Poll
Bloedend hart
Heb jij je wachtwoorden aangepast naar aanleiding van de Heartbleed-bug in OpenSSL?
- Nee, ik wacht nog even tot alle sites de bug hebben gefikst
- 37,8%
- Heartbleed? Maakt De Dijk tegenwoordig Engelstalige muziek of heb ik wat gemist?
- 29,1%
- Nee, ze mogen alles van mij weten (behalve mijn pincode)
- 18,5%
- Ik heb al een paar andere wachtwoorden ingesteld
- 10,2%
- Ja, ik heb al mijn wachtwoorden gelijk aangepast
- 4,5%
Aantal stemmen: 9.898. Deelname gesloten op 02-05-2014 11:57. Stemmen is niet meer mogelijk.
Reacties (36)
:strip_icc():strip_exif()/u/12461/crop65b195553d948.jpg?f=community){kind=small}
De enige optie die zegt dat je het niet gaat doen is de optie waarin je aangeeft dat men alles van je mag weten? Wat extra nuance is wel op z'n plaats.
Nee, ik ga geen wachtwoorden aanpassen. Voor belangrijke dingen heb ik two-factor authentication, en voor de rest acht ik de kans erg klein danwel boeit het me niet dat ze m'n wachtwoord te pakken hebben. Ik gebruik sowieso overal verschillende wachtwoorden.
Nee, ik ga geen wachtwoorden aanpassen. Voor belangrijke dingen heb ik two-factor authentication, en voor de rest acht ik de kans erg klein danwel boeit het me niet dat ze m'n wachtwoord te pakken hebben. Ik gebruik sowieso overal verschillende wachtwoorden.
[Reactie gewijzigd door .oisyn op 22 juli 2024 19:08]
:strip_icc():strip_exif()/u/342772/switch2.jpg?f=community){kind=small}
De beveiliging van 2-factor authenticatie ligt in het feit dat er meerdere onbekende factoren zijn.Voor belangrijke dingen heb ik two-factor authentication, en voor de rest acht ik de kans erg klein danwel boeit het me niet dat ze m'n wachtwoord te pakken hebben.
Als je ID en wachtwoord bekend zijn, dan verwordt je 2-factor gewoon weer naar 1-factor.
Ik weet dat dit nogal een 'what-if' verhaal is, maar daar gaat het bij beveiliging eigenlijk altijd om.
2-factor is geen garantie voor veiligheid.
De mate van veiligheid die je krijgt van een methode is sterk afhankelijk van tijd en plaats.
Diverse encryptie modellen waren veilig totdat systemen krachtig genoeg werden om ze snel te kunnen kraken. Een sleutel van 1024 bits is groot, maar als de rest van de wereld er 8192 bits tegenaan gooit, is de kans dat jij het doelwit wordt wel erg groot.
Zorgen voor veiligheid begint met het niet verschuilen achter protocollen of methoden, maar je gezond verstand gebruiken.
Nogal wiedes. Het hele idee van two-factor auth is dat je nog steeds beveiligd bent als een van de gegevens op straat komen te liggen. Dat is nu gebeurd en dus pluk ik er de vruchten van. Ik zie niet direct de noodzaak om mijn wachtwoorden te veranderen, ookal ben ik nu iets minder veilig dan ik voorheen was. Veel succes met het onderscheppen van de in mijn telefoon opgeslagen OTP sleutels. Het onderscheppen van wachtwoorden is daarentegen relatief een stuk makkelijker.De beveiliging van 2-factor authenticatie ligt in het feit dat er meerdere onbekende factoren zijn. Als je ID en wachtwoord bekend zijn, dan verwordt je 2-factor gewoon weer naar 1-factor.
Zoals voor elke login een ander wachtwoord gebruiken. Daarom maak ik me ook niet zo'n zorgen van een gejat wachtwoord van een een of andere vage site die ik amper gebruik.Zorgen voor veiligheid begint met het niet verschuilen achter protocollen of methoden, maar je gezond verstand gebruiken.
[Reactie gewijzigd door .oisyn op 22 juli 2024 19:08]
:strip_exif()/u/248854/rudolph3.gif?f=community){kind=small}
Inderdaad, ik mis ook de optie "Nee, ik maak me niet zoveel zorgen"
:strip_icc():strip_exif()/u/145751/check-in-minion-small2.jpg?f=community){kind=small}
Precies, je hebt van die leuke lijstjes: http://mashable.com/2014/...ed-bug-websites-affected/. Waar zou ik me druk over maken? Alle belangrijke dingen die ik gebruik zijn niet kwetsbaar, ik heb wel een gmail, maar dat is enkel een secundair e-mail adres waar ik eigenlijk niks mee doe.
Ik kan me er niet heel druk over maken als ze op bijvoorbeeld mijn tweakers account kunnen inloggen (of een equivalent iets).
Ik kan me er niet heel druk over maken als ze op bijvoorbeeld mijn tweakers account kunnen inloggen (of een equivalent iets).
:strip_icc():strip_exif()/u/308924/crop5866546e13837_cropped.jpeg?f=community){kind=small}
Mee eens, vind het vreemd dat een dergelijke keuze niet in de poll is opgenomen. De services waar ik een mail adres heb zijn niet aangetast (geloof verder niet dat alle gmail accounts bekend zijn). Zolang de mail adressen waarmee ik mijn wachtwoorden kan resetten niet aangetast zijn, verander ik mijn wachtwoorden niet 
.
.
:strip_icc():strip_exif()/u/393579/icon%2520orange%2520banana.jpg?f=community){kind=small}
Nee, ik wacht nog even tot alle sites de bug hebben gefikst
Duurde ff voordat ik doorhad hoe het werkte aanvankelijk, dank aan XKDC
Duurde ff voordat ik doorhad hoe het werkte aanvankelijk, dank aan XKDC
:strip_exif()/u/31303/HMC2.gif?f=community){kind=small}
Waarom zou je wachten met dat ene wachtwoord aanpassen (bv Gmail), totdat ALLE sites ge-update zijn?
Degenen die reeds een update hebben doorgevoerd, daarvan kan je NU al je wachtwoord aanpassen.
De anderen later.
Degenen die reeds een update hebben doorgevoerd, daarvan kan je NU al je wachtwoord aanpassen.
De anderen later.
Eerlijkheidshalve moet ik toegeven m'n gmail ww al te hebben aangepast maar daarbuiten vond ik het iets te veel moeite om voor elke site in de gaten te houden of ze de fix al door hebben gevoerd of niet. Ik denk dat ik, net als de meeste mensen hier, al snel en paar tientallen usernames & passwords hebben voor verschillende sites/fora waar ik het nog even wilde laten om m'n info te veranderen.
't Is natuurlijk wel een klus om al je wachtwoorden aan te gaan passen... Als je zorgt dat je per site een uniek wachtwoord gebruikt, dan is de schade min of meer te overzien. Het wachtwoord wijzigen zou ook alleen hoeven voor de sites die kwetsbaar waren voor de aanval (tweakers zat daar toch ook bij als ik het goed heb?). Maar een fraai lijstje met kwetsbare sites heb ik nog niet gevonden.
Overigens - hoe aannemelijk is het dat 'men' inderdaad wachtwoorden heeft buitgemaakt? Is deze bug daadwerkelijk gebruikt door "boeven" om wachtwoorden uit systemen te halen?
Edit: ah - hieronder wordt ook al de discussie aangezwengeld dat 't niet zo'n vaart zal lopen...
Overigens - hoe aannemelijk is het dat 'men' inderdaad wachtwoorden heeft buitgemaakt? Is deze bug daadwerkelijk gebruikt door "boeven" om wachtwoorden uit systemen te halen?
Edit: ah - hieronder wordt ook al de discussie aangezwengeld dat 't niet zo'n vaart zal lopen...
[Reactie gewijzigd door Tukkertje-RaH op 22 juli 2024 19:08]
Voor de technici, die de fout in de OpenSSL code willen zien:
http://blog.cryptographye...k-openssl-heartbleed.html
http://blog.existentializ...enssl-heartbleed-bug.html
Vimeo:
http://vimeo.com/91425662
http://blog.cryptographye...k-openssl-heartbleed.html
http://blog.existentializ...enssl-heartbleed-bug.html
Vimeo:
http://vimeo.com/91425662
:strip_icc():strip_exif()/u/222342/5.jpg?f=community){kind=small}
Wordt (of werd) de bug actief misbruikt anders dan de NSA? Anders maakt ik mij geen zorgen.
:strip_icc():strip_exif()/u/285051/teaglass_tweakers.jpg?f=community){kind=small}
Natuurlijk wordt de Bug misbruikt. Het kan, dus het gebeurt. De wet van de grote getallen van de meer dan 7 miljard individuen maakt dit een zekerheid.
Paniek is aan mijn kant niet het juiste woord. Overal unieke passwords. Wel een verzuchting dat ik het hele spul weer langs kan. Gebrek aan transparantie op internetsites of de site al is gerepareerd stoort mij wel. Is Tweakers al gerepareerd? Waar leid ik dat dan uit af, ik zal wel weer kippig zijn? Als ik mijn profiel aanpas krijg ik een https verbinding als altijd. Geen tijdelijke infobalk dat Tweakers dat de bug al is opgelost. Ook het feit dat het nog niet is gedaan is als informatie relevant. Maak het expliciet.
Misschien moeten sites een vast veiligheidshoekje reserveren voor dit soort info. Zodat mensen niet allerlei tooltjes moeten regelen om een site te testen. Lang leve eenduidige communicatie.
Paniek is aan mijn kant niet het juiste woord. Overal unieke passwords. Wel een verzuchting dat ik het hele spul weer langs kan. Gebrek aan transparantie op internetsites of de site al is gerepareerd stoort mij wel. Is Tweakers al gerepareerd? Waar leid ik dat dan uit af, ik zal wel weer kippig zijn? Als ik mijn profiel aanpas krijg ik een https verbinding als altijd. Geen tijdelijke infobalk dat Tweakers dat de bug al is opgelost. Ook het feit dat het nog niet is gedaan is als informatie relevant. Maak het expliciet.
Misschien moeten sites een vast veiligheidshoekje reserveren voor dit soort info. Zodat mensen niet allerlei tooltjes moeten regelen om een site te testen. Lang leve eenduidige communicatie.
:strip_icc():strip_exif()/u/303210/favritegotevj9.jpg?f=community){kind=small}
Wordt? Jazeker. Werd? Weten we niet zeker. Dus ja.
Jammer dat het meerendeel van de Tweakers (nog) niet meegekregen heeft wat de Heartbleed bug is.. 
:strip_icc():strip_exif()/u/549628/atqtwysdasdaasddsasadsadsadsad.jpg?f=community){kind=small}
Dit zijn handige webpagina's van Radar erover:
Edit: Nu ik zie dat bijna alle populaire websites er wat aan hebben gedaan doe ik het nu ook. Tweakers.net (check)
Wikipedia (check)
Google (check)
- http://tros.dmd.omroep.nl...5RW1x90UYhJNpUiU4T6Az8A99
- http://tros.dmd.omroep.nl...HEhI8bIsGOI4iWTF48fvXwA94
- http://tros.dmd.omroep.nl...oWiBuwgpul8M5KifAo4.AAA36
Edit: Nu ik zie dat bijna alle populaire websites er wat aan hebben gedaan doe ik het nu ook. Tweakers.net (check)
Wikipedia (check)
Google (check)
[Reactie gewijzigd door 12345dan op 22 juli 2024 19:08]
Nee, ik wacht nog even tot alle sites de bug hebben gefikst
Ik verwacht natuurlijk wel een update van tweakers over wanneer dat zover is...
Ik verwacht natuurlijk wel een update van tweakers over wanneer dat zover is...
In de comments op het originele topic hebben de crew al laten weten dat ze de update al doorgevoerd hebben.
Bovendien, waarom zou je wachten totdat ALLE sites de bug gefix't hebben, terwijl sommigen het nu wel al voor elkaar hebben.
Je kan bijvoorbeeld NU je Tnet wachtwoord aanpassen, maar nog even wachten met de sites waar je een account hebt, maar die de update nog niet doorgevoerd hebben.
Bovendien, waarom zou je wachten totdat ALLE sites de bug gefix't hebben, terwijl sommigen het nu wel al voor elkaar hebben.
Je kan bijvoorbeeld NU je Tnet wachtwoord aanpassen, maar nog even wachten met de sites waar je een account hebt, maar die de update nog niet doorgevoerd hebben.
Is er ergens een lijst met populaire websites die al aangepast zijn ?
/u/222419/t.net.png?f=community){kind=small}
Op Mashable staat een heel lijstje
Toch opmerkelijk dat het zoveel mensen niks zegt, of het ze niks interesseert. Is het nog geen item geweest in de mainstream media (NOS oid)? Weten de mensen niet wat inhoudelijk betekent?
Jaren heeft het gekost om mensen er op te attenderen goede wachtwoorden te verzinnen en voor elke site/dienst een andere aan te maken. iets wat er bij veel mensen nog niet in zit, en dan komt dit op het bordje van de simpele internetter.
Het feit dat mogelijk elk wachtwoord op elke site die ze maar gebruiken (oké, drie kwart..) bekend zou kunnen zijn bij één of meerdere personen doet ze schijnbaar niks. Waarom niet gewoon elk wachtwoord veranderen? Verzin een systeem of neem een wachtwoord manager, maar reageer hierop. Echt onbenullig om het niet te doen..
Jaren heeft het gekost om mensen er op te attenderen goede wachtwoorden te verzinnen en voor elke site/dienst een andere aan te maken. iets wat er bij veel mensen nog niet in zit, en dan komt dit op het bordje van de simpele internetter.
Het feit dat mogelijk elk wachtwoord op elke site die ze maar gebruiken (oké, drie kwart..) bekend zou kunnen zijn bij één of meerdere personen doet ze schijnbaar niks. Waarom niet gewoon elk wachtwoord veranderen? Verzin een systeem of neem een wachtwoord manager, maar reageer hierop. Echt onbenullig om het niet te doen..
:strip_icc():strip_exif()/u/3572/mashell%2520avatar_klein.jpg?f=community){kind=avatar}
Er is een theoretische kans dat een kwaadwillend iemand de bug kende en via deze bug een deel van het geheugen van een server die ik ook gebruik heeft uitgelezen. Er is een theoretische kans dat precies op dat moment mijn credentials in het RAM stonden. Er is een theoretische kans dat iemand dat uitgelepelde geheugen heeft gereconstrueerd en mijn credentials daar heeft herkend en gevonden.
Er is ook een theoretische kans dat een nog onontdekte asteroïde morgen het leven op deze planeet onmogelijk maakt, misschien is die kans zelfs wel groter. Samengevat: dit is volgens mij vooral iets voor de server beheerders om te patchen, maar ik acht het niet noodzakelijk om als gebruiker hiervoor tig sites af te gaan en daar wachtwoorden te gaan wijzigen.
Er is ook een theoretische kans dat een nog onontdekte asteroïde morgen het leven op deze planeet onmogelijk maakt, misschien is die kans zelfs wel groter. Samengevat: dit is volgens mij vooral iets voor de server beheerders om te patchen, maar ik acht het niet noodzakelijk om als gebruiker hiervoor tig sites af te gaan en daar wachtwoorden te gaan wijzigen.
Omdat het tijdsverspilling is, oh wee als ze op mijn tweakers/flitsservice/overclockers/gtagames/whatever account komen. 
En Gmail zegt zelf niks dat de wachtwoorden zijn gejat, ik geloof het allemaal wel.
Wanneer Gmail of een financieel gerelateerde site of de digid een mail stuurt dat de Pw veranderd moet worden doe ik dat ( uiteraard niet via de link in de mail maar via de website ivm. phishing risico). Wanneer ik van dutchbodybuilding of overclockersuk of civfanatics ( of iets gelijks) een mail krijg van ''verander je pw'' dan druk ik gelijk de delete knop in, kan mij t schelen ?
En Gmail zegt zelf niks dat de wachtwoorden zijn gejat, ik geloof het allemaal wel.
Wanneer Gmail of een financieel gerelateerde site of de digid een mail stuurt dat de Pw veranderd moet worden doe ik dat ( uiteraard niet via de link in de mail maar via de website ivm. phishing risico). Wanneer ik van dutchbodybuilding of overclockersuk of civfanatics ( of iets gelijks) een mail krijg van ''verander je pw'' dan druk ik gelijk de delete knop in, kan mij t schelen ?
:strip_icc():strip_exif()/u/378821/images.jpg?f=community){kind=small}
Vandaar het bericht van google dat er een verdachte verbinding was met mijn account vanuit ergens in china.
Deze persoon had mijn wachtwoord correct geraden en het is niet iets dat je zomaar kan raden. Nu heb ik gister mijn gmail wachtwoord veranderd, en ook mijn andere email accounts die dit wachtwoord gebruiken. Kan het zo zijn dat ik nu weer mijn wachtwoord moet veranderen? Is er kans dat ze mijn nieuwe wachtwoord ook al hebben gevonden?
In eerste instantie gaf ik mijzelf de schuld omdat ik net die dag ook weer eens wou inloggen op een spelletje van mijn jeugd met vele pogingen tot ik het goede wachtwoord heb gevonden. Als een van deze sites in een keer onbetrouwbaar blijkt dan geef je gewoon gratis je gegevens weg. Vandaar dat ik ook maar heb besloten dat mijn email accounts een eigen wachtwoord krijgen.
Deze persoon had mijn wachtwoord correct geraden en het is niet iets dat je zomaar kan raden. Nu heb ik gister mijn gmail wachtwoord veranderd, en ook mijn andere email accounts die dit wachtwoord gebruiken. Kan het zo zijn dat ik nu weer mijn wachtwoord moet veranderen? Is er kans dat ze mijn nieuwe wachtwoord ook al hebben gevonden?
In eerste instantie gaf ik mijzelf de schuld omdat ik net die dag ook weer eens wou inloggen op een spelletje van mijn jeugd met vele pogingen tot ik het goede wachtwoord heb gevonden. Als een van deze sites in een keer onbetrouwbaar blijkt dan geef je gewoon gratis je gegevens weg. Vandaar dat ik ook maar heb besloten dat mijn email accounts een eigen wachtwoord krijgen.
ja dat kan. Als de private keys van de certificaten binnengelepeld zijn en de beheerders hebben daarna alleen de bug gepatcht, dan kunnen ze met die key gewoon weer afluisteren. Beheerders moeten dus de certificaten opnieuw aanvragen met nieuwe private keys.
/u/34186/crop62e07d174532d_cropped.png?f=community){kind=small}
Ik mis de optie: "Ik ben vreselijk veel uren aan het verstoken omdat we al onze klanten moeten patchen en certificaten opnieuw aan moeten vragen."
Fijn werk.
Fijn werk.
Op dit item kan niet meer gereageerd worden.