fanbox.com weet plots mijn paswoord?

Misschien heeft fanbox contact met een van de andere sites waar je met dat wachtwoord bent ingeschreven.

op de site zelf staat: "Already got a FanBox or SMS.ac account?" , dus ik denk dat je een SMS.ac account hebt gehad.

Wel vrij dubieus dat zo'n site aan je wachtwoord komt. Zelfs als het via een gelieerde site gaat betekent dat dus dat die andere site je wachtwoord ergens plaintext heeft opgeslagen, in plaats van alleen de hash.

Lijkt me een goed moment om je wachtwoord hier en daar te gaan veranderen en op de minder betrouwbare sites een ander wachtwoord te gebruiken. Voordeel van verschillende wachtwoorden is ook dat als je nog eens zoiets mee maakt dat je weet via welke site het is 'uitgelekt'.

En sowieso eens een mailtje richting die lui doen hoe ze hier aan komen. Niet zeker dat je daar een nuttige reactie op krijgt, maar kleine moeite om ff te mailen.

[ Voor 11% gewijzigd door Orion84 op 28-11-2007 12:25 ]

Ik kreeg vanochtend hetzelfde mailtje, en heb (had...) inderdaad een account bij sms.ac.

[ Voor 5% gewijzigd door aaajeetee op 28-11-2007 12:35 ]

Ik gebruik nooit dezelfde login naam en wachtwoord en kwam erachter dat het een naam is die ik zeker een jaar geleden een keer gebruikt heb. Ik vertrouw het ook voor geen cent. Het feit waar ik dus bang voor was dat sites zomaar je wachtwoord kunnen lezen is dus waar. Ik heb ook het vermoeden dat het om een sms.ac account gaat omdat ik daar een jaar geleden last van heb gehad.
ik vraag me ook af wat die site fanbox.com van mij wi en of het betrouwbaar is.

Ik verbaas me er altijd weer over hoeveel sites wachtwoorden plaintex opslaan in de database. Zo ook het toch wel bekende nujij.nl. Probeer maar eens de optie "wachtwoord vergeten" en je zult zien dat je netjes je wachtwoord toegestuurd krijgt. Raar, maar waar.

Noot: als je je originele wachtwoord teruggestuurd krijgt hoeft het natuurlijk niet plaintext opgeslagen te zijn geweest in de DB; er zou ook een custom (omkeerbare) cipher overheen gehaald geweest kunnen zijn...

overigens is het gebruik van hashes tegenwoordig ook niet meer helemaal lekker. Op internet hebben ze al lijsten met kant-en-klare hashes waar het wachtwoord naast staat.

Swaptor schreef op woensdag 28 november 2007 @ 14:11:
Noot: als je je originele wachtwoord teruggestuurd krijgt hoeft het natuurlijk niet plaintext opgeslagen te zijn geweest in de DB; er zou ook een custom (omkeerbare) cipher overheen gehaald geweest kunnen zijn...

Dat lijkt me niet. Wachtwoorden worden in bijna alle gevallen met een MD5 algoritme omgezet in een hash en het is praktisch bijna niet mogelijk om dat weer terug te krijgen naar een wachtwoord, aangezien een MD5-hash wordt gezien als een one-way hashfunctie.

En jij zegt precies wat ik ook zeg.
Wannéér een *custom* omkeerbaar cipher wordt gebruikt, wat dus alleen bekend is bij de eigenaren, kan je een encrypt password terugtoveren in plaintext. MD5 is niet echt een custom omkeerbare cipher, of wel?

MD5-hash wordt gezien als een one-way hashfunctie.

Gezien ja maar juist de praktijk is anders, er bestaan hele database op internet waar al een heleboel wachtwoord naar md5 en terug kunnen worden veranderd. Als jij elke keer het echt ww opslaat en en md5-ww dan krijg je een 2-way hashfunctie. Het beste is gewoon een goede eigen ritme, ik ben u bezig met een 2-way systeem en zolang alleen ikzelf de source bezit is hij redelijk onmogelijk om deze te kraken. Bijv. het woord 'sjaak' kan ik als 999 verschillende gecodeerde hashes opslaan en alsnog weer terughalen

Verwijderd schreef op woensdag 28 november 2007 @ 14:33:
[...]
Gezien ja maar juist de praktijk is anders, er bestaan hele database op internet waar al een heleboel wachtwoord naar md5 en terug kunnen worden veranderd. Als jij elke keer het echt ww opslaat en en md5-ww dan krijg je een 2-way hashfunctie.

Deze mag je nog eens duidelijk uitleggen, want MD5 is toch echt een 1-way hashfunctie. Dat er hele lijsten op internet bestaan met wachtwoorden en hun bijbehorende hashes doet niet terzake, tenzij je een standaardwachtwoord als 'password' gebruikt ofzo. MD5 is niet de veiligste hashfunctie, maar het terugrekenen van hash naar een 'invoer' kost veel processorkracht. En wat je kunt terugrekenen hoeft nog niet eens het ingevoerde wachtwoord te zijn, verschillende teksten kunnen dezelfde hash hebben (hash collisions)

Het beste is gewoon een goede eigen ritme, ik ben u bezig met een 2-way systeem en zolang alleen ikzelf de source bezit is hij redelijk onmogelijk om deze te kraken. Bijv. het woord 'sjaak' kan ik als 999 verschillende gecodeerde hashes opslaan en alsnog weer terughalen

Het verborgen houden van het algoritme zou niet voor de beveiliging moeten zorgen, dat zou toch echt de sleutel moeten zijn. Het algoritme moet alleen maar zorgen voor (uiteraard) het versleutelen en ontsleutelen en ook dat de inverse niet makkelijk is te berekenen. Het verborgen houden van het algoritme is simpelweg 'security by obscurity'.

Jaap-Jan schreef op woensdag 28 november 2007 @ 15:01:
[...]
Deze mag je nog eens duidelijk uitleggen, want MD5 is toch echt een 1-way hashfunctie. Dat er hele lijsten op internet bestaan met wachtwoorden en hun bijbehorende hashes doet niet terzake, tenzij je een standaardwachtwoord als 'password' gebruikt ofzo.

Helaas is dat dus wel de bittere werkelijkheid. Ik heb zelf een aantal wachtwoorden. Een standaard woord, een verbastering daarvan etc etc. Het eerste wachtwoord was direct op te vragen via die hashtable.

Dat je dat afdoet met "Doet niet terzake" is natuurlijk onzin: als jij een hash hebt, en je kan daar redelijk triviaal een wachtwoord uittoveren, dan *IS* dat een probleem.

Sowieso vind ik sites waarbij je je wachtwoord toegestuurd krijgt een enorme beveiligsissue.

Als je je wachtwoord kwijt bent moeten ze hem gewoon resetten na een standaard gegenereerd wachtwoord en dit emailen. Je wachtwoord die je ingesteld hebt mailen naar je hotmail, nee lekkere beveiliging.

Nog slechter, websites die na het aanmelden je gebruikersnaam en wachtwoord naar je mailen. Zitten er mensen mee te kijken of lezen, kunnen ze het dus gelijk zien. Ik heb me toch net aangemeld met dat wachtwoord, waarom zou ik dat in hemelsnaam in me email willen terugzien.

DiedX schreef op woensdag 28 november 2007 @ 14:13:
overigens is het gebruik van hashes tegenwoordig ook niet meer helemaal lekker. Op internet hebben ze al lijsten met kant-en-klare hashes waar het wachtwoord naast staat.

Dat zijn rainbow-tables.

Je neemt een string, je MD5-ed hem, en je slaat het string en de hash samen op. Vervolgens kun je op hash zoeken naar een string. Je hoeft niet perse het orginele wachtwoord terug te krijgen, dat kan ook een andere string zijn met dezelfde hash (een collision).

Daarom moet je ook niet zomaar een MD5 hash van een string opslaan, maar altijd een 'salt' aan je string toevoegen voordat je hem hashed. Zo zijn rainbowtables onbruikbaar.

Ik heb je wachtwoord nu ook.

Fanbox is een reincarnatie van sms.ac. Als je daar dus een account had, kan het zijn dat fanbox die dus naar je toe heeft gestuurd. Ze zouden eigenlijk graag nog eens willen dat je inlogt en zenden je daarom iets interessants. Dat het appel niet in het misleidende mailtje staat boeit niet, want ze bereiken vaak wel hun doel.

M.a.w. ze zijn weer lekker bezig. Ze hebben na die password scam (onder sms.ac) hun naam veranderd, maar zijn hun streken blijkbaar nog niet verleerd...