Wachtwoorden tweakers.net

Dank voor je opbeurende woorden

Mijn password voldoet aan de algemene norm van 'sterke passwords' maar was blijkbaar snel te kraken.
Dan moet je je afvragen: Zijn de passwords zwak, of is de gebruikte encryptie zwak?

Aangezien Tweakers naar een zwaardere encryptie over ging, is het antwoord eigenlijk al gedeeltelijk gegeven... De encryptie was te zwak voor de huidige tijd, en werd daarom vervangen.

Beetje flauw dat de titel en de toonzetting van het artikel dan de schuld bij de gebruikers en hun 'zwakke' passwords legt. Met hetzelfde recht zou je kunnen opschrijven: "Tweakers.net gebruikte te zwakke encryptie" of "md5 encrypte niet meer van deze tijd".


Wel heel interressant trouwens! Zet je wel aan het denken aan hoe veilig wachtwoorden nog zijn...

Zou trouwens een interessante vraag zijn geweest hoeveel van die 'zwakke' passwords voldeden aan de huidige standaard norm voor 'sterke' passwords. (minimaal 8 characters; 3 uit 4 van hoofd en kleine letters, cijfers, tekens)

[ Voor 7% gewijzigd door Verwijderd op 13-09-2011 14:29 ]

Kleine noot; mijn voornaam in mijn profiel bevat alleen mijn voorletter. Hierdoor kan ik deze letter niet meer gebruiken in mijn wachtwoord (wachtwoord mag niet de voornaam bevatten).

Ik heb ook een melding ontvangen. Ik schrik er een beetje van, ik verwachtte dat mijn password redelijk veilig was.

Is het simpel om een password als fiets4544 met zo'n aanval te achterhalen?

@Tukk:
Zeker weten, want het komt heel vaak voor dat mensen 'woord' + random cijfers erachter plakken, daar wordt dus waarschijnlijk ook op gematched. IMHO is dat een zwak wachtwoord.

Overigens toont het ook maar weer eens aan dat MD5 gewoon niet meer kan tegenwoordig.

Roeligan schreef op dinsdag 13 september 2011 @ 14:28:
Kleine noot; mijn voornaam in mijn profiel bevat alleen mijn voorletter. Hierdoor kan ik deze letter niet meer gebruiken in mijn wachtwoord (wachtwoord mag niet de voornaam bevatten).

Daar is wel omheen te werken door eerst je voornaam leeg te maken, dan een nieuw wachtwoord in te stellen, en vervolgens opnieuw je voornaam(letter) in te vullen

Een beetje loos natuurlijk, feitelijk zouden we korte voornamen gewoon moeten uitsluiten van die check (of misschien zelfs helemaal negeren - bij registratie is immers ook nog geen voornaam of achternaam ingevuld).

[ Voor 9% gewijzigd door crisp op 13-09-2011 14:38 ]

Work-around (misschien, niet getest): Profiel wijzigen (voornaam leeg maken), wachtwoord instellen, profiel weer in ere herstellen.

Maar ik vraag me toch af, of men die test heeft gedaan op de oude manier van opslaan, en niet meer met de nieuwe manier. Want dat een md5-hash misschien sneller te kraken is dat de nieuwe methode houd niet direct in dat het wachtwoord in eens zwak zou zijn. Of lees ik het bericht misschien niet goed?

Waarom noemen jullie niet de tools die jullie hebben gebruikt?

Erg interessant onderzoek. Als het niveau van wachtwoorden op een site als tweakers.net al zo laag is, hoe moet het dan met een willekeurig andere website gesteld zijn...

Booster schreef op dinsdag 13 september 2011 @ 14:40:
Waarom noemen jullie niet de tools die jullie hebben gebruikt?

Waarschijnlijk om een en ander niet al te toegankelijk te maken en het zo mensen wel heel eenvoudig te maken daar mee de scriptkiddy uit te gaan hangen te gaan experimenteren...

Verwijderd schreef op dinsdag 13 september 2011 @ 14:27:
Beetje flauw dat de titel en de toonzetting van het artikel dan de schuld bij de gebruikers en hun 'zwakke' passwords legt. Met hetzelfde recht zou je kunnen opschrijven: "Tweakers.net gebruikte te zwakke encryptie" of "md5 encrypte niet meer van deze tijd".

Het is geen of/of: md5-hashes zijn niet meer van deze tijd, en die hebben we dus vervangen. Daarover is twee weken geleden een .plan online gezet. Naar aanleiding daarvan zijn we gaan kijken naar de sterkte van de wachtwoorden.

Zou trouwens een interessante vraag zijn geweest hoeveel van die 'zwakke' passwords voldeden aan de huidige standaard norm voor 'sterke' passwords. (minimaal 8 characters; 3 uit 4 van hoofd en kleine letters, cijfers, tekens)

Dat zou inderdaad interessant zijn geweest. Probleem is alleen dat die wachtwoordlijsten niet bewaard zijn, en dat met de huidige opslag dergelijke tests niet meer zo eenvoudig uit te voeren zijn

Rataplan schreef op dinsdag 13 september 2011 @ 15:14:
[...]
Het is geen of/of: md5-hashes zijn niet meer van deze tijd, en die hebben we dus vervangen. Daarover is twee weken geleden een .plan online gezet. Naar aanleiding daarvan zijn we gaan kijken naar de sterkte van de wachtwoorden.
[...]
Dat zou inderdaad interessant zijn geweest. Probleem is alleen dat die wachtwoordlijsten niet bewaard zijn, en dat met de huidige opslag dergelijke tests niet meer zo eenvoudig uit te voeren zijn

Dus wat je eigenlijk zegt is: Als je de melding krijgt over een zwak wachtwoord, heeft dat te maken dat t.net kijkt naar de md5-hashs die is/wordt vervangen.

Hoe zwak zijn de zwakke wachtwoorden met de nieuwe manier van opslaan.

Is dat niet een beetje onnodig paniek zaaien?

RaZ schreef op dinsdag 13 september 2011 @ 15:17:
Is dat niet een beetje onnodig paniek zaaien?

Paniek? We belichten de kwaliteit van wachtwoorden tegen een opslagmethode die veel wordt gebruikt. Is T.net veiliger sinds we die niet meer gebruiken? Ja. Zijn daarmee alle sites net zo veilig? Nee. En los daarvan, als je een individueel account probeert te hacken met een brute-forceaanval, heeft het ook met de nieuwe methode onder de motorkap nog steeds zin om niet 'appel' als wachtwoord te kiezen

Wilbert de Vries schreef op dinsdag 13 september 2011 @ 14:18:
Dank voor je opbeurende woorden

Is ook wel nodig gezien de vele kritiek op dit 'onderzoek' op de FP.

Ik ben niet echt amused dat men even de wachtwoorden van de gebruikers gaat kraken. Nu zijn we jullie natuurlijk tweakersforum, maar er zijn lijkt mij toch grenzen wat je wel en niet moet doen. Beetje dollen met de accounts van je gebruikers is een ding wat je niet doet.

Op hoeveel sites heb je een wachtwoord geregistreerd, waar je er geen flauw benul van hebt hoe je wachtwoord opgeslagen wordt? Of wat er überhaupt met je wachtwoord gebeurd?

Nu voert Tweakers een onderzoek uit, waarmee ze aangeven wat de gevolgen zouden zijn als de oude gebruikersdatabase op straat was komen te liggen. Tweakers.net voert dat integer uit. Ze geven full disclosure van het onderzoek en delen de resultaten. Wat wil je nog meer?

Tukk schreef op dinsdag 13 september 2011 @ 14:33:
Is het simpel om een password als fiets4544 met zo'n aanval te achterhalen?

Ja. fiets is een normaal woord wat je in het woordenboek vind. Daarna is het voor een brute force aanval heel simpel.

Fiets1
Fiets2
Fiets3
Fiets4
Fiets5

ect ect.. In luttele seconden heb je zo duizenden el niet miljoenen wachtwoorden geprobeerd .

Edit: Ik was trouwens wel blij dat ik geen gele balk kreeg . Houd dit in dat mijn wachtwoord geheel NIET gekraakt is, of dat het niet binnen deze 30 minuten gebeurde?

[ Voor 18% gewijzigd door D4NG3R op 13-09-2011 16:07 ]

crisp schreef op dinsdag 13 september 2011 @ 14:37:
Een beetje loos natuurlijk, feitelijk zouden we korte voornamen gewoon moeten uitsluiten van die check (of misschien zelfs helemaal negeren - bij registratie is immers ook nog geen voornaam of achternaam ingevuld).

een betere check zou zijn om te zien of die naam een groot aandeel heeft binnen het gekozen wachtwoord

zo zou "michael123" niet handig zijn, maar iets als "jhnfitu34yfizmichaellkugj6hks8df" wel

Ikzelf verzin wachtwoorden meestal op zo'n manier:

Even als voorbeeld:
Object/Spel/Naam/Woord -> Patrick
Patrick randomizen qua hoofdletters -> PaTRiCk
PaTRiCk deels verl33ten -> PaTR1Ck
Woord omdraaien -> kC1RTaP

1e helft wachtwoord:
kC1RTaP

Object/Spel/Naam/Woord -> Koekje
Koekje randomizen qua hoofdletters -> kOEkjE
kOEkjE deels verl33ten -> k03kJE
Woord omdraaien -> Ejk03k

Bij elkaar krijg je dus:
kC1RTaPEjk03k

Lijkt compleet random (En is het eigenlijk ook) maar is voor mij vrij makkelijk te onthouden .

[ Voor 43% gewijzigd door D4NG3R op 13-09-2011 16:17 ]

D4NG3R schreef op dinsdag 13 september 2011 @ 16:01:
Edit: Ik was trouwens wel blij dat ik geen gele balk kreeg . Houd dit in dat mijn wachtwoord geheel NIET gekraakt is, of dat het niet binnen deze 30 minuten gebeurde?

Dat wil zeggen dat het niet met de gebruikte methode is gelukt. Dat daar slechts een half uur voor nodig was is een observatie waar je verder geen conclusies aan mag verbinden - de T.net-admins hebben de beschikking over iets meer dan een enkel Pentium 4'tje

ManiacsHouse schreef op dinsdag 13 september 2011 @ 15:53:
Ik ben niet echt amused dat men even de wachtwoorden van de gebruikers gaat kraken. Nu zijn we jullie natuurlijk tweakersforum, maar er zijn lijkt mij toch grenzen wat je wel en niet moet doen. Beetje dollen met de accounts van je gebruikers is een ding wat je niet doet.

'Beetje dollen' is hier dacht ik niet aan de orde. We hebben statistische gegevens verzameld over een bewerking op onze database, we hebben de users gewaarschuwd wiens password niet tegen een aanval op een md5-database bestand is en we hebben het gebruik van md5 uitgefaseerd. Als we een 'beetje' hadden willen 'dollen' hadden we de passwords wel in plaintext opgeslagen, en vervolgens de ouders van alle users met schunnige wachtwoorden een mailtje gestuurd. Hmmm, idee

Oh en folks, laten we in dit topic niet ook nog 'ns de discussie voeren over hoe een sterk wachtwoord er dan wel niet uitziet. Daarvoor zijn nieuwsbericht en .plan.

Rataplan schreef op dinsdag 13 september 2011 @ 16:14:
[...]
Dat wil zeggen dat het niet met de gebruikte methode is gelukt. Dat daar slechts een half uur voor nodig was is een observatie waar je verder geen conclusies aan mag verbinden - de T.net-admins hebben de beschikking over iets meer dan een enkel Pentium 4'tje

Heb je hier misschien iets meer info over? Dat de tools niet genoemd worden kan ik me voorstellen, maar het zou wel interessant zijn om te weten hoeveel rekenkracht hier ongeveer voor gebruikt is.

Rataplan schreef op dinsdag 13 september 2011 @ 16:14:
[...]
Dat wil zeggen dat het niet met de gebruikte methode is gelukt. Dat daar slechts een half uur voor nodig was is een observatie waar je verder geen conclusies aan mag verbinden - de T.net-admins hebben de beschikking over iets meer dan een enkel Pentium 4'tje

[...]
'Beetje dollen' is hier dacht ik niet aan de orde. We hebben statistische gegevens verzameld over een bewerking op onze database, we hebben de users gewaarschuwd wiens password niet tegen een aanval op een md5-database bestand is en we hebben het gebruik van md5 uitgefaseerd. Als we een 'beetje' hadden willen 'dollen' hadden we de passwords wel in plaintext opgeslagen, en vervolgens de ouders van alle users met schunnige wachtwoorden een mailtje gestuurd. Hmmm, idee

Je kunt er lacherig over doen maar zomaar even alle wachtwoorden proberen te kraken van je users (met behoud van terugkoppeling naar de persoon!) is gewoon not done. Jullie tonen hierbij aan geen zak om persoonsgegevens te geven. Ik vraag me zelfs af of dit juridisch wel in de haak is?

Danfoss schreef op dinsdag 13 september 2011 @ 16:21:
Ik vraag me zelfs af of dit juridisch wel in de haak is?

Je vulde bij het aanmaken van je profiel in dat alles wat je op t.net zet hun eigendom is. Dus ja -> volgensmij mogen ze dit gewoon doen. Hiernaast vind ik (persoonlijk) een stresstest van hun eigen beveiligingssysteem juist erg goed, liever dat ze er zo intern achter komen als dat er een of andere hacker binnendringt en er met die 50% van de accountgegevens vandoor was gegaan..

Daarnaast betwijfel ik sterk of er ook echt een wachtwoord gezien is door een van de mensen, op de gok genomen zijn de wachtwoorden gekraakt en is er daarna met een ander programmatje gekeken hoeveel wachtwoorden er nou eigenlijk waren van 1/2/3/4/5/6/7/8/9 ect tekens.

[ Voor 17% gewijzigd door D4NG3R op 13-09-2011 16:24 ]

Danfoss schreef op dinsdag 13 september 2011 @ 16:21:
[...]


Je kunt er lacherig over doen maar zomaar even alle wachtwoorden proberen te kraken van je users (met behoud van terugkoppeling naar de persoon!) is gewoon not done. Jullie tonen hierbij aan geen zak om persoonsgegevens te geven. Ik vraag me zelfs af of dit juridisch wel in de haak is?

Ik verbaas me echt over zo'n houding. De enige reden dat Tweakers.net bezig is met het aanpakken van de manier waarop wachtwoorden opgeslagen en over het net gaan, is omdat ze om persoonsgegeven geven! Ze kunnen er ook geen ontwikkeltijd aan besteden en wachtwoorden plain text opslaan.
Ondertussen maken ze ook van het moment gebruik om gebruikers wat te leren over hun wachtwoord. Ik zie het probleem echt niet.

Danfoss schreef op dinsdag 13 september 2011 @ 16:21:
[...]


Je kunt er lacherig over doen maar zomaar even alle wachtwoorden proberen te kraken van je users (met behoud van terugkoppeling naar de persoon!) is gewoon not done. Jullie tonen hierbij aan geen zak om persoonsgegevens te geven. Ik vraag me zelfs af of dit juridisch wel in de haak is?

Pas maar op, je posts kunnen ze ook zomaar lezen. Stevige inbreuk op je privacy! Moet je het maar niet posten he.

Danfoss schreef op dinsdag 13 september 2011 @ 16:21:
[...]


Je kunt er lacherig over doen maar zomaar even alle wachtwoorden proberen te kraken van je users (met behoud van terugkoppeling naar de persoon!) is gewoon not done. Jullie tonen hierbij aan geen zak om persoonsgegevens te geven. Ik vraag me zelfs af of dit juridisch wel in de haak is?

Ik vraag me af of je een wachtwoord ansich wel onder "persoonsgegevens" kan scharen?

Ik heb geen enkele reden om te twijfelen aan de integriteit van T.net op dit punt.

Maar als je het goed bekijkt dan is het inderdaad eigenlijk niet netjes. Het zou wat dat betreft wel verstandig zijn geweest om bv een onafhankelijk jurist mee te laten kijken en te laten verifiëren dat de wachtwoord gegevens ook weer zijn verwijderd. Nu moet je T.net maar op de blauwe ogen geloven, en dat is met dergelijke gevoelige informatie een beetje raar.

Hmm. Was toch wel enigszins verbaasd de gele balk te zien, dacht dat mijn wachtwoord niet supersterk maar toch wel enigzins sterk was.

Gebruik nml voor de sites die ik als niet tot nauwelijks gevoelig bestempel zoals Tweakers.net een wachtwoord in de vorm van XXXXXXYY waar de Xen een naam van een karakter uit een boek is (met hoofdletter eerste positie) en YY een nummer.
Kan sterker, OK, weet ik, maar dacht dat een naam van een karakter uit een boek toch in ieder geval niet in een dictionary attack gevonden zou worden (die naam staat nml in ieder geval niet in de Van Dale).

Vraag me dan toch wel een beetje af of dit niet gewoon het failliet van userID/password login aantoont. Als ik nml voor elk forum een ECHT sterk wachtwoord moet aanmaken (en dus niet alleen voor gevoelige sites zoals e-banking etc) weet ik niet meer hoe ik dan ook nog al die wachtwoorden moet gaan onthouden. Want mag natuurlijk ook weer niet overal hetzelfde gebruiken.
Want ook oplossingen als Keepass/Robofrom etc zijn leuk, maar als je ook op iPad en werk PC (terecht zonder admin rechten om tooltjes te installeren) wilt kunnen inloggen worden dit soort oplossingen al snel stukken minder handig.
Zeker als je zo'n sterk wachtwoord ook nog zonder je vingers te breken op een iPhone (op een iPad gaat het al iets beter) moet kunnen invoeren. Een wachtwoord als AiA^4&&kb2qYo4imYT is nu niet echt makkelijk in te voeren op een iPhone (en wachtwoorden opslaan in de iPhone browser lijkt me een nog minder goed idee dan een zwak wachtwoord).

[ Voor 13% gewijzigd door xahmol op 13-09-2011 16:35 ]

DarkShadow16 schreef op dinsdag 13 september 2011 @ 16:19:
Heb je hier misschien iets meer info over? Dat de tools niet genoemd worden kan ik me voorstellen, maar het zou wel interessant zijn om te weten hoeveel rekenkracht hier ongeveer voor gebruikt is.

Nee, sorry

Danfoss schreef op dinsdag 13 september 2011 @ 16:21:
Je kunt er lacherig over doen maar zomaar even alle wachtwoorden proberen te kraken van je users (met behoud van terugkoppeling naar de persoon!) is gewoon not done. Jullie tonen hierbij aan geen zak om persoonsgegevens te geven. Ik vraag me zelfs af of dit juridisch wel in de haak is?

Ik doe lacherig over de suggestie dat we lopen te dollen. Dat het onderzoek 'gewoon' not done is, well, definieer 'gewoon'. Ik vind de gegevens even nuttig als interessant en niemands password kan op straat komen te liggen want alles is vernietigd, en ook bij T.net zijn geen wachtwoorden bekendgeworden. Dat is ook nutteloos, want de aan jouw account verbonden informatie kunnen we toch al probleemloos inzien.

Dat we geen zak om persoonsgegevens geven is natuurlijk klinkklare bullshit. Wij investeren heel veel in de veiligheid van de bij ons opgeslagen informatie en bieden daar ook alle openheid over. Wat jij daaruit wenst op te maken is jouw probleem.

mjtdevries schreef op dinsdag 13 september 2011 @ 16:27:
Nu moet je T.net maar op de blauwe ogen geloven, en dat is met dergelijke gevoelige informatie een beetje raar.

Dat moest je toch al - wij beheren de informatie die jij verstrekt. Nogmaals, als we kwaad in de zin hadden gehad was dit artikel natuurlijk nooit online gegaan en hadden we de wachtwoorden wel in plaintext opgeslagen. Veel makkelijker Klassiek probleem trouwens: hoe vinden we een onafhankelijke jurist? Als we er een uitzoeken, moeten we die betalen en is 'ie daarom niet onafhankelijk, als we vrijwilligers zich laten aanmelden, kunnen ook kwaadwillenden zich aanmelden.

[ Voor 16% gewijzigd door Rataplan op 13-09-2011 16:32 ]

Rataplan schreef op dinsdag 13 september 2011 @ 16:28:
Dat we geen zak om persoonsgegevens geven is natuurlijk klinkklare bullshit. Wij investeren heel veel in de veiligheid van de bij ons opgeslagen informatie en bieden daar ook alle openheid over. Wat jij daaruit wenst op te maken is jouw probleem.

Correct, maar wachtwoorden kunnen jullie toch ook niet zomaar inzien (Bijv met een tool OID)? Het enige wat jullie kunnen doen is het verwijderen of wijzigen van het wachtwoord. Niet het inzien wat het huidige wachtwoord is.

[ Voor 12% gewijzigd door D4NG3R op 13-09-2011 16:39 ]

D4NG3R schreef op dinsdag 13 september 2011 @ 16:39:
Correct, maar wachtwoorden kunnen jullie toch ook niet zomaar inzien (Bijv met een tool OID)? Het enige wat jullie kunnen doen is het verwijderen of wijzigen van het wachtwoord. Niet het inzien wat het huidige wachtwoord is.

Als we dat zouden willen, hadden we daar allang iets mee kunnen doen. Je wachtwoord moet immers verwerkt worden om je toegang te verlenen, en we zouden dan bij invoer de tekst kunnen afvangen en vastleggen. Dat je wachtwoord niet in plaintext wordt opgeslagen is ook iets wat je maar van ons moet aannemen, en daar heeft nog nooit iemand een probleem mee gehad.

Voor inzage naderhand moesten we moeite doen, zoals nu dus ook is beschreven, maar die moeite hebben we alleen gedaan om deze analyse te kunnen maken en nergens anders voor - en nog maar een keer: dan hadden we dat veel eenvoudiger aangepakt. En daar hadden we echt geen artikel over gepubliceerd

mjtdevries schreef op dinsdag 13 september 2011 @ 16:27:
Maar als je het goed bekijkt dan is het inderdaad eigenlijk niet netjes.

Aan de ene kant zou ik zeggen: klopt, maar aan de andere kant is het wel sympathiek om de tip te geven een sterker wachtwoord in te stellen. Ook ik vertrouw t.net echt wel als het gaat om bedoelingen achter zoiets als dit maar ik ken de site nou al lang genoeg om dat aan te durven.

Overigens heb ik ook de melding gehad, maar mijn wachtwoord voldoet wel aan de eisen. Eigenlijk zijn die eisen wat dat betreft een goed idee, maar qua uitvoering rijmt het een en ander niet met elkaar. Je zou bijna een aanval uit moeten voeren op een wachtwoord om de sterkte te bepalen op het moment dat het veranderd wordt (of bij registratie). Dan zou het weer wel rijmen met de .plan.

[b]Rataplan schreef op dinsdag 13 september 2011 @ 16:28:
Klassiek probleem trouwens: hoe vinden we een onafhankelijke jurist? Als we er een uitzoeken, moeten we die betalen en is 'ie daarom niet onafhankelijk, als we vrijwilligers zich laten aanmelden, kunnen ook kwaadwillenden zich aanmelden.

Bij een loterij word een notaris ingehuurd die controleert of de zaken eerlijk verlopen.
Daar roept ook niemand dat die niet eerlijk kan zijn omdat die ingehuurd is.

Cyphax schreef op dinsdag 13 september 2011 @ 16:52:
Eigenlijk zijn die eisen wat dat betreft een goed idee, maar qua uitvoering rijmt het een en ander niet met elkaar. Je zou bijna een aanval uit moeten voeren op een wachtwoord om de sterkte te bepalen op het moment dat het veranderd wordt (of bij registratie).

Probleem is dat elke suggestie van veiligheid een vorm van schijnveiligheid is. We hebben bepaalde woordenlijsten gebruikt - neemt iemand een andere woordenlijst, dan kan het maar zo zijn dat je volgens ons sterke wachtwoord in milliseconden gekraakt kan worden. We kunnen dus in feite niet veel meer doen dan wat basiseisen afdwingen (minimale lengte bijvoorbeeld) en voor de rest onze users wijzen op het nut van gezond verstand. En dat is wel zo'n beetje de gevolgde aanpak. Overigens heeft crisp op de FP al gemeld dat het uitvoeren van een dictionary attack praktisch onuitvoerbaar is. Nou is crisp er zo eentje die het vannacht dan toch implementeert om te bewijzen dat het technisch wel degelijk haalbaar is, maar zoals gezegd: dat zou alleen schijnveiligheid bieden. Dus ik denk dat 'ie vannacht gewoon lekker pit.

Waarom worden accounts hier eigenlijk niet gelocked voor een x-aantal seconden/minuten/uren als een x-aantal keer foutief is ingelogd?

mjtdevries schreef op dinsdag 13 september 2011 @ 17:03:
Bij een loterij word een notaris ingehuurd die controleert of de zaken eerlijk verlopen.
Daar roept ook niemand dat die niet eerlijk kan zijn omdat die ingehuurd is.

Dat komt omdat je voor het controleren van een loterij doorgaans geen obfuscated python hoeft te kunnen lezen, en anders is 'ie voor de gek te houden. Ja, een externe deskundige had gekund, maar het was niet praktisch geweest en had alleen maar overhead toegevoegd wat het proces kwetsbaarder had gemaakt.

Verwijderd schreef op dinsdag 13 september 2011 @ 17:07:
Waarom worden accounts hier eigenlijk niet gelocked voor een x-aantal seconden/minuten/uren als een x-aantal keer foutief is ingelogd?

Ik heb geen idee wat de precieze procedure is, ik weet wel - uit ervaring - dat je bij genoeg page requests tegen een automatische ip-ban oploopt.

[ Voor 43% gewijzigd door Rataplan op 13-09-2011 17:10 ]

De T.net crew kan al jaren in de PM's kijken, hebben we daar ooit moeite mee gehad, was daar altijd een notaris bij? Nee, vertrouwen noemen we dat!

In vind het juist goed dat er op zijn minst een site is die een audit als dit doet, om te kijken wat er gebeurt als de database in handen is van een kwaadwillige. Ik heb liever de statistische gegevens en een waarschuwingsberichtje uit een door de T.net crew gemaakt scriptje dan een .torrent op een welbekende Zweedse torrentsite met username:password. Voorkomen en de gebruikers opvoeden om een sterker wachtwoord te nemen is beter dan genezen.

[ Voor 11% gewijzigd door donny007 op 13-09-2011 17:12 ]

donny007 schreef op dinsdag 13 september 2011 @ 17:10:
Nee, vertrouwen noemen we dat!

En we doen ons best om dat niet te beschamen Trouwens, de ervaring leert dat gekonkelefoes met persoonsgegevens altijd aan het licht komt (hallo, Diginotar ), en dan kunnen we de tent wel opdoeken. Lijkt me niet dat we zo'n risico vrijwillig gaan lopen. Maar daarvoor moet ik natuurlijk ook maar op mijn collega's vertrouwen. Doe ik in dit geval probleemloos

Laat ik het anders zeggen: Als tweakers.net mij had gevraagd "Vind je het ok dat we je wachtwoord proberen te kraken omdat wij een test willen doen voor een artikel" had ik ja gezegd. Deels omdat mijn wachtwoord tweakers uniek is en deels omdat ik tweakers.net wel vertrouw.

Alleen als jullie een onderzoek wilden doen naar sterkte van de wachtwoorden had je dat ook kunnen doen zonder koppeling met userid's (alleen op een overzicht van de wachtwoorden zelf). Er is echter gekozen om de userid - wachtwoord koppeling in tact te houden tijdens het onderzoek. Users met een zwak wachtwoord krijgen zelfs een melding dat hun wachtwoord niet veilig is. Hiermee wordt de gebruikers geconfronteerd met een voldongen feit dat Tweakers.net voor een artikel de wachtwoorden gehacked heeft en moeten wij Tweakers.net (een commercieel bedrijf) maar vertrouwen dat er niets met de data gedaan is en wordt.

Ik vraag me af hoe iedereen het zal vinden als de lijst met wachtwoorden volgende week op ineens op pastebin staat? Dat is namelijk een worst-case mogelijkheid.

Ik chargeer een beetje omdat ik me serieus af vraag of hier uberhaubt van te voren over nagedacht is?

Danfoss schreef op dinsdag 13 september 2011 @ 16:21:
[...]


Je kunt er lacherig over doen maar zomaar even alle wachtwoorden proberen te kraken van je users (met behoud van terugkoppeling naar de persoon!) is gewoon not done. Jullie tonen hierbij aan geen zak om persoonsgegevens te geven. Ik vraag me zelfs af of dit juridisch wel in de haak is?

Jazeker is dat in de haak. We zijn gerechtigd om de gegevens zo te verwerken dat we een goede bedrijfsvoering garanderen. We zijn verplicht om zorgvuldig om te gaan met de gegevens en zeker de persoonsgegevens die jullie ons ter hand hebben gesteld. Vergis je niet, wij hebben de individuele wachtwoorden NIET ingezien maar dit waarschuwingsproces automatisch laten verlopen.Overigens, door (regelmatig) een nieuw random* wachtwoord aan te maken vergroot je de veiligheid van je account maar dat terzijde.

Danfoss schreef op dinsdag 13 september 2011 @ 17:13:
Laat ik het anders zeggen: Als tweakers.net mij had gevraagd "Vind je het ok dat we je wachtwoord proberen te kraken omdat wij een test willen doen voor een artikel" had ik ja gezegd. Deels omdat mijn wachtwoord tweakers uniek is en deels omdat ik tweakers.net wel vertrouw.

Alleen als jullie een onderzoek wilden doen naar sterkte van de wachtwoorden had je dat ook kunnen doen zonder koppeling met userid's (alleen op een overzicht van de wachtwoorden zelf). Er is echter gekozen om de userid - wachtwoord koppeling in tact te houden tijdens het onderzoek. Users met een zwak wachtwoord krijgen zelfs een melding dat hun wachtwoord niet veilig is. Hiermee wordt de gebruikers geconfronteerd met een voldongen feit dat Tweakers.net voor een artikel de wachtwoorden gehacked heeft en moeten wij Tweakers.net (een commercieel bedrijf) maar vertrouwen dat er niets met de data gedaan is en wordt.

Ik vraag me af hoe iedereen het zal vinden als de lijst met wachtwoorden volgende week op ineens op pastebin staat? Dat is namelijk een worst-case mogelijkheid.

Ik chargeer een beetje omdat ik me serieus af vraag of hier uberhaubt van te voren over nagedacht is?

Een bedrijf met de positie en status van Tweakers denkt natuurlijk na over gevaren en gevolgen. We hebben net een indringende security audit achter de rug en juist een 'eigen' aanval in een gecontroleerde omgeving is een teken van ons bewustzijn. Wij hoeven dus achteraf geen mail te sturen naar iedereen dat het wachtwoord gekraakt is, zoals sommige anderen is overkomen.

Als we mensen met een account bij ons wijzen op mogelijke risico's door zwakheden in hun wachtwoord dan voldoen we aan onze plicht om zorgvuldig met jullie gegevens om te gaan. Uiteindelijk waken we over de integriteit van jullie en onze data door ervoor zorg te dragen dat accounts in alle redelijkheid en billijkheid maximaal beschermd zijn. Dat lijkt me een meer dan gezonde bedrijfsvoering.

Overigens is wachtwoord wel het minst interessante van alle data die we over je hebben. In theorie kan ik door je profielinfo, post en klikgedrag te volgen en analyseren een heel leuk profiel maken en verpatsen. Dat is pas knaken waard. Zeker als ik die data weer zou gaan verrijken met andere databases

*= en dus niet zoals wachtwoord1, wachtwoord2, wachtwoord3 in een serie genummerd

[ Voor 44% gewijzigd door zeef op 13-09-2011 20:59 ]

Rataplan schreef op dinsdag 13 september 2011 @ 16:47:
[...]
Als we dat zouden willen, hadden we daar allang iets mee kunnen doen. Je wachtwoord moet immers verwerkt worden om je toegang te verlenen, en we zouden dan bij invoer de tekst kunnen afvangen en vastleggen. Dat je wachtwoord niet in plaintext wordt opgeslagen is ook iets wat je maar van ons moet aannemen, en daar heeft nog nooit iemand een probleem mee gehad.

Dat bedacht ik me dus ook net. Iedere keer dat je inlogt vertrouw je er op dat dat wachtwoord netjes opgeslagen wordt, maar als iemand bij tweakers daar zin in zou hebben zou het triviaal zijn om inzicht te krijgen in die wachtwoorden. Daar maakt niemand een probleem van, maar als Tweakers dan een keer een check doen op de database dan breekt ineens de pleuris uit en beginnen mensen te zeuren over privacy en is er zelfs iemand die dreigt met juridische stappen. Wij moeten er als gebruiker überhaupt al op vertrouwen dat ons wachtwoord (en andere gegevens) zorgvuldig behandeld wordt, dus om daar naar aanleiding hiervan ineens een probleem van te maken is wat mij betreft onzinnig.

Wat ik er van begrepen heb zijn de gevonden wachtwoorden ook niet opgeslagen en dus nooit voor mensen inzichtelijk geweest. De hash is dat wel, maar die hashes staan ook zo in de database, daar heeft Tweakers toch al toegang toe dus dat maakt ook geen bal uit. Mocht ik er naast zitten hoor ik het overigens graag.

Verwijderd schreef op dinsdag 13 september 2011 @ 14:27:
Mijn password voldoet aan de algemene norm van 'sterke passwords' maar was blijkbaar snel te kraken.
Dan moet je je afvragen: Zijn de passwords zwak, of is de gebruikte encryptie zwak?

Het verband wat je hier schetst bestaat niet. De veiligheid van het gebruikte wachtwoord en de veiligheid van het systeem waar dat wachtwoord wordt opgeslagen staat volledig los van elkaar. Als het systeem gekraakt wordt maakt het niet uit hoe veilig je wachtwoord is, dan is dat te achterhalen. Maar het omgekeerde is ook waar: als het wachtwoord van de gebruiker te achterhalen is maakt het niet meer uit hoe veilig het systeem is, er kan dan toch binnengedrongen worden. Dat is dus de reden dat niet alleen de beveiliging van het systeem, maar ook de veiligheid van het wachtwoord van belang is. Twee weken geleden is de beveiliging van het systeem verbeterd door over te stappen op een nieuw encryptiealgoritme, nu zijn de wachtwoorden van de gebruikers aan de beurt.

Er is dus geen enkele sprake van afschuiving, of het moeten al die gebruikers zijn die proberen Tweakers de schuld te geven van de gevolgen van het feit dat zij een onveilig wachtwoord gebruiken.

[ Voor 37% gewijzigd door Verwijderd op 13-09-2011 17:31 ]

NB betekend Nader Belicht in jullie context, niet: Nota Bene.....

Garma schreef op dinsdag 13 september 2011 @ 17:50:
NB betekend Nader Belicht in jullie context, niet: Nota Bene.....

Wut? Waar zie jij NB staan?

Welke dictionary hebben jullie gebruikt om de wachtwoorden te achterhalen? Want dan weet ik of mijn wachtwoord daar in voor komt.

De dictionary hebben jullie natuurlijk ook uitgebreid met woorden zoals "Tweakers.net" en "GoT" ?

We maken geen informatie over de gebruikte tools en lijsten bekend. Andre-85 in "Wachtwoorden tweakers.net" had dat helemaal juist gesnopen

zeef schreef op dinsdag 13 september 2011 @ 17:15:
[...]

Jazeker is dat in de haak. We zijn gerechtigd om de gegevens zo te verwerken dat we een goede bedrijfsvoering garanderen. We zijn verplicht om zorgvuldig om te gaan met de gegevens en zeker de persoonsgegevens die jullie ons ter hand hebben gesteld.

Je zegt dat wel zo makkelijk maar zo zwart wit steekt het niet in elkaar imho. Het herleiden of terug proberen te herleiden van wachtwoorden van gebruikers zonder hen daarvan op voorhand in te lichten is voor niet overduidelijk nodig voor het garanderen van een goede bedrijfsvoering. Hoe nobel het doel dan ook; ik vind het niet helemaal netjes om wachtwoorden te achterhalen zonder instemmen van de eigenaar van die betreffende wachtwoorden en zonder objectieve (externe) toezicht op de procedure.

Als we mensen met een account bij ons wijzen op mogelijke risico's door zwakheden in hun wachtwoord dan voldoen we aan onze plicht om zorgvuldig met jullie gegevens om te gaan.

Zegt wie?

Uiteindelijk waken we over de integriteit van jullie en onze data door ervoor zorg te dragen dat accounts in alle redelijkheid en billijkheid maximaal beschermd zijn. Dat lijkt me een meer dan gezonde bedrijfsvoering.

Je kunt je ook afvragen waarom mensen überhaupt een zwak wachtwoord kunnen aanmaken

Standeman schreef op dinsdag 13 september 2011 @ 16:27:
[...]

Ik vraag me af of je een wachtwoord ansich wel onder "persoonsgegevens" kan scharen?

Is dat van te voren onderzocht of gaat men er gewoon van uit dat het wel ok is?

Rataplan schreef op dinsdag 13 september 2011 @ 16:14:
'Beetje dollen' is hier dacht ik niet aan de orde. We hebben statistische gegevens verzameld over een bewerking op onze database, we hebben de users gewaarschuwd wiens password niet tegen een aanval op een md5-database bestand is en we hebben het gebruik van md5 uitgefaseerd.

In hoeverre was deze test nog relevant wanneer je de genoemde opslagmethode toch al uitgefaseerde (wetende dat die niet voldoet) uitgaande van gebruikers die hetzelfde wachtwoord maar op 1 site gebruiken? Waarom niet getest met willekeurige wachtwoorden of een kleinere subset test accounts / accounts van vrijwilligers?

Rataplan schreef op dinsdag 13 september 2011 @ 16:47:
[...]
Als we dat zouden willen, hadden we daar allang iets mee kunnen doen. Je wachtwoord moet immers verwerkt worden om je toegang te verlenen, en we zouden dan bij invoer de tekst kunnen afvangen en vastleggen. Dat je wachtwoord niet in plaintext wordt opgeslagen is ook iets wat je maar van ons moet aannemen, en daar heeft nog nooit iemand een probleem mee gehad.

Daar heeft niemand een probleem mee gehad omdat men meer en beter mag verwachten van een site als T.net. Wachtwoorden afvangen en vastleggen of opslaan in clear text is niet meer dan opzet of nalatigheid toch? Kortom, ik vind dat niet zo'n goed argument.

Andre-85 schreef op dinsdag 13 september 2011 @ 15:59:
Nu voert Tweakers een onderzoek uit, waarmee ze aangeven wat de gevolgen zouden zijn als de oude gebruikersdatabase op straat was komen te liggen. Tweakers.net voert dat integer uit. Ze geven full disclosure van het onderzoek en delen de resultaten. Wat wil je nog meer?

Full disclosure? Helemaal niet. De exacte onderzoeksmethode en gehanteerde tooling worden niet openbaar gemaakt. Dat heeft niets met full disclosure te maken. Dat het onderzoek integer is uitgevoerd wil ik graag geloven maar wat is er anders dan de stelling van de organisatie die het onderzoek heeft uitgevoerd dat het integer is gebeurt? Snap je wat ik bedoel? Voor sommige mensen is dat niet zo vanzelfsprekend, mede omdat onderzoek op een oude, mindere opslagmethode gewoon overbodig is nu deze opslagmethode is uitgefaseerd.

Nog een reactie van de FP:

De wachtwoord recovery dienst van tweakers.net is ook niet het beste systeem. Als je je wachtwoord kwijt bent kan je een nieuw wachtwoord aanvragen, deze krijg je vervolgens via een mailtje toegestuurd. Mail is niet super veilig ofzo. Als je vervolgens inlogt met dit wachtwoord blijft dit je wachtwoord tot je er zelf voor kiest om hem te veranderen. Als je mensen dan een wachtwoord toestuurd, verplicht ze dan minimaal om dat wachtwoord nog te wijzigen zodat het nergens meer te lezen is.

Zijn er plannen om dat aan te passen?

[ Voor 83% gewijzigd door Bor op 13-09-2011 18:58 ]

Misschien een ideetje om in het artikel (of een ander artikel) ook te vermelden wat nu precies de uitbuitingsmogelijkheden van een zwak wachtwoord zijn.

Persoonlijk had ik ook zoiets van : boeit mij het nou dat iemand een berichtje op GoT/FP plaatst onder mijn naam. En ik gok dat er meerdere zijn die er zo over denken.

Maar bijv met de toevoeging V&A (die ik niet gebruik) zou iemand met mijn ww dus wel bijv anderen kunnen oplichten, ik gebruik het niet dus ik denk er niet gelijk aan en daarom had ik vanmiddag ook zoiets van ik laat mijn ww lekker staan, maar ergens (of hier of op FP) las ik dus over V&A en dan heb ik toch zoiets van :Even ww'tje wijzigen, al gebruik ik het niet een hacker/cracker kan het wel misbruiken...

Deels is het een stukje exposure voor jullie producten en deels creeert het een stukje awareness bij de gebruikers waarom ze het ww moeten wijzigen (mogelijke oplichting / fraude via V&A)

Ik gok anders namelijk dat als je de test over 3 maanden herhaalt dat 50% van de nu gekraakte wachtwoorden nog steeds bruikbaar is omdat mensen er weinig waarde aan hechten.

Bor de Wollef schreef op dinsdag 13 september 2011 @ 18:41:
Je zegt dat wel zo makkelijk maar zo zwart wit steekt het niet in elkaar imho. Het herleiden of terug proberen te herleiden van wachtwoorden van gebruikers zonder hen daarvan op voorhand in te lichten is voor niet overduidelijk nodig voor het garanderen van een goede bedrijfsvoering. Hoe nobel het doel dan ook; ik vind het niet helemaal netjes om wachtwoorden te achterhalen zonder instemmen van de eigenaar van die betreffende wachtwoorden en zonder objectieve (externe) toezicht op de procedure.

Wat je vind is niet van belang in dit deel van mijn antwoord, het gaat er om of we dit mogen. Ja, we mogen dit doen binnen ons operationeel en juridisch kader. Dat bedoel ik aan te geven door de achtergrond te schetsen. Op geen enkel moment is enige wet of regelgeving geschonden.

Is het moreel verwerpelijk? Geenszins. Kijk naar smulweb en alle andere sites waar hackers er met de buit vandoor zijn gegaan. We doen zo goed mogelijk ons best om een veilige site aan te bieden maar we zijn maar zo sterk als de zwakste schakel. Wie een wachtwoord neemt als abcd, BMW, qwerty, 111111 of 123456 (ik geloof al deze voorbeelden zijn geblockt) neemt daarbij een zeker risico. Wij waken als een goed huisvader over onze data en de integriteit van jullie accounts en na onderzoek van de hashes maken we mensen met een mogelijk kwetsbare account daarop attent.

Laat ik het omkeren, stel dat we de analyse hadden gedaan en houders van zwakke wachtwoorden niet hadden gewaarschuwd, waren we dan een goede beheerder geweest?

Zegt wie?

Zegik. Je zou kunnen redeneren dat Tweakers.net BV jullie pennevruchten leent. Immers, het auteursrecht ligt bij de poster en Tweakers heeft een eeuwigdurende licentie om de content te exploiteren. Zie de algemene voorwaarden :

10.1 Met inachtneming van hetgeen is bepaald in deze Algemene Voorwaarden, behoudt het Lid in beginsel de auteursrechten en andere intellectuele eigendomsrechten op de door hem geplaatste Content.

Wij zijn dan gehouden om zorgvuldig met jullie spullen die wij onder ons hebben om te gaan. Dat wil dus ook zeggen dat we de toegang tot onze databases én jullie onderdeel daarin goed beveiligen. Het burgerlijk wetboek spreekt over 'goed huisvaderschap' bij geleende zaken en dat geldt ook voor jullie content.

Andersom, als we dit wel zouden weten maar jullie niet informeren dan zouden we -mits er aantoonbare schade zou zijn- bij verlies van data aansprakelijk kunnen zijn. Immer we wisten dat iets niet goed zat maar hebben daar niets aan gedaan.

Je kunt je ook afvragen waarom mensen überhaupt een zwak wachtwoord kunnen aanmaken

En dat wachtwoord niet na 90 dagen moeten vervangen.. Serieus : we hebben en lijst met makkelijke wachtwoorden die we niet toelaten. Daar kunnen er nog van in gebruik zijn, van voor de blokkering, dus die lijst kan ik niet publiceren.

Is dat van te voren onderzocht of gaat men er gewoon van uit dat het wel ok is?

Een wachtwoord sec is geen herleidbaar gegeven naar een natuurlijk persoon. Fl4pdr0l^6 zegt niets over de persoon. Maar zover zijn we niet gegaan. Een hash is alles dat we hebben en ook dat is als opzichzelfstaand gegeven geen persoonsgegeven. Wel in combinatie met je userID maar aan ons als verwerker van persoonsgegevens is het toegestaan om die combinatie te maken en te gebruiken voor de exploitatie van onze site. We moeten tenslotte de usernaam kunnen matchen aan het password bij het inloggen.

Voor alle duidelijkheid : dat matchen hebben we voor dit onder zoek NIET gedaan! Het enige dat gedaan is iedere account met een wachtwoord dat in de kraaksessie naar voren kwam als zwak een bericht verzonden. Er is op geen enkel moment een directe relatie gemaakt bij totstandkoming van die lijst tussen een individueel wachtwoord en een userID. Anders gezegd, er is gekeken of een wachtwoord kwetsbaar was, er is niet gekeken wat dat specifieke wachtwoord daadwerkelijk is (geweest). Alleen de userID's van de kwetsbare accounts zijn vervolgens gebruikt voor de waarschuwing

In hoeverre was deze test nog relevant wanneer je de genoemde opslagmethode toch al uitgefaseerde (wetende dat die niet voldoet) uitgaande van gebruikers die hetzelfde wachtwoord maar op 1 site gebruiken? Waarom niet getest met willekeurige wachtwoorden of een kleinere subset test accounts / accounts van vrijwilligers?

De techniek laat ik voor de anderen maar een steekproef met vrijwilligers geeft een vertekend beeld. Mensen met qwerty of 123456 zullen zich daar niet snel voor opgeven terwijl users met een pass als Fl4pdr0l^6 dat wel doen. Bovendien kun je door alle wachtwoorden te analyseren iedereen met een mogelijk zwak wachtwoord waarschuwen. Doe je een steekproef dan weet de gemiddelde user nog niks.

Daar heeft niemand een probleem mee gehad omdat men meer en beter mag verwachten van een site als T.net. Wachtwoorden afvangen en vastleggen of opslaan in clear text is niet meer dan opzet of nalatigheid toch? Kortom, ik vind dat niet zo'n goed argument.

We doen zo goed mogelijk ons best en dat is inderdaad een gegeven dat je van me/ons moet aannemen. We zijn bestookt door een bedrijf dat gesocialiseerd is in security audits en de dingen die ze hebben gevonden zijn (en worden) aangepakt. 100% zekerheid kan niemand garanderen maar met onze devvers en users komen we een heel eind.

Full disclosure? Helemaal niet. De exacte onderzoeksmethode en gehanteerde tooling worden niet openbaar gemaakt. Dat heeft niets met full disclosure te maken. Dat het onderzoek integer is uitgevoerd wil ik graag geloven maar wat is er anders dan de stelling van de organisatie die het onderzoek heeft uitgevoerd dat het integer is gebeurt? Snap je wat ik bedoel? Voor sommige mensen is dat niet zo vanzelfsprekend, mede omdat onderzoek op een oude, mindere opslagmethode gewoon overbodig is nu deze opslagmethode is uitgefaseerd.

Nog een reactie van de FP:


[...]


Zijn er plannen om dat aan te passen?

Dat is niet eens zo'n slecht idee. Er zijn sites waar je direct na het inloggen met een tijdelijk wachtwoord dat per mail is verzonden een nieuw wachtwoord moet opgeven. Lijkt me een zinnige suggestie die ik meer dan graag in de groep gooi op HQ.

[ Voor 5% gewijzigd door zeef op 13-09-2011 20:51 ]

zeef schreef op dinsdag 13 september 2011 @ 20:29:
[...]
Dat is niet eens zo'n slecht idee. Er zijn sites waar je direct na het inloggen met een tijdelijk wachtwoord dat per mail is verzonden een nieuw wachtwoord moet opgeven. Lijkt me een zinnige suggestie die ik meer dan graag in de groep gooi op HQ.

Gaarne dan wel te overriden. Ik heb zelf al genoeg sites waar ik eens een ww aangemaakt heb en daarna het enkel uit de mail copy/paste bij mij zit t.net daar niet bij.

Maar ik vermoed dat t.net ook genoeg bezoekers heeft die enkel hun ww uit het mailtje halen...

In het mailtje staat een veilig ww, zou ik dat moeten veranderen voor een eenmalige site dan wordt het enkel slechter omdat het dan een (voor mij) vreselijk algemeen wachtwoord wordt.

Ik heb een aantal sites waar ik geregeld kom en waar ik het ww van ken/opgeslagen heb. De rest vis ik of uit mijn mailbox of gebruik ik 1 ww voor. Ik heb geen zin om 400 ww's op te slaan...

Als je het (makkelijk) te omzeilen maakt heeft het geen enkele zin. Zo lang de password recovery procedure goed in elkaar steekt hoeft het forceren van het wijzigen geen enkel probleem te zijn.

Gomez12 schreef op dinsdag 13 september 2011 @ 20:41:

Gaarne dan wel te overriden. Ik heb zelf al genoeg sites waar ik eens een ww aangemaakt heb en daarna het enkel uit de mail copy/paste bij mij zit t.net daar niet bij.

Maar ik vermoed dat t.net ook genoeg bezoekers heeft die enkel hun ww uit het mailtje halen...

In het mailtje staat een veilig ww, zou ik dat moeten veranderen voor een eenmalige site dan wordt het enkel slechter omdat het dan een (voor mij) vreselijk algemeen wachtwoord wordt.

Ik heb een aantal sites waar ik geregeld kom en waar ik het ww van ken/opgeslagen heb. De rest vis ik of uit mijn mailbox of gebruik ik 1 ww voor. Ik heb geen zin om 400 ww's op te slaan...

Met alle respect, Tweakers.net ontmoedigt nu om zwakke wachtwoorden te gebruiken, dus dan moeten ze het ook ontmoedigen om wachtwoorden op een zwakke manier te bewaren. Waarom gebruik je bijvoorbeeld geen password manager? Ik vind dat anno 2011 eigenlijk een verplichting.

Gomez12 schreef op dinsdag 13 september 2011 @ 20:41:
[...]

Gaarne dan wel te overriden. Ik heb zelf al genoeg sites waar ik eens een ww aangemaakt heb en daarna het enkel uit de mail copy/paste bij mij zit t.net daar niet bij.

Maar ik vermoed dat t.net ook genoeg bezoekers heeft die enkel hun ww uit het mailtje halen...

In het mailtje staat een veilig ww, zou ik dat moeten veranderen voor een eenmalige site dan wordt het enkel slechter omdat het dan een (voor mij) vreselijk algemeen wachtwoord wordt.

Ik heb een aantal sites waar ik geregeld kom en waar ik het ww van ken/opgeslagen heb. De rest vis ik of uit mijn mailbox of gebruik ik 1 ww voor. Ik heb geen zin om 400 ww's op te slaan...

Met override maak je het weer kwetsbaar. Dit is er een in de categorie : of je doet het goed of je doet het niet. Want je kan nu natuurlijk ook op elk moment je pass veranderen.

[ Voor 10% gewijzigd door zeef op 13-09-2011 20:53 ]

Misschien is het handig om jullie "wachtwoordsterktemeter" ook even bij te werken...
Deze deelt dus foutief "redelijk, "vrij sterk", "sterk" en "supersterk" uit.

[ Voor 4% gewijzigd door K_VL op 13-09-2011 21:05 ]

Bor de Wollef schreef op dinsdag 13 september 2011 @ 20:43:
Als je het (makkelijk) te omzeilen maakt heeft het geen enkele zin. Zo lang de password recovery procedure goed in elkaar steekt hoeft het forceren van het wijzigen geen enkel probleem te zijn.

Tja, kan ook maar daar heb ik dus sites van waarbij ik ondertussen op 10 ww recovery mailtjes zit. Ik recover gewoon elke keer het ww als ik de site wil gebruiken.

Verwijderd schreef op dinsdag 13 september 2011 @ 20:44:
[...]
Met alle respect, Tweakers.net ontmoedigt nu om zwakke wachtwoorden te gebruiken, dus dan moeten ze het ook ontmoedigen om wachtwoorden op een zwakke manier te bewaren.

Technische oplossing voor een imho verzonnen probleem. Er is niets wat mij tegenhoud om het ww op een andere zwakke manier op te slaan (notepad / dropbox / etc. etc.)
Ik kan zelfs het ww wat ik kies nog naar mezelf mailen zodat ik niets hoef te wijzigen.

Waarom gebruik je bijvoorbeeld geen password manager? Ik vind dat anno 2011 eigenlijk een verplichting.

Wie zegt dat ik dat niet gebruik, ik kies er alleen voor om daar "belangrijke" wachtwoorden in op te slaan.

Bijv als ik met KLM gevlogen heb en die vragen me een berichtje achter te laten dan ga ik dat ww echt niet in een password manager opslaan. Volgende keer dat ik dan met KLM vlieg dan krijg ik de vraag weer, wil ik het weer doen dan krijg ik de melding dat het emailadres al in gebruik is, even mailbox nakijken en ik kan het weer invullen...

Ik ken ook geen password manager die gratis en echt multiplatform is (lastpass kost laatste keer dat ik keek weer geld op android), enige echt 100% multiplatform oplossing die ik makkelijk vind is mail.
Belangrijke dingen hoef ik toch niet te doen op mijn telefoon, dus dan vind ik het niet erg dat ik ww x/y/z niet bij me heb, enkel onzindingen wil ik nog wel eens van telefoon af doen.

zeef schreef op dinsdag 13 september 2011 @ 20:52:
[...]

Met override maak je het weer kwetsbaar. :P:

Niet kwetsbaarder dan zonder override, enkel voor mensen als ik ongemakkelijker. Ipv dat ik automagisch een mailtje krijg moet ik nu een mailtje naar mezelf sturen.

Maar het is enkel mijn persoonlijke afweging hoe ik omga met "flutwebsites"/"enquetes", al die onzin-dingen waar ik er beroepsmatig al iets van 5 per maand van in mijn mailbox krijg.
Congress / beurs waar je je van te voren moet aanmelden etc. etc.

Just my 2c.

DarkShadow16 schreef op dinsdag 13 september 2011 @ 16:19:
Heb je hier misschien iets meer info over? Dat de tools niet genoemd worden kan ik me voorstellen, maar het zou wel interessant zijn om te weten hoeveel rekenkracht hier ongeveer voor gebruikt is.

't Tempo varieert uiteraard, maar zoek in de pricewatch een moderne GPU uit en je zal een heel eind komen. Hoe meer rekenkracht zo'n GPU heeft, hoe beter. Nieuwere zijn waarschijnlijk beter omdat daar meer aandacht aan CUDA of OpenCL is besteedt. Meerdere GPU's zijn vziw met de meeste van die tools te combineren.

Overigens zijn de tools, evenals de wachtwoordlijsten, gewoon op het internet te vinden. Je hoeft er enkel de juiste zoektermen voor te bedenken.

zeef schreef op dinsdag 13 september 2011 @ 20:29:
[...]


[...]
Zegik. Je zou kunnen redeneren dat Tweakers.net BV jullie pennevruchten leent. Immers, het auteursrecht ligt bij de poster en Tweakers heeft een eeuwigdurende licentie om de content te exploiteren. Zie de algemene voorwaarden :

Tweakers.net BV... Tsja een bedrijf. En uiteindelijk gaan deze voor de poet. Toch? En in de hoedanigheid van een bedrijf hebben jullie redelijkerwijs het recht en de mogelijkheid om zo'n kunstje als dit te flikken. En daarna glashard te verkondigen dat men het mag en dat de users eigenlijk niet zo moeten zeiken.

Misschien moet tweakers.net dan ook maar geen artikelen meer schrijven over mogelijk DPI door KPN. Dit is toen flink opgepakt als hot item want oh oh er kan weleens in de data zijn gegluurd en foei foei mag dat allemaal wel. Nu kraakt Tweakers.net BV even alle wachtwoorden van de users en zegt glashard dat er nooit een connectie is geweest tussen de user en het wachtwoord en dat noooooit iemand die wachtwoorden heeft gezien...

Het zal allemaal heel lief bedoeld zijn maar bij velen is de reactie toch WTF!?

zeef schreef op dinsdag 13 september 2011 @ 20:29:
[mbr]Voor alle duidelijkheid : dat matchen hebben we voor dit onder zoek NIET gedaan! Het enige dat gedaan is iedere account met een wachtwoord dat in de kraaksessie naar voren kwam als zwak een bericht verzonden. Er is op geen enkel moment een directe relatie gemaakt bij totstandkoming van die lijst tussen een individueel wachtwoord en een userID. Anders gezegd, er is gekeken of een wachtwoord kwetsbaar was, er is niet gekeken wat dat specifieke wachtwoord daadwerkelijk is (geweest). Alleen de userID's van de kwetsbare accounts zijn vervolgens gebruikt voor de waarschuwing[/mbr]
[...]

Geen directe relatie nee. Maar wel degelijk een herleidbare relatie. De wachtwoorden zijn gekraakt en in die zin openbaar gemaakt. Mogelijk heeft niemand er naar gekeken, maar wie gegarandeerd ons dat?

Als je zo zeker van je zaak wilt zijn dat het systeem echt waterdicht is en zodoende niemand de wachtwoorden kan misbruiken dien je iedereen nu geforceerd een nieuw wachtwoord te laten aanmaken. Want je weet maar nooit. Maar dat kan ook weer niet, immers zal men gaan denken dat er toch iets niet in de haak is... Of was...

ManiacsHouse schreef op dinsdag 13 september 2011 @ 21:35:
[...]
Het zal allemaal heel lief bedoeld zijn maar bij velen is de reactie toch WTF!?

Hoe stel je voor dat die WTF in de toekomst weggehaald wordt?

Dat notaris jantje van bedrijf pietje het heeft gecontroleerd zegt mij ook niets meer dan dat ze misschien een willekeurig persoon van de website van pietje hebben gekozen...

Een admin heeft deze mogelijkheden nu eenmaal, dus als ze het zouden willen misbruiken dan doen ze het wekelijks en melden ze er niets van.

Het kan gebeuren, het gebeurt en er wordt verteld hoe ze het deels ontkoppeld hebben zonder de zinnige resultaten te verliezen. De rest is vertrouwen in de partij die het deed.
Heb je daar geen vertrouwen in, waarom vermoed je dan niet dat ze het morgen weer gaan doen en overmorgen... Enkel dan melden ze de resultaten niet.

ManiacsHouse schreef op dinsdag 13 september 2011 @ 21:35:
[...]
Geen directe relatie nee. Maar wel degelijk een herleidbare relatie. De wachtwoorden zijn gekraakt en in die zin openbaar gemaakt. Mogelijk heeft niemand er naar gekeken, maar wie gegarandeerd ons dat?

Wie garandeert jouw nu dat niet elk ww in een los plain-text logfile wordt weggeschreven?

Als je zo zeker van je zaak wilt zijn dat het systeem echt waterdicht is en zodoende niemand de wachtwoorden kan misbruiken dien je iedereen nu geforceerd een nieuw wachtwoord te laten aanmaken. Want je weet maar nooit. Maar dat kan ook weer niet, immers zal men gaan denken dat er toch iets niet in de haak is... Of was...

Oftewel je wilt een perfecte mogelijkheid gaan creeeren om het plain-text logfiletje met wachtwoorden extra vulling te geven? Of vertrouw je wel dat dat filetje niet bestaat?

[ Voor 33% gewijzigd door Gomez12 op 13-09-2011 21:47 ]

ManiacsHouse schreef op dinsdag 13 september 2011 @ 21:35:

Geen directe relatie nee. Maar wel degelijk een herleidbare relatie. De wachtwoorden zijn gekraakt en in die zin openbaar gemaakt. Mogelijk heeft niemand er naar gekeken, maar wie gegarandeerd ons dat?

Wie garandeert jou dat men niet gewoon voor het hashen jouw wachtwoord al afving? Een stuk makkelijker.

Waarom zou je iemand vertrouwen met jouw wachtwoord? Eigenlijk is er geen enkele reden om dat vertrouwen te hebben en alleen daarom zou je unieke wachtwoorden moeten gebruiken voor elke aparte service die je gebruikt.

Tweakers.net laat zien hoe eenvoudig websitebeheerders en serveradmins aan gegevens kunnen komen. Ze zeggen het tenminste nog. Maar het gebeurt letterlijk op allerlei niveaus dat er bestanden worden gestolen met gebruikersaccounts. Of dat nu extern gebeurt door een hacker, of intern door een ontevreden werknemer, het is niet eens zo gek om ervanuit te gaan dat die gegevens op straat liggen. Dit experiment maakt alleen even duidelijk hoe waanzinnig slecht "we" met onze veiligheid omgaan.

Met "we" bedoel ik natuurlijk niet jij en ik, maar die 95% van de bevolking die niets snapt van veiligheid. Hint: als het op Tweakers.net al zo'n schrikbarend cijfer is, hoe zou het dan zitten op sites voor niet-technische mensen? Ik gok dat het op het Vivaforum nog een heel stuk erger is.

ManiacsHouse schreef op dinsdag 13 september 2011 @ 21:35:
[...]

Tweakers.net BV... Tsja een bedrijf. En uiteindelijk gaan deze voor de poet. Toch? En in de hoedanigheid van een bedrijf hebben jullie redelijkerwijs het recht en de mogelijkheid om zo'n kunstje als dit te flikken. En daarna glashard te verkondigen dat men het mag en dat de users eigenlijk niet zo moeten zeiken.

Tsja, als je denkt dat we er alleen zijn om je een kunstje te flikken dan is het misschien tijd om je account op te zeggen. We hebben een analyse gemaakt van de kwetsbaarheid van wachtwoorden. We hebben géén wachtwoorden naar users herleid. En dan nog...

Laten we wel wezen, alle info die je met je account hebt verzameld achter een wachtwoord bij tweakers hebben we in principe toch al. Ik bedoel, stel we zouden je file stroage willen bekijken of je DM's dan kan dat prima zonder wachtwoord. Er is niets nieuws te vinden in je wachtwoord sec.

Misschien moet tweakers.net dan ook maar geen artikelen meer schrijven over mogelijk DPI door KPN. Dit is toen flink opgepakt als hot item want oh oh er kan weleens in de data zijn gegluurd en foei foei mag dat allemaal wel. Nu kraakt Tweakers.net BV even alle wachtwoorden van de users en zegt glashard dat er nooit een connectie is geweest tussen de user en het wachtwoord en dat noooooit iemand die wachtwoorden heeft gezien...

Het zal allemaal heel lief bedoeld zijn maar bij velen is de reactie toch WTF!?
[...]

Geen directe relatie nee. Maar wel degelijk een herleidbare relatie. De wachtwoorden zijn gekraakt en in die zin openbaar gemaakt. Mogelijk heeft niemand er naar gekeken, maar wie gegarandeerd ons dat?

Als je zo zeker van je zaak wilt zijn dat het systeem echt waterdicht is en zodoende niemand de wachtwoorden kan misbruiken dien je iedereen nu geforceerd een nieuw wachtwoord te laten aanmaken. Want je weet maar nooit. Maar dat kan ook weer niet, immers zal men gaan denken dat er toch iets niet in de haak is... Of was...

Openbaar maken is delen, is publiceren op een plek die vrij toegankelijk is. Wat er gedaan is, is de derde verdieping van ons kantoor niet afgekomen. Alle gebruikte data is inmiddels gewist.

Door ACM, dinsdag 13 september 2011 15:02

Neehoor. De gekraakte hashes zijn weer in een lijstje gezet en daar zijn de userids bij opgezocht. Vervolgens werd dat lijstje userids geimporteerd in de productiedatabase. De lijst gekraakte hashes noch de lijst gevonden wachtwoorden heeft zelfs maar op een productiesysteem gestaan.

Indirect is er uiteraard een koppeling te leggen, maar niet zo simpel als jij het voorstelt.

Het is de verantwoordelijkheid van de beheerder om te voorkomen dat het wachtwoord vaak genoeg geraden kan worden:
- online door na 5 pogingen het IP te blokkeren voor dat account voor 5 minuten enzovoort.
- offline door veilige databases (ik neem aan dat dat nu het geval is)

Dus als de database op straat beland zou zijn dan is dat nog steeds de verantwoordelijkheid van de beheerder en die zou dan ook nalatig geweest kunnen zijn.

Dus in dit geval vraag ik me af of Tweakers.net niet nalatig is geweest door blijkbaar zo laat over te stappen op een beter beveiligde database als met de huidige techniek de helft van de wachtwoorden in 16 minuten geraden kunnen worden.

[ Voor 7% gewijzigd door Soldaatje op 13-09-2011 22:19 . Reden: Eerste zin weggehaald ivm nuancering:"Eigenlijk is het helemaal niet de verantwoordelijkheid van de gebruiker om een sterk wachtwoord te hebben" ]

Gomez12 schreef op dinsdag 13 september 2011 @ 21:44:
[...]
Dat notaris jantje van bedrijf pietje het heeft gecontroleerd zegt mij ook niets meer dan dat ze misschien een willekeurig persoon van de website van pietje hebben gekozen...

Dan nog vond ik een gerenommeerd extern bedrijf met ervaring en aanzien op dit gebied een betere keuze. Dan heb je al 2 partijen betrokken. Niet voor niets zijn externe audits de de facto standaard.

Dit experiment maakt alleen even duidelijk hoe waanzinnig slecht "we" met onze veiligheid omgaan.

Aangevuld met hoe slecht beveiligd men het geheel opsloeg tot voor kort.

Waar tot nu toe iedereen aan voorbij lijkt te gaan is dat het onderzoek behalve PR (of dat positieve PR is of negatieve hangt duidelijk af van wie het leest want hoewel ik overtuigt ben van de goede bedoelingen zie ik ook wel parallellen met nieuwsitems over andere bedrijven waar geautomatiseerde inspectie minder rooskleurig in het nieuws werd gebracht) geen enkel doel lijkt te hebben gezien de wijze van opslag die getest is inmiddels is uitgefaseerd.

Zaken over goed huisvadersschap zijn niet meer dan een eigen interpretatie van de omschrijving. Zaken als "omdat een sysadmin dit nou eenmaal kan" willen ook niet zeggen dat het moedwillig achterhalen van gebruikerswachtwoorden OK is.

Wat mij persoonlijk stoort is dat men dit soort zaken uitvoert zonder de eerder genoemde full disclosure naar de betrokkenen en zonder vraag om toestemming vooraf.

Verwijderd schreef op dinsdag 13 september 2011 @ 21:47:
[...]
Hint: als het op Tweakers.net al zo'n schrikbarend cijfer is, hoe zou het dan zitten op sites voor niet-technische mensen? Ik gok dat het op het Vivaforum nog een heel stuk erger is.

Maar is het relevant?
Veiligheid is imho nog steeds een afweging tussen kosten en baten.

Zijn de baten erg laag (enkel een berichtje kunnen plaatsen op een website waar je normaal amper komt zonder verdere echte gevolgen) dan moeten wmb de kosten ook erg laag zijn.

Tuurlijk kan ik overal een generated 256-bits key voor gebruiken (indien mogelijk), maar waarom zou ik moeilijk doen als de baten laag zijn?

T.net heeft nog een V&A eraan hangen, maar viva-forum / 99% van de inet sites die om ww's vragen? Dat zal me echt mijn reet roesten of dat misbruikt wordt of niet.

Viva-forum zal ik vast ook wel een mailtje van in mijn mailbox hebben zitten van mijn vriendin

Soldaatje schreef op dinsdag 13 september 2011 @ 21:58:
Eigenlijk is het helemaal niet de verantwoordelijkheid van de gebruiker om een sterk wachtwoord te hebben, het is de verantwoordelijkheid van de beheerder om te voorkomen dat het wachtwoord vaak genoeg geraden kan worden:
- online door na 5 pogingen het IP te blokkeren voor dat account voor 5 minuten enzovoort.
- offline door veilige databases (ik neem aan dat dat nu het geval is)

Dus als de database op straat beland zou zijn dan is dat nog steeds de verantwoordelijkheid van de beheerder en die zou dan ook nalatig geweest kunnen zijn.

Dus in dit geval vraag ik me af of Tweakers.net niet nalatig is geweest door blijkbaar zo laat over te stappen op een beter beveiligde database als met de huidige techniek de helft van de wachtwoorden in 16 minuten geraden kunnen worden.

We hebben in ieder geval nalatigheid voorkomen. We nemen dit echt heel serieus. Daarom de security audit. Daarom de verhuizing van MD5 naar PBKDF2 en daarom ook deze oplettendheid. Hadden we dat allemaal niet gedaan of hadden we geweten van lekken maar niet gehandeld, dan is er sprake van aansprakelijkheid.

Nu is er wel een probleem bij die aansprakelijkheid dat je als benadeelde ook een op 'n zekere waarde objectiveerbaar verlies cq. schade moet hebben. Er moet een causaal verband zijn tussen nalatigheid en schade. Dat is weer een heel andere discussie.

Bor de Wollef schreef op dinsdag 13 september 2011 @ 21:58:
[...]


Dan nog vond ik een gerenommeerd extern bedrijf met ervaring en aanzien op dit gebied een betere keuze. Dan heb je al 2 partijen betrokken. Niet voor niets zijn externe audits de de facto standaard.


[...]


Aangevuld met hoe slecht beveiligd men het geheel opsloeg tot voor kort.

Waar tot nu toe iedereen aan voorbij lijkt te gaan is dat het onderzoek behalve PR (of dat positieve PR is of negatieve hangt duidelijk af van wie het leest want hoewel ik overtuigt ben van de goede bedoelingen zie ik ook wel parallellen met nieuwsitems over andere bedrijven waar geautomatiseerde inspectie minder rooskleurig in het nieuws werd gebracht) geen enkel doel lijkt te hebben gezien de wijze van opslag die getest is inmiddels is uitgefaseerd.

Zaken over goed huisvadersschap zijn niet meer dan een eigen interpretatie van de omschrijving. Zaken als "omdat een sysadmin dit nou eenmaal kan" willen ook niet zeggen dat het moedwillig achterhalen van gebruikerswachtwoorden OK is.

Wat mij persoonlijk stoort is dat men dit soort zaken uitvoert zonder de eerder genoemde full disclosure naar de betrokkenen en zonder vraag om toestemming vooraf.

Eigen interpretatie? Ik citeer slechts artikel 1781 BW boek 7a.

Even voor de duidelijkheid : we hebben geen wettelijke plicht om hier vooraf toestemming voor te moeten vragen. Wat je daar moreel van vind, daar kunnen we over twisten maar laat vooral heel duidelijk zijn dat er geen enkele wet over regelgeving met betrekking tot de veiligheid van onze data en jullie wachtwoorden overtreden is.

[ Voor 36% gewijzigd door zeef op 13-09-2011 22:10 ]

zeef schreef op dinsdag 13 september 2011 @ 21:55:
[...]
Tsja, als je denkt dat we er alleen zijn om je een kunstje te flikken dan is het misschien tijd om je account op te zeggen. We hebben een analyse gemaakt van de kwetsbaarheid van wachtwoorden. We hebben géén wachtwoorden naar users herleid. En dan nog...

Laten we wel wezen, alle info die je met je account hebt verzameld achter een wachtwoord bij tweakers hebben we in principe toch al. Ik bedoel, stel we zouden je file stroage willen bekijken of je DM's dan kan dat prima zonder wachtwoord. Er is niets nieuws te vinden in je wachtwoord sec.
[...]

Openbaar maken is delen, is publiceren op een plek die vrij toegankelijk is. Wat er gedaan is, is de derde verdieping van ons kantoor niet afgekomen. Alle gebruikte data is inmiddels gewist.


[...]

Jezus komen we weer met de opmerking "niet mee eens dan zeg je je account maar op". Tis dat je hier geen dikke vinger smilies hebt... Zeg ik ergens dat jullie er alleen maar zijn zodat jullie een kunstje kunnen flikken? Nee!

Wat men bij mensen nu creëert (o.a. bij mij en zeker niet alleen bij mij) is een gevoel van ze doen maar even omdat het hen goeddunkt en omdat het kan en omdat ze het mogen. Daarmede ook het gevoel dat je wel keihard kunt roepen dat het jullie darkroom op de 3de verdieping (waar niemand het bestaan van af weet en obscure tests worden gedaan) nooit is afgekomen... Maar wie garandeert dat? Tweakers.net die net een veiligheidstest heeft ondergaan en wel heel erg compleet op zijn muil gaat mocht er wel iets mis zijn gegaan. Daarentegen, als het mis was gegaan had er natuurlijk nooit enen haan naar gekraaid en was dit verhaal nooit de darkroom uitgekomen.

K_VL schreef op dinsdag 13 september 2011 @ 21:04:
Misschien is het handig om jullie "wachtwoordsterktemeter" ook even bij te werken...
Deze deelt dus foutief "redelijk, "vrij sterk", "sterk" en "supersterk" uit.

Dit dus

Mijn wachtwoord viel namelijk in de categorie "vrij sterk" (ja, ook ik heb eerst mijn oude wachtwoord ingevoerd om te zien wat mijn sterkte dan wel niet was). Ondanks dat kreeg ik ook het advies mijn wachtwoord te veranderen.

Niets meer dan lof van mijn kant uit als het om deze actie gaat, overigens!

Soldaatje schreef op dinsdag 13 september 2011 @ 21:58:
Eigenlijk is het helemaal niet de verantwoordelijkheid van de gebruiker om een sterk wachtwoord te hebben, het is de verantwoordelijkheid van de beheerder om te voorkomen dat het wachtwoord vaak genoeg geraden kan worden:
- online door na 5 pogingen het IP te blokkeren voor dat account voor 5 minuten enzovoort.
- offline door veilige databases (ik neem aan dat dat nu het geval is)

5 pogingen is zinloos en enkel irritant (al helemaal met 5 min), gemiddelde inet latency is veelal al voldoende.
Veilige offline databases bestaan niet... Geef iemand genoeg tijd en rekenkracht en alles is te breken. Anders kan je per half jaar wel weer een nieuw implementatie van je inlog-procedure maken.

Dus in dit geval vraag ik me af of Tweakers.net niet nalatig is geweest door blijkbaar zo laat over te stappen op een beter beveiligde database als met de huidige techniek de helft van de wachtwoorden in 16 minuten geraden kunnen worden.

T.net heeft hier dan wel giga-valsgespeeld, dbase offline en alles is bekend...

Bor de Wollef schreef op dinsdag 13 september 2011 @ 21:58:
[...]
Dan nog vond ik een gerenommeerd extern bedrijf met ervaring en aanzien op dit gebied een betere keuze. Dan heb je al 2 partijen betrokken. Niet voor niets zijn externe audits de de facto standaard.

Dit is toch niet bedoeld alszijnde officiele audit? Dit was toch simpel een testje / geintje wat ze eigenlijk elk moment van de dag kunnen doen, maar nu ook de resultaten bekend maken?

[...]
Waar tot nu toe iedereen aan voorbij lijkt te gaan is dat het onderzoek behalve PR ... geen enkel doel lijkt te hebben gezien de wijze van opslag die getest is inmiddels is uitgefaseerd.

Stukje bewustwording is zo af en toe ook niet verkeerd. Ik denk dat je dit groter ziet dan dat de bedoeling is.
Het is wmb een grappig stukje bewustwording wat gebruikt wordt als PR en voor de rest is het niets.

Wat mij persoonlijk stoort is dat men dit soort zaken uitvoert zonder de eerder genoemde full disclosure naar de betrokkenen en zonder vraag om toestemming vooraf.

Welke full disclosure wil je dan?
Een step-by-step youtube filmpje waarin alles getoond wordt zodat iedereen de tools / dictionary's op elke andere site kan nadoen?
En vraag om toestemming geeft een heel verkeerd beeld (of je moet het gaan combineren met laatste ww-wijziging en dan heel erg ingewikkelde berekeningen gaan maken om de mensen eruit te halen die een moeilijker ww hebben gemaakt enkel voor de test)

ManiacsHouse schreef op dinsdag 13 september 2011 @ 22:08:
[...]
Wat men bij mensen nu creëert (o.a. bij mij en zeker niet alleen bij mij) is een gevoel van ze doen maar even omdat het hen goeddunkt en omdat het kan en omdat ze het mogen. Daarmede ook het gevoel dat je wel keihard kunt roepen dat het jullie darkroom op de 3de verdieping (waar niemand het bestaan van af weet en obscure tests worden gedaan) nooit is afgekomen... Maar wie garandeert dat? Tweakers.net die net een veiligheidstest heeft ondergaan en wel heel erg compleet op zijn muil gaat mocht er wel iets mis zijn gegaan. Daarentegen, als het mis was gegaan had er natuurlijk nooit enen haan naar gekraaid en was dit verhaal nooit de darkroom uitgekomen.

Kan jij eens concreet uiteenzetten hoe ze (volgens jou) dit gevoel weg hadden kunnen nemen zonder van te voren info aan de gebruikers te geven?

Al hadden ze Fox-IT ingeschakeld dan zou het rapport nog steeds niet de dark-room verlaten hebben als het negatief was. Als het positief was dan zou je alsnog kunnen zeggen dat t.net Fox-IT genoeg in the picture heeft gezet de laatste tijd, dus zal het wel exposure voor gunstig rapport zijn geweest.
Je kan alles wel negatief uitleggen, op een gegeven moment komt het op vertrouwen uit.

Een echte audit zegt ook zo goed als totaal niets als de admin zo corrupt is als de pest (ja, uiteraard worden alle audits gelogged, uiteraard kan er niemand bij die log-bestanden behalve de admin, maar daarvoor rijdt hij ook een bmw x-5 dan schoont hij elke avond de audit logs op)

ManiacsHouse schreef op dinsdag 13 september 2011 @ 22:08:
[...]

Jezus komen we weer met de opmerking "niet mee eens dan zeg je je account maar op". Tis dat je hier geen dikke vinger smilies hebt... Zeg ik ergens dat jullie er alleen maar zijn zodat jullie een kunstje kunnen flikken? Nee!

ManiacsHouse schreef op dinsdag 13 september 2011 @ 21:35:
[...]

Tweakers.net BV... Tsja een bedrijf. En uiteindelijk gaan deze voor de poet. Toch? En in de hoedanigheid van een bedrijf hebben jullie redelijkerwijs het recht en de mogelijkheid om zo'n kunstje als dit te flikken. En daarna glashard te verkondigen dat men het mag en dat de users eigenlijk niet zo moeten zeiken.

Ook bij ons werken mensen met gevoel, met hart voor de user en voor de zaak. Als we dat niet hadden gehad dan waren er pas morgenochtend vanaf 9 uur antwoorden als we die überhaupt al willen geven. Het feit dat ACM, Wilbert, Rataplan en ik zei de gek in onze vrije tijd de moeite nemen om in te gaan op alle aantijgingen behoeft geen medaille of schouderklopje maar óók niet een passage zoals bovenstaand.

Wat men bij mensen nu creëert (o.a. bij mij en zeker niet alleen bij mij) is een gevoel van ze doen maar even omdat het hen goeddunkt en omdat het kan en omdat ze het mogen. Daarmede ook het gevoel dat je wel keihard kunt roepen dat het jullie darkroom op de 3de verdieping (waar niemand het bestaan van af weet en obscure tests worden gedaan) nooit is afgekomen... Maar wie garandeert dat? Tweakers.net die net een veiligheidstest heeft ondergaan en wel heel erg compleet op zijn muil gaat mocht er wel iets mis zijn gegaan. Daarentegen, als het mis was gegaan had er natuurlijk nooit enen haan naar gekraaid en was dit verhaal nooit de darkroom uitgekomen.

Waarom zou het ons goeddunken dat we iemand waarschuwen voor een mogelijk te zwak wachtwoord? Nogmaals, we hebben geen directe wachtwoorden herleid tot individuele users. Alles wat als kwetsbaar uit de test kwam is gematcht, niet het wachtwoord zelf. Misschien moet je even afstappen van het idee dat we in onze evil darkroom obscure tests uitvoeren om...om...ja, om wat eigenlijk?

Wat zou ik in vredesnaam met je wachtwoord moeten doen? Nou, stel dat ik je wachtwoord zou hebben. Hebben we dus niet en nooit gehad maar even voor de discussie. Dan kan ik misschien je hyves en/of je facebook of je gmail binnen. Wauw! Wat heeft Tweakers.net in vredesnaam aan die data? Echt helemaal niets. Waarom zouden we onze solide reputatie te grabbel gooien voor een paar wachtwoorden die geen zoden aan de dijk zetten?

Zou het misschien wel eens waar kunnen zijn? Dat we in onze obscure darkroom, zwemmend in alle geld gewoon proberen om onze users te helpen? Dat we graag willen dat je account veilig is? Nee... dat kan toch niet waar zijn.

zeef schreef op dinsdag 13 september 2011 @ 22:20:
Zou het misschien wel eens waar kunnen zijn? Dat we in onze obscure darkroom, zwemmend in alle geld gewoon proberen om onze users te helpen? Dat we graag willen dat je account veilig is? Nee... dat kan toch niet waar zijn.

Had je dan niet een audit op de nieuwe database moeten doen ipv op de oude die inmiddels is vervangen omdat T.net ervan op de hoogte was dat de beveiliging daarvan onvoldoende was

Eigen interpretatie? Ik citeer slechts artikel 1781 BW boek 7a.

Dat de term huisvader genoemd is lijkt me evident. Wat er onder goed huisvaderschap wordt verstaan is echter niet zo heel erg duidelijk en men kan zich afvragen of het moedwillig achterhalen van een beveiliging daar wel onder valt. Dat bedoel ik met eigen interpretatie

[ Voor 26% gewijzigd door Bor op 13-09-2011 22:24 ]

Bor de Wollef schreef op dinsdag 13 september 2011 @ 22:22:
Had je dan niet een audit op de nieuwe database moeten doen ipv op de oude die inmiddels is vervangen omdat T.net ervan op de hoogte was dat de beveiliging daarvan onvoldoende was

Wie weet wat in de toekomst nog gaan doen... darkroom.... hmmm

Dat de term huisvader genoemd is lijkt me evident. Wat er onder goed huisvaderschap wordt verstaan is echter niet zo heel erg duidelijk en men kan zich afvragen of het moedwillig achterhalen van een beveiliging daar wel onder valt. Dat bedoel ik met eigen interpretatie

Er is meer dan voldoende jurisprudentie over de invulling van die term. Ook als je naar de databankenwet kijkt is er geen enkele inbreuk geweest door Tweakers als producent van onze eigen database.

[ Voor 7% gewijzigd door zeef op 13-09-2011 22:35 ]

Bor de Wollef schreef op dinsdag 13 september 2011 @ 22:22:
[...]
Had je dan niet een audit op de nieuwe database moeten doen ipv op de oude die inmiddels is vervangen omdat T.net ervan op de hoogte was dat de beveiliging daarvan onvoldoende was

Heb je het dan niet over iets heel anders als wat hier gebeurt is?

Heb je het dan niet simpelweg over een complete security audit... Appels - Peren

Gomez12 schreef op dinsdag 13 september 2011 @ 22:30:
[...]

Heb je het dan niet over iets heel anders als wat hier gebeurt is?

Heb je het dan niet simpelweg over een complete security audit... Appels - Peren

Niet noodzakelijk. Nu de beveiliging al is aangepast is het onderzoek van veel minder waarde toch?

zeef schreef op dinsdag 13 september 2011 @ 22:30:
[...]

Er is meer dan voldoende jurisprudentie over de invulling van die term.

Anything in deze richting gevonden? Het moedwillig achterhalen / omzeilen van beveiliging uit oogpunt van goed huisvaderschap? Ik ben benieuwd

[ Voor 31% gewijzigd door Bor op 13-09-2011 22:36 ]

Bor de Wollef schreef op dinsdag 13 september 2011 @ 22:33:
[...]
Niet noodzakelijk. Nu de beveiliging al is aangepast is het onderzoek van veel minder waarde.

De t.net kant van het onderzoek is redelijk waardeloos geworden door het veranderen van de t.net kant. Maar dit kunnen ze elke week testen zonder iets te zeggen.

Maar de user-kant (de sterkte van een user-wachtwoord) heeft toch nog steeds dezelfde waarde? Dit zou juist weer waardeloos worden door het los te koppelen / niet mede te delen.

Maarja, ik zie het ook als niet meer dan een leuke gimmick die hopelijk wat bewustwording creeert.

Bor de Wollef schreef op dinsdag 13 september 2011 @ 22:33:
Anything in deze richting gevonden? Het moedwillig achterhalen / omzeilen van beveiliging uit oogpunt van goed huisvaderschap? Ik ben benieuwd

Nee, de term goed huisvaderschap sec is voldoende omschreven. Ik bedoelde daarmee aan te geven dat wij gehouden zijn om zorgvuldig met jullie auteursrechtelijke beschermde werken om te gaan. Daaronder verstaan we niet alleen optreden tegen inbreuk door derden maar ook het bewaren van de integriteit. Iemand die je mogelijk makkelijk te achterhalen wachtwoord misbruikt om je posts te veranderen pleegt ook een inbreuk op je auteursrecht.

De aanname die je maakt rond Het moedwillig achterhalen / omzeilen van beveiliging gaat mank. Als producent/eigenaar van de databank kunnen we in onze eigen database nooit iets moedwillig achterhalen of omzeilen. Dat doe je alleen als je onrechtmatig toegang hebt verkregen of als er een duidelijke afspraak is tussen partijen omtrent de toegang tot bepaalde data. Aangezien aan geen van beide voorwaarden is voldaan, immers we zijn eigenaar en er is geen clausule die toegang verbied, hebben we te allen tijde rechtmatige toegang tot die gegevens.

Gomez12 schreef op dinsdag 13 september 2011 @ 22:39:

Maarja, ik zie het ook als niet meer dan een leuke gimmick die hopelijk wat bewustwording creeert.

Volgens mij was dat dan ook de bedoeling en is de rest vooral een hoop geschreeuw om niets.

Mensen moeten gewoon af en toe nadenken over beveiliging, vertrouwen, etcetera. En als je dan van jezelf weet dat het goed zit, dan haal je je schouders op en ga je weer verder.

Rataplan schreef op dinsdag 13 september 2011 @ 18:01:
We maken geen informatie over de gebruikte tools en lijsten bekend. Andre-85 in "Wachtwoorden tweakers.net" had dat helemaal juist gesnopen

Als je het mij vraagt: ik vind het slap.

Zoals ACM al zegt zijn die tools prima te vinden, de lijsten zijn ook prima te vinden. Ik heb ze waarschijnlijk zelfs allang staan. Tweakers vinden het interessant om te weten welke tool hier nou precies gebruikt is. Scriptkiddies vinden toch wel wat ze zoeken. Dus wat heb je eraan om er geheimzinnig over te doen?

Ik vind het verder een prima actie hoor, begrijp me niet verkeerd.

Een vraag die ik al op twitter had gegooit:
Gaan jullie deze analyse binnenkort herhalen om te zien wat de effecten van deze post zijn?

Booster schreef op dinsdag 13 september 2011 @ 23:03:
[...]

Als je het mij vraagt: ik vind het slap.

Zoals ACM al zegt zijn die tools prima te vinden, de lijsten zijn ook prima te vinden. Ik heb ze waarschijnlijk zelfs allang staan. Tweakers vinden het interessant om te weten welke tool hier nou precies gebruikt is. Scriptkiddies vinden toch wel wat ze zoeken. Dus wat heb je eraan om er geheimzinnig over te doen?

Imho zijn er tools te vinden en zijn er lijsten te vinden. Maar specifiek de lijsten waarmee dit gedaan is hebben toch wel enige waarde.

100 random lijsten van het inet plukken en achter elkaar plakken geeft volgens mij niet automatisch ditzelfde resultaat (je zal eerst moeten ontdubbelen, dan nog ervoor zorgen dat je niet enkel engelse lijsten hebt etc. etc.)
Net zo met tools, ik kan perfect een powershellscriptje schrijven wat het voor je doet. Moet je alleen ongeveer een miljoen keer langer wachten...

Het vereist waarschijnlijk iets meer werk dan 10 minuten googlen zonder kennis wil je dezelfde tijd halen.

Naar mijn mening geef ik een 10 voor het idee maar een 4 voor de uitvoering.

Ook ik ben van mening dat de kraak alleen met toestemming van de user gedaan zou mogen.
Ik heb schijnbaar ook een slecht WW, niet dat dit mij wat uitmaakt voor tweakers dus heb het ook niet aangepast.

Verwijderd schreef op dinsdag 13 september 2011 @ 23:51:
Naar mijn mening geef ik een 10 voor het idee maar een 4 voor de uitvoering.

Ook ik ben van mening dat de kraak alleen met toestemming van de user gedaan zou mogen.
Ik heb schijnbaar ook een slecht WW, niet dat dit mij wat uitmaakt voor tweakers dus heb het ook niet aangepast.

2 vraagjes :
1. Had je van te voren het idee dat je een slecht ww had?
2. Had je als je meedeed aan een vrijwillige test je "slechte" ww gewijzigd voordat de test begon om er beter uit te komen?

Voornamelijk vraag 2 zou denk ik redelijk veel gebeuren en de test waardeloos maken.
Tuurlijk zou je iets kunnen verzinnen als : Vorige maand een copy van de user-base maken en dan toestemming vragen om over die copie te draaien etc. etc.
Maar dan zit je jezelf enkel maar in een technische bocht te wurmen en waarom?

Booster schreef op dinsdag 13 september 2011 @ 23:03:
Gaan jullie deze analyse binnenkort herhalen om te zien wat de effecten van deze post zijn?

Nee, onze verbeterde opslag maakt dat ook voor onszelf vrijwel onmogelijk. Het kan in ieder geval voorlopig niet zo makkelijk en efficient als met de gebruikte GPGPU-crackers.

Gomez12 schreef op dinsdag 13 september 2011 @ 23:17:
Imho zijn er tools te vinden en zijn er lijsten te vinden. Maar specifiek de lijsten waarmee dit gedaan is hebben toch wel enige waarde.

Dat valt wel mee, mocht je ooit een lijst md5-hashes willen kraken, dan is het vrij eenvoudig om een grote lijst wachtwoorden en andere termen te vinden. 't Is niet alsof wij zoveel betere google-skills hebben dan gewone bezoekers... Het belangrijkste wat wij wel hadden en de meeste anderen niet, was die lijst met hashes.

100 random lijsten van het inet plukken en achter elkaar plakken geeft volgens mij niet automatisch ditzelfde resultaat (je zal eerst moeten ontdubbelen, dan nog ervoor zorgen dat je niet enkel engelse lijsten hebt etc. etc.)

Met de juiste tool is ontdubbelen etc allemaal niet zo boeiend. Bovendien is het niet erg moeilijk om te doen. Dat kan je al bereiken met wat commandline unix tools ('sort -u' enzo)

Net zo met tools, ik kan perfect een powershellscriptje schrijven wat het voor je doet. Moet je alleen ongeveer een miljoen keer langer wachten...

Als je echt wil, kan jij vast wel een gpgpu-cracker vinden

Het vereist waarschijnlijk iets meer werk dan 10 minuten googlen zonder kennis wil je dezelfde tijd halen.

Maar die kennis hebben wij ook grotendeels door de google-zoektocht zelf opgedaan. Niet van de benodigde techniek, maar welk van welke tools er dan voor waren.

Booster schreef op dinsdag 13 september 2011 @ 23:03:

Gaan jullie deze analyse binnenkort herhalen om te zien wat de effecten van deze post zijn?

quote: http://tweakers.net/react...=Posting&ParentID=4966740

Onze vernieuwde opslag zorgt er voor dat we deze test niet kunnen herhalen. Het zou zelfs als er passende GPGPU-crackers zouden bestaan dan meerdere orde-groottes langer duren om door te rekenen. En bovendien zouden we het dan per wachtwoord moeten herhalen, waar het nu in een batch-operatie kon.

   

[ Voor 4% gewijzigd door Rataplan op 14-09-2011 00:01 ]

ik wist dat ik een slecht wachtwoord had. Ik heb vrijwel overal een slecht wachtwoord.
Ik heb me alleen pas vandaag gerealiseerd wat voor beveiligingsrisico het hier inhoudt,dus op zich ben ik blij dat tweakers het gedaan heeft.

Ik denk dat tweakers alleen beter had moeten uitleggen wat de risico's zijn. Dat iemand op jouw naam berichten gaat plaatsen, is maar een heel klein probleem. En dat is het enige waar de meeste mensen aan denken.

Overigens: waren er ook mods/admins/e.d. met zwakke wachtwoorden? (nieuwsgierigheid)

ACM schreef op woensdag 14 september 2011 @ 00:00:
[...]
Dat valt wel mee, mocht je ooit een lijst md5-hashes willen kraken, dan is het vrij eenvoudig om een grote lijst wachtwoorden en andere termen te vinden. 't Is niet alsof wij zoveel betere google-skills hebben dan gewone bezoekers... Het belangrijkste wat wij wel hadden en de meeste anderen niet, was die lijst met hashes.

Is er toch iets vanuit de achteruitgang van de dark-room ontsnapt dat enkel de meeste anderen ze niet hebben

[...]
Met de juiste tool is ontdubbelen etc allemaal niet zo boeiend. Bovendien is het niet erg moeilijk om te doen. Dat kan je al bereiken met wat commandline unix tools ('sort -u' enzo)

Er is toch wel een verschil tussen niet zo boeiend en een exacte lijst met tools inclusief linkjes naar de how-to's om ze te gebruiken...

Quacka schreef op woensdag 14 september 2011 @ 00:01:
Overigens: waren er ook mods/admins/e.d. met zwakke wachtwoorden? (nieuwsgierigheid)

Ik heb zo een vermoeden waar dat 0 karakters wachtwoord vandaan komt en ik vermoed niet dat dat een regular user was... (en ik vermoed ook niet dat je met dat account op de website kan inloggen)
Hetzelfde met de 1 en 2 en 3-karakter wachtwoorden dat zal allemaal rond de begintijd van t.net ontstaan zijn (toen er nog geen restricties waren) of naderhand door iemand met db-access erin gepropt.
Grote kans dat dat of meubels of hoger zijn.

[ Voor 26% gewijzigd door Gomez12 op 14-09-2011 00:15 ]

Quacka schreef op woensdag 14 september 2011 @ 00:01:
ik wist dat ik een slecht wachtwoord had. Ik heb vrijwel overal een slecht wachtwoord.
Ik heb me alleen pas vandaag gerealiseerd wat voor beveiligingsrisico het hier inhoudt,dus op zich ben ik blij dat tweakers het gedaan heeft.

Ik denk dat tweakers alleen beter had moeten uitleggen wat de risico's zijn. Dat iemand op jouw naam berichten gaat plaatsen, is maar een heel klein probleem. En dat is het enige waar de meeste mensen aan denken.

Overigens: waren er ook mods/admins/e.d. met zwakke wachtwoorden? (nieuwsgierigheid)

De MoaM corveelijst is vandaag weer wat langer geworden.

Rataplan schreef op dinsdag 13 september 2011 @ 17:51:
[...]

Wut? Waar zie jij NB staan?

Er staat geen nb er staat nota bene. Alleen nota bene zet je niet in die context onder een artikel. Nota bene is een uitroep a la "rutte is nota bene mp van ons land!" terwijl wat jullie bedoelen "nader belicht" is, bv

Tweakers is een nerdsite
Nb: nerd als in computergeek

Oid.

8088 schreef op woensdag 14 september 2011 @ 00:38:

offtopic:
Nota bene is een uitdrukking om aandacht te vragen, als in 'merk op' of 'let wel.' De toepassing hier is dus volledig correct.

Check.

zeef schreef op woensdag 14 september 2011 @ 00:15:
[...]

De MoaM corveelijst is vandaag weer wat langer geworden.

Dus de uitkomsten zijn niet uitsluitend gebruikt t.b.v. de statistieken maar dus ook inhoudelijk doorgenomen? Of interpreteer ik dit antwoord nu verkeerd?

13 tekens, hoofd- én kleine letters, cijfers, leestekens... ja, veel succes. Geen bericht ontvangen, had ik eerlijk gezegd ook niet verwacht. *grin*

En voor een mens erg gemakkelijk te onthouden. Zo moeilijk is het niet om een voor het menselijk brein gemakkelijk te onthouden wachtwoord samen te stellen dat voor een machine echt heel lastig is om te kraken.

Jullie kunnen wel blijven neuzelen over het gebruikte encryptiealgoritme, maar da's net zoiets als klagen over de muren van Fort Knox en vervolgens de deur afsluiten met een dropveter. Je wachtwoord is een essentieel onderdeel van de beveiliging, de verantwoordelijkheid daarvoor ligt bij de gebruiker, of je dat nou leuk vindt of niet. Kritiek mag natuurlijk altijd, maar wat mij betreft heeft het geen pas om te gaan zeuren en vervolgens vast te blijven houden aan die dropveter. Neem eerst je eigen verantwoordelijkheid.

Verder is het zo dat iedere keer dat je inlogt je zelf vrijwillig je wachtwoord in plain-text aan t.net geeft. Als je er niet op vertrouwt dat daar geen misbruik van gemaakt wordt moet je dus nooit meer inloggen en je wachtwoord laten verwijderen. Dat is de enige manier om een absolute garantie te krijgen dat niemend jouw wachtwoord inziet.

Met andere woorden: iedere keer dat je inlogt geef je tweakers.net dat vertrouwen, het is absurd om daar bij dit onderzoek ineens een punt van te maken. Zoals anderen ook al zeiden is er geen enkele reden waarom er nu ineens misbruik van gemaakt zou worden terwijl er makkelijkere en betere methoden zijn die toegepast kunnen worden zonder dat iemand er iets van merkt (vrij handig als je mensen wil belazeren). Afgezien van het feit dat tweakers.net dat wantrouwen in mijn ogen niet verdient.

Mag ik nu uit de darkroom? Alsjeblieft?

[ Voor 197% gewijzigd door Verwijderd op 14-09-2011 05:10 ]

Gomez12 schreef op woensdag 14 september 2011 @ 00:12:
Is er toch iets vanuit de achteruitgang van de dark-room ontsnapt dat enkel de meeste anderen ze niet hebben

Er sowieso diverse lijsten met hashes achterhaald en (zelfs gepubliceerd?) bij allerlei hacks. Vandaar dat ik 'de meeste anderen' gebruikte

Er is toch wel een verschil tussen niet zo boeiend en een exacte lijst met tools inclusief linkjes naar de how-to's om ze te gebruiken...

Ik ben meerdere tools tegengekomen die ongeveer hetzelfde leken te werken. En hoewel het allemaal heel mysterieus klinkt je zou met ieder van die tools vergelijkbare resultaten hebben kunnen boeken. Hetzelfde geldt voor de lijsten met wachtwoorden en andere bekende termen. Wat is uberhaupt de reden dat je zo doorvraagt ernaar? Nieuwsgierighied? Of hoop je op die manier een soort validatie van de gebruikte methode te kunnen doen? (of heb je zelf een lijst hashes en nog geen efficiente manier gevonden ze te kraken? )

Hetzelfde met de 1 en 2 en 3-karakter wachtwoorden dat zal allemaal rond de begintijd van t.net ontstaan zijn (toen er nog geen restricties waren)

Klopt, dat zal voor het gros van de slechte wachtwoorden gelden, iig alles korter dan 8 tekens

Gomez12 schreef op dinsdag 13 september 2011 @ 23:55:
[...]

2 vraagjes :
1. Had je van te voren het idee dat je een slecht ww had?
2. Had je als je meedeed aan een vrijwillige test je "slechte" ww gewijzigd voordat de test begon om er beter uit te komen?

Voornamelijk vraag 2 zou denk ik redelijk veel gebeuren en de test waardeloos maken.
Tuurlijk zou je iets kunnen verzinnen als : Vorige maand een copy van de user-base maken en dan toestemming vragen om over die copie te draaien etc. etc.
Maar dan zit je jezelf enkel maar in een technische bocht te wurmen en waarom?

Ja ik gebruik 2 soorten wachtwoorden.

Voor sites waarbij het het niet veel voor me uit maakt mocht die gehackt worden gebruik ik een simpele wachtwoord. Voor belangrijke zaken heb ik wel een zeer sterk wachtwoord van 10 random tekens combi hoofdletters klein en tekens.

Ja ik denk dat ik wel had meegedaan als die vraag gekomen was. Maar Had het ww niet veranderd omdat ik weet dat deze slecht is en dat een bewuste keuze is.

zeef schreef op dinsdag 13 september 2011 @ 20:29:
Wat je vind is niet van belang in dit deel van mijn antwoord, het gaat er om of we dit mogen. Ja, we mogen dit doen binnen ons operationeel en juridisch kader. Dat bedoel ik aan te geven door de achtergrond te schetsen. Op geen enkel moment is enige wet of regelgeving geschonden.

Dat is jouw mening

Maar aangezien ik tot nu toe nooit gemerkt heb dat jij een jurist bent neem ik jouw mening niet zomaar voor waarheid aan.
Als bv iemand als Around Engelfriet zou melden dat jullie dit mogen, dan neem ik dat eerder aan.

Laat ik het omkeren, stel dat we de analyse hadden gedaan en houders van zwakke wachtwoorden niet hadden gewaarschuwd, waren we dan een goede beheerder geweest?

Maar het is maar de vraag of het wel allemaal van die zwakke wachtwoorden waren.
Mijn wachtwoord kon ook gekraakt worden terwijl het echt bepaald geen zwak wachtwoord was.
Naar mijn mening is de conclusie van T.net een beetje kort door de bocht. Er word nu erg naar de users gewezen, maar wat jullie voornamelijk hebben aangetoond is dat encryptie op de databases vrij makkelijk doorbroken kon worden.
Wat nou als je een week langer hadden uitgetrokken voor het hacken. Had je dan de rest van de passwords ook kunnen kraken? In dat geval krijg je namelijk nogal andere conclusies over de sterkte van passwords.


Ik trek de volgende conclusies uit het hele verhaal.
- Deze wachtwoorden konden alleen maar zo snel geacked worden omdat de "hacker" de vrije beschikking had over de database.
- In die specifieke situatie word ook een vrij sterk wachtwoord snel gehacked als de beveiliging op basis van md5 is.
- T.net heeft de beveiliging van de database wel verbeterd, maar vele anders sites zullen dit nog niet gedaan hebben. Als je dus hetzelfde password gebruikt voor verschillende sites, dan ben je dus nog steeds kwetsbaar als zo'n andere site md5 gebruikt.

De belangrijkste conclusie die ik trek is dat je vooral moet zorgen dat je voor elke site een ander wachtwoord gebruikt.

mjtdevries schreef op woensdag 14 september 2011 @ 09:54:
[...]

Dat is jouw mening

Maar aangezien ik tot nu toe nooit gemerkt heb dat jij een jurist bent neem ik jouw mening niet zomaar voor waarheid aan.
Als bv iemand als Around Engelfriet zou melden dat jullie dit mogen, dan neem ik dat eerder aan.


[...]

http://blog.iusmentis.com...orden-gebruikers-mag-dat/

mjtdevries schreef op woensdag 14 september 2011 @ 09:54:
[...]

Maar aangezien ik tot nu toe nooit gemerkt heb dat jij een jurist bent neem ik jouw mening niet zomaar voor waarheid aan.
Als bv iemand als Around Engelfriet zou melden dat jullie dit mogen, dan neem ik dat eerder aan.

Zie boven mij, en je weet dat zeef in het verleden werkte bij T.net als legal consultant hé? Het is/was zijn taak dit soort dingen te weten.

[...]

Ik trek de volgende conclusies uit het hele verhaal.
- Deze wachtwoorden konden alleen maar zo snel geacked worden omdat de "hacker" de vrije beschikking had over de database.

Natuurlijk. Als je geen hashes hebt, kun je ook geen wachtwoorden achterhalen. En toegang brute forcen via het login formulier is v.z.i.w. onmogelijk.

- In die specifieke situatie word ook een vrij sterk wachtwoord snel gehacked als de beveiliging op basis van md5 is.

Dat hangt van je definitie van sterk af. Lengte is alles bij brute forcen. Ik heb zelf laatst met dit soort tools gespeeld en ik schrok me de pleuris hoe snel een wachtwoord met hoofdletters, kleine letters en cijfers van 8 karakters of korter te bruteforcen valt met een hedendaagse videokaart. Minder dan 16 minuten dus. Maak er 10 karakters van en het werd meteen een héél stuk moeilijker, volgens mij zat ik toen op gemiddeld 7 dagen (14 dagen om de hele zoekruimte te doorzoeken).

- T.net heeft de beveiliging van de database wel verbeterd, maar vele anders sites zullen dit nog niet gedaan hebben. Als je dus hetzelfde password gebruikt voor verschillende sites, dan ben je dus nog steeds kwetsbaar als zo'n andere site md5 gebruikt.

Dat is dus de reden dat ondanks de beveiligingsupgrades van T.net, zo'n wachtwoordtest nog steeds interessant is voor de gebruikers. Het zet mensen aan het denken.

De belangrijkste conclusie die ik trek is dat je vooral moet zorgen dat je voor elke site een ander wachtwoord gebruikt.

QFT.

mjtdevries schreef op woensdag 14 september 2011 @ 09:54:
[...]

Maar het is maar de vraag of het wel allemaal van die zwakke wachtwoorden waren.

Tuurlijk waren het zwakke wachtwoorden, ze waren in een half uurtje gehackt! De definitie van zwakke wachtwoorden is dat ze snel te hacken zijn.

Mijn wachtwoord kon ook gekraakt worden terwijl het echt bepaald geen zwak wachtwoord was.

Terwijl jij vond dat het geen zwak wachtwoord had moeten zijn. Dat is jouw mening, maar absoluut geen feit: het feit dat het ding in een half uurtje gekraakt is maakt je wachtwoord zwak.

Naar mijn mening is de conclusie van T.net een beetje kort door de bocht. Er word nu erg naar de users gewezen, maar wat jullie voornamelijk hebben aangetoond is dat encryptie op de databases vrij makkelijk doorbroken kon worden.

Naar mijn mening, als iemand die niet al te lang geleden nog eens een half jaartje security audits op het bedrijfsnetwerk van zijn werkgever gedaan heeft, is jouw afschuiven van de "schuld" van jouw wachtwoord zwakte op t.net een beetje kort door de bocht. Veel mensen, vooral ITers, geloven niet dat de lengte, niet de complexiteit, van een wachtwoord bepalend is voor de hackbaarheid. Ja, md5 is sneller te hacken dan nieuwe technieken (daarom wordt het uitgefaseerd tenslotte) maar jouw zwakke wachtwoord is veel sneller gehackt dan een sterk wachtwoord.

Probeer dit te vatten: jouw wachtwoord is ZWAK. Dat er veel lettertjes, cijfers en leestekens in zitten maakt het niet ineens "sterk" omdat een mens het niet kan raden: het gaat er om dat een computer het kan hacken.

Wat nou als je een week langer hadden uitgetrokken voor het hacken. Had je dan de rest van de passwords ook kunnen kraken? In dat geval krijg je namelijk nogal andere conclusies over de sterkte van passwords.

De definitie van sterke vs zwakke wachtwoorden stekt hem in de tijd die je nodig hebt om het ding te hacken. Een half uur is érg kort. Nu zeggen "als je een week per wachtwoord neemt, is bijna alles zwak" is behalve kinderachtig ("mijn wachtwoord is niet zwak, jullie hacken te goed") ook nog eens onjuist: als je een databeest met een kwart miljoen accounts hebt, dan wil je zo veel mogelijk van die accounts snel gehackt hebben, en doe je dus een pass op de hele DB met een korte time-out. Elke pass verleng je de time-out en elke pass krijg je dus meer accounts. Hoe langer het duurt voor een account gekraakt wordt hoe veiliger het dus is/was. Als je de time-out op een week zet dan heb je voor een kwart miljoen accounts dus een kwart miljoen weken nodig. Ik ga niet eens uitrekenen hoe lang dat is: dat is zelfs langer dan een vergadering met de Health and Safety afdeling. Als je voor een kwart miljoen accounts een half uur toe laat is dat ook best langig ( >14 jaar als je ze in serie zou doen) maar, zoals aangetoond in dit onderzoekje, is dat met parallelle verwerking goed te doen.

Je blijf tmaar volhouden dat je wachtwoord sterk is, ondanks dat het in een half uurtje gehackt werd. Dat is een beetje zoals m'n nichtje doet, als ze volhoudt dat ze écht heel goed haar huiswerk gedaan heeft ondanks dat ik niets zie dan één velletje met twee half afgekrabblde sommetjes.

Ik trek de volgende conclusies uit het hele verhaal.
- Deze wachtwoorden konden alleen maar zo snel geacked worden omdat de "hacker" de vrije beschikking had over de database.

Het scenario dat gesimuleerd werd was volgens het artikel dat de database gejat werd en vervolgens gehackt.

- In die specifieke situatie word ook een vrij sterk wachtwoord snel gehacked als de beveiliging op basis van md5 is.

Je wachtwoord was niet sterk!

- T.net heeft de beveiliging van de database wel verbeterd, maar vele anders sites zullen dit nog niet gedaan hebben. Als je dus hetzelfde password gebruikt voor verschillende sites, dan ben je dus nog steeds kwetsbaar als zo'n andere site md5 gebruikt.

De belangrijkste conclusie die ik trek is dat je vooral moet zorgen dat je voor elke site een ander wachtwoord gebruikt.

QFT

Herman87 schreef op woensdag 14 september 2011 @ 01:14:
[...]

Dus de uitkomsten zijn niet uitsluitend gebruikt t.b.v. de statistieken maar dus ook inhoudelijk doorgenomen? Of interpreteer ik dit antwoord nu verkeerd?

Zeef maakt natuurlijk een grapje, mocht je dat nog niet begrijpen. In de crewfora loopt ook een draadje over wie er allemaal een zwak wachtwoorde hebben / hadden.

Edmin schreef op woensdag 14 september 2011 @ 10:56:
[...]



Zeef maakt natuurlijk een grapje, mocht je dat nog niet begrijpen. In de crewfora loopt ook een draadje over wie er allemaal een zwak wachtwoorde hebben / hadden.

Wat eventueel wel grappig zou zijn is een checkje, ergens komende week, hoevele mensen na het posten van dat artikel hun wachtwoord gewijzigd hebben
Ik heb het vermoeden dat dat er nogal wat zijn.

ik denk dat dit er maar weinig zijn. Het boeit mensen niet, omdat tweakers niet goed heeft uitgelegd wat de risico's zijn. Hadden ze dat wel gedaan, dan zouden meer mensen hun wachtwoord hebben gewijzigd.

Edmin schreef op woensdag 14 september 2011 @ 10:56:
[...]



Zeef maakt natuurlijk een grapje, mocht je dat nog niet begrijpen. In de crewfora loopt ook een draadje over wie er allemaal een zwak wachtwoorde hebben / hadden.

Ok Gelukkig.

Ik had overigens al een vermoeden dat het niet serieus was, maar omdat ik twijfelde heb ik toch die vraag toch gesteld.

Edmin schreef op woensdag 14 september 2011 @ 10:56:
Zeef maakt natuurlijk een grapje, mocht je dat nog niet begrijpen. In de crewfora loopt ook een draadje over wie er allemaal een zwak wachtwoorde hebben / hadden.

Er zijn inderdaad een paar crewleden die zich impliciet hebben opgegeven voor het corvee

Maar die hebben zich dus zélf gemeld binnen de crewfora. Even voor de duidelijkheid