:strip_icc():strip_exif()/u/43473/crop5e12eeae6a054_cropped.jpeg?f=community)
pff, een "simpele query" door een DB-dude en je kan zo achterhalen welke crewleden die DM hebben ontvangen:
Maar die hebben zich dus zélf gemeld binnen de crewfora. Even voor de duidelijkheid
:strip_exif()/u/39092/wolkje-avatar3.gif?f=community){kind=avatar}
Klopt. Helaas wordt die hashing methode nog op heel veel sites gebruikt. Gelukkig hier niet meer, maar dat maakt nog steeds jouw wachtwoord zwak in heel veel gevallen. Daar komt nog bij dat jij van vrijwel geen sites weet hóe en óf zij je wachtwoord hashen. Dat je de twee niet los kunt zien is waar, maar dat neemt niet weg dat je wachtwoord gewoon zwak was.
Dat T.net ervoor zorgt dat zelfs zwakke wachtwoorden lastig te bruteforcen zijn bij een gestolen T.net database is natuurlijk allemaal extra. MD5 wordt dan wel als onveilig gezien, ook SHA2 zal te bruteforcen zijn als je wachtwoord maar zwak genoeg is. Methoden als de nu door T.net gebruikte zijn beter, gezien ze kunnen meegroeien met de computerkracht.
Dan heb je toch iets verkeerd gelezen.
Er stond niet 'enkele uren' maar 'vele uren'. Ze hebben dat niet daadwerkelijk gedaan. Bij mijn eigen test duurde het zo'n 7 minuten om een 8-karakter wachtwoord te bruteforcen. Dat was dan letters+cijfers, en voor één wachtwoord. Een database van 300.000+ wachtwoorden bruteforcen duurt dan wel even, zéker als je niet de lengte per wachtwoord kent.Wat je misschien zou kunnen doen is alle doorzochte mogelijkheden opslaan op schijf, maar dat zal de snelheid er flink uithalen en ik heb geen idee hoeveel ruimte dat zou vereisen. Dan maak je je eigen rainbow table, alleen dan met willekeurige inhoud. Ik vermoed dat dat gigantisch veel ruimte eist.
Nee dat gaat niet op. T.net heeft heel specifiek met een woordenlijst gewerkt, denken dat je dus 99% van de wachtenwoorden vindt met die woordenlijst klopt niet. De tool die ze gebruikten vergelijkt álle wachtwoordhashes met hashes van die woordenlijst en vond toen voor de helft de oplossing. Langer draaien heeft geen zin, want hij had alle opties dus al uitgeput. Je haalt bruteforcen (karakter voor karakter) door elkaar met de methode die T.net gebruikte (woordenlijsten).
Het is meer het feit dat zoveel wachtwoorden te vinden zijn middels woordenlijsten dat problematisch is, vind ik zelf. En dat had misschien ook wel wat duidelijker in het artikel mogen staan. Feit blijft natuurlijk dat de tijden veranderen en eens veilige wachtwoorden nu niets meer voorstellen.
Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana
Mwa is misschien een beetje een onterecht gevoel van veiligheid. Toen ik hier tests mee deed, doorzocht de tool bruteforce alle wachtwoorden t/m 5 karakters zo snel dat ik het niet kon volgen. Ik denk dat je meer hebt aan een minimum van 10 karakters voorlopig. 10 lijkt namelijk vooralsnog genoeg om bruteforce te ontmoedigen, zelfs op md5.
Maar goed, bruteforcen is sowieso vrij kansloos geworden met de methode die T.net nu geïmplementeerd heeft. Ook met een lengte van 8 karakters.
Maar goed, bruteforcen is sowieso vrij kansloos geworden met de methode die T.net nu geïmplementeerd heeft.
Ook met een lengte van 8 karakters.
Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana
/u/27373/crop5d7b3ffd40b78_cropped.png?f=community)
N.a.v. dit topic eens kijken waar het allemaal over ging 
Ik zag / zie namelijk geen gele balk wat blijkbaar betekent dat ik dus een redelijk sterk wachtwoord heb wat niet zo 123 te kraken is.
Is er een percentage bekend van de totale hoeveelheid sterke en zwakke wachtwoorden?
Ik gebruik zelf vaak wachtwoorden waarin letters vervangen worden door cijfers. Vermoedelijk wordt daardoor een wachtwoord juist sterker omdat het brute force lang duurt?
Ik zag / zie namelijk geen gele balk wat blijkbaar betekent dat ik dus een redelijk sterk wachtwoord heb wat niet zo 123 te kraken is. Is er een percentage bekend van de totale hoeveelheid sterke en zwakke wachtwoorden?
Ik gebruik zelf vaak wachtwoorden waarin letters vervangen worden door cijfers. Vermoedelijk wordt daardoor een wachtwoord juist sterker omdat het brute force lang duurt?
[ Voor 19% gewijzigd door Frostbite op 14-09-2011 13:24 ]
🎮 Steam
💻 i5 6600k
📱 Samsung Galaxy S25+
Verwijderd
Kleine bug - sinds dit hele verhaal is gaan spelen moet ik iedere keer als ik in wil loggen mijn wachtwoord tweemaal invoeren. Eerste maal krijg ik de foutmelding terug dat de combinatie user/wachtwoord niet klopt.
Eén keer, goed, dan wil ik het wel geloven dat ik een tikfout heb gemaakt... maar, iedere keer als ik inlog? Sorry, die vlieger gaat niet op.
Om uit te sluiten dat het hem zat in het overnemen van mijn bestaande wachtwoord naar de nieuwe vorm van encryptie heb ik geprobeerd mijn wachtwoord te wijzigen, kijken of dat verbetering bracht. Zelfde probleem.
Ik mag hopen dat dit niet intended behaviour is, m'n nieuwe wachtwoord is dusdanig lang dat ik RSI krijg als ik hem te vaak moet invullen.
Eén keer, goed, dan wil ik het wel geloven dat ik een tikfout heb gemaakt... maar, iedere keer als ik inlog? Sorry, die vlieger gaat niet op.
Om uit te sluiten dat het hem zat in het overnemen van mijn bestaande wachtwoord naar de nieuwe vorm van encryptie heb ik geprobeerd mijn wachtwoord te wijzigen, kijken of dat verbetering bracht. Zelfde probleem.
Ik mag hopen dat dit niet intended behaviour is, m'n nieuwe wachtwoord is dusdanig lang dat ik RSI krijg als ik hem te vaak moet invullen.
:strip_exif()/u/3333/pumpkin_avatar.gif?f=community){kind=avatar}
Daar speelt nog een issue die niet gerelateerd is aan de wijzigingen met betrekking tot het wachtwoord maar met sessie-management en het gebruik van sessie-id als token te maken heeft. Daar zijn we al naar aan het kijken. Het kan voornamelijk optreden als je vanuit een schone browsersessie (dus geen tweakers.net cookies) direct naar de login pagina gaat.:
Kleine bug - sinds dit hele verhaal is gaan spelen moet ik iedere keer als ik in wil loggen mijn wachtwoord tweemaal invoeren. Eerste maal krijg ik de foutmelding terug dat de combinatie user/wachtwoord niet klopt.
Eén keer, goed, dan wil ik het wel geloven dat ik een tikfout heb gemaakt... maar, iedere keer als ik inlog? Sorry, die vlieger gaat niet op.
Om uit te sluiten dat het hem zat in het overnemen van mijn bestaande wachtwoord naar de nieuwe vorm van encryptie heb ik geprobeerd mijn wachtwoord te wijzigen, kijken of dat verbetering bracht. Zelfde probleem.
Ik mag hopen dat dit niet intended behaviour is, m'n nieuwe wachtwoord is dusdanig lang dat ik RSI krijg als ik hem te vaak moet invullen.
iig zijn we daarmee bezig, dus hopelijk kunnen we dit binnenkort ook fixen
Intentionally left blank
/u/220145/omeroon60x60tweakers.png?f=community)
Zeef snap jij het dan niet, die gegevens kun je verkopen.
Ik heb wel eens in artikeltjes op een website van dacht ik tweakers.net gelezen dat er mensen zijn die daar veel geld voor over hebben.
Als je er ook nog de emailadressen bij doet willen ze vast nog meer betalen.
Zeef zie je het al niet helemaal voor je:
/u/102105/crop56f481fe1f74f.png?f=community)
:strip_exif()/u/38491/klus.gif?f=community)
Momenteel hebben we structurele inkomsten. Die gaan we niet opgeven - want dat is een onvermijdelijke consequentie - voor incidentele inkomsten
edit:
zeef
zeef
Journalism is printing what someone else does not want printed; everything else is public relations.
:strip_icc():strip_exif()/u/2030/zeef.jpeg?f=community)
Nou wat zou een bestand opleveren met wachtwoorden en mailadressen? Tienduizenden dollars? Misschien een ton? Dacht je nou serieus dat we voor dat eenmalige geld een bedrijf als Tweakers op het spel gaan zetten? Structureel verdienen we een veelvoud van dat bedrag. Kort om, dat soort complottheorieën geloof je toch niet.:
[...]
Zeef snap jij het dan niet, die gegevens kun je verkopen.
Ik heb wel eens in artikeltjes op een website van dacht ik tweakers.net gelezen dat er mensen zijn die daar veel geld voor over hebben.
Als je er ook nog de emailadressen bij doet willen ze vast nog meer betalen.
Zeef zie je het al niet helemaal voor je:
[afbeelding]
[edit] : wat hij zegt dus
[ Voor 6% gewijzigd door zeef op 14-09-2011 15:23 ]
Je kunt beter een compleet willekeurig woord aan je gekozen wachtwoord vastplakken. Verwisselen van letters door cijfers heeft niet zoveel zin meer, lengte is belangrijker. Stel je hebt als creatie bedacht: 'p0mp1d0m'. In zijn huidige vorm is het nog enigszins te onthouden, echter maar acht karakters lang. Plak er een willekeurig woord aan vast en je wachtwoord is in één klap best sterk. Dan heb je bijvoorbeeld 'p0mp1d0mKoffie'. Of 'p0mp1d0mFietskar'.
Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana
Ach het mijne is langer dan acht karakters en op zich niet zo veel ingewikkeld. Dus 'vreemd' dat ik dan geen balk heb. Misschien dat mijn wachtwoord net buiten de zwakkere valt omdat die bijvoorbeeld nog simpelere hebben:
[...]
Je kunt beter een compleet willekeurig woord aan je gekozen wachtwoord vastplakken. Verwisselen van letters door cijfers heeft niet zoveel zin meer, lengte is belangrijker. Stel je hebt als creatie bedacht: 'p0mp1d0m'. In zijn huidige vorm is het nog enigszins te onthouden, echter maar acht karakters lang. Plak er een willekeurig woord aan vast en je wachtwoord is in één klap best sterk. Dan heb je bijvoorbeeld 'p0mp1d0mKoffie'. Of 'p0mp1d0mFietskar'.
Al moet ik zeggen dat sinds ik een keer op een spoof site mijn steam-wachtwoord stom heb ingevuld en mijn steam account 'kwijt' was (was gelijk aangepast
) en tot de conclusie kwam dat dat wachtwoord ook aan mijn Paypal account hing waarmee direct van mijn bankrekening betaalt kon worden 
Toen direct alles aangepast (bankrekening losgekoppelt van PP) en diverse sterke wachtwoorden verzonnen en in een Keepass db gezet.Als ik zo nu en dan lees dat er weer eens een site gehackt is via een SQL injectie en de database gewoon openbaar gemaakt wordt met wachtwoorden dan is het zeker wel handig om verschillende wachtwoorden te hebben op verschillende sites.
Op het werk gebruiken we nu ook 1 database want anders is het niet te doen.
[ Voor 32% gewijzigd door Frostbite op 14-09-2011 16:24 ]
🎮 Steam
💻 i5 6600k
📱 Samsung Galaxy S25+
Wachtwoordbeleid van Zeelandnet BV.
Maximaal 8 tekens ?!!!?
🎮 Steam
💻 i5 6600k
📱 Samsung Galaxy S25+
Verwijderd
Club Nintendo - geen leestekens toegestaan. zucht.:
[...]
[...]
Wachtwoordbeleid van Zeelandnet BV.
Maximaal 8 tekens ?!!!?
Daar kwam ik een tijd terug al achter. Dus, ik Nintendo maar eens aangeschreven. "Jongens, hoe zit dat nou, gaan we daar wat aan doen op korte termijn?"
Antwoord - Nee.
Juuuuuuuuuuuuuuist. Alleen maar letters en cijfers. Lekker veilig. Nou kun je op zich een voldoende veilig systeem en wachtwoord bouwen op enkel cijfers en letters, maar, om leestekens (zelfs de meest gangbare) volledig uit te sluiten?
Aan falend wachtwoordbeleid op de verschillende sites zou je ook nog wel een nieuwsartikel kunnen wijden inderdaad.
Het is aan de ene kant mooi, zo'n wachtwoord samengesteld uit wat woorden maar je komt regelmatig problemen ermee tegen. Sites eisen een cijfer, sites eisen een speciaal teken (maar accepteren de spatie weer niet), site eisen hoofdletters. Maar een maximale lengte van 8 karakters is inderdaad wel heel stom.
Gelukkig is er KeePass waarmee ik voor elke site een ander wachtwoord kan genereren en opslaan. Voor veel sites weet ik tegenwoordig het wachtwoord ook niet eens, dat pluk ik gewoon uit KP als ik het nodig heb
Het is aan de ene kant mooi, zo'n wachtwoord samengesteld uit wat woorden maar je komt regelmatig problemen ermee tegen. Sites eisen een cijfer, sites eisen een speciaal teken (maar accepteren de spatie weer niet
), site eisen hoofdletters. Maar een maximale lengte van 8 karakters is inderdaad wel heel stom.Gelukkig is er KeePass waarmee ik voor elke site een ander wachtwoord kan genereren en opslaan. Voor veel sites weet ik tegenwoordig het wachtwoord ook niet eens, dat pluk ik gewoon uit KP als ik het nodig heb
Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana
Laatst nog had ik voor mijn werk een wachtwoord nodig voor een forum om een nieuwe versie van hun software op te halen. Ik kwam er niet meer in dus ik bellen. (Ze werken btw met een wordpress forum)
Ik> Hallo ik ben mijn wachtwoord kwijt van account 'bladiebla'
Helpdesk < Oh dan zal ik even kijken ... Ja ik heb het hier
Ik > ..?
(huh?)
Helpdesk < Je hebt er wel wat moois van gemaakt
Ik > huh (wtf) !
Helpdesk< Het is .....
Ik > Oh bedankt maar kunnen jullie dat zien dan???
Helpdesk < Ja dat weten mensen niet...
Ik > Oh leuk dat ik het nu weet
Helpdesk < Ja soms bellen mensen voor hun wachtwoord en dan hebben we een 'erg bijzonder' wachtwoord wat we dan ook door moeten geven.
Op eens of andere manier vind ik dat dus echt niet kunnen.
Ik> Hallo ik ben mijn wachtwoord kwijt van account 'bladiebla'
Helpdesk < Oh dan zal ik even kijken ... Ja ik heb het hier
Ik > ..?
(huh?)Helpdesk < Je hebt er wel wat moois van gemaakt
Ik > huh (wtf) !
Helpdesk< Het is .....
Ik > Oh bedankt maar kunnen jullie dat zien dan???
Helpdesk < Ja dat weten mensen niet...
Ik > Oh leuk dat ik het nu weet
Helpdesk < Ja soms bellen mensen voor hun wachtwoord en dan hebben we een 'erg bijzonder' wachtwoord wat we dan ook door moeten geven.
Op eens of andere manier vind ik dat dus echt niet kunnen.
[ Voor 11% gewijzigd door Frostbite op 14-09-2011 16:47 ]
🎮 Steam
💻 i5 6600k
📱 Samsung Galaxy S25+
Dat bedoel ik dus. Ik was echt verbaasd dat ze het plain text kon zien. Ik ging er zonder meer van uit dat ik zoals gebruikelijk een reset zou krijgen, waarna ik het zelf weer kan aanpassen.:
[...]
En dat moet het goed praten op de een of andere manier?...
🎮 Steam
💻 i5 6600k
📱 Samsung Galaxy S25+
:strip_icc():strip_exif()/u/167062/1777paard.jpg?f=community)
Folks, nogmaals, hier graag geen discussie over hoe je het beste een kwalitatief goed wachtwoord uitzoekt/opzet. We hebben twee artikelen op de FP die zich daar uitstekend voor lenen
Journalism is printing what someone else does not want printed; everything else is public relations.
/u/1830/acm.png?f=community)
Ik denk dat er weinig storage-arrays zijn die zo snel de combinaties op kunnen slaan
't Ging iig om een richting de 0.5 biljoen. Zelfs als die allemaal slechts 1 byte groot zijn, zou dat alsnog 500GB aan data zijn. Maar die combinaties zijn waarschijnlijk eerder 30 bytes ofzo...Dat is niet helemaal waar. We hebben ook 'gewoon' gebruteforced. De gebruikte tool bevatte meerdere aanvalsmogelijkheden; woordenlijsten, combinaties van woorden in woordenlijsten, varianten op woordenlijsten, volledig bruteforcen met diverse karaktersets en/of bepaalde patronen. Tot en met 5 tekens was het secondewerk om gewoon alles te brute forcen. Daarna hadden we geen zin meer om te wachten op de bruteforce-tijd, 7 compleet willekeurige tekens was al een paar uur ofzo, 8 een stuk langer. Als je je alleen beperkt tot letters en cijfers valt het uiteraard wel een stuk mee.Nee dat gaat niet op. T.net heeft heel specifiek met een woordenlijst gewerkt, denken dat je dus 99% van de wachtenwoorden vindt met die woordenlijst klopt niet. De tool die ze gebruikten vergelijkt álle wachtwoordhashes met hashes van die woordenlijst en vond toen voor de helft de oplossing. Langer draaien heeft geen zin, want hij had alle opties dus al uitgeput. Je haalt bruteforcen (karakter voor karakter) door elkaar met de methode die T.net gebruikte (woordenlijsten).
Maar op zich is de argumentatie van bezoekers die het over zwakte van het algoritme hebben wel waar. Het is in beginsel de verantwoordelijkheid van de bezoeker om een wachtwoord te kiezen dat niet binnen acceptabele tijd te 'brute forcen' is via de login-pagina, zelfs als daar geen beveiliging op zit. Oftewel, zodra het een beetje willekeurig is, zit dat eigenlijk wel goed.
Tegen gekraakte opslag aan de serverzijde kan je je beter wapenen door voor elke site (of groep sites) een uniek wachtwoord te hanteren en 'm te wijzigen zodra je de indruk krijgt dat ie gecompromiteerd kan zijn.
't Probleem is dus inderdaad vooral dat mensen met een zwak wachtwoord erover na moeten denken of ze dat wel op de juiste manier gebruiken. Als je ervoor kiest om eenvoudige wachtwoorden te gebruiken, zorg er dan voor dat ie niet herbruikbaar is door hackers.
[ Voor 4% gewijzigd door ACM op 14-09-2011 17:24 ]
Nee tuurlijk gaan jullie dat niet doen. Dit was ook maar een grapje, maar dat had je vast wel door toch?:
[...]
Nou wat zou een bestand opleveren met wachtwoorden en mailadressen? Tienduizenden dollars? Misschien een ton? Dacht je nou serieus dat we voor dat eenmalige geld een bedrijf als Tweakers op het spel gaan zetten? Structureel verdienen we een veelvoud van dat bedrag. Kort om, dat soort complottheorieën geloof je toch niet.
[edit] : wat hij zegt dus
Ik ben alleen maar blij dat jullie dit zo serieus nemen en zorgen dat onze data goed beveiligd is.
Zoiets vermoedde ik inderdaad al. Dat is niet praktisch meer uit te voeren. En dus zul je per wachtwoord apart moeten bruteforcen; en dat doe je niet voor zo'n onderzoek als dit. Tenminste niet met 300.000 hashes:
Ik denk dat er weinig storage-arrays zijn die zo snel de combinaties op kunnen slaan
Dat was mij op zich ook wel duidelijk, ik bedoelde meer te zeggen dat jullie niet de gehele database na hebben lopen rekenen middels bruteforce. Die acties met woordenlijsten kun je nog eenvoudig over je hele dataset laten gaan, dat duurt niet zo super lang. Combinaties ook nog wel, tot op zekere hoogte. Alles bruteforcen is gekkenwerk. Ik wilde slechts aangeven dat stellen dat na één week 99% gevonden zou zijn, compleet niet opgaat.
Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana
/u/129167/Deftones1.JPG?f=community)
:strip_icc():strip_exif()/u/21673/crop65674aee06c6d_cropped.jpg?f=community)
Ik doe nog een poging. We zijn eigenaar van de database waar jullie content in zit. Wij zijn gehouden om daar zorgvuldig mee om te gaan. Dus zorgen voor een goed beheer, dat wil zeggen veilige opslag, waken voor de integriteit, beschermen voor onbevoegden en actief ingrijpen als iemand anders er met die content vandoor gaat (met name het ongeautoriseerd hergebruik van posts en dat soort zaken). Onder die zorgvuldigheid valt naast het beheer óók het waarschuwen van mensen die mogelijk risico lopen omdat ze een te zwak wachtwoord hebben. Ik blijf erbij dat het achterwege laten van het doen van dit onderzoek of het doen van dit onderzoek zonder de resulaten te delen met de users neigt naar nalatigheid.
Om maar het voorbeeld van de kluis te gebruiken, ik beheer de kluizen waar jij en anderen je tekst in leggen. De een heeft zijn sleutel verborgen onder z'n kleren aan een ketting van supersterk staal om z'n nek, de ander heeft 'm los in een broekzak.... met een overduidelijk gat in die zak en een label aan de sleutel met KLUIS 21673. Het enige wat ik doe is tegen die laatste persoon zeggen : "u zou uw kluissleutel beter aan een koordje om uw nek kunnen doen en het label er af halen." Dat doe ik zonder naar de inhoud te kijken of de sleutel ook maar vast te houden. Puur uit de analyse van de omgeving, lekker broekzak & label aan de sleutel, weet ik al dat het een risicofactor is die met een kleine ingreep is te minimaliseren. Als ik het wel allemaal gezien heb en na verlies of diefstal van de sleutel tegen je zeg : "ja, dat zat er wel in he, met dat label en die lekke broekzak", dan heb je geen dienst bewezen.
Ik hoop dat het zo duidelijk is. Lees anders http://blog.iusmentis.com...orden-gebruikers-mag-dat/ nog even, dan hoor je 't van een ander.
[ Voor 17% gewijzigd door zeef op 14-09-2011 20:03 ]
/u/37667/Gundam1.png?f=community)
Ik heb dat stuk gelezen maar meer dan Arnouds persoonlijke visie staat daar niet. Arnoud onderbouwd in dat stuk niets en haalt geen jurisprudentie aan. Ergo, meer dan een leuk stukje staat er niet. Nogmaals , ik ben overtuigd van de goede bedoelingen maar vind het gekozen middel zonder toestemming (nogmaals volgens de info die wij hebben heeft T.net de wachtwoorden gewoon gebrute forced) maar een erg grijs gebied.:
[...]
Ik hoop dat het zo duidelijk is. Lees anders http://blog.iusmentis.com...orden-gebruikers-mag-dat/ nog even, dan hoor je 't van een ander.
[ Voor 3% gewijzigd door Bor op 14-09-2011 21:09 ]
Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum
Daar quote je mij wel heel erg summier
Ik geef er zelf nog een kanttekening onder namelijk. Ben het verder compleet met je eens.Dat werkt ook andersom hé.
Geef dan eens redenen waarom het zogenaamd grijs gebied is, of waarom het tóch juridisch onjuist was om dit te doen. We hebben nu twee juristen die zeggen dat het geen probleem is. En tot nu toe heb ik (anders dan een hele berg onderbuikgevoelens) geen enkele reden gezien waarom het wel een juridisch probleem moet zijn. Of heb ik ergens overheen gelezen? Een wachtwoordonderzoek zoals T.net dat recentelijk uitgevoerd heeft komt niet echt vaak voor volgens mij, dus het wordt lastig jurisprudentie aan te halen die je één op één over deze casus heen kunt leggen.
Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana
/u/72195/avatar.png?f=community){kind=avatar}
Ik vind het een goede actie.
Als user geef kies je een wachtwoord voor je account, en je vult deze in. Zoals bij elke website waar je een account maakt, kan de website je wachtwoord opslaan zoals zij willen. Bijvoorbeeld in plain text. Als je dit niet beseft, ben je imho slecht bezig. Telkens ik een wachtwoord moet kiezen, maak ik een weloverwogen keuze gebaseerd op het vertrouwen in de website, het belang van de website, de gevoeligheid van de data en het (her)gebruik van het eventueel gebruikte wachtwoord.
T.net heeft in dit geval niet meer gedaan dan een hashed versie van onze wachtwoord proberen kraken, en indien de plain text gevonden is, de userid (zonder het wachtwoord erbij) in een tabelletje van "gebruikers met zwakke wachtwoorden" gezet. En ons hiervan vriendelijk op de hoogte gebracht. Dit is toch alleen maar goed?
En ja, het kan zijn dat men toch evil is, en nu van al deze "gebruikers met zwakke wachtwoorden" een lijst bestaat met hun username, email en het wachtwoord in plain text. Maar wat dan nog, dat konden ze 100 keer gemakkelijker doen, want we vullen het wachtwoord toch gewoon plaintext in telkens we inloggen?
Ffs; elke website waar je een wachtwoord invult kan jouw wachtwoord in plain text weten. Laten we tevreden zijn dat t.net ten minste moeite doet om het zo veilig mogelijk op te slaan, en de gebruiker te laten weten dat hij een zwak wachtwoord heeft.
Ow, en mijn wachtwoord was schijnbaar niet zwak, maar bestaat dan ook uit een reeks volledig random karakters. En het is ook enkel hier in gebruik, dus t.net mag het van mij gerust weten in plain text, want ze kunnen sowieso aan alle content hier op t.net. Lang leve PassPack, de pw manager die ikzelf gebruik en waarvan ik erg tevreden ben.
Als user geef kies je een wachtwoord voor je account, en je vult deze in. Zoals bij elke website waar je een account maakt, kan de website je wachtwoord opslaan zoals zij willen. Bijvoorbeeld in plain text. Als je dit niet beseft, ben je imho slecht bezig. Telkens ik een wachtwoord moet kiezen, maak ik een weloverwogen keuze gebaseerd op het vertrouwen in de website, het belang van de website, de gevoeligheid van de data en het (her)gebruik van het eventueel gebruikte wachtwoord.
T.net heeft in dit geval niet meer gedaan dan een hashed versie van onze wachtwoord proberen kraken, en indien de plain text gevonden is, de userid (zonder het wachtwoord erbij) in een tabelletje van "gebruikers met zwakke wachtwoorden" gezet. En ons hiervan vriendelijk op de hoogte gebracht. Dit is toch alleen maar goed?
En ja, het kan zijn dat men toch evil is, en nu van al deze "gebruikers met zwakke wachtwoorden" een lijst bestaat met hun username, email en het wachtwoord in plain text. Maar wat dan nog, dat konden ze 100 keer gemakkelijker doen, want we vullen het wachtwoord toch gewoon plaintext in telkens we inloggen?
Ffs; elke website waar je een wachtwoord invult kan jouw wachtwoord in plain text weten. Laten we tevreden zijn dat t.net ten minste moeite doet om het zo veilig mogelijk op te slaan, en de gebruiker te laten weten dat hij een zwak wachtwoord heeft.
Ow, en mijn wachtwoord was schijnbaar niet zwak, maar bestaat dan ook uit een reeks volledig random karakters. En het is ook enkel hier in gebruik, dus t.net mag het van mij gerust weten in plain text, want ze kunnen sowieso aan alle content hier op t.net
. Lang leve PassPack, de pw manager die ikzelf gebruik en waarvan ik erg tevreden ben.
[ Voor 11% gewijzigd door Ibex op 14-09-2011 22:22 ]
Archlinux - Rode gronddingetjes zijn lekker - Komt uit .be
Ik weet dat iedereen zijn mening geeft, maar er zijn blijkbaar dus géén juridische aanknopingspunten op basis waarvan je kunt zeggen dát het grijs is. Dus tot die tijd, kun je stellen dat het legaal is. Onschuldig tenzij het tegendeel bewezen is, toch?
Er staan inmiddels nog wat reacties op die blog van Arnoud, en daar zegt hij nog het volgende:
Er staan inmiddels nog wat reacties op die blog van Arnoud, en daar zegt hij nog het volgende:
Lijkt mij voldoende duidelijk.
Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana
Ik vind niet zoveel, ik weet dat we aan de goede kant zitten. Dat klinkt misschien arrogant maar ik heb niets gevonden waaruit zou blijken dat we ergens in overtreding zijn. Het tegendeel zie ik graag bewezen.
[ Voor 6% gewijzigd door zeef op 14-09-2011 23:12 ]
Verwijderd
Niet dat een wachtwoord een persoonlijk gegeven is, althans, hij zegt niets over het individu in kwestie, maar, ik denk dat de Wet Bescherming Persoongegevens best nog wel eens van toepassing zou kunnen zijn op deze kwestie. Met name omdat het dus wel een individueel gegeven is, het wachtwoord. Het zegt niets over het natuurlijk persoon maar het is wél een keuze van een natuurlijk persoon. Eén - om het wachtwoord uberhaupt te gebruiken en twee, om het betreffende wachtwoord te gebruiken.:
Ik vind niet zoveel, ik weet dat we aan de goede kant zitten. Dat klinkt misschien arrogant maar ik heb niets gevonden waaruit zou blijken dat we ergens in overtreding zijn. Het tegendeel zie ik graag bewezen.
In welk geval Tweakers.net toch wel eens echt in overtreding zou kunnen zijn. Maar, pin mij daar niet op vast, ik heb geen opleiding tot jurist genoten.
Hoe dan ook is het wel een grijs gebied, ik denk dat zelfs juristen nog heen en weer zouden bakkelijen over het punt of het nou wél of níet toegestaan is wachtwoorden in de eigen database te kraken, anoniem of niet.
Was onze database niet geregistreerd bij het College Bescherming Persoonsgegevens dan had je wellicht een punt gehad. De vraag daarbij is wel of een wachtwoord en een nickname herleidbare persoonsgegevens zijn. Is imho grijs gebied.
Zodra daar een mailadres of IP bij komt zeker wel.Maar onze database is netjes aangemeld, onze procedures zijn gedocumenteerd en als zodanig is Tweakers dus bij CBP geregistreerd en mogen we mogen deze persoonsgegevens verwerken. Dat is niet grijs, dat is niet zwart dat is helder wit als #ffffff
/u/33305/crop60893dfd18ede_cropped.png?f=community)
Yup, "Fi3t5b3l" is 'redelijk', zet er '#####' voor en er achter: "#####Fi3t5b3l#####" en hij is supersterk
Verwijderd
Ik doelde ook niet op het al dan niet mogen verwerken ervan, ik doelde op het moedwillig en zonder instemming manipuleren ervan.:
[...]
Was onze database niet geregistreerd bij het College Bescherming Persoonsgegevens dan had je wellicht een punt gehad. De vraag daarbij is wel of een wachtwoord en een nickname herleidbare persoonsgegevens zijn. Is imho grijs gebied.
Maar onze database is netjes aangemeld, onze procedures zijn gedocumenteerd en als zodanig is Tweakers dus bij CBP geregistreerd en mogen we mogen deze persoonsgegevens verwerken. Dat is niet grijs, dat is niet zwart dat is helder wit als #ffffff
Er is een verschil tussen verwerken en manipuleren in dezen. Verwerken in het kader van de WbP doelt meer gewoon op het aanhouden van die gegevens en manipuleren, zoals ik het bedoel, is een stapje verder. Uit context trekken, al dan niet indirect wijzigen, etc.
En met name het punt van het zonder instemming uitvoeren van dergelijke handelingen zou wel eens een punt kunnen zijn. Dat is namelijk zondermeer ook een belangrijk punt van de WbP, dat je de gegevens zoals je ze hebt van betreffende natuurlijke personen enkel en alleen mag verwerken zolang de betreffende natuurlijke personen ermee instemmen.
Enfin, het is hoe dan ook grijs en ik zou eigenlijk op dit moment wel een jurist willen horen erover. Kent iemand toevallig een jurist die enige expertise heeft op dit gebied?
Voor de volledigheid, ik zeg deze zaken niet omdat ik het persoonlijk afkeur. Al doe ik dat eigenlijk wel, maar dat terzijde. Nee, ik bracht dit punt even ter sprake omdat ik niet wil dat Tweakers.net, hoe goed de bedoelingen ook waren, in problemen komt.
En de reden dat ik het persoonlijk afkeur? Omdat het niet met instemming gebeurde, niet vooraf even is gemeld. Er geen opt-in/opt-out mogelijkheid was. Nogmaals, ik vind het initiatief zondermeer lovenswaardig, mensen kunnen niet verstandig genoeg met hun eigen gegevens omgaan en een goed wachtwoord maakt daar in deze tijd zondermeer deel van uit. Maar, ik had er graag vooraf even ingelicht willen worden. Niet om moedwilling vals te spelen door dan meteen mijn wachtwoord compleet onkraakbaar te maken, maar gewoon voor het principe ervan.
Daar kan ik me niet helemaal in vinden. Je hebt het namelijk over manipuleren, maar volgens mij is er niets gemanipuleerd. Er is een hash van jouw wachtwoord. En een programma probeert middels gokken via het hashing algoritme dezelfde input te vinden als jij gebruikt hebt voor jouw wachtwoord. Ik zie geen manipulatie in die methode In die zin is het niet anders als een programma dat gokt naar de geboortedatum die jij ingevuld hebt in je profiel, zonder dat het weet wat jouw geboortedatum daadwerkelijk is.
En wat betreft vragen naar juristen, je zit nu in discussie met één (zeef) en één van de bekendere internet/tech juristen Arnoud Engelfriet (hier nu al meermaals gelinked) heeft ook aangegeven dat er geen juridische haken en ogen aan het onderzoek zitten. Anders dan dat T.net voorzichtig moest zijn met de verkregen resultaten en dat waren ze ongetwijfeld.
In die zin is het niet anders als een programma dat gokt naar de geboortedatum die jij ingevuld hebt in je profiel, zonder dat het weet wat jouw geboortedatum daadwerkelijk is.En wat betreft vragen naar juristen, je zit nu in discussie met één (zeef) en één van de bekendere internet/tech juristen Arnoud Engelfriet (hier nu al meermaals gelinked) heeft ook aangegeven dat er geen juridische haken en ogen aan het onderzoek zitten. Anders dan dat T.net voorzichtig moest zijn met de verkregen resultaten en dat waren ze ongetwijfeld.
Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana
Ho, stop! Laat er geen misverstanden ontstaan : Er is op geen enkele manier gemanipuleerd met gegevens. Die beschuldiging werp ik verre van mij en mijn collega’s! Niets van de gegevens die we aantroffen is op enige manier veranderd of gewijzigd. Niet direct en ook niet indirect (al vraag ik me af wat indirect wijzigen is
). Er is door Tweakers geen bit gewijzigd in de database als gevolg van deze test. De beslissing om een wachtwoord te wijzigen ligt bij de leden, niet bij ons. Het zou je sieren als je die bewering terugneemt want dat is echt pertinent onwaar.Dan het verwerken van persoonsgegevens. Nogmaals : onze database is aangemeld bij het College Bescherming Persoonsgegevens (met registratienummer 1060922). Op het moment dat je je account in gebruik nam ben je akkoord gegaan met de algemene voorwaarden van Tweakers.net en daarin staat onder andere het volgende :
In het privacy statement worden de handelingen die onder de actieve verwerking van persoonsgegevens uitvoeren omschreven. Daar staat “om fraude en misbruik te voorkomen;” expliciet vermeld. De test die we hebben uitgevoerd heeft precies dat doel, fraude en misbruik voorkomen door onze leden te attenderen op een mogelijk zwak wachtwoord. Omdat deze verwerking expliciet is genoemd hoeft Tweakers daarvoor geen aparte toestemming te vragen. Er is trouwens geen opt in/ opt out voor de verwerking van persoonsgegevens anders dan het opheffen van je account of het niet invullen van de gegevens die je niet wil delen.
Concluderend : Ja, je hebt toestemming gegeven bij het activeren van je account voor de actieve verwerkingen van je persoonsgegevens door Tweakers.net. Nee, er is geen wet of regelgeving overtreden door Tweakers.net want de verwerking van persoonsgegevens is aangemeld bij het CBP en alles is gedaan volgens de protocollen die voorgeschreven zijn. Er is dus ook geen sprake van een grijs gebied. Tweakers is niet in de problemen geweest en komt daar ook niet door deze wachtwoorden test. Tenzij we de gegevensbestanden (die inmiddels al lang vernietigd zijn op een j definitieve manier) zouden uitlekken maar dat staat los van de toets rond rechtmatigheid en doelmatigheid van deze test.
Een ieder die het tegendeel juridisch onderbouwd kan bewijzen nodig ik van harte uit om dat te doen.
There I fixed it for u
Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum
In een minder technisch forum zou ik mij hier niet aan wagen, maar het is vrij simpel uit te leggen waarom een extra teken langer duurt, en hoeveel. (En hoe veilig een wachtwoord dan is).:
Dan heb je toch iets verkeerd gelezen.
Als je een cijfer toevoegt, duurt het brute forcen 10x zo lang.
Voeg je een hoofdletter toe, duurt het brute forcen 26x zo lang.
Voeg je een hoofdletter of cijfer toe, duurt het brute forcen 36x zo lang.
En ja, het is echt zo simpel als dat
Omgekeerd duurt een letter of cijfer minder 10x, 26x, 36x zo kort. Voor het gevoel wordt het bijvoorbeeld twee keer zo makkelijk, maar elk extra teken voegt echt een ongelofelijke hoeveelheid extra rekenwerk toe! De lengte per wachtwoord kennen maakt dan ook weinig uit. Alles tot 7 tekens proberen kost veel minder tijd als alles van precies 8 tekens proberen.
Oh no, you didn't.:
[...]
There I fixed it for u
Lees en laat het doordringen : zeef in "Wachtwoorden tweakers.net"
Recap :
- Database Tweakers.net aangemeld en geregistreerd bij CBP : Tweakers mag daardoor persoonsgegevens verwerken. Zie de Wet bescherming persoonsgegevens, hoofdstuk 4.
- De user gaat akkoord met de Algemene voorwaarden van Tweakers.net door in gebruik nemen account.
- In die algemene voorwaarden staat de verwerking van persoonsgegevens door Tweakers expliciet genoemd in artikel 11.1 onder verwijzing naar het privacy statement.
- In dat privacy statement staan de werkzaamheden opgenoemd die Tweakers.net kan en mag uitvoeren met de persoonsgegevens
- Een specifieke genoemd punt is fraudepreventie ofwel : het voorkomen van misbruik.
- Wat wij hebben gedaan is mensen wijzen op mogelijk risico op fraude/misbruik van je account. Er is verder geen bit gewijzigd van de gegevens die zijn gebruikt.
- Op statistische data en een lijst met user ID's na is er niets bewaard gebeleven van de test. Alle bestanden zijn vernietigd op een definitieve manier. De bewuste HDD is diverse malen overschreven zodat enige recovery absoluut onmogelijk is.
Dat het wachtwoord een (afgeleid) persoonsgegeven is zal best kloppen. Maar zelfs als de uitkomst van een hash-functie daarop ook een persoonsgegeven is, is er niets gemanipuleerd. We hebben de ons bekende hashes van wachtwoorden geprobeerd na te maken met allerlei woorden en tekenreeksen die we in korte tijd konden uitlezen of genereren.
Wel een interessant punt; Als het hashen van een wachtwoord een manipulatie is en dat verboden zou zijn, dan suggereer je zelfs dat het opslaan van en authenticeren met een wachtwoordhash verboden is... En dat lijkt me niet echt hard te maken?
:strip_exif()/u/4086/avatar3.gif?f=community){kind=avatar}
