat je verwacht.

Als je 1 keer escape_string vergeet, heb je meteen een enorm gat.
Tweakers, begin aub niet met het plaatsen van nieuws tussen aanhalingstekens... Dat raakt aan nieuwskoppen eindigend met een vraagteken.

Nu vindt ik dat jullie waarheidsvinding moeten toepassen op dit bericht. Mag best een dagje duren...
Owkeej....dat is wel heel veel..maar nu wil ik toch wel weten of zaken als Gmail ook getroffen zijn?


Btw even een edit, maar als dit de grootste roof is, waarom lees ik op geen enkele andere site dit nieuws?

[Reactie gewijzigd door maddog4004 op 6 augustus 2014 10:26]

Oud nieuws. Hold Security had dit in maart al gedaan. Diverse websites en blogs rapporteerde er toen ook al over.

Hold Security recylcled nu haar vorige perbericht, en New York time rapporteert het als nieuwe data.

Goede PR actie van Hold Security ... _/-\o_
Als je het nieuwsbericht van Hold Security leest, kom je er achter dat dit niet een gerecycled bericht is, maar een vervolg naar aanleiding van extra onderzoek dat ze hebben verricht. Daarbij is gebleken dat de omvang van de hacks (en het aantal buitgemaakte e-mailadressen en logingegevens) nog een factor groter is dan voorheen bekend.
Hold Security wil je oplichten. Ze vragen 120 dollar om er achter te komen of jou website ook gehackt is geweest. Het hele verhaal is gebaseerd op een bedrijf dat uit een persoon bestaat namelijk Alex Holden. Er is geen bewijs, alleen maar Alex Holden die iets zegt en vervolgens hoopt dat hij genoeg mensen bang maakt zodat ze hem gaan betalen.
Heb je je wel eens afgevraagd hoe Hold Security aan die gestolen database komt? Hebben die Russische hackers die zo maar op internet gesmeten? Of heeft Hold Security die gekocht van de Russiche hackers?

Zonder bewijs en met alleen maar de Hold Security website als bron zeg ik: BULLSHIT!
Het oorspronkelijke bericht rapporteerde al 1,2 miljard. Je moest betalen als bedrijf om details te krijgen.

Nu geeft men meer details, en ongetwijfeld zal men ook wel wat meer weten dan toen. Maar de grote drijfveer is enkel de lancering van hun nieuwe businessmodel, waar ze nu ook aan gewone gebruikers geld willen verdienen.

Dus wel degelijk oud nieuws, opnieuw uitgebracht in een nieuw jasje om hun nieuwe dienst te promoten.
Dus met andere woorden, we hoeven ons nergens zorgen over te maken?
Zegmaar als je gehackt bent door deze hackers had je dat al gemerkt :+.
Het hacken is een continue iets.

In en met name laat februari was er echter een serie van grote hacks. Sommige kwamen in het nieuws andere niet. Hold Security rapporteerde er toen over, maar details zijn enkel beschikbaar als betalende klant van hen. In maart kwam hun persbericht wat in feite ene advertentie was. Zo nuttig was hun persbericht dus niet.

Dus ja, je zou het nu wel al gemerkt hebben, maar uiteraard zijn er sindsdien dus ook weer nieuwe hacks.

Dit soort data komt meestal eerst in handen van serieus betalende crminelen. Daarna komt het op de open markt en in de maanden daarna zie je diverse script-kidies en andere second-rate hackers het met dezelfde data (tevergeefs uiteraard) opnieuw proberen. Je ziet dan vaak inlog pogingen maanden nadat de data al gelekt was.
Gaat er nu goed in bij die Amerikanen die alles aangrijpen om Rusland zwart te maken. Dus al het nieuws over Rusland wat nog niet breed is uitgemeten wordt nu opnieuw gebracht. Het onderzoek is wel nuttig en daar had men al eerder groot over mogen berichten.
dank voor je politieke duiding. Je beseft dat je eerste zin niet deugt qua logica?
Nu klinkt het misschien raar, maar ik krijg de laatste dagen opvallend veel spam binnen via gmail. Vroeger 2 spam mails per week en nu gemakkelijk 5 per dag. Het zou me niets verbazen als gmail ook getroffen is/was
Het komt zelfs vanaf de servers van gmail. Het lijkt mij dat er dus accounts zijn gehackt.

Wel vreemd. Want ik krijg elke keer een foutmelding op IMAP als mijn IP adres verandert, bijvoorbeeld als ik in de V.S. ben. Ik krijg die melding echt niet uit. Vreemd dat derden dus toch accounts kunnen gebruiken.
Heb zelf ook dat probleem regelmatig als ik in het buitenland ben. 'T is vrij makkelijk te omzeilen via https://security.google.com/settings/security/activity . Daar staan alle door Google tegengehouden loginpogingen. Met een klik kan je ze toestaan.

Volgensmij zijn de meeste Gmail accounts gekoppeld aan Google accounts, dus als een hacker je Gmail heeft, kan hij/zij makkelijk even uit zetten dat zijn/haar logins uit bijv. Rusland geblokkeerd worden.

(Correct me if I'm wrong)

[Reactie gewijzigd door lesander op 6 augustus 2014 11:00]

Niet alleen Gmail, ook op mijn eigen email (eigen webadres) lijkt er veel meer spam binnen te komen. als gaat het hier om 1 adres (ik gebruik er 4 verschillende op) waar meer op binnen komt en op de rest niet.
Ik krijg zelden spam op Gmail. Ook nu niets. Het ligt er maar net aan wat je doet op internet. In ieder geval nooit voor verschillende sites hetzelfde wachtwoord gebruiken. En een passwordmanager, voor je het weet heb je al vele tientallen inloggegevens. Het is heel verleidelijk om je inloggegevens bij Google op te slaan om te synchroniseren met Chrome maar ik doe het niet. Social media zoals Facebook zijn ook al eens getroffen. Moet je dus ook niet meer gebruiken. PC bij het grofvuil zetten dus. Maar dan weer eerst de harde schijf vernietigen met een snijbrander anders kunnen ze die ook nog uitlezen. USB sticks thuis in de kluis gooien of niks er op zetten enz. enz. enz.

Fijn hè, Internet. Ook maar afschaffen dus. Terug naar de tamtam en rooksignalen. Postduiven, ook handig. En alle leegstaande postkantoren heropenen. Maar goed, tamtam en rooksignalen kun je ook afluisteren/zien. En zo'n postduif kunnen ze uit de lucht schieten.
Of het postkantoor overvallen, ook leuk :X .

Tja, ieder tijdperk heeft zijn ongemakken maar ook zijn voordelen. Overdrijven is ook een vak ;) .
naja als email adressen en wachtwoorden zijn gestolen,
en je mogelijk wachtwoorden hergebruikt, dan kan iemand mogelijk nu je wachtwoord weten,
lijkt me niet dat ze perse je Gmail wachtwoord weten maar bijv je inloggegevens van amazon,
email: blaaaat@gmail.com
wachtwoord: shoarma

en ze zullen dat watchtoord vast wel bij andere dingen proberen icm dat email adres, oa gmail zelf dus.
Precies, en als je wachtwoorden hergebruikt mag je ook niet klagen wanneer je gehacked wordt.
Flauwekul, het is niet mijn schuld als ik gehackt wordt. Dat is de schuld van de hacker!
Als jij je fiets niet op slot zet, dan is het ook net jouw schuld als hij gestolen wordt, een ander moet er gewoon met zijn tengels vanaf blijven, dat klopt, maar het spreekwoord zegt: "De gelegenheid maakt de dief", dus je hebt zelf wel enige verantwoording, ook als het om het beschermen van je eigen gegevens gaat.
Behalve dat je bij een fiets gewoon door de stad loopt, en toevallig die fiets ziet. Dan maak je gebruik van de gelegenheid. Hier zijn ze al actief bezig om inloggegevens te stelen. Dus die vergelijking is een beetje mank.
Wat is het verschil tussen een dief die door de stad loopt om te kijken waar hij ergens een fiets zonder slot kan stelen, of een hacker die internet afstruint om te kijken of hij ergens slecht beveiligde wachtwoorden kan bemachtigen?

Beiden maken misbruik van personen die denken, het zal wel meevallen, of mij gebeurt dit niet.
Niet helemaal.

De dief loopt ook door de stad, opzoek naar een fiets.
Iets wat van een ander is, daar blijf je af, los of vast.
Dat heet respect !
Maar dat heeft deze maatschappij blijkbaar niet (meer)
Verantwoording of niet, het maakt mij nergens schuldig van. Ik denk dat dat iets is dat de verzekeraars je wijsgemaakt hebben. Die eisen nml dat je je fiets op slot zet als je em verzkert en als ie gejat wordt, moet je dat kunnen aantonen.

Maar de dief is nog altijd de schuldige. Op slot maakt niet uit, het blijft je eigendom.
Verzekeraars maken je niks wijs, ze stellen het alleen in de voorwaarden van hun polis, net zoals ze tegenwoordig een alarm verplicht stellen voor de duurdere automerken.

Jij tekent voor deze woorwaarden als je een verzekering afsluit en dus ga je hiermee akkoord. Je bent dan misschien niet schuldig aan iets, maar de maatschappij is niet verplicht om uit te keren als je fiets gestolen werd terwijl hij niet op slot stond.
Klopt. Maar ik heb het over juridische schuld. Verzekeraars zijn altijd al raar.
Het is wél jouw schuld dat al je accounts overal in een keer gecompromitteerd worden doordat je overal hetzelfde wachtwoord gebruikt. Het is het beste om er gewoon van uit te gaan dat elke site gehacked wordt en je elk account mogelijk kwijt raakt; met two-factor authentication is het minder waarschijnlijk dat iemand op je account in kan loggen, maar ook dan heb je natuurlijk nog het risico dat hackers direct bij de database met gegevens kunnen komen (buiten de login om).
Overal hetzelfde wachtwoord gebruiken is idd niet slim. Maar overal een ander wachtwoord voor gebruiken (nieuwsbrief van patatzaak, forum van random fanclub etc etc) wordt je weer genoodzaakt om een wachtwoord manager te gerbuiken of idd een deel van een website. Voor dit soort websites maakt het vaak niet uit of je gehackt wordt en kun je daar beter wel het zelfde wachtwoord gebruiken. Maar je moet dit soort wachtwoorden niet gaan gebruiken op je email, bankzaken etc.
Ik gebruik zelf firefox en daar zit standaard een wachtwoord manager in, hoef je zelf niks voor te doen (bijkomend gemak: je hoeft ook niet meer zelf je username en wachtwoord in te vullen als je ergens inlogt). Het lijkt me dat andere browsers dit ook hebben toch? Een onmisbare feature vind ik.
De vraag is dan, hoe wordt DIE lokale database met passwords beveiligd? Als die op een of andere manier wordt buitgemaakt dan ben je alsnog de banaan...
Dat weet jij, dat weet ik. Maar je kan en mag er niet vanuit gaan dat iedereen dat weet. Je kunt niet van de hele wereld verwachten dat ze voor 200 verschillende sites 200 verschillende wachtwoorden hebben, die allemaal even on-onthoudbaar zijn.

Wat slechts een handjevol mensen heeft een degelijke password manager. Het overgrote deel van de mensheid heeft óf vaak hetzelfde wachtwoord, óf heeft een handige geheugensteun.txt op het desktop.

Maar schuldig? Nee, zeker niet. De dader is schudig, niet het slachtoffer. Hoe kun je dat uberhaupt denken.
Wou je zeggen dat je NOOIT je wachtwoord herbruikt?
Je moet tegenwoordig voor iedere website wel een account hebben. Ik kan niet al die wachtwoorden onthouden dus maak zeker onderscheid in "belangrijk" en "minder belangrijk".

Ontopic: Ik had het eerlijker gevonden als ze de bedrijven welke gehackt waren zouden benoemen. Niet zozeer dat daarmee hun beveilging niet goed is, maar wel dat jij als gebruiker (en mogelijk slachtoffer) dit kan nagaan / wijzigen.
Het hoeft ook niet aan je wachtwoord te liggen. Ik ken mensen die een Gmail of een Hotmail account hebben met best een sterk wachtwoord erop, maar vervolgens hangt daar dan een geheime vraag aan "wat is je favoriete stad?" met als antwoord "Amsterdam".
Ja duh.. daar wonen ze, dat staat zelfs in hun profiel, dus je hoeft niet echt veel skills te hebben om dit te raden. Beveiliging is altijd net zo sterk als de zwakste schakel.
Dat los je natuurlijk op door de vragen niet naar waarheid te beantwoorden.

Wat is je favoriete stad -> Rivendell, Duckstad, Amundsen-Scott Station, Neo-Paris, Commoragh.
De vragen zijn inderdaad te makkelijk, dus je moet of de moeilijkste vraag kiezen, of een moeilijk antwoord geven.

In beide gevallen onthoud ik het nooit, want ik hoef namelijk nooit zo'n beveiligingsvraag te beantwoorden omdat ik mijn wachtwoorden niet vergeet. Ik vul dus altijd een lange reeks onzinnige tekens in bij zo'n beveiligingsvraag.

Toch moest ik op een gegeven moment mijn beveiligingsvraag beantwoorden, volgens mij toen ik bij PayPal mijn e-mailadres wilde wijzigen. En toen wist ik het antwoord natuurlijk niet. Echt idioot dat de vraag werd gebruikt als beveiliging en niet enkel mijn wachtwoord.

Hoog tijd voor een beter beveiligingssysteem dan username-password-security question.
Of je laat je password manager een 'wachtwoord' genereren waarmee je de vraag beantwoord. Die kan je dan meestal opslaan in de comments van je password manager. Niet volledig veilig, maar in ieder geval een beter antwoord dan Amsterdam :+
Porsche Carrera 911 was een beter antwoord geweest.
Heeft zelfs niets met steden te maken.
Jah en als je dat bij alles.moet doen waar ze zulke vragen stelle kan je het jezelf behoorlijk lastig maken.

ze moeten met hun poten van ander mans gegevens afblijven, hoeven wij niet constant rare wachtwoorden te verzinnen
Niet door mij dus lekker van mijn wachtwoorden afblijven.

Ontopic

Er zijn dus goede wachtwoord managers iemand een goede en wat doet het precies?

[Reactie gewijzigd door killzonex op 6 augustus 2014 09:52]

LastPass is een online wachtwoordmanager die gratis is (geloof dat er 1 ad staat met 'koop premium'), waar wel $12 per jaar (abo) gevraagd wordt voor het gebruik van mobiele apps (die zelf gratis zijn). Als je lid wordt via de referer link van een bestaand lid krijgen jullie beide 1 maand premium cadeau.

1Password is arguably het beste alternatief, waarbij het verschil is dat 1Password in essentie een offline manager is (en betere UI en UX heeft dan de meeste andere wachtwoordmanagers) met mogelijkheden voor Wi-Fi sync (blijft lokaal) of sync via Dropbox / iCloud.

Dit zijn de twee marktleiders. Ik heb beide en raad ze ieder aan. Het nadeel van 1Password is het machtige prijskaartje, ik zou het kopen als ze kerstacties houden en korting geven.
Allemaal goed en wel, maar wat als die site dan ook gehackt wordt ... dan hebben ze ineens toegang tot AL je accounts. En zeg niet dat het niet mogelijk is want ALLES kan gehackt worden.
Zo simpel ligt het niet want jouw online kluis is beveiligd met jouw wachtwoord, maar de kans dat hun servers gecompromitteerd worden is inderdaad altijd aanwezig. Het is zelfs één keer misschien gebeurd. Er is veel te vinden over hoe de beveiliging is bij LastPass (en Apple's iCloud Keychain, enz.) [1]. Ik raad je aan de blog posts e.d. te lezen als je twijfelt over LastPass.

Net zoals 1Password's AgileBits heeft LastPass een blog waar veel nuttige tips en mededelingen over veiligheid worden geplaatst, deze twee blogs raad ik sowieso aan ongeacht of je hun diensten afneemt of niet :)

LastPass plaatst ook checks zodat je kun testen of je gegevens zijn gelekt bij diefstallen van databases van bekende websites en bugs in protocollen.

[Reactie gewijzigd door Blizz op 6 augustus 2014 13:50]

Dat is ook mijn grootste drempel om een gecentraliseerde plek te hebben voor al mijn wachtwoorden.
LastPass, serieus?
Dat bedrijf heeft feitelijk als doel zoveel mogelijk inloggegevens verzamelen. Gratis ook nog natuurlijk, want ze hoeven er vast niet van te leven... /sarcasme off/
Vergeet niet dat al je credentials,URL's, inlognaam en wachtwoord, ook bij hen de op servers wordt bewaard.
En lokaal ook op elk device dat je ermee gebruikt. En wel op een locatie die, als iemand eenmaal toegang heeft verschaft, altijd hetzelfde is en dus gemakkelijk en snel te kopiëren is.
Noem me maar paranoïde, dat liever dan naïef. Maar ik adviseer zoiets niet.
En dan bedoel ik eigenlijk niet eens specifiek LastPass want misschien is dat nou net die ene betrouwbare credentials verzamelaar :+ , maar ook hun consorten.
LastPass is inderdaad freemium en online, daar ben ik me van bewust. De reden die ze hiervoor geven is omdat ze vinden dat veiligheid universeel beschikbaar moet zijn. Daarbij verdienen ze gewoon aan bedrijven en aan (de vele) klanten die premium aanschaffen om ook mobiele apps te gebruiken.

Ik vertrouwde ze ook niet van de ene op de andere dag, daarom heb ik juist veel over ze opgezocht en er tijd in gestoken om er veel over te weten te komen. Hoe kan je anders een gefundeerd oordeel uitspreken? Ik vertrouw hen nu, maar ik blijf ook opletten. Als je LastPass gebruikt, ben je overigens niet verplicht om de extensies te installeren in je browser, je kunt ook de online kluis gebruiken. Meer linkjes met info hier.
Ja goed, ik weet niet hoeveel mensen er $1,- per maand voor over hebben om een clubje vrienden in de USA je wachtwoorden te laten bewaren. De scheet-app deed het immers ook goed.
Maar bedrijven? De dag dat mijn werkgever mijn credentials bij een dergelijk clubje in beheer geeft, is de dag dat ik ontslag neem. Dat is toch niet serieus?

Het is overigens niet mijn intentie om iemand hierover aan te vallen of zo. Misschien heb ik "The Net" met z'n gatekeeper een keer te vaak gezien.

[Reactie gewijzigd door Marvex op 6 augustus 2014 15:57]

Er zijn zat organisaties die compleet afhankelijk zijn van Google Apps of Microsoft's clouddiensten, wat voor zulke bedrijven neerkomt op verdergaande toegang dan wachtwoorden. Het betekent dat letterlijk alles van deze bedrijven, scholen, universiteiten en overheidsdiensten op de cloud staat. Dat is toch ook serieus?
Ik gebruik Password Box, niet duur en werkt prima.
Het managet je wachtwoorden. Kom op, iets meer zelfredzaamheid.
Zover was ik ook maar blijkbaar is er online opslag op je eigen pc opslag waarom lang zelf zoeken als er nette mensen zijn die je de beste kunnen aanwijzen? Je kan ook uur in supermarkt rondlopen om een product te zoeken terwijl als je het vraagt direct weet waar je aan toe bent maar zo ben jij blijkbaar niet thx blizz voor de hulp
Een geheime vraag is bij de betere websites dan ook nooit een one-step authenticatie. Vroeger was dit geloof ik wel het geval bij Hotmail maar die tijd is toch wel voorbij mag ik hopen.
Bij gmail krijg je als ik het goed heb onthouden een e-mail om je wachtwoord te resetten op het recovery e-mailadres dat je in kunt stellen.

Het enige dat iemand dus voor elkaar krijgt is jou te spammen met berichten of je je wachtwoord wilt resetten.

De suggestie van Enai om die vragen niet naar waarheid in te vullen zou ik dan ook afraden. Ik heb toch graag wel een fatsoenlijk te onthouden recovery mocht ik ooit perrongeluk een record(of mijn gehele database) met wachtwoorden verwijderen/kwijtraken.
Alleen bij twijfel over de kwaliteit van een website kun je natuurlijk controleren hoe de recovery werkt.
Dat klopt, daarom moet je ook of een password manager hebben (toegegeven, dan heb je ook een 'single point of failure', of een eigen systeem bedenken - bijvoorbeeld een vast (complex genoeg) wachtwoord waar je altijd een paar letters van de site of dienst in kwestie in verwerkt (bijv. twe12345 ipv het standaard 12345).
Dat klopt, daarom moet je ook of een password manager hebben (toegegeven, dan heb je ook een 'single point of failure', of een eigen systeem bedenken - bijvoorbeeld een vast (complex genoeg) wachtwoord waar je altijd een paar letters van de site of dienst in kwestie in verwerkt (bijv. twe12345 ipv het standaard 12345).
En dat heeft 9 van de 10 keer dan weer ruzie met een password policy die veel systemen weer afdwingen, want hoe vaak zie je het niet dat je wachtwoord minstens een hoofdletter, een cijfer, en een leesteken moet bevatten en uit maximaal 12 karakters mag bestaan? En dan verloopt zo'n password ook nog eens elke 3 maanden...
Dit is natuurlijk een onzin argument, ik gebruik al meer dan een jaar keepass en ik kan gewoon zelf instellen welke password policy van toepassing is per account. Ook kun je een vervaldatum aangeven zodat je altijd weet welke passwords verlopen.
https://lastpass.com/

Alleen je login voor lastpass moet dan wel geheim blijven :o
Ik hergebruik wachtwoorden nooit...op internet.
Dan maar een password manager. Liever wat extra hassle dan dat mijn gegevens worden buitgemaakt passwords worden ontdekt.

Verder zou je voor belangrijke accounts ook 2FA moeten gebruiken, liefst buiten GSM netwerken om.

[Reactie gewijzigd door Iceman B op 6 augustus 2014 13:54]

Ik gebruik een lokaal password manager die niet geïntergreerd is in mijn browser, met keyfile en masterpassword en alle wachtwoorden gegenereerd. Dus nee, ik gebruik mijn wachtwoorden niet op meerdere websites.
we moeten tegenwoordig zoveel dingen onthouden dat ik best begrijp dat er mensen zijn die bepaalde wachtwoorden hergebruiken. Ikzelf gebruik voor hotmail en gmail hetzelfde wachtwoord, maar een ander wachtwoord voor twitten en facebook.
Heb je het nieuws bericht wel gelezen? ze hebben van 420.000 websites de login gegevens.
Dat zou dus niet zijn gebeurt als je verschillende wachtwoorden zou gebruiken?
Als je daar hetzelfde wachtwoord voor gebruikt als je ook bij gekraakte webportaals is die kans hoog.

Gelukkig kun je die kans ook verkleinen met
-2 staps autentificatie
-gebruik van verschillende wachtwoorden.
nog een tip
Het is gewoon lastig om meerdere wachtwoorden te onthouden (we kunnen het gewoon niet). Je kan gewoon je wachtwoord hergebruiken maar dan alleen met website.wachtwoord

Dus : Tweakers.asdfgh

1. je wachtwoord is langer, dus moeilijker te kraken.
2. hiermee voorkom je dus dat je wachtwoord wordt gekraakt op meerdere sites

Note to myself : Je zegt het dan wel, maar ga het zelf dan ook even zo doen :)
Wat een bullshit. De combinatie van de naam van de dienst is een van de meest triviale transformaties die wordt gebruikt door krakers. Het biedt je praktisch gezien 0,0 extra bescherming.

Luister niet naar deze vent. En Iftert: geef niet meer zomaar security-advies. Je kunt er namelijk niks van.

Wil je meerdere wachtwoorden beheren? Gebruik een password manager. Maar dit soort systeempjes bieden alleen maar schijnveiligheid.
Ik heb er wel eens over gedacht een pw manager te gebruiken, maar loop je dan niet extreem veel gevaar als je pc geïnfecteerd raakt met een virus oid?
Juist vanwege die reden heb ik geen PW manager.

Waar een enkel gestolen PW een leuk resultaat is voor een crimineel is een bak vol PW's in een PW manager natuurlijk een "schatkist".

Vanwege dezelfde reden heb ik geen contactpersonen in mijn email.

Wil je PW's of contactpersonen echt veilig bewaren doe dit dan op een non-network systeem compleet los van je wel verbonden machine.

Een 10/15 jaar oude organiser of data bankje met scherm voldoet prima. :9
Onzin, wanneer je je PW manager beveiligd met een extreem sterk password zal deze simpel weg niet gekraakt worden en zijn al je passwords veilig.

Gebruik bijvoorbeeld een 'gekke' zin welke over het algemeen makeljik te onthouden is, zoals:

ikbeneengroenegoudvis

Probeer maar eens uit op deze website welke aangeeft wat de sterkte is van je wachtwoord:
http://www.ict-security-b...ningen/password/index.php

Als je ook nog eens combineerd met een leesteken + cijfer combinatie dan zit je voor de komende jaren veilig.
Tuurlijk onzin totdat blijkt dat die PW managers een achterdeurtje hebben bij bepaalde in opspraakt geraakte overheids etc. toko's

Maar mijn zegen heb je hoor, lekker cosy al je PW's bij elkaar op een online systeem in een progsel waarover NIEMAND juridische garantie geeft voor de gevolgen van hacken, diefstal, achterdeurtjes etc.

Laat ik het dan zo zeggen: Wat is voor hackers / kwaadwillenden een groter succes telkens 1 PW of een veel gebruikt systeem waarmee je in 1 keer een mega slag kan slaan ?

@hieronder fealine:
Sterk staaltje appels met peren vergelijken....... |:(

[Reactie gewijzigd door trm0001 op 6 augustus 2014 11:13]

Laat ik het dan zo zeggen: Wat is voor hackers / kwaadwillenden een groter succes telkens 1 PW of een veel gebruikt systeem waarmee je in 1 keer een mega slag kan slaan ?
Laat ik het dan zo zeggen: Wat is voor hackers een groter success, persoonlijk achter ieder niet interessante persoon aan gaan, zijn persoonlijk gedecentraliseerde password database stelen en daarna hacken of een centrale server aanvallen waarbij een miljard passwords van verschillende personen worden buit gemaakt?

@hierboven trm0001:
Hoezo appels / peren? Decentraal vs. centraal is wel degelijk een prima vergelijking en vergelijkbaar met jouw eigen stelling.

[Reactie gewijzigd door Fealine op 6 augustus 2014 13:02]

Lekkere site is dat. Alle wachtwoorden die je op sterkte test, worden als GET request naar ze toe gestuurd:

http://www.ict-security-b...t.php?password=helloworld
Je gaat toch niet een wachtwoord die je wilt gaan gebruiken op deze manier testen? In http://keepass.info/ kun je de kwaliteit van een wachtwoord testen en dat zal in andere wachtwoord managers ook zo zijn. Daarnaast kun je op internet wel scripts vinden die dit ook kunnen. Maar ook hierbij geldt dat je kritisch naar de uitkomst moet kijken, iets wat als sterk wordt beoordeeld zou zomaar zwak kunnen zijn (bijvoorbeeld omdat het wachtwoord al ergens genoemd is).
Toch blijf ik een dubbel gevoel houden bij pw managers. Zijn die wel te vertrouwen ? Daarnaast is het (voor mij persoonlijk) ook te onbekend. Want hoe zit het met pw managers en verschillende systemen ? Ik werk op diverse pc's , laptops , ipads en iphones. Moet daar dan allemaal een pw manager op ? En communiceren die met elkaar ?

Ik blijf bij mijn oude vertrouwde taktiek:
* scheiding tussen belangrijke en onbelangrijke sites
* onbelangrijke sites kan (met iets variatie) best m'n ww hergebruikt worden
* belangrijke sites gebruik ik verschillende ww's en daarbij 1x in de x-tijd wisselen (daar gebruik ik dan het wisselmoment van m'n werk voor als trigger :) )
Gevestigde wachtwoordmanagers zijn al vaker tegen elkaar afgewogen met de vraag of ze te vertrouwen zijn. Mijn antwoord daarop is: ja, ik vertrouw ze. Maar je kunt natuurlijk nooit weten of de eN eS aA het algoritme kent dat ze gebruiken – of dat ze bij de server kunnen, in het geval van online managers. Dit kun je in principe zelf omzeilen door er wat random karakters in te plaatsen en als je geen online manager vertrouwt, dan moet je die niet gebruiken.
Ik gebruik Password Box deze is op meerdere PC's of iPads te gebruiken. Opnieuw inloggen en onthouden is niet nodig.
(De tekens # en & zijn niet toegestaan)
|:( 8)7
Wat voor een "wachtwoorden sterkte" berekenaar ben je dan, als je tekens uitsluit
Tevens werkt die site niet correct bij invoer van een wachtwoord met 8 posities, 1 speciaal teken en 2 cijfers (en een hoofdletter)
is volgens de site het wachtwoord slechts X posities lang (tot de locatie van het leesteken), daarna gaat hij over de zeik
Als ik op die wactwoordsterktemeter (3x woordwaarde) a b c d e f g h invoer dan is dat met 54 jaar gekraakt, maar voer ik die in bij de wactwoordsterktemeter van bv Kaspersky dan doet die supercomputer er eeuwen over. Hoe kan dit?
Totdat er een lek in de software wordt ontdekt waardoor de sterke van je main-password niet meer uit maakt.
Ja en dan... de hacker moet daarbij ook nog fysiek toegang hebben tot jouw password database. Het hacken van een centrale server met passwords is veel interessanter voor hun dan allerlei persoonlijke databases.
Of zet je wachtwoorden van de verschillende sites op papier... Ik heb ze gewoon op een a4'tje. Ik ga er maar even vanuit dat de gemiddelde inbreker geen interesse heeft in dit soort informatie (digid staat nergens, onthoud ik zo). Of is dit geen tweaker oplossing :*)
Really, wachtwoorden op papier? WOW!

Blijft dus echt een feit dat het grootste beveiligingslek de gebruiker zelf is.
Het werkt anders wel perfect tegen Russische hackers. Als je het niet gebruikt op een plek waar veel mensen komen en het papier ook niet op een direct zichtbare plek bewaart dan is deze methode redelijk veilig. Ja je bent kwetsbaar voor iemand die in je woning inbreekt, maar hoe groot is die kans?
Dus dat papiertje moet je thuis in de kluis laten liggen. Want oh wee als je het kwijtraakt. Logisch.

Ik zit echter niet alleen thuis achter een systeem waar ik wachtwoorden nodig heb. Dus ik zie nog wel een mobiliteits issue in deze.
Hoezo? Het is geen vodje dat ik laat rondslingeren. Het is goed opgeborgen tussen andere belangrijke papieren. De meeste wachtwoorden onthoud ik wel, maar zo nu en dan spiek ik er even op. Ik zie het probleem niet zolang er geen digid info e.d. opstaat en je het niet laat rondslingeren. Inbrekers zullen eerder mijn ipad, pc e.d. grijpen dan opzoek te gaan naar de wachtwoorden van webwinkels, steam etc...
Weet je wat 't grappige is, het feit dat dit een van de weinige dingen is die vandaag de dag nog een beetje werkt/helpt.

Aangezien de kans dat je gehackt word VELE malen groter is dan de kans dat er een inbreker bij je binnen staat die op zoek gaat naar blaadjes met wachtwoorden.
Nog een ander bijkomend voordeel: ALS er iemand inbreekt WEET je dat je alle wachtwoorden moet veranderen.

Dankzij dit nieuwsbericht krijg ik het vermoeden dat wellicht mijn gegevens ook "op straat ligt", maar zeker weten doe ik dat niet.
Gebruik je wel hetzelfde wachtwoord op elke website?

Want ik zou PM meer vertrouwen dan de som van de websites die ik gebruik. Ik raad je de blog van 1password of lastpass aan om eens te lezen. Ze leggen daar regelmatig uit hoe ze hun beveiliging hebben geregeld en hoe ze ermee omgaan.
Je kunt ook voor bepaalde websites het zelfde wachtwoord gebruiken en voor de wat "gevoeligere" sites andere (mischien ook langere) wachtwoorden.
Ik heb er wel eens over gedacht een pw manager te gebruiken, maar loop je dan niet extreem veel gevaar als je pc geïnfecteerd raakt met een virus oid?
Aan de andere kant, als je pc geïnfecteerd raakt zulen 'ze' er ook wel een keylogger op zetten en dan weten ze alsnog je wachtwoorden zodra je ergens inlogt.
Mwah, als ze bij mij, mijn pc infecteren, kom ik er over het algemeen wel snel achter, dus dan kan ik het verwijderen, voordat de keylogger gebruikt kan worden, bij een pw manager, ben je al meteen ál je wachtwoorden kwijt, evt natuurlijk.
Dat vind ik zelf wel moeilijk om dit te weten. Heb natuurlijk virus scanner, gebruik no-script, hou admin en normaal account gescheiden, ben voorzichtig met surfen.
Maar lijkt me moeilijk om te weten wanneer je gehacked bent. Dus, hoe doe je dat dan?
Dropbox account (of Google drive, SkyDrive/OneDrive, etc) --> password database opslaan in je dropbox account. Je keyfile upload je naar je tweakers private storage. Raakt je PC geinfecteerd, kun je hem gewoon volledig opnieuw installeren. Je installeerd je cloud drive weer, download je keyfile vanaf je tweakers storage en je kunt weer verder..

Als je bent geinfecteerd maakt het eigenlijk niet meer uit of je je wachtwoord zelf onthoud of een password manager gebruikt. Uiteindelijk moet je het wachtwoord alsnog invoeren op de website en een beetje virus houd gewoon de interessante websites via een browser addon in de gaten. Keyloggers doen vaak ook het klembord in de gaten houden.

Er is slechts 1 middel welke 100% voorkomt dat je wordt gehacked op het internet. En dat is gewoon het internet niet meer opgaan. Verder kun je het voor andere alleen maar zo moeilijk mogelijk maken om jouw account te kraken.. En een (gegenereerd) wachtwoord per website is daar zeer effectief in..
Ik doe het op een andere manier.
Ik heb een standaard template waar ik dan de naam van de website doorgooi op random locaties in het wachtwoord.

Bijvoorbeeld: 1T2W3E4A5K6E7R8S
Slechts een voorbeeld je kan eindeloze combinaties maken.
Nadeel is, als eenmaal één van je wachtwoorden is gehackt, dat dat template eenvoudig is te extraheren.
Vervolgens zijn er minder mogelijkheden om dat template door de naam van de website te husselen dan je denkt.
Nah ja het was maar een voorbeeld.
Ik vervang niet letters op constant dezelfde plekken.

Wachtwoord 1 kan bijvoorbeeld de 3e letter vervangen hebben terwijl bij wachtwoord 2 letter 6 vervangen is.

Tot nu toe werkt het prima voor mij.
Maar andere ideeën kunnen natuurlijk beter zijn :)
Toch zal er een systematiek achter zitten want hoe onthoud je anders alles? Als je een password manager gebruikt, waarom dan geen gebruik maken van de password generator? Scheelt hoop gepuzzel.
Ok maar daar is toch ook gewoon random? Het gaat erom dat je een uniek wachtwoord gebruikt per website dat ook nog te onthouden / berekenen valt.

Dus bv. wachtwoord + 2e letter website + extensie website + speciaal teken + aantal karakters domeinnaam

Dat geeft dan: Pietjewnet#11 (Pietje + w + net + # + 11)

Uiteraard zal iemand die het specifiek op jou gemund heeft mogelijk een patroon ontdekken. Worden je gegevens gestolen met vele anderen gaat men die moeite echt niet nemen. Ruim voldoende voor de gemiddelde site.

Voor gevoelige websites (zodra er ook geld kan gestolen worden) gebruik je best gewoon een uniek niet herleidbaar wachtwoord.
Misschien werkt een password manager voor jou en mij.

Maar ik ken genoeg mensen die niet snappen wat ze met een password manager aan moeten, gewoon weg omdat ze de werking niet snappen er van, want ze willen gewoonweg een wachtwoord invullen (denk hierbij even aan de al wat oudere medemens) Wellicht heb je gelijk en is het ook meer een schijnveiligheid, maar het bied dus wel een kleine extra zekerheid die je dan juist voor de oudere medemens in kan bouwen.

En als jij denkt dat mensen die achter een computer een wachtwoordmanager altijd wel snappen, en er dus ook daadwerkelijk mee willen werken, kom dan maar eens een week mee lopen in de winkel waarin ik werk. Dan kom je er achter dan veel normale mensen (en dit kunnen ook hoog opgeleide mensen zijn) niet snappen wat ze met een wachtwoordmanager aan moeten. En dan ook zeker niet er mee willen werken, omdat het weer iets is wat ze zouden moeten leren.

Denk je echt dat als je 1.2 miljard gegevens heb dat je er dan maar de tijd voor heb om elke combinatie te gaan uittesten die er mogelijk is? Nee natuurlijk niet, ze pakken allen de combinaties die werken, want anders is het ook voor hun te veel werk.

[Reactie gewijzigd door Iftert op 6 augustus 2014 02:10]

Denk je echt dat als je 1.2 miljard gegevens heb dat je er dan maar de tijd voor heb om elke combinatie te gaan uittesten die er mogelijk is? Nee natuurlijk niet, ze pakken allen de combinaties die werken, want anders is het ook voor hun te veel werk.
Werk? Dat wordt volledig geautomatiseerd. Dat kan wellicht een scriptkiddie nog automatiseren. Laat staan een hacker.
Tweakers.asdfgh
Als Tweakers.asdgh jouw password zou zijn op tweakers, zullen ze zo'n beetje als eerste Paypal.asdfgh proberen op paypal.com.
DCK zegt het wat bot, maar jouw voorgestelde methode werkt (helaas) inderdaad voor geen meter... :P
Je kan er van uitgaan dat een wachtwoord veilig word opgeslagen (ruwe aanname, ik weet het). Met een salt en een hash is de inhoud afgeschermd. Dan is het niet neer tweakers.qwerty en paypal.qwerty maar 23¤#£!,adhoc en 1:!'liknfs!);,.

Het lijkt me dan toch een heel stuk veiliger dan hetzelfde wachtwoord. Totdat een site de wachtwoorden in plain text opslaat..

En vergeet de beveilingsvraag niet! Die is vaak ook makkelijk te social engineering.
de hash hebben ze idd niet veel aan, maar er zijn helaas nog altijd websites die geen passwords hashen of heel slecht met alleen een md5 oid.
Ook met alleen een md5 hash heb je er voldoende aan om onderscheidend te zijn. Er valt nog steeds niet te herleiden dat jij dan bijvoorbeeld Tweakers.asdfgfh hebt staan. Je gaat hier pas patronen in ontdekken als meerdere mensen dezelfde wachtwoorden hebben.

Als ik me niet vergis is dit toen ook het geval geweest bij Adobe, waarbij het gevaar vooral zat in het feit dat heel veel van de hash waardes die ze hadden gevonden hetzelfde waren. Hierdoor ontstond er een patroon en werd het makkelijker om de veel gebruikte wachtwoorden te achterhalen, maar als jij een redelijk uniek password gebruikt dan hebben ze er nog steeds niet zo veel aan.

Pin me er niet op vast, maar voor zover ik weet is een md5 hash nog steeds niet terug te brengen naar een bruikbaar password.
Ach, en dan maken ze 40 md5 hashen van site., site_, site-, etc en dan hoeven ze alleen het laatste stukje (en de salt) te doen. Veilig is gewoon een lang uniek wachtwoord voor iedere site, zonder de site er in te betrekken.
Naar mijn mening spreek je jezelf tegen. Eerst zeg je:
Werk? Dat wordt volledig geautomatiseerd.
En vervolgens geef je aan dat ze het "Website gedeelte" van het wachtwoord proberen te vervangen. Als ze alles automatisch doen kan ik me al slecht voorstellen dat ze scannen op het gebruik van de websitenaam in het wachtwoord, aangezien dat niet iets is wat de standaard gebruiker doet. En als je toch nog twijfelt maak er dan een variatie op: Tw3ak3rs.asdfgh. Zulke uitzonderingen gaan ze zeker niet in een ge-automatiseerde tool verwerken en hiermee ben je dus veilig voor de massa-hack.
Wanneer, over een paar jaar wellicht, een script-kiddie deze database in handen krijgt en handmatig gaat 'spelen' hiermee bestaat inderdaad de kans dat deze wel de moeite doet om je wachtwoord aan te passen. Daarom deel ik mijn wachtwoorden altijd in op basis van veiligheidsbelang. Bij email en zaken met geld gebruik ik mijn veiligste wachtwoord (met variatie in cijfers) + 2fa, bij middelmatig belangrijke zaken gebruik ik ook een combinatie van site + wachtwoord + cijfer variatie en bij onbelangrijke webshops (zonder cc gegevens) gebruik ik een redelijk standaard wachtwoord af en toe met een kleine variatie.
Het gebruik van cijfers die letters moeten voorstellen is al tijden geen extra bbescherming meer.
Als geautomatiseerd bekende website namen of delen daarvan worden herkent zijn dus makmakkelijk je andere wachtwoorden te herleiden. En dat gaat niet met de hand.
Je wachtwoord aanpassen per website is zeker veiliger dan hetzelfde wachtwoord overal gebruiker. Het is aan de website beheerder om je wachtwoord uniek te encoderen. Als jij dan een uniek wachtwoord hebt kunnen ze dat niet zomaar op elke website gebruiken.

Correct me if im wrong.

Het is trouwens volgens mij het beste om een eenvoudig te onthouden unieke passphrase te gebruiken. Iets in de trend van: "tweakers is iets met techniek"

[Reactie gewijzigd door VgTto op 6 augustus 2014 03:12]

Natuurlijk geeft dat wel extra bescherming aangezien wachtwoorden 99 van de 100 keer gehasht (en gesalt) opgeslagen worden. Een gehasht wachtwoord kan je niet zoveel mee, behalve dat je het relatief eenvoudig kan kraken door middel van brute force.

Als het hier om 1,2 miljard plaintext wachtwoorden zou gaan zouden de hackers er wel iets meer mee gedaan hebben dan spam versturen.
Ja, maar het is wel één extra stap om voor één iemand zijn/haar wachtwoord te kraken, waardoor deze stap voor elke gebruiker van de website gedaan moet worden. Dit is best een performance hit op een hele reeks aan brute-force attacks. Geen enkel wachtwoord is uiteindelijk veilig, maar het wel een extra stap, dus wel veiliger.
dude ga geen tweaker afkraken op een reactie omdat hij er naast zit "volgens jou" :S
Het is gewoon lastig om meerdere wachtwoorden te onthouden (we kunnen het gewoon niet).
Dit is een grove onderschatting van de geestlijke vermogens van zelfs de minder begaafden onder de mensen. Denk maar eens na over hoeveel namen van personen, plaatsen, straten enz. iedereen probleemloos onthoud zonder dat ze vaak gebruikt worden.

Het onthouden van een beperkt aantal passwords is best te doen voor een gemiddeld persoon. De vraag is of men de moeite WIL nemen.

Het gebruik van een password manager is een optie. Het probleem is dat voor echt goede beveiliging de opslag van de passwords en de daarbij behorende applicaties 100 % gescheiden moet zijn. De combinatie mag alleen in jouw hoofd gemaakt kunnen worden. Dat betekent dus twee lijsten op twee echt volledig gescheiden platforms. Hoe je dit precies invult moet iedereen voor zich bedenken, maar een combinatie van het stenen tijdperk en het digitale tijdperk ligt hier toch wel voor de hand.
Het onthouden van bijvoorbeeld 6 wachtwoorden is het probleem niet. Het wordt wel lastiger als je ze, niet alleen voor je privé doeleinden moet onthouden, maar ook voor het werk/eigen bedrijf/uwv diensten.
Daarnaast is het niet voor niets zo, dat je ze elke 6 maanden moet veranderen binnen een veilige omgeving.
Het klopt dat als je inderdaad tientallen passwords moet onthouden dat de meeste mensen dat niet gaat lukken.

Vergeet echter niet dat in veel bedrijven de passwords van veel applicaties gelijkgetrokken worden door gebruikmaking van active directories.

Ik vraag me serieus af hoeveel nut het regelmatig wijzigen van een password eigenlijk heeft. Het word hierdoor namenlijk niet moeilijker een password te kraken. Ik denk zelfs dat het makkelijker word omdat mensen hierdoor simpelere passwords zullen gaan gebruiken. Bijna iedereen die ik ken die dit soort systemen gebruikt heeft dan gekozen voor het kortst mogelijke password, waarin dan meestal ook nog een volgnummer verwerkt is. Dat laatste heeft dan als effect dat indien je password gehackt is en je doorgaat naar het volgende nummer het voor de hacker kinderlijk eenvoudig is dit ook te doen. Daarmee word het nut van de wijziging weer teniet gedaan. Ik denk dat dit dus grotendeels een vorm van schijnveiligheid is.
wat ik zelf doe is het volgende: een standaard pw bestaande uit letters en cijfers icm de eerste 5 letters van een website. Werkt erg prettig.
De risico's van:
-2 staps authentificatie

- Je telefoonnummer kan ook op straat komen te liggen bij een hack.
- Tevens kan je telefoonnummer worden verkocht/gedeeld door "derde partijen".

Nee, ik heb dan liever dat mijn Tweakers account wordt gehackt, dan dat mijn telefoonnummer wordt misbruikt. Ik wordt nu niet gespamt op mijn mobiele telefoon en dat wil ik in de toekomst ook graag zo houden.

Er zijn naar mijn idee weinig "veilige" en "makkelijk te gebruiken" alternatieven.
Een passwordmanager is te hacken en kan gevoelig zijn als deze lokaal op je systeem/telefoon staat. Het is ook niet echt een veilig idee als deze in de cloud staat, vaak kunnen bestanden door een geautomatiseerd systeem worden doorzocht. Tevens zijn cloud opslagdiensten ook weleens gehackt (zoals Dropbox).

Wat je m.i. kunt doen om het de kans op een hack te minimalseren:
- zo min mogelijk accounts aanmaken (dus niet zomaar op elke site jezelf aanmelden)
- probeer ervoor te zorgen dat je niet op elke site hetzelfde wachtwoord gebruikt, categoriseer ze als het mogelijk is.
- klik niet altijd op het vinkje, om je inloggevens op te slaan, vooral niet als je niet op je eigen systeem werkt.
- log niet in op elk open wifi netwerk
Er staat op het moment nog alleen dat er websites zijn getroffen.
Ik moet er niet aan denken als er accounts van OS'sen zijn getroffen.
Websites van overheden ??
Ik wacht met spanning af..
WAT KRIJGEN WE NU! Dit artikel komt van mijn blogpost van een paar dagen geleden en is door de New York Times heel slecht vertaald. WTF!!!!!! En nu weer op T.net. De cirkel is rond maar WTF!
Een bende Belgische hackers hebben volgens een beveiligingsbedrijf ongeveer 1,2 miljard combinaties van gebruikersnamen en wachtwoorden gestolen. Het gaat buitengewoon hoogwaarschijnlijk om de grootste roof van inloggegevens tot nu toe. Wereldwijd zijn er meer dan een miljard mensen in paniek omdat hun wachtwoord gestolen is en ze geen backup hebben gemaakt.

Dat meldt het beveiligingsbedrijf W817-security. Volgens het bedrijf heeft een groep met Belgische hackers in totaal ongeveer 1,1 miljard gebruikersnamen en wachtwoorden gestolen van ongeveer een heleboel websites. Bij de digitale roof waren ook 500 miljoen e-mailadressen betrokken, en een duim.

W817-security heeft geen namen vrijgegeven van bedrijven die slachtoffers zijn geworden van de hackers. Wel zou het gaan om zowel grote als kleine bedrijven, zowel binnen als buiten alle landen die er belang bij hebben dat België barst. Een fopman van W817-security stelt dat de meeste getroffen website nog steeds vatbaar zijn voor hacks, waardoor er geen namen worden vrijgegeven.

Vooralsnog zouden de verantwoordelijken de data voornamelijk gebruiken voor het versturen van spam en zijn de gestolen gegevens waarschijnlijk nog niet verkocht. Op verzoek van W817-security heeft de Belgische hacker 3olt_ru1, een zogenaamde goede "white hat" hacker, de gestolen gegevens tijdelijk eventjes terug gestolen om zo te kunnen analyseren voor een tendieus en ongefundeerd nieuwsberichtje met aantrekkelijke titel.

De precieze plannen van de verantwoordelijke hackersgroep zijn echter niet duidelijk. Vermoedelijk is de diefstal van 3,6 miljard inloggegevens de grootste digitale roof die tot nu toe is ontdekt. Het cybercrime-unit van Liechtenstein noemde onlangs Belgische hackers nog het grootste gevaar voor de cyberveiligheid in Europa.
Bron: https://www.w817-security.be

[Reactie gewijzigd door Kain_niaK op 6 augustus 2014 01:28]

Ben je nou alleen maar aan het trollen, of probeer je een punt te maken? In het laatste geval, zou je misschien iets explicieter kunnen zeggen wat je bedoelt, want ik mis het even.
Ja dat het allemaal bullshit is. Google "Hold Security" en Alex Holden

Deze foto komt uit het artikel van de New York Times waar T.net dit nieuws vandaan heeft:


Kijken we naar de orginele tekst uit dat artikel dan lezen we dit:
A Russian crime ring has amassed the largest known collection of stolen Internet credentials, including 1.2 billion username and password combinations and more than 500 million email addresses, security researchers say.
Fout, Alex Holden is de enige werknemer en dit is zijn kantoor
The records, discovered by Hold Security, a firm in Milwaukee, include confidential material gathered from 420,000 websites, ranging from household names to small Internet sites. Hold Security has a history of uncovering significant hacks, including the theft last year of tens of millions of records from Adobe Systems.
The records ... welke? Heeft Alex holden bij 420 000 website ingebroken of bij de Russische Hackers ingebroken die bij 420 000 websites hebben ingebroken? 420 zie je ook vaak terug komen bij stoners. Hold Security heeft alleen een website en bestaat nog geen twee jaar. Het enige patroon in hun emailtjes naar de media is het woord: "Rusland"
Hold Security would not name the victims, citing nondisclosure agreements and a reluctance to name companies whose sites remained vulnerable. At the request of The New York Times, a security expert not affiliated with Hold Security analyzed the database of stolen credentials and confirmed it was authentic. Another computer crime expert who had reviewed the data, but was not allowed to discuss it publicly, said some big companies were aware that their records were among the stolen information.
Oh, ze willen voor de rest niks zeggen. Nou als de enige bron het gerespecteerde Hold Security is dan nog geen twee jaar geleden zijn website heeft geregistreerd en drie keer in het nieuws is geweest met Russische hackers en dat is het dan dan zullen we ze maar geloven.
Hackers did not just target U.S. companies, they targeted any website they could get, ranging from Fortune 500 companies to very small websites,” said Alex Holden, the founder and chief information security officer of Hold Security. “And most of these sites are still vulnerable.”
Ik vertaal het even. Boze enge mannen hebben niet alleen Amerikaanse bedrijven aangevallen. Nee, ze hebben elke website die ze met PutinSeach.ru konden vinden aangevallen. Van kleine websites tot en met grote websites. En de meeste van deze websites zijn nog steeds kwestbaar. Bijvoorbeeld tegen wereldwijd stroomverlies.
There is worry among some in the security community that keeping personal information out of the hands of thieves is increasingly a losing battle. In December, 40 million credit card numbers and 70 million addresses, phone numbers and additional pieces of personal information were stolen from the retail giant Target by hackers in Eastern Europe.
Nee, men maakt zich vooral zorgen over propaganda en hoe makkelijk alle westerse media daar voor vallen. Zelfs ons geliefde T.net
Maar vermits alle narigheid op het internet van de oostblok landen komt is een eenvoudige iptables regel genoeg om het internet weer veilig te maken.
“There is a division of labor within the gang,” Mr. Holden said. “Some are writing the programming, some are stealing the data. It’s like you would imagine a small company; everyone is trying to make a living.”
Ah ja, maar Mr Holden heeft deze database ingezien. Hoe? Door ze te betalen? Of heeft ie ze terug gestolen van de Russische Hackers? Zijn die 420 000 websites allemaal klanten bij Mr Holden. Da's knap op 2 jaar tijd.


Nu ja, ik kan wel doorgaan maar dit hele bron artikel slaat nergens op. Een bronartikel zonder bron is als een server zonder internet aansluiting.
The records ... welke? Heeft Alex holden bij 420 000 website ingebroken of bij de Russische Hackers ingebroken die bij 420 000 websites hebben ingebroken?
Het is niet zo ver gezocht dat ie de hele dump in handen heeft gekregen; daar slagen onderzoekers vaker in.
420 zie je ook vaak terug komen bij stoners
Da's spijkers op laag water zoeken...
Nou als de enige bron het gerespecteerde Hold Security is
Het stuk dat je zelf quote zegt ook:
At the request of The New York Times, a security expert not affiliated with Hold Security analyzed the database of stolen credentials and confirmed it was authentic. Another computer crime expert who had reviewed the data, but was not allowed to discuss it publicly, said some big companies were aware that their records were among the stolen information.
Dus dan is Hold Security niet de enige bron, die "security expert not affiliated with Hold Security" en "another computer crime expert" bevestigen het. Daar staan geen namen bij, dus in wezen komt het er dan op neer dat je The New York Times vertrouwt. In hoeverre je dat doet is natuurlijk je eigen keuze, maar dit is geen loos statement van Hold Security dat op geen enkele manier gecontroleerd is.


Ik ben het met je eens dat het geen heel sterk staaltje journalisme is, maar TNYT heeft het wel door twee, onafhankelijke (en helaas anonieme...) deskundigen laten verifiëren. Da's geen roddelkrantje en normaal hebben ze een goede reputatie. Dus ik vind het nog even iets te vroeg om te stellen dat er helemaal niks aan de hand is.
Een bronartikel zonder bron is als een server zonder internet aansluiting.
"Volledig betrouwbaar" (want: niet te hacken)? ;)


@et36s:
For what it's worth: ik voelde me niet persoonlijk aangevallen, als je dat idee had.
Hoe komt die andere security expert aan de database van gestolen gegevens?
Hier, iemand met wat meer tijd dan ik
http://www.youarenotpayin...billion-stolen-passwords/

TLDR: Alex Holden is van Oekraine. Hij verdient wat geld met het oplichten van digibeetjes en help tegelijkertijd de USA met wat propaganda tegen Rusland en die gemene Russische hackers die morgen zomaar je bankrekening gaan plunderen en je computer in een bom veranderen!
Even een vraag hoor:
Hoe baseer jij op die ene foto dat dat het kantoor is. Een tafel + stoel + laptop + mappen = kantoor kan ik namelijk ook maken ;)
Die foto stond eerst in het orginele New York artikel en is toen snel door iemand van reddit op imgur gegooid. Daarna is de foto in het artikel vervangen door een andere. Doe een google image search met die foto.
Als jij niet zo ontvlamd reageert op iedereen denk ik dat je een zeer goed punt hebt. Propaganda anno 2014 van de VS?
Sorry hele frustrerend dag meegemaakt als sysadmin. Wou eventjes relaxen op T.net. Eventjes weg van alle bullshit en dan lees ik zoiets. Ik werd me toch eventjes pissig ....
Komt er een nieuwe reeks van Basta met oa een "checken van bronnen" bij mediabedrijven test?

EDIT: ok, nadat ik de bronnen zelf heb gecheckt is het duidelijk wie de TROLL is...
(voor zij die geen zin of tijd hebben in bronnen checken, Kain_niaK is de troll)

[Reactie gewijzigd door Robbedem op 6 augustus 2014 01:36]

Ja maar ik ben een zeer duidelijk troll die niet wil liegen maar mensen wil laten nadenken (en lachen)

De schrijver van dit T.net artikel houdt ons voor de gek zonder dat hij het zelf door heeft want er is geen bron en dus kan hij ook niet gecheckt worden. Dit hele verhaal is BULLSHIT.

1,2 miljard inloggegevens en 500 miljoen email adressen.

Says who? Alex Holden ... in een mailtje aan de New York Times.

Leuk. Ik ga ook maar eens mailtjes sturen. Weet je wat. Ik ga mailtjes sturen met als afzender adres van mensen die al van deze mailtjes sturen. Trapt die domme media vast in.

[Reactie gewijzigd door Kain_niaK op 6 augustus 2014 01:53]

Je hebt idd gelijk dat het artikel niet deugd, maar dat neemt niet weg dat uw post een troll is. Als iedereen begint te denken dat het zijn taak is om anderen te laten nadenken en bronnen te checken, wordt het echt verschrikkelijk moeilijk om nog snel goede informatie te vinden op tweakers.

PS: je reactie op robvanwijk is wel nuttig

[Reactie gewijzigd door Robbedem op 6 augustus 2014 01:58]

De eerste post die ik deed hier was heel nuttig vol met informatie. Stond meteen op -1 dus toen moest het voor mij niet meer. Hij werd meteen op -1 gezet omdat ik naast de feiten van mening ben dat de westerse media vooral aan propaganda doen. En vooral propaganda in het voordeel van Amerika. Dat kan er bij sommige mensen gewoon niet in. Dan moet alles meteen op -1. Wij zijn de goede. Wij zijn de beschaving. Wie liegen nooit. Wij zij niet zoals die andere ...

Dat stuit me nog het meeste tegen de borst. Het westen heeft mensen die zichzelf verraden en het niet door hebben.
Er zijn een paar mensen op tweakers die graag -1 uittdelen. Als je post fatsoenlijk en on-topic is, wordt die na een tijd wel terug omhoog gemod.

(al kan het met het wijzigen van berichten soms wel wat lastig zijn te achterhalen waarom bepaalde scores gegeven zijn)
Er zijn een paar mensen op tweakers die graag -1 uittdelen. Als je post fatsoenlijk en on-topic is, wordt die na een tijd wel terug omhoog gemod.
Dat zou impliceren dat de minners gemiddeld sneller modden dan de niet-minners. Dat lijkt mij klinkklare onzin.
Bovendien, als je redelijk vaker dan gemiddeld een -1 uitdeeld, wordt je geband om nog te kunnen modden.
Niemand schijnt zich af te vragen hoelang je erover doet om 420 000 sites te hacken met een "bende"...Moet dan wel een flinke bende zijn, want met 2 of 3 mensen ben je daar wel een paar levens mee bezig dunkt me...
for (i=0; i<=420000; i++) {...}
of: cat lijstje.txt | while read url; do hack $url; done

Maar je hebt gelijk. Alleen de mogelijkheid tot het vinden van 420000 kwetsbare websites op zich is al een security issue die alle voorpagina's zou moeten halen inclusief betrokken besturingssysteem, serversoftware en hardware. Zeker als het maar om een paar verschillende exploits gaat.

[Reactie gewijzigd door blorf op 6 augustus 2014 10:06]

Niemand schijnt zich ook af te vragen hoe men controleert of de claim ook daadwerkelijk klopt. Heeft Hold Security werkelijk 420.000 websites gecontroleerd?
lijkt me sterk zie wel elke daq chinesche ip's en google botjes scannen op je site van produkten
Ik raad mensen ook van harte aan om een wachtwoord beheerder te gaan gebruiken. Ik gebruik zelf LastPass en dat is echt een ideaal systeem :)
Of Keepass i.c.m. Firefox/Pale Moon
gebruik vooral proggies die je wachtwoorden zenden na de makers
Ben zeer benieuwd naar de werkwijze waarop dit heeft plaats kunnen vinden.
420.000 websites. En dit zullen er nog waarschijnlijk meer worden omdat alle nog steeds kwetsbaar zijn...

Op de site van Hold security staat dat via een groot botnet van geinfecteerde systemen de sites die gebruikers bezoeken op sql-kwetsbaarheden werden gescanned waarna middels sql-injecties de databases konden worden gehacked.

Hoax of ze zijn in één klap bekend....

Hold Security is proud to announce that we will be providing full electronic identity monitoring service to all the individuals within the next 60 days.

Wij zijn er trots op dat we de tools kunnen leveren....

Echter grote nieuwsmedia hebben het afgelopen uur hier exclusief over bericht. Nieuwssites die erover berichten baseren zich wel allemaal op één artikel van The NewYorkTimes welke verwijst naar de berichtgeving van Hold Security...

[Reactie gewijzigd door BitBooster op 6 augustus 2014 01:35]

Oh wow, dat is heel erg veel, dan is 't al bijna roulette of je zelf getroffen bent, vraag me inderdaad of wat er precies getroffen is en hoe snel de getroffenen hierover geinformeerd worden, ga wel even snel mijn email checken en het wachtwoord veranderen, je weet maar nooit.

Ik vind 't artikel maar een beetje vreemd en heeft niet echt veel sources als backbone.

[Reactie gewijzigd door Fuubar op 6 augustus 2014 00:41]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True