Reacties (91)
:strip_exif()/u/119419/candc-60px.gif?f=community){kind=small}
Wachtwoorden hebben hun langste tijd wel gehad. De complexiteit die je nodig hebt om ze niet te kunnen kraken wordt steeds moeilijker te onthouden. Tokens met asymmetrische sleutels hebben het voordeel dat ze vrijwel onmogelijk te kraken zijn, en je je bovendien ergens kan aanmelden zonder de sleutel zelf prijs te geven (anders dan bij een paswoord: Als je het paswoord intikt weet de andere kant je paswoord).
Zoals met bijv. RSA sleutels (StartSSL gebruikt dit voor hun control panel, U2F keys (Google bijv), of smartcard aanmelding. Die laatste kan met RSA login op website of met SSH verbindingen. Ik gebruik dit prive veel. Je hebt dan nog het voordeel dat je geen sleutel files hebt die te kopieren zijn.
Het zou tof zijn als Tweakers ook een keer RSA inlog zou gaan ondersteunen! Of U2F.
Zoals met bijv. RSA sleutels (StartSSL gebruikt dit voor hun control panel, U2F keys (Google bijv), of smartcard aanmelding. Die laatste kan met RSA login op website of met SSH verbindingen. Ik gebruik dit prive veel. Je hebt dan nog het voordeel dat je geen sleutel files hebt die te kopieren zijn.
Het zou tof zijn als Tweakers ook een keer RSA inlog zou gaan ondersteunen! Of U2F.
:strip_icc():strip_exif()/u/2161/80.jpg?f=community){kind=small}
Ik gebruik KeePass met KeePassHttp en een Chrome extension, zodat KeePass mijn passwords genereert en automatisch invult op websites. Ik heb daardoor 128bits Hex passwords en weet meer dan 99% van mijn passwords niet. Op mijn mobiel heb ik een tool die mijn KeePass database van cloud storage af haalt zodat ik alle passwords altijd bij me heb. Enige nadeel is als je je password moet overtypen van je mobiele scherm op een desktop om 'even' in te loggen. Dan ben je even bezig.
Email heb ik altijd met 2 factor authentication, waarbij op m'n Android m'n Microsoft passwords het meest relaxt zijn. Ik krijg een push notificatie dat ik ff op "okay" moet drukken en dan ben ik in email. Bij Google zelf moet ik een getal overtypen, heel irritant!
Soms accepteren websites dat niet, want eisen ze ook nog een uitroepteken of iets dergelijks. Heel af en toe heb ik dat een website maar 10 karakters opslaat. Dan kom ik met mijn 20 karakters (of iets dergelijks) en vergelijkt de website mijn 20 karakters met de 10 die hij uit de database haalt en dan klopt het niet. Duurt altijd even voordat je doorhebt wat er fout gaat ;-)
Email heb ik altijd met 2 factor authentication, waarbij op m'n Android m'n Microsoft passwords het meest relaxt zijn. Ik krijg een push notificatie dat ik ff op "okay" moet drukken en dan ben ik in email. Bij Google zelf moet ik een getal overtypen, heel irritant!
Soms accepteren websites dat niet, want eisen ze ook nog een uitroepteken of iets dergelijks. Heel af en toe heb ik dat een website maar 10 karakters opslaat. Dan kom ik met mijn 20 karakters (of iets dergelijks) en vergelijkt de website mijn 20 karakters met de 10 die hij uit de database haalt en dan klopt het niet. Duurt altijd even voordat je doorhebt wat er fout gaat ;-)
:strip_icc():strip_exif()/u/293590/crop5630900a6fab9.jpeg?f=community){kind=small}
Klinkt razend interessant. Zit er zelf al een tijdje over na te denken.
Kan je eventueel nog meegeven over welke chrome extensions & apps het juist gaat?
Kan je eventueel nog meegeven over welke chrome extensions & apps het juist gaat?
Uiteraard KeePass zelf. De KeePassHttp plugin is een enkele dll (zover ik me kan herinneren) die je in de KeePass installatie folder neer gooit.
KeePassHttp
http://keepass.info/plugins.html#keepasshttp
De Chrome plugin installeer je in Chrome en maakt automatisch verbinding
https://chrome.google.com...gknfdndiefoaoiligalphfdae
Daarna kun je urls in KeePass opslaan waaraan KeePass herkent of je op een website zit waarvan hij het password heeft. Je kunt ook op een username en/of password dubbel klikken in KeePass, dan slaat hij die gegevens 10 seconden in clipboard op, waarna hij je clipboard wist. Super handig.
Je kunt ook LastPass gebruiken, maar die is zó gericht op enkel HTTP dat ik die links heb laten liggen. Ik gebruik KeePass ook voor tools, soms Flash/Silverlight logins, etc. en soms ook andere informatie, zoals rekeningnummers van mezelf. Ik kan ze nooit onthouden en copy-n-paste is eenvoudiger dan elke keer portefeuille erbij pakken! ;-)
KeePassHttp
http://keepass.info/plugins.html#keepasshttp
De Chrome plugin installeer je in Chrome en maakt automatisch verbinding
https://chrome.google.com...gknfdndiefoaoiligalphfdae
Daarna kun je urls in KeePass opslaan waaraan KeePass herkent of je op een website zit waarvan hij het password heeft. Je kunt ook op een username en/of password dubbel klikken in KeePass, dan slaat hij die gegevens 10 seconden in clipboard op, waarna hij je clipboard wist. Super handig.
Je kunt ook LastPass gebruiken, maar die is zó gericht op enkel HTTP dat ik die links heb laten liggen. Ik gebruik KeePass ook voor tools, soms Flash/Silverlight logins, etc. en soms ook andere informatie, zoals rekeningnummers van mezelf. Ik kan ze nooit onthouden en copy-n-paste is eenvoudiger dan elke keer portefeuille erbij pakken! ;-)
:strip_icc():strip_exif()/u/351515/crop5c6d1bc75da6c_cropped.jpeg?f=community){kind=small}
Ik ben zo'n 'figuur' die op elke website en dienst hetzelfde wachtwoord gebruikt.
Waarom? Ik geef er niks om. Er valt niets te halen. Het enige waar misschien iets te halen valt is mijn bankaccount en die is beveiligd met 3-laags authenticatie.
Ben ook nog nooit gehacked, ondanks het feit dat mijn wachtwoord stiekem schijtsimpel is.
Waarom? Ik geef er niks om. Er valt niets te halen. Het enige waar misschien iets te halen valt is mijn bankaccount en die is beveiligd met 3-laags authenticatie.
Ben ook nog nooit gehacked, ondanks het feit dat mijn wachtwoord stiekem schijtsimpel is.
/u/533887/tweaklogoi.png?f=community){kind=small}
Zorian + schijtsimpel als combi probeert....... 
/u/298895/crop5620d9e595c62.png?f=community){kind=small}
Het is stiekem schijtsimpel duh
Challenge accepted 
Dit is toch vragen om problemen? Ik bedoel, je zegt nu in feite eigenlijk:
"Er zit maar een enkel slot op de deur, en de sleutel ligt onder een steen. Ik zeg alleen niet welke steen, maar een van die daar... wijst naar paar stenen voor de deur"
Hoeft maar net een scriptkiddie tussen te zitten die zich verveelt en je bent nat.
"Er zit maar een enkel slot op de deur, en de sleutel ligt onder een steen. Ik zeg alleen niet welke steen, maar een van die daar... wijst naar paar stenen voor de deur"
Hoeft maar net een scriptkiddie tussen te zitten die zich verveelt en je bent nat.
Dan snap je de strekking van zijn verhaal niet. Er valt niet te halen bij hem en het boeid hem dus ook niet mocht iemand het voor elkaar krijgen...
Ik ben zelf net zo. Ik heb 2 wachtwoorden; 1 voor allerhande zaken en 1 voor de wat serieusere ( waar ik dan de eerste 3 letters van de site oid voor zet ) het zou mij ook een worst zijn als iemand achter mijn ww komt. Iedereen mag alles van me weten hoor...
Ik ben zelf net zo. Ik heb 2 wachtwoorden; 1 voor allerhande zaken en 1 voor de wat serieusere ( waar ik dan de eerste 3 letters van de site oid voor zet ) het zou mij ook een worst zijn als iemand achter mijn ww komt. Iedereen mag alles van me weten hoor...
Als iemand met zijn account bbg handelaars gaat lastig vallen bijvoorbeeld door nep aankoop doen en de volgende dag staat de politie voor de deur?
Zelfde met Facebook, mensen kunnen zijn account gebruiken voor santache?
Jij hebt niks te verbergen maar als het mis gaat dan praat je wel anders maar tot die tijd je kop in de zand blijven steken....
Zelfde met Facebook, mensen kunnen zijn account gebruiken voor santache?
Jij hebt niks te verbergen maar als het mis gaat dan praat je wel anders maar tot die tijd je kop in de zand blijven steken....
:strip_icc():strip_exif()/u/427094/crop55efe8ab1e19e_cropped.jpeg?f=community){kind=small}
hunter2?
/u/24735/crop6112615003fcf_cropped.png?f=community){kind=small}
/u/683463/A%2520blauw%2520mace.png?f=community){kind=small}
Achternaam + geboortejaar? 
:strip_icc():strip_exif()/u/81908/t.jpg?f=community){kind=small}
Verander alleen een wachtwoord omdat het moet. Zoals bijvoorbeeld bij de ING waar dat verplicht is. Anders doe ik dat vrijwel nooit.
Hetzelfde hier. Waarom zou ik een wachtwoord wat niemand ooit zomaar raadt moeten veranderen in een wachtwoord wat niemand ooit zo maar raadt. ?Verander alleen een wachtwoord omdat het moet. Zoals bijvoorbeeld bij de ING
Ik heb andere dingen te doen.
:strip_icc():strip_exif()/u/58227/crop6626a7982351d_cropped.jpg?f=community){kind=small}
Toch gek dat ING dit niet doet bij hun app. Daar is een 5 cijfercode genoeg en die heb ik nog nooit hoeven te veranderen. Je zou verwachten dat ze hier wat voorzichtiger in zijn maar misschien is de ergernis van mensen om het steeds te veranderen en de schade door oplichters en hackers via de app het (nog) niet waard om dit te implementeren.
Gebruik sinds het begin de app van ING en ben daardoor mijn oude wachtwoord van de mijn ing website al meerdere keren kwijtgeraakt. Met als gevolg dat je naar een vestiging moet om daar de envelop met een nieuwe op te halen. Heb al heel lang niet meer ingelogt op de website zelf en heb ook absoluut geen zin om weer langs een vestiging te gaan om een envelop op te halen zodat ik een nieuwe kan aanmaken die ik vervolgens weer vergeet omdat ik hem niet gebruik.
Gebruik sinds het begin de app van ING en ben daardoor mijn oude wachtwoord van de mijn ing website al meerdere keren kwijtgeraakt. Met als gevolg dat je naar een vestiging moet om daar de envelop met een nieuwe op te halen. Heb al heel lang niet meer ingelogt op de website zelf en heb ook absoluut geen zin om weer langs een vestiging te gaan om een envelop op te halen zodat ik een nieuwe kan aanmaken die ik vervolgens weer vergeet omdat ik hem niet gebruik.
[Reactie gewijzigd door jdh009 op 23 juli 2024 03:30]
:strip_icc():strip_exif()/u/457/wolf60.jpg?f=community){kind=small}
Omdat je telefoon gestolen moet zijn als anderen van die app gebruik willen maken. En als je je telefoon kwijt bent kun je heel eenvoudig op de website de autorisatie voor je smartphone intrekken.
Oh wacht...
Oh wacht...
:strip_icc():strip_exif()/u/274331/fireball_icon.jpg?f=community){kind=icon}
1x geloof ik...
We moesten een keer ons wachtwoord veranderen als ze te simpel/kort oid. waren meen ik me te herinneren...
Ik gebruik voor Tweakers een wachtwoord dat ik niet voor iets anders gebruik, dus zolang er geen security incidents bij Tweakers zijn, verander ik hem niet
We moesten een keer ons wachtwoord veranderen als ze te simpel/kort oid. waren meen ik me te herinneren...
Ik gebruik voor Tweakers een wachtwoord dat ik niet voor iets anders gebruik, dus zolang er geen security incidents bij Tweakers zijn, verander ik hem niet
:strip_icc():strip_exif()/u/78725/train-icon3.jpg?f=community){kind=small}
Enkele jaren terug heeft tweakers het encryptie algoritme veranderd achter de wachtwoord opslag. Ze hebben toen een test gedaan op de oude encryptie om te zien hoeveel wachtwoorden op relatief korte tijd achterhaald worden. Er werden 3 categorieën gemaakt geloof ik. Binnen de 30 minuten te kraken, binnen de 60 en meer dan 60. De mensen van wie het wachtwoord op minder dan een uur gekraakt kon worden hebben toen bericht gekregen met de melding dat hun wachtwoord te eenvoudig was.
Jep. toen waren 8 karakters al te weinig :-)
Yep, toen heb ik mijn oeroude wachtwoord veranderd. Dat was al zo oud als Tweakers is en verre van veilig.
Nu is het redelijk geloof ik, denk ik, ik gebruik Lastpass en weet niet eens hoeveel karakters ik had doorgegeven dat hij moest maken. Waarschijnlijk 16+.
Maar mocht Tweakers gehackt worden boeit het me niet qua wachtwoord. Dit is de enige site waar ik het gebruik. En als er ineens spam "door mij" gepost wordt denk ik dat Tweakers weet dat ik het niet gepost heb.
Nu is het redelijk geloof ik, denk ik, ik gebruik Lastpass en weet niet eens hoeveel karakters ik had doorgegeven dat hij moest maken. Waarschijnlijk 16+.
Maar mocht Tweakers gehackt worden boeit het me niet qua wachtwoord. Dit is de enige site waar ik het gebruik. En als er ineens spam "door mij" gepost wordt denk ik dat Tweakers weet dat ik het niet gepost heb.
:strip_icc():strip_exif()/u/145751/check-in-minion-small2.jpg?f=community){kind=small}
Maar het was niet verplicht hem te wijzigen. Mijn wachtwoord was ook te simpel, en is dat nog steeds. Zolang Tweakers hun database niet laat lekken komt er nog steeds niemand achter het wachtwoord (het simpelste wachtwoord heeft al duizenden pogingen nodig, ik hoop dat ze niet zoveel inlogpogingen op één account zonder vertraging toestaan). Maar daarnaast: Wat maakt het als iemand mijn tweakers wachtwoord achterhaald? Oh liever niet natuurlijk, maar verder kan ik me er ook niet heel druk over maken.
:strip_icc():strip_exif()/u/295574/kirk60.jpg?f=community){kind=small}
Ik verander mijn WW van dit soort sites/fora zelden tot nooit. Op een vervelende post maken na kunnen ze vrij weinig kwaad imo. Zelfde verhaal op de andere auto/game/etc fora waar ik zit.
Van paypal, internetbankieren, game accounts, etc wel regelmatig.
Van paypal, internetbankieren, game accounts, etc wel regelmatig.
[Reactie gewijzigd door Cogency op 23 juli 2024 03:30]
Van paypal heb ik het ook nog nooit veranderd. Moet wel toegeven dat ik daar een totaal uniek wachtwoord gebruik dat ook niet is opgeslagen in een wachtwoordmanager en echt een random reeks van cijfers en letters is (met hoofd en kleine letters). Verder heb ik daar recent ook de 2FA opgezet.
/u/358083/crop5a173109318d0.png?f=community){kind=small}
Ik heb mijn paypal ook nooit veranderd terwijl ik varianten van het wachtwoord elders wel heb uitgefaseerd. De reden waarom ik nooit paypal heb veranderd is omdat ik het antwoord op mijn geheime vraag niet meer kan achterhalen. Waarschijnlijk heb ik daar wat onzin gebruikt.
Dat probleem heb ik ook. Ik heb een niet al te moeilijk wachtwoord op PayPal, maar omdat ik mijn antwoord op de vraag niet weet kan ik het niet veranderen. PayPal wil hier niet bij helpen.
Het wachtwoord op tweakers heb ik volgens mij één keer in de 12 jaar verandert samen met mijn e-mailadres.
Het wachtwoord op tweakers heb ik volgens mij één keer in de 12 jaar verandert samen met mijn e-mailadres.
/u/90124/RedRobot%2520-%2520Nieuw.png?f=community){kind=small}
Ik heb daarvoor telefonisch contact op moeten nemen met paypal, toen kon ik een nieuwe vraag en antwoord verzinnen (via een link per mail).
Het viel me op dat de vragen vrij makkelijk uit Facebook profielen gehaald kunnen worden, de dame van PayPal had dat blijkbaar al vaker gehoord want er werd niet op ingegaan.
Het viel me op dat de vragen vrij makkelijk uit Facebook profielen gehaald kunnen worden, de dame van PayPal had dat blijkbaar al vaker gehoord want er werd niet op ingegaan.
Voor mij is het niet zo heel erg gezien paypal wel een uniek sterk wachtwoord heeft maar goed.
/u/221957/crop5659c7b6c568b.png?f=community){kind=small}
Ik heb er eerlijk gezegd geen enkel idee van... Ik beschouw tweakers nu ook niet als een cruciale dienst, dus ik lig minder wakker van het paswoord dat ik hier gebruik.
Zolang je een wachtwoord gebruikt dat volkomen anders is dan je voor andere sites gebruikt is daar helemaal niets mis mee. Alhoewel je ook hier kunt afvragen of je er op zit te wachten dat men (verborgen) zaken uit je profiel kan lezen en aanpassen. Ik denk niet dat je het leuk zou vinden als je je volledig opgebouwde profiel kwijt zou raken. Kortom, als je het erg vindt dat je je profiel plots ontnomen wordt dan zou ik er toch wakker van liggen.
Het is net als zogenaamd tijdelijke databases. Daar worden meestal geen backups van gemaakt want toch niet belangrijk maar als je ze kwijt raakt baal je er vaak toch stevig van. Zou jij als DBA je voor moeten kunnen stellen.
Het is net als zogenaamd tijdelijke databases. Daar worden meestal geen backups van gemaakt want toch niet belangrijk maar als je ze kwijt raakt baal je er vaak toch stevig van. Zou jij als DBA je voor moeten kunnen stellen.
achja dan hebben ze mijn profiel gefeliciteerd, reset ik het wachtwoord even en heb ik weer toegang, die paar dingen die er op staan? lekker boeiend 2 tellen werk.
Voor websites als tweakers waar geen betaal dienst aan vastzit en waar ik ook geen geld in heb zitten interesseert het me allemaal niet zo veel.
Voor websites als tweakers waar geen betaal dienst aan vastzit en waar ik ook geen geld in heb zitten interesseert het me allemaal niet zo veel.
:strip_icc():strip_exif()/u/306657/crop5daf153945849_cropped.jpeg?f=community){kind=small}
"Nog nooit gedaan"
Voor tweakers vind ik dit niet nodig. Als iemand ooit achter mijn wachtwoord komt dan kunnen ze nog niks. Op tweakers staat niks vertrouwelijks van mij.
Voor tweakers vind ik dit niet nodig. Als iemand ooit achter mijn wachtwoord komt dan kunnen ze nog niks. Op tweakers staat niks vertrouwelijks van mij.
Ik schreef het al eerder. Het gaat niet enkel om vertrouwelijke gegevens maar ook om het ongemak van het kwijtraken van je profiel en alles wat daar aan vast hangt. Karma, moderatierechten etc. Ik zou zelf balen als dat plots weg raakt doordat iemand mijn profiel overneemt.
Volgens mij is een mailtje naar Tweakers HQ dan voldoende om het account weer terug te krijgen. Het is vrij gemakkelijk te achterhalen aan de hand van IP adressen, gedrag, schrijfstijl en andere zaken of het die persoon wel of niet is. Daarnaast zit er ook nog is een mailadres aan je tweakers account gekoppeld waarbij je hem mogelijk terug kan krijgen (mits deze niet ook gehackt is).
:strip_icc():strip_exif()/u/41502/breezah.jpg?f=community){kind=small}
Wat kan iemand nu echt doen met mijn account? Nep posts maken, V&A oplichting? Tegen de tijd dat de eerste alarmbellen afgaan bij T.net, ben ik al lang een keer online geweest en heb ik zulke zaken al waarschijnlijk gezien.
Daarnaast, 90% heeft 'onthoud mij' aan staan, dus wanneer log je daadwerkelijk in een jaar nog in bij tweakers?
Daarnaast, 90% heeft 'onthoud mij' aan staan, dus wanneer log je daadwerkelijk in een jaar nog in bij tweakers?
Online wel maar je zal niet kunnen inloggen als men je wachtwoord veranderd heeft. Wat wil je er verder tegen doen. Bewijs jij maar dat jij de originele eigenaar bent van dat account. Dat zou het zelfde zijn als ik dat met jouw account zou gaan proberen. Het zal wellicht goed komen maar je hebt er wel gedoe van. En waarom zouden er alarmbellen af moeten gaan bij Tweakers? Als jouw wachtwoord wordt gewijzigd door iemand anders valt dat echt niet op hoor.Wat kan iemand nu echt doen met mijn account? Nep posts maken, V&A oplichting? Tegen de tijd dat de eerste alarmbellen afgaan bij T.net, ben ik al lang een keer online geweest en heb ik zulke zaken al waarschijnlijk gezien.
Wat velen zeggen is dat Tweakers niet belangrijk genoeg is. Maar als men er inlogt met hetzelfde wachtwoord of een variant erop dat voor echt gevoelige sites wordt gebruikt dan ben je alsnog de sjaak. Reken maar dat veel mensen overal hetzelfde wachtwoord voor gebruiken, ook Tweakers onder ons.
Krijg je bij T.net geen notificatie dat je een wachtwoord wijzigt? Veel diensten/platformen hebben deze optie. Email kan je niet zomaar veranderen, of je moet eerst een link uit je originele mail bevestigen. V&A oplichting zal wel degelijk alarmbelletje laten rinkelen, ander emailadres vlak voor dat moment is een simpele 1+1.
Het is ook geen rocketscience als ik zie dat ik niet meer kan inloggen (automatisch daarna dus handmatig), ik ook meteen weet dat er iets mis is. Of de hacker moet stap 2 ook meteen doen en al mijn 'vaste IP' locaties gaan spoofen, is het voor T.net niet zo bijzonder moeilijk te zien wie precies ze echte eigenaar is (buiten de overige informatie die al buiten T.net is gespeeld en uitsluitend ik dus toegang tot heb).
Daarnaast, als ik een variant op een wachtwoord heb, is er geen enkel programma die logisch kan bedenken wat dan de variant zou moeten zijn. Natuurlijk zijn het er een stuk minder dan bij compleet blanco, maar beetje belangrijke site heeft ook gewoon notificaties en 3x fout = afgelopen, of jij moet toevallig precies weten wat de variant van mijn Wachtwoord1 zou moeten zijn (hier alleen kan je al duizenden varianten op bedenken).
Het is ook geen rocketscience als ik zie dat ik niet meer kan inloggen (automatisch daarna dus handmatig), ik ook meteen weet dat er iets mis is. Of de hacker moet stap 2 ook meteen doen en al mijn 'vaste IP' locaties gaan spoofen, is het voor T.net niet zo bijzonder moeilijk te zien wie precies ze echte eigenaar is (buiten de overige informatie die al buiten T.net is gespeeld en uitsluitend ik dus toegang tot heb).
Daarnaast, als ik een variant op een wachtwoord heb, is er geen enkel programma die logisch kan bedenken wat dan de variant zou moeten zijn. Natuurlijk zijn het er een stuk minder dan bij compleet blanco, maar beetje belangrijke site heeft ook gewoon notificaties en 3x fout = afgelopen, of jij moet toevallig precies weten wat de variant van mijn Wachtwoord1 zou moeten zijn (hier alleen kan je al duizenden varianten op bedenken).
:strip_icc():strip_exif()/u/428264/t6vldloofbntjgsxehen.jpg?f=community){kind=small}
Op Tweakers nog nooit veranderd, tenzij ik het was vergeten. Ik heb echter wel meerdere levels wachtwoorden. Een standaard wachtwoord voor elke simpele website en/of dienst. Een gratie moeilijker voor websites die persoonlijke info verstrekken zoals social media en PayPal. En de moeilijkste voor internet bankieren en DigiD. Allemaal gebaseerd op een fictief vocabulair, dus doe geen moeite 
:strip_exif()/u/148279/carmageddon.gif?f=community){kind=small}
Hier precies hetzelfde, werkt voor mij het beste.
Op dit item kan niet meer gereageerd worden.