Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 134 reacties

Kortgeleden is een groot bestand met e-mailadressen en wachtwoorden van LinkedIn publiekelijk beschikbaar gekomen. Dit is niet de eerste keer en het zal ook niet de laatste keer zijn dat gegevens uitlekken, zo vrezen we. Na het beschikbaar komen van de inadequaat ‘gehashte’ wachtwoorden en e-mailadressen, zagen we verdachte login-activiteiten op onze systemen.

Daarop hebben we het uitgelekte bestand geanalyseerd. Een groot deel van de gehashte wachtwoorden konden we in enkele minuten terugrekenen naar het origineel. Daarna hebben we met deze accounts een loginpoging gesimuleerd op een aparte omgeving van Tweakers. We hebben de eigenaren van deze accounts op de hoogte gebracht, de accounts tijdelijk op slot gezet en in het bericht uitleg gegeven over het opnieuw instellen van hun wachtwoord. Voordat we de berichten verstuurden, hebben we alle bij onze analyse gebruikte bestanden vernietigd, op de verzendlijst na.

Ook al is de potentiële kans op schade klein, niets doen met deze kennis vonden wij, net als onder andere Facebook, Amazon en Netflix, geen optie. Als Tweakers zijn we immers al een paar jaar bezig met het project wachtwoordbewust.nl. Daarmee proberen we het brede publiek duidelijk te maken wat de gevaren van voorspelbare of identieke wachtwoorden zijn. Samen met Radar hebben we de wachtwoordtest gemaakt, waarbij we tips geven voor veilig wachtwoordgebruik.

We willen benadrukken dat de wachtwoorden van Tweakers niet in plaintext zijn opgeslagen en ook op geen enkele manier zijn te herleiden. Wees je echter bewust van de gevaren van het hanteren van identieke wachtwoord- en e-mailcombinaties op verschillende sites, wissel met enige regelmaat van wachtwoord en gebruik een wachtwoordhulp. Zo voorkom je dat je account door een derde wordt gebruikt. Ook raden we aan de notificatiedienst van Have I Been Pwned te gebruiken, zodat je bij een relevant datalek snel op de hoogte bent.

Door Frederik Zevenbergen

- Community manager

Begon ooit toen de G400MAX nog hip was. Tegenwoordig community manager van Tweakers. Maakt Gathering of the Tweakers video's over bijzondere tweakers met het videoteam. Regelt acties voor de community zoals de Cybercrime Challenge en de Tweakers Express.

Volg Frederik op Twitter
Moderatie-faq Wijzig weergave

Reacties (134)

Zal Tweakers ooit nog 2FA implementeren, of staat dit totaal niet op de agenda?

(een andere optie zou ook kunnen zijn dat je kan kiezen om enkel te kunnen inloggen met bv. je Twitter/Google/... account. Die kan je namelijk wel beveiligen met 2FA. Zo heb ik al heel wat accounts beveiligd)

[Reactie gewijzigd door SmokingCrop op 6 juli 2016 14:56]

Eerlijk gezegd als mijn tweakers account gehackt wordt zal ik er niet echt wakker van liggen. Als je het mij vraagt mogen ze hun energie in iets anders steken ...

// update
Een OAuth methode als twitter/facebook/gmail vind ik wel nuttig...

[Reactie gewijzigd door svennd op 6 juli 2016 14:31]

Het probleem is niet zozeer dat het jouw schade oplevert als jouw account is gehacked, maar dat een oplichter met jouw account aan de haal kan gaan en mensen kan oplichten.

Dat is helemaal zorgelijk als het een oud (lang geleden geregistreerd) acocunt is met enige activiteit. De alarmbellen die normaal zouden gaan rinkelen als iemand met een gloednieuw account en geen activiteit een 'oplichters' advertentie aanmaakt blijven stil als het een oud en vertrouwd account is.

Echter nu is het account helemaal niet meer van degene die er van origine achter zat maar van de oplichter. Niet alleen degene die opgelicht worden zijn dan de dupe daarvan, ook jij kan er problemen mee krijgen want in eerste instantie lijkt het alsof jij de oplichter bent.

Het is dus wel degelijk zaak om, zodra jouw email+password bijna in plaintekst op het internet staat om die dan te resetten. Zoveel moeite is er niet gestoken in het kraken van de wachtwoorden en er zijn al genoeg sites die de volledige database al gehacked hebben en een eenvoudige lookuptool aanbieden voor de gehasde wachtwoorden.
Dit is exact wat mij is overkomen op marktplaats. Een wat ouder account, dus je verwacht geen oplichter. De eigenaar van die account was dat ook niet, de persoon die de account had overgenomen wel... Daar gaat je geld. (En wat doet de politie? Waarschijnlijk niks want de pakkans is minimaal. Onderzoek kost te veel tijd en geld.)
Terwijl er nu juist weer campagne wordt gevoerd, met de vraag om als ICT'er vooral bij de politie te komen werken ;)

https://www.kombijdepolitie.nl/
Ik heb juist deze week een brief ontvangen van het OM dat 'mijn' oplichter eindelijk is vervolgd (2,5 jaar voorwaardelijk en veel extra verplichtingen)

Heeft wel 2 jaar geduurd, maar er waren toen een aantal aangiftes tegen heb, waardoor er een zaak tegen hem is gestart. Het geld wordt middels CJIB van hem terug gevorderd
Inderdaad. En (even los van Tweakers) er zijn ook veel websites waarbij accounts, van verschillende diensten, gekoppeld kunnen worden. Dan bestaat de mogelijkheid dat kwaadwillenden, door toegang te krijgen op 1 account, ook bij je andere accounts kunnen.

Plus dat in e-mailaccounts van veel mensen vast wel Password (Reminder) berichten zijn te vinden (daarbij niet te vergeten dat je e-mailaccount bij Google/Microsoft ook toegang geeft tot cloud-opslag). Dus door zicht toegang te verschaffen tot een mailbox kan men van daaruit nog meer rottigheid uithalen. ;(
Dat is volgens mij exact de reden dat iedereen wachtwoorden dubbel gebruikt. Voor tweakers ga ik echt niet een nieuwe verzinnen, wat interesseert mij dat nou als die gehackt wordt. Hetzelfde geldt voor al die andere "diensten" waar ik een account moet maken. Alleen voor belangrijke zaken gebruik ik andere wachtwoorden.

Eigenlijk is het raar dat je voor tweakers.net een wachtwoord nodig hebt. Ik begrijp het doel van accounts wel, maar het zou fijn zijn als je hiervoor een soort gedeelde dienst kon gebruiken. Een soort OAuth, maar dan "standaard" voor sites waar je toch geen gevoelige gegevens plaatst. Nu ondersteund tweakers zover ik weet geen enkele vorm van Single Sign On, net als de meeste andere sites waar je wel een account moet maken, maar waar verder niemand waarde aan hecht.
Je bedoelt iets als OpenID.

Zelf zit ik daar niet echt op te wachten. Juist door het centraliseren van je accounts door middel van een OpenID maakt je eigenlijk weer kwetsbaarder. Aangezien je je accounts dan verzameld in 1 service wordt deze juist extra aantrekkelijk voor hackers.

Dat is het zelfde verhaal natuurlijk bij social logins en paswoorden managers. Maar zolang de massa niet in staat is om degelijke wachtwoorden te hebben is dat een 'minder erge' oplossing.

Eigenlijk is gewoon wachten op het nieuwsbericht dat 1Password of een dergelijke service gehackt is en in een klap tig accounts van je op straat liggen.
In de praktijk valt het wel mee.
Aangezien je bij de meeste low-security services je je wachtwoord kunt laten resetten m.b.v. alleen een e-mailaccount, is de beveiliging van je e-mailaccount de weakest link. Als ik dus op Tweakers.net zou kunnen inloggen met mijn Gmail of Outlook wachtwoord, dan lever ik niets in op security.
He? Als je op diensten het zelfde wachtwoord gebruikt als je recovery email account en die dienst wordt gehackt ben je dan toch juist de sjaak? 8)7
Ja, maar dat was ook niet wat ik bedoelde.

Je kunt op bijv. Tweakers.net nog zo'n goed wachtwoord hebben, als je je hotmail-account gebruikt als e-mailadres en je daar een zwak(ker) wachtwoord voor hebt, dan kan iemand die je hotmail account gehacked heeft ook je Tweakers.net wachtwoord resetten.

Dus in dat geval had het niets uitgemaakt of Tweakers.net hun eigen login gebruikt of die van Microsoft.
Aan kijk, dan zijn we het met elkaar eens. Dat in ieder geval de recovery email adressen een degelijk wachtwoord met 2FA horen te hebben.
Streep, context

[Reactie gewijzigd door Torched op 7 juli 2016 14:16]

Het verschil is dat een dienst als OpenID alles inzet op beveiliging, ze kunnen niet anders. Een partij als tweakers zal er ook moeite voor doen, maar ik kan mij zo voorstellen dat bijvoorbeeld 9gag er veel minder aandacht aan besteedt. Als je dan een site als 9gag kunt hacken, heb je miljoenen wachtwoorden met bijbehorende emailadressen. Die kun je hergebruiken op sites als tweakers of LinkedIn, in de hoop dat mensen een wachtwoord dubbel gebruiken.

Als OpenID gehackt wordt, kun je in 1x je wachtwoord voor alle sites aanpassen. OpenID zal er alles aan doen om een hack te voorkomen, maar als het toch lukt kun je dat relatief eenvoudig oplossen. Zonder OpenID is dat een stuk lastiger, dus doe mij maar OpenID (of een alternatieve variant).
Dat is volgens mij exact de reden dat iedereen wachtwoorden dubbel gebruikt. Voor tweakers ga ik echt niet een nieuwe verzinnen, wat interesseert mij dat nou als die gehackt wordt. Hetzelfde geldt voor al die andere "diensten" waar ik een account moet maken. Alleen voor belangrijke zaken gebruik ik andere wachtwoorden.
Of je gebruikt een fatsoenlijke password manager. Ik gebruikt voor elke site een ander, gegenereerd, wachtwoord (en een ander emailadres wegens eigen domein met catch-all). Alleen voor belangrijke zaken zoals bank, DigiD, etc. gebruik ik wachtwoorden die ik daadwerkelijk uit mijn hoofd ken.
Ik heb juist voor belangrijke zaken een wachtwoord dat zo complex is dat ik het nevernooit uit mijn hoofd zal kennen. Staat wel tegenover dat ik KeePass gebruik en bewust niet LastPass, zodat ik zelf controle heb over waar mijn wachtwoordendatabase terechtkomt.

Verder inderdaad hetzelfde: een eigen mailadres per site, voor belangrijke dingen een wachtwoord dat KeePass voor me gegenereerd heeft en voor minder belangrijke dingen die ik vaak nodig heb zoals Twitter, Facebook of een random forumaccount (en Tweakers is niet random in dit geval :P) één van de 5 of 6 wachtwoorden die ik wel uit mijn hoofd ken.
Ik gebruik een eigen gemaakte password manager (die geen wachtwoorden opslaat, maar alleen salts die icm een masterpassword het daadwerkelijke wachtwoord kunnen genereren), maar de reden dat ik het voor die belangrijke zaken juist niet gebruik is omdat ik er niet van afhankeljik van wil zijn in bepaalde situaties :)
Klikt interessant; heeft dat principe een naam? Is het net zoiets als dit: https://saltthepass.com/
Ja daar komt het idd op neer ja :)
Dat gebruikt een HMAC.

[Reactie gewijzigd door Rafe op 8 juli 2016 08:06]

Ik ben benieuwd, maar wat als iemand achter je masterwachtwoord komt en de formule kent. Dan zijn al je accounts kwetsbaar en moet je op heel veel sites je wachtwoord veranderen. Hoe zie jij dit voor je?
maar wat als iemand achter je masterwachtwoord komt
Die gebruik ik alleen nergens anders, en die staat nergens opgeslagen. Dus als iemand erachter komt dan komt dat door een keylogger, en als je last heb van een keylogger dan ben je natuurlijk sowieso screwed want dan is alles compromized, of je nou 1 master password gebruikt of per site een ander wachtwoord onthoudt.
Het verschil is dat als ze achter je masterwachtwoord komen dat ze gelijk overal bij kunnen en als je per site een ander wachtwoord onthoud dan kunnen ze maar bij 1 site?
Heb al vaker eens een poging gedaan om KeePass te gaan gebruiken, maar er gaat toch wel wat tijd in zitten om dat allemaal goed voor elkaar te krijgen. Die database moet je dan eigenlijk ook weer synchroniseren (thuis/werk/smartphone) en komt er weer een master-password om de hoek kijken die je wel moet gaan onthouden. Misschien dan een Yubikey aanschaffen om dat laatste op te lossen, maar al met al gaat er veel tijd in zitten.
De overstap maken is inderdaad even een boel werk, maar da's eenmalig even een middagje ervoor gaan zitten en je bent er. Synchroniseren kan eventueel met Dropbox of een andere clouddienst. Ik gebruik zelf CloudStation, waarmee ik dus alles op mijn NAS hou. Daarbij heb ik dan mijn database gesynct via Cloudstation terwijl ik mijn keyfile uiteraard niet op mijn NAS heb staan. Vervolgens is mijn database beschermd met een combinatie van een key file en een master password dat ik kan onthouden. Veilig genoeg en stiekem best praktisch. :)
Ja dat hele keyfile snap ik dan nog niet. Althans, ik zou niet zo goed weten hoe ik die moet managen.

Momenteel sync ik mijn keepass database naar dropbox, een usb, mijn telefoon en een backup. Vooral de usb gebruik ik vaak omdat ik op andere computers moet inloggen. Hoe zou ik een keyfile hierin kunnen implementeren?

Op de usb is niet praktisch, want he, dan staat deze naast de database..
Ook de strategie die ik gebruik, compleet random gegenereerde wachtwoorden, zo lang als mogelijk en met de grootst mogelijk toegestane karakterset.
Voor veel belangrijke accounts is de door KeePass berekende sterkte > 100 bits.
Dit kun je vertalen met dat een brute force attack > 2^100 pogingen nodig heeft, dus zo'n 10^30 pogingen.
Totdat je account op Tweakers wordt gebruikt om mensen op te lichten en men dat onder jou naam doet. Dan heb jij het gezeur aan je hoofd terwijl je daar niets voor gedaan hebt. Je komt daar wel vanaf, maar zit wel met de gebakken peren.
Dan ben je geen IT-er. Hoeveel moeite is het om een wachtwoord in een password tool te genereren en eenmalig in te voeren in je browser waarna je hem op onthouden zet. Ik kan ook wel mijn garage open laten staan omdat er niets waardevols in staat. Totdat iemand zijn drugs stasht in mijn garage en de politie mij uit m'n bed trekt.

Wat nou als iemand jouw account gebruikt om mensen via V&A op te lichten omdat jij zo'n goede waardering hebt of al jaren lid bent? Misschien niet direct een probleem, tot je buurman via jouw open wi-fi (wat heb je immers te verbergen) aan de haal gaat met jouw credentials.

Nu kun je wel zeggen 'hoe groot is de kans dat het mis gaat?'. Ik heb ook in 30 jaar geen brand gehad in huis, maar toch hangen we allemaal een rookmelder omdat het het risico niet opweegt tegen de energie voor de maatregel die we nemen.
Je tweakers account zelf is misschien niet zo belangrijk, maar er kunnen wel gegevens instaan, zoals je adres bijv. in een van je pb's. Andere informatie in je reacties, pb's en berichten waar je op reageerd kunnen allemaal kleine stukjes info prijs geven. Een username die bij het email adres hoort bijv. Die username kan je weer verder zoeken op google.
Single sign on is een ander woord voor single point of failure.
Of voor het reduceren van risico's. hangt allemaal af van de implementatie.
Uiteindelijk is alles te kraken, de vraag is meestal of jouw slot groot genoeg is voor de waarde van spullen die je probeert te beschermen.

Dus of jouw fietsslot sterker is dan het fietsslot van de buurman, of dat je voor een motor met meer dan een fietsenslot aankomt.

Om op je reactie terug te komen, er is een reden dat mensen in hun huis, en hun garage en hun tuinhuis er voor kiezen om overal dezelfde sleutel te gebruiken.
En die reden is gemak. De analogie gaat ook een beetje mank verder, want een huis is iets op een enkele fysieke locatie waar je van de garage uit meestal toch al kunt doorlopen (net zoals een autosleutel ook op alle portieren en meestal het contactslot werkt), maar accounts heb je "all over the internet".

Opzich is het altijd een single point of failure, maar je hebt natuurlijk wel een punt: als dat single point of failure veiliger is dan alle andere risico's bijelkaar dan heeft het wel zin vanuit veiligheidsoogpunt. Al moet je je niet vergissen in de berekening/schatting; single points hebben zo hun eigen failluremodi die bij verspreide faalkans niet of minder aanwezig zijn.

[Reactie gewijzigd door mae-t.net op 6 juli 2016 17:11]

Je mag van een techsite wel verwachten dat er netjes mee om word gegaan en dat er juist wel moeite gestoken word in beveiliging?
Gehaste paswoorden, testen op paswoorden, klinkt alsof ze wel hun best doen, meer dan andere websites/services, ... 2FA is toch echt wel een serieuze drempel die overigens ook niet 100% is.

Opt-in, geen probleem, maar ik zie het nut er niet van in. Enkel voor de V&A kun je dat enigszins verwachten, maar dan nog.
Wat bedoel je juist met niet 100%?

Ik ben onlangs overgestapt op 2FA bij mijn Google account, gebruik makend van o.a. de Google authenticator app op mijn telefoon.

Heb het lang uitgesteld door de drempelvrees die je zelf ook al aangaf. Achteraf gezien had ik het al veel eerder moeten doen: het extra werk dat je moet doen, is echt minimaal, en dat terwijl de beveiliging zoveel beter is geworden.
Het blijft een randgeval maar gisteren nog was mijn batterij leeg van mn telefoon en moest ik in mn gmail account zijn omdat daar tickets in stonden voor een evenement. Even de gsm van mn vriendin geprobeerd maar door de 2FA (die eveneens toegang tot mijn gsm vereist) heb ik zo heel wat tijd verloren.

Nu goed ... Voor iets als mail neem ik die randzaken wel voor lief. Voor een Tweakers account lijkt me dat toch minder belangrijk.
Maar goed ... Een opt-in kan nooit kwaad uiteraard.

Edit: Ik weet dat er eenmalige codes zijn en heb ik ergens online staan waar ik er overal aan kan.
Helaas is dat dus het extra tijdverlies.
Het komt er gewoon op neer dat je wat comfort opoffert voor extra security. Dat is fijn voor belagrijke dingen maar hoeft niet voor Tweakers vind ik.

[Reactie gewijzigd door Nullius op 6 juli 2016 17:21]

Dan had je je emergency codes uit je portemonnee moeten trekken ;) Precies de reden waarom ik tickets voor het één of ander altijd deel met de personen die met me mee gaan :)
Voor die gevallen kun je eenmalige sleutels verkrijgen bij Google. Die print je vervolgens uit en doe je in je beurs ofzo. Dan heb je altijd wat achter de hand als je mobiel het niet doet.

Moet je natuurlijk niet dom genoeg zijn om erbij te schijven dat dit voor xxxx.xxx@gmail.com is. En niet alle 10 de codes bij je hebben. 1 emergency code is afdoende.
Als ik het bericht goed begrijp is ook niet Tweakers zelf gekraakt, maar een andere site. Ze hebben met de wachtwoorden die nu op straat liggen getest of daar ook tweakers accounts tussen zitten en die zijn nu geblokkeerd. Best netjes dus.
Dat jou het niet boeit kan ik begrijpen. De meeste mensen hebben weinig persoonlijke gegevens onder hun Tweakers-account staan. Voor Tweakers is het wel belangrijk dat er geen accounts door derden worden gebruikt voor oplichting in V&A of andere duistere zaken.
Er zijn denk ik ook genoeg webshops geinteresseerd in accountgegevens om zo lovende en geloofwaardige reviews van hun winkels te publiceren.
De kans dat dat vrij snel uitkomt is natuurlijk erg groot, en de reputatieschade is dan al snel veel groter dan het voordeel van een paar lovende en geloofwaardige reviews.
Ik weet niet of je wel eens shopreviews bekijkt, maar ik vertrouw nu al de helft van die reviews niet. De reviews die gekoppeld zijn aan een actieve account vertrouw ik eerder dan die die puur alleen voor de review gecreeerd zijn.

Maar met throw-away accounts is fraude moeilijk hard te maken. Als een webshop gebruik zou maken van geheckte accounts dan zou dat inderdaad vroeger of later wel uitkomen, dus je hebt wel gelijk.
Toegang tot een account geeft natuurlijk ook toegang tot prive berichten, waar IBAN nummers, namen en adressen in gedeeld kunnen zijn t.b.v. V&A.. It's a long shot, maar het risico is er wel.

Je kan als de koop compleet is natuurlijk ook de berichten verwijderen als je helemaal paranoïde bent :+

[Reactie gewijzigd door garriej op 6 juli 2016 14:18]

Het gaat er volgens mij meer om, dat als je ww voor T.net hetzelfde is voor bijvoorbeeld Facebook. De hackers met jouw inlognaam en de bij T.net verkregen wachtwoord makkelijker bij je Facebook account kunnen. Eenmaal een inlog en wachtwoord combinatie gevonden, is het gewoon een kwestie van allerlei sites afgaan waar dezelfde combi nog meer gebruikt wordt.
De hackers met jouw inlognaam en de bij T.net verkregen wachtwoord makkelijker bij je Facebook account kunnen.
Even voor de goede orde: er is niet zoiets als "de bij T.net verkregen wachtwoord"; dit item gaat niet over een lek bij T.net en zelfs als dat ooit mocht gebeuren, dan zijn de wachtwoorden hier fatsoenlijk beveiligd. Als we erop vertrouwen dat de beschrijving in de .plan ook echt is hoe ze het geïmplementeerd hebben. Ik heb geen enkele reden om daaraan te twijfelen, maar kan het niet controleren.

Een correct gehasht wachtwoord vergelijken met een correct gehasht wachtwoord van een andere dienst (of een andere gebruiker van dezelfde dienst; onder "correct" valt wat mij betreft unieke salts per gebruiker) is niet mogelijk. De reden dat ze konden controleren of de ergens anders gelekte wachtwoorden overeen kwamen met de T.net wachtwoorden is omdat die andere partij (in dit geval LinkedIn, maar dat is verder niet relevant) zijn zaakjes niet op orde had en "bijna plaintext" had opgeslagen. Het vergelijken van een plaintext wachtwoord met een correct gehasht wachtwoord is namelijk prima mogelijk; dat is in feite wat je doet als iemand inlogt. Vandaar ook dit zinnetje in de tweede alinea:
Daarna hebben we met deze accounts een loginpoging gesimuleerd op een aparte omgeving van Tweakers.
In hoeverre er bij T.net "iets te halen valt" kun je over vechten (en zal van gebruiker tot gebruiker verschillen), maar misschien is dit niet primair om T.net zelf te beveiligen? De crew heeft niet alleen deze maatregel genomen, ze hebben er ook dit artikel over geschreven om duidelijk te maken dat een aanval als deze in principe mogelijk is en hoe je er iets tegen kunt doen. Op een site met veel (Nederlandstalige) systeembeheerders onder haar bezoekers lees ik toch een beetje tussen de regels door: "hint hint, doe dit op je eigen systemen ook!".

TL;DR:
Bij T.net wachtwoorden stelen om die ergens anders te "hergebruiken" gaat niet werken.
Ergens anders wachtwoorden stelen om die bij T.net te "hergebruiken" is alleen mogelijk als ze "ergens anders" hebben zitten prutsen.
Als je zelf een website draait, wil je dan dat, in de zinnetjes hierboven, jouw naam op de plek van "T.net" ingevuld kan worden, of op de plek van "ergens anders"?
Je hebt helemaal gelijk hoor. En ik wist dat het niet over een lek bij Tweakers ging. Ik gebruikte t.net even als voorbeeld. Ik had net zo goed een account van Dumpert als voorbeeld kunnen nemen.

Maar bedankt voor je uitleg!
Op zich geen issue idd maar aangezien de beheerders van Tweakers het nodig vinden om berichten die je ontvangt of ooit verstuurd hebt oneindig lang op te slaan, zonder dat je deze kunt verwijderen, kan het hacken van je account wel weer een probleem worden als er in al die berichten persoonsgegevens van jezelf of andere mensen in staan. Daarom gebruik ik geen berichten meer omdat je ze niet kunt verwijderen en privacy van gebruikers niet zo hoog scoort bij de Tweakers.net.
Dan dwing je mensen om Facebook, twitter, gmail of whatever te gebruiken. Ben er nooit een fan van. Buiten de andere meer voor de hand liggende problemen van centralisatie van logins. Goede password manager. Liefst zonder allerlei rare browser plugin implementaties. Niet het meest handig. Wel veilig imho
sorry hoor maar 2 stap verificatie is leuk bij belangrijke dingen als paypall, ebay, cc, mailaccount, maar niet hier. Ze moeten mn account maar hier hacken als ze daar zin in hebben, veel plezier ermee.
Ik heb geen Twitter, ben ook niet van plan het te gaan gebruiken als Tweakers dat ineens zou eisen lol. En 2FA op Tweakers zit ik al helemaal niet op te wachten. Dan hacken ze m'n account hier kunnen ze onder mijn naam posten op Tweakers wooowwww
Of bijvoorbeeld mensen proberen op te lichten door spullen te koop aan te bieden die ze niet daadwerkelijk hebben, met het plan om met het geïnde geld te verdwijnen. Dan komt de gedupeerde bij jou aankloppen als 'ie z'n spullen niet heeft ontvangen.
Ja ok, maar ik heb geen adresgegevens of iets staan enkel een username, wachtwoord en een emailadres dus de gedupeerde kan me hooguit e-mailen en hopen dat ik reageer als dat gebeurd is (als de hacker het emailadres al niet wijzigt trouwens).

En moet ik dan maar overal 2FA toepassen om iemand te beschermen die evt. opgelicht zou kunnen worden? Dat is nog altijd hun eigen verantwoording ook.

Ik heb tientallen accounts op allerlei websites en fora als dat allemaal 2FA zou moeten zijn jemig dan ben je even bezig. 2FA vind ik goed voor bank en e-mail en om op kantoor in te loggen maar is echt zware overkill voor je tweakers, dumpert of Fok! accountje.

Je kunt nou eenmaal niet overal altijd uitgaan van worst case scenario, in de auto zet ik ook geen helm op terwijl dat bij een crash de kans op overleven wellicht met een veelvoud vergroot.
Daarom net dat Twitter/google/microsoft/... account als login. Je voert op die pc/phone eenmaal de 2FA code in en je kan op al die websites met dat account inloggen. :)

Ik doe dat nu al met tal van sites. Dan heb je als het ware een Single Sign On gecreëerd en dat met 2FA. Dat zie ik niet als een nadeel zoals je een helm in de auto zou aandoen, ik vind het zelf eerder een voordeel.

[Reactie gewijzigd door SmokingCrop op 6 juli 2016 17:04]

Ja ok maar ik wil niet afhankelijk zijn van Google/FB/MS etc. voor elke site waar ik inlog. Zo heb ik mijn facebook account gedelete en toen werkte Spotify niet meer :)
Ik heb nergens gesproken over moeten en eisen.. Gewoon optioneel.. :X
Daarnaast is extra beveiliging niet slecht. Als je bv. op V&A actief bent, dan geef je vaak gegevens door die anderen niet zomaar moeten weten. Al zeker niet mensen met slechte bedoelingen.

Inloggen met Twitter zou voor mij voordelig zijn, omdat ik dan een Single Sign On heb voor verschillende websites, die nog eens beveiligd zijn met 2FA ook. Met twitter moet je ook geen echte gegevens hebben.

[Reactie gewijzigd door SmokingCrop op 6 juli 2016 14:54]

Goeie actie! Blij om te lezen dat jullie dit soort nieuws juist WEL heel serieus nemen en er wat mee doen.
We willen benadrukken dat de wachtwoorden van Tweakers niet in plaintext zijn opgeslagen en ook op geen enkele manier zijn te herleiden
Andere vraag; hoe worden de wachtwoorden bij tweakers dan wel opgeslagen? :)
PBKDF2 en dat is prima, al is bcrypt gangbaarder (standaard in PHP sinds 5.5 bijvoorbeeld) en beter bestand tegen GPU-cracking. Zie reactie van koku hieronder.

Er is toen nog een leuk artikel over geschreven wat er zou zijn gebeurd als de database met gesalte MD5-hashes was uitgelekt: plan: Analyse: zwakke wachtwoorden op Tweakers.net

[Reactie gewijzigd door Rafe op 6 juli 2016 14:42]

Nee, we gebruiken inmiddels Bcrypt :)
Ook voor wachtwoorden die niet meer aangepast/gebruikt zijn sinds doen? Als ik me niet vergis kan je een hash niet echt rehashen op een andere manier zonder de cleartext? Gebruiken jullie ze naast elkaar tijdens de overgang (de oude alleen wanneer er nog geen bcrypt is)?

[Reactie gewijzigd door AmbroosV op 6 juli 2016 16:41]

Om wat completer te zijn dan koku:

Toen we destijds (zie link van Rafe) onze eigen md5's hadden gekraakt, hebben we dat uiteindelijk voor iedereen (ook waar we het wachtwoord hadden kunnen afleiden) zo opgeslagen: pbkdf2($md5Hash, $salt) en om dat te valideren konden we natuurlijk domweg zoiets doen: pbkdf2(md5($plainText), $salt)

Daarbij hadden we ook gelijk functionaliteit toegevoegd om bij wachtwoordvalidatie ook automatisch de versleuteling te checken en eventueel te upgraden (want dan hebben we toch even de plaintext-versie). Kortom, iedereen die opnieuw inlogde sinds die wijzigingen kreeg pbkdf2($plainText, $salt).

En later hebben we het aantal iteraties nog wat verhoogd.

Ondertussen gebruiken we domweg php's password_hash. Dat scheelt ons wat implementatie-gedoe. De oude pbkdf2-hashes hebben we overigens niet daar weer als wachtwoord in gestopt. We hebben voldoende metadata bij die wachtwoorden om te weten of het pbkdf2 of php's hash is.

Dus ondertussen hebben we accounts met deze varianten:
- Die nooit meer zijn ingelogd dus nog pbkdf2(md5($plainText), $salt) hebben.
- Die nog een wachtwoord met pbkdf2 en het oude aantal iteraties hebben.
- Die wel al het nieuwe aantal iteraties hebben.
- Die bcrypt hebben.

We hebben geen bcrypt(pbdkf2(...)) :)

Daar hebben we de moeite niet toe genomen omdat vooralsnog de destijds gekozen hash ook niet al te beroerd was. Met sha512 en flink wat iteraties (en later dat nog verdubbeld) is het voor GPU's nog altijd een behoorlijke klus.

Met bcrypt is het alleen wel nog wat moeilijker, zeker als je de zwaarte een tandje boven php's standaard 10 zet.
Wel als je de oude hash opslaat in de nieuwe hash :)

Edit:
Even iets meer uitleg. Stel je gebruikt md5 en je wilt sha1 gebruiken. Dan kan je alle md5 hashes met sha1 hashen. Als iemand probeert in te loggen doe je dus zoiets: sha1(md5(password)) en die vergelijk je met de hash in de database. Als die vervolgens overeenkomen, kan je het wachtwoord opnieuw hashen met alleen sha1.

In bovenstaand voorbeeld gebruik ik dus alleen even sha1 en md5 ter illustratie, dit gebruiken wij dus niet. En bovenstaande houdt ook een salt even buiten beschouwing.

[Reactie gewijzigd door koku op 6 juli 2016 17:16]

Zat er in jullie vorige hashing dan geen salt? Of bewaren jullie gewoon allebei? Want ik ben nog niet helemaal mee. In je voorbeeld zou ik gewoon met het oude paswoord in md5-formaat kunnen aanmelden, aangezien sha1(password) ook een geldige validatie is, dus daarmee kan plaintext niet achterhaald worden, maar met een leak heb je wel rechtstreeks access. Of mis ik nog iets?
Zolang je iemands wachtwoord hebt kan je natuurlijk altijd inloggen, hoe we het wachtwoord ook hashen. Het gaat er juist om dat als de accountgegevens van ons op straat komen te liggen je de wachtwoorden niet makkelijk kan achterhalen met dictionary attacks en dergelijke.
En als je vorige hashingmethode een salt gebruikte, zal je die uiteraard ook moeten bewaren.
Nee, AmbroosV bedoelt dat hij over de md5-hash beschikt uit een gelekte database, en die hash vervolgens invult in het wachtwoordveld.

Als de validatie dan is dat het ingevulde wachtwoord (eigenlijk dus de md5-hash) met sha1(password) omzet en vergelijkt met de opgeslagen hash, je nog steeds kunt inloggen.
Het wachtwoord word opgeslagen met wat metadata, dus we weten of we het wachtwoord eerst door md5 moeten halen om het te controleren of dat we het meteen door bcrypt kunnen jassen.

Dus met de md5 hash kun je niet inloggen, want in ons systeem staat dan dat het extra met een md5 hash is gehashed en doe je dus eigenlijk bcrypt(md5(md5($plaintekst))) en dat gaat niet werken als wij bcrypt(md5($plaintekst)) verwachten.
Ah, dat heb ik gemist dan! Sinds wanneer?
Eind maart als ik het goed heb.
Dat is iets wat ze eigenlijk niet kunnen vertellen, dat is namelijk een deur op een kier zetten voor een eventuele hack in de toekomst, als iemand weet hoe het systeem precies in elkaar steekt is het makkelijker om de boel te kraken.
Het principe van Kerckhoffs is het met je oneens. Zelfs al ligt de passworddatabase van Tweakers op straat kan je in de praktijk niets met de bcrypt-hashes.
zoals het hoort: gehashed met een extra uniek element er bij (bijvoorbeeld het userid) zodat 2 dezelfde wachtwoorden toch niet de zelfde hash opleveren.
Momenteel gebruiken we Bcrypt. We kunnen ook vrij makkelijk switchen naar andere implementaties en houden dat ook in de gaten.
Ik moest de mail even goed lezen, want ik dacht dat met de zin:
Onlangs kwam een groot bestand met e-mailadressen en wachtwoorden publiekelijk beschikbaar.
Dat de tweakers database zelf was gehackt.. maar nee jullie zijn aan het toetsen of de beschikbare wachtwoorden van hacks bij LinkedIn endergelijke werken op Tweakers.net.

Ofwel een goede zaak, dankjewel! :)
Dank voor de tip. De mails zijn inmiddels verzonden maar mocht het nog een keer gebeuren dan zullen we nog duidelijker zijn.
Ik heb inmiddels van 3 verschillende personen een "HEY! Je wachtwoord ligt op straat joh!" gehad en schrok me rot. Dit artikel verdient in ieder geval een puntje op 't vlak van verwarring veroorzaken :P
Kortgeleden is een groot bestand van LinkedIn met...
of
Kortgeleden is een groot bestand van derden met...
had al veel gescheeld. Ik heb 't artikel zelf ook 2 keer moeten lezen voordat 't me duidelijk was (zonder linkjes te klikken; dat had wel gescheeld).

[Reactie gewijzigd door RobIII op 6 juli 2016 15:03]

Pas bij dit stuk
Na het beschikbaar komen van de inadequaat ‘gehashte’ wachtwoorden en e-mailadressen, zagen we verdachte login-activiteiten op onze systemen.

Daarop hebben we het uitgelekte bestand geanalyseerd.
begreep ik dat het niet om Tweakers zelf ging ..
Goede zaak wel, slechte zaak dat je het zelfde wachtwoord gebruikt. FOEI!

(Garriej gebruikt zelf ook wel is het zelfde wachtwoord :+ )
Haha, touché :+
Dat was ook mijn eerste gedachte bij het lezen van dit bericht, maar dat is dus niet het geval. :)
Inderdaad een erg goede zaak!
+1 Ik dacht hetzelfde :9
Raad iedereen aan om wachtwoorden met Keepass( X ) bij te houden, helaas willen de meeste gebruikers een simpel Excel-sheet gebruiken (met simpel te kraken wachtwoord).

Waarom heeft Windows, OS X en Linux nog steeds geen gemakkelijke en veilige password manager?
De Sleutelhanger van OS X is niet heel eenvoudig in gebruik, Windows heeft er helemaal geen, en op Linux is KWallet en gnome-keyring ook niet helemaal super.

Goed dat T.net de wachtwoorden test om hun systemen, misschien maakt het deze mensen nog bewust (en andere) van het gebruik van password managers die een random string genereren, i.p.v. overal hetzelfde wachtwoord.
Persoonlijk vind ik 1Password daarom het geld meer dan waard omdat het simpelweg werkt zonder irritatie: control + backslash en gaan met die banaan :)

[Reactie gewijzigd door Rafe op 6 juli 2016 14:51]

Hoewel ik er mee eens ben dat KeePass zeker tijdens het instellen (Programma + Chrome Plugin + KeepassHttp + Dropboxsyn android app + Keepass android app) verre van gebruiksvriendelijk is vind het absoluut voordelen hebben tov van 1Password/Lastpass.

- Gratis (ben toch een arme student ;) )
- Open source
- Onafhankelijk van een bedrijf

Vooral dat laatste vind ik persoonlijk belangrijk. Met KeePass is mijn database in mijn eigen handen, waar ik zelf backups van kan maken en kan delen hoe ik dat zelf wil.

Als Keepass eenmaal ingesteld is werkt het in mijn ogen net zo eenvoudig als de betaalde alternatieven, het vult automatisch username/passwords in, knopje om wachtwoorden te genereren in velden, shortcut opent database, etc.

Maargoed, iedereen heeft zijn voorkeuren in dit soort zaken en het laagdrempelige (tov KeePass)van 1Password/Lastpass heeft absoluut voordelen om mensen over de streep te trekken. Een passwordmanager is gewoon een must tegenwoordig in mijn ogen.
Maarja het gevaar van centraliseren van je logins op deze manier is dat zo langsaam aan diensten als Keepass en 1Password aantrekkelijk worden voor hackers. Want waarom energie steken in het hacken van 1 dienst als je door een passwordmanager hack je zo bij tig accounts van mensen kunt komen.
Bij Keepass draai je de database lokaal, daarom zou ik deze altijd gebruiken i.p.v. 1Password.

Het blijft inderdaad waar dat de passwordmanager useless wordt bij het gebruik van een keylogger en het verkrijgen van de database. Maargoed dat is ook al mogelijk als een gebruiker toch al bij je data kan.

Veiliger is Keepass (of iets dergelijks) + 2FA, zoals dit ook al kan bij alle grote diensten als Github, Google, Dropbox, etc.
Maar dan zou in theorie ook weer iemand je cookies kunnen spoofen.
De meeste mensen kunnen er niet echt mee overweg en hebben ook geen zin om de tijd en moeite erin te steken. KeePass ed zijn ook niet bijzonder gebruiksvriendelijk, en je moet ze wel back-uppen: anders kom je nergens meer in. Voor de huis-, tuin- en keukengebruiker boeit het vaak niet, in hun optiek. Dat is zorgelijk, maar afijn.

Een postit is veiliger dan Excel wat dat betreft :')
Wat is er mis met de Firefox password safe? Goed geïntegreerd en encrypted opgeslagen.
Ik zit volgens haveibeenpwned in de groep linkedin (en adobe, en ps3hax lol) maar geen mail van Tweakers ontvangen, betekend dat dan dat mijn wachtwoord te moeilijk terug te rekenen was?
Dat, of dat je sinds de linkedin breach je wachtwoord op Tweakers al aangepast hebt.
Ah, dat 2e is het geval, dacht dat er ook algemeen gekeken was naar 'welke email adressen kennen wij ook' maar ik snap :)
of je gebruikt een ander email adres op tweakers... ik kreeg ook geen mail in elk geval, en zal daar wel aan liggen dus :-)
Altijd shit als je gevoelige informatie in verkeerde handen komt maar ik ben wel blij hoe het opgelost is. Gelijk actie ondernomen, mailtje gestuurd naar de geïnfecteerde accounts wat er gedaan is en wat er moet gebeuren. Zo verklein je de schade. Topwerk!
Volgens mij ben je in de veronderstelling dat Tweakers is gehackt. Dit is dus NIET het geval!
Ik had een uniek, door 1Password gegenereerd wachtwoord dat ik op Tweakers.net gebruikte, en ik ben ook gemaild. Hoe kan dat dan?
Wij hebben je wachtwoord niet bekeken of onthouden, maar ons script kon aan de hand van de hash die wij vonden in de LinkedIn db met jouw email inloggen. Vandaar onze waarschuwing.
Wat is dan het verschil, als je kan inloggen dan blijkt het wachtwoord toch te kloppen (ook al hebben jullie deze niet handmatig bekeken of onthouden)?

Tweede vraag, waarom is mijn account 'op slot' gezet maar ben ik wel nog steeds (automatisch) ingelogd met het oude wachtwoord?
Wat betreft het eerste punt: Ja, maar dat kon ook van een clone account zijn geweest, welke niet meer actief is. Dat is iets wat we in het vervolg anders gaan doen om verwarring te voorkomen.

Tweede punt: Ook hier ging het waarschijnlijk om een ander (clone) account met een ander e-mailadres. Check even naar welk e-mailadres de mail is verstuurd.

[Reactie gewijzigd door koku op 7 juli 2016 10:45]

Mocht je in het verleden een clone account hebben gehad, kan het zijn dat de password match daarop is geweest...
Wat mij betreft mag Tweakers iedereen een mail sturen, wanneer het email-adres overeenkomt met een gehackte database elders. Kleine moeite, groot plezier. Zelf heb ik bovenstaande check al uitgevoerd, en ben me bewust van het gelekte emailadres.
Daar is haveibeenpwned dus voor ;) Waarom het wiel opnieuw uitvinden en er veel moeite en tijd insteken, als er al een prima dienst voor is? :P Vandaar ook de doorverwijzing onder t artikel, dunkt mij.
Daar moet je zelf (actief) je emailadres invullen. Niet iedereen is even actief op Tweakers, dus wordt dit bericht niet door iedereen gelezen. Kan Tweakers zichzelf mooi weer even onder de aandacht brengen van minder actieve leden.
Ja, behalve dan dat het unsollicited email is als ze je zomaar gaan spammen bij elke database die gejat wordt. ;) Het is wat mij betreft enkel goed dat mensen zich eerst moeten aanmelden. :) Dat ze dat niet weten is een nadeel ja, maar je moet ook niet teveel voor ze denken of opdringen...
Hoe groot is de groep die hier vanuit Tweakers uit is gekomen?
Ongeveer 2% van het aantal accounthouders.
Ik heb echt al jaren een tweakers.net account. Lees eigenlijk elke dag wel de frontpage door. Maar ik had nog nooit van wachtwoordbewust.nl gehoord. Tijd voor een nieuwe marketing campagne? ;)
plan: Tweakers roept 24 november uit tot Nationale Verander Je Wachtwoorden Dag 24 november zal weer een actie worden opgezet ;)

Volgens mij is men het echter in 2015 vergeten om die traditie voort te zetten. Het enige wat daarop lijkt is dit bericht: nieuws: Meer dan helft Nederlanders weet niet van bestaan wachtwoordmanagers
Goed bezig, Tweakers! _O_
Tweakers is altijd goed bezig natuurlijk :)

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True