Wachtwoorden tweakers.net

ManiacsHouse schreef op dinsdag 13 september 2011 @ 21:35:

Geen directe relatie nee. Maar wel degelijk een herleidbare relatie. De wachtwoorden zijn gekraakt en in die zin openbaar gemaakt. Mogelijk heeft niemand er naar gekeken, maar wie gegarandeerd ons dat?

Wie garandeert jou dat men niet gewoon voor het hashen jouw wachtwoord al afving? Een stuk makkelijker.

Waarom zou je iemand vertrouwen met jouw wachtwoord? Eigenlijk is er geen enkele reden om dat vertrouwen te hebben en alleen daarom zou je unieke wachtwoorden moeten gebruiken voor elke aparte service die je gebruikt.

Tweakers.net laat zien hoe eenvoudig websitebeheerders en serveradmins aan gegevens kunnen komen. Ze zeggen het tenminste nog. Maar het gebeurt letterlijk op allerlei niveaus dat er bestanden worden gestolen met gebruikersaccounts. Of dat nu extern gebeurt door een hacker, of intern door een ontevreden werknemer, het is niet eens zo gek om ervanuit te gaan dat die gegevens op straat liggen. Dit experiment maakt alleen even duidelijk hoe waanzinnig slecht "we" met onze veiligheid omgaan.

Met "we" bedoel ik natuurlijk niet jij en ik, maar die 95% van de bevolking die niets snapt van veiligheid. Hint: als het op Tweakers.net al zo'n schrikbarend cijfer is, hoe zou het dan zitten op sites voor niet-technische mensen? Ik gok dat het op het Vivaforum nog een heel stuk erger is.

ManiacsHouse schreef op dinsdag 13 september 2011 @ 21:35:
[...]

Tweakers.net BV... Tsja een bedrijf. En uiteindelijk gaan deze voor de poet. Toch? En in de hoedanigheid van een bedrijf hebben jullie redelijkerwijs het recht en de mogelijkheid om zo'n kunstje als dit te flikken. En daarna glashard te verkondigen dat men het mag en dat de users eigenlijk niet zo moeten zeiken.

Tsja, als je denkt dat we er alleen zijn om je een kunstje te flikken dan is het misschien tijd om je account op te zeggen. We hebben een analyse gemaakt van de kwetsbaarheid van wachtwoorden. We hebben géén wachtwoorden naar users herleid. En dan nog...

Laten we wel wezen, alle info die je met je account hebt verzameld achter een wachtwoord bij tweakers hebben we in principe toch al. Ik bedoel, stel we zouden je file stroage willen bekijken of je DM's dan kan dat prima zonder wachtwoord. Er is niets nieuws te vinden in je wachtwoord sec.

Misschien moet tweakers.net dan ook maar geen artikelen meer schrijven over mogelijk DPI door KPN. Dit is toen flink opgepakt als hot item want oh oh er kan weleens in de data zijn gegluurd en foei foei mag dat allemaal wel. Nu kraakt Tweakers.net BV even alle wachtwoorden van de users en zegt glashard dat er nooit een connectie is geweest tussen de user en het wachtwoord en dat noooooit iemand die wachtwoorden heeft gezien...

Het zal allemaal heel lief bedoeld zijn maar bij velen is de reactie toch WTF!?
[...]

Geen directe relatie nee. Maar wel degelijk een herleidbare relatie. De wachtwoorden zijn gekraakt en in die zin openbaar gemaakt. Mogelijk heeft niemand er naar gekeken, maar wie gegarandeerd ons dat?

Als je zo zeker van je zaak wilt zijn dat het systeem echt waterdicht is en zodoende niemand de wachtwoorden kan misbruiken dien je iedereen nu geforceerd een nieuw wachtwoord te laten aanmaken. Want je weet maar nooit. Maar dat kan ook weer niet, immers zal men gaan denken dat er toch iets niet in de haak is... Of was...

Openbaar maken is delen, is publiceren op een plek die vrij toegankelijk is. Wat er gedaan is, is de derde verdieping van ons kantoor niet afgekomen. Alle gebruikte data is inmiddels gewist.

Door ACM, dinsdag 13 september 2011 15:02

Neehoor. De gekraakte hashes zijn weer in een lijstje gezet en daar zijn de userids bij opgezocht. Vervolgens werd dat lijstje userids geimporteerd in de productiedatabase. De lijst gekraakte hashes noch de lijst gevonden wachtwoorden heeft zelfs maar op een productiesysteem gestaan.

Indirect is er uiteraard een koppeling te leggen, maar niet zo simpel als jij het voorstelt.

Het is de verantwoordelijkheid van de beheerder om te voorkomen dat het wachtwoord vaak genoeg geraden kan worden:
- online door na 5 pogingen het IP te blokkeren voor dat account voor 5 minuten enzovoort.
- offline door veilige databases (ik neem aan dat dat nu het geval is)

Dus als de database op straat beland zou zijn dan is dat nog steeds de verantwoordelijkheid van de beheerder en die zou dan ook nalatig geweest kunnen zijn.

Dus in dit geval vraag ik me af of Tweakers.net niet nalatig is geweest door blijkbaar zo laat over te stappen op een beter beveiligde database als met de huidige techniek de helft van de wachtwoorden in 16 minuten geraden kunnen worden.

[ Voor 7% gewijzigd door Soldaatje op 13-09-2011 22:19 . Reden: Eerste zin weggehaald ivm nuancering:"Eigenlijk is het helemaal niet de verantwoordelijkheid van de gebruiker om een sterk wachtwoord te hebben" ]

Gomez12 schreef op dinsdag 13 september 2011 @ 21:44:
[...]
Dat notaris jantje van bedrijf pietje het heeft gecontroleerd zegt mij ook niets meer dan dat ze misschien een willekeurig persoon van de website van pietje hebben gekozen...

Dan nog vond ik een gerenommeerd extern bedrijf met ervaring en aanzien op dit gebied een betere keuze. Dan heb je al 2 partijen betrokken. Niet voor niets zijn externe audits de de facto standaard.

Dit experiment maakt alleen even duidelijk hoe waanzinnig slecht "we" met onze veiligheid omgaan.

Aangevuld met hoe slecht beveiligd men het geheel opsloeg tot voor kort.

Waar tot nu toe iedereen aan voorbij lijkt te gaan is dat het onderzoek behalve PR (of dat positieve PR is of negatieve hangt duidelijk af van wie het leest want hoewel ik overtuigt ben van de goede bedoelingen zie ik ook wel parallellen met nieuwsitems over andere bedrijven waar geautomatiseerde inspectie minder rooskleurig in het nieuws werd gebracht) geen enkel doel lijkt te hebben gezien de wijze van opslag die getest is inmiddels is uitgefaseerd.

Zaken over goed huisvadersschap zijn niet meer dan een eigen interpretatie van de omschrijving. Zaken als "omdat een sysadmin dit nou eenmaal kan" willen ook niet zeggen dat het moedwillig achterhalen van gebruikerswachtwoorden OK is.

Wat mij persoonlijk stoort is dat men dit soort zaken uitvoert zonder de eerder genoemde full disclosure naar de betrokkenen en zonder vraag om toestemming vooraf.

Verwijderd schreef op dinsdag 13 september 2011 @ 21:47:
[...]
Hint: als het op Tweakers.net al zo'n schrikbarend cijfer is, hoe zou het dan zitten op sites voor niet-technische mensen? Ik gok dat het op het Vivaforum nog een heel stuk erger is.

Maar is het relevant?
Veiligheid is imho nog steeds een afweging tussen kosten en baten.

Zijn de baten erg laag (enkel een berichtje kunnen plaatsen op een website waar je normaal amper komt zonder verdere echte gevolgen) dan moeten wmb de kosten ook erg laag zijn.

Tuurlijk kan ik overal een generated 256-bits key voor gebruiken (indien mogelijk), maar waarom zou ik moeilijk doen als de baten laag zijn?

T.net heeft nog een V&A eraan hangen, maar viva-forum / 99% van de inet sites die om ww's vragen? Dat zal me echt mijn reet roesten of dat misbruikt wordt of niet.

Viva-forum zal ik vast ook wel een mailtje van in mijn mailbox hebben zitten van mijn vriendin

Soldaatje schreef op dinsdag 13 september 2011 @ 21:58:
Eigenlijk is het helemaal niet de verantwoordelijkheid van de gebruiker om een sterk wachtwoord te hebben, het is de verantwoordelijkheid van de beheerder om te voorkomen dat het wachtwoord vaak genoeg geraden kan worden:
- online door na 5 pogingen het IP te blokkeren voor dat account voor 5 minuten enzovoort.
- offline door veilige databases (ik neem aan dat dat nu het geval is)

Dus als de database op straat beland zou zijn dan is dat nog steeds de verantwoordelijkheid van de beheerder en die zou dan ook nalatig geweest kunnen zijn.

Dus in dit geval vraag ik me af of Tweakers.net niet nalatig is geweest door blijkbaar zo laat over te stappen op een beter beveiligde database als met de huidige techniek de helft van de wachtwoorden in 16 minuten geraden kunnen worden.

We hebben in ieder geval nalatigheid voorkomen. We nemen dit echt heel serieus. Daarom de security audit. Daarom de verhuizing van MD5 naar PBKDF2 en daarom ook deze oplettendheid. Hadden we dat allemaal niet gedaan of hadden we geweten van lekken maar niet gehandeld, dan is er sprake van aansprakelijkheid.

Nu is er wel een probleem bij die aansprakelijkheid dat je als benadeelde ook een op 'n zekere waarde objectiveerbaar verlies cq. schade moet hebben. Er moet een causaal verband zijn tussen nalatigheid en schade. Dat is weer een heel andere discussie.

Bor de Wollef schreef op dinsdag 13 september 2011 @ 21:58:
[...]


Dan nog vond ik een gerenommeerd extern bedrijf met ervaring en aanzien op dit gebied een betere keuze. Dan heb je al 2 partijen betrokken. Niet voor niets zijn externe audits de de facto standaard.


[...]


Aangevuld met hoe slecht beveiligd men het geheel opsloeg tot voor kort.

Waar tot nu toe iedereen aan voorbij lijkt te gaan is dat het onderzoek behalve PR (of dat positieve PR is of negatieve hangt duidelijk af van wie het leest want hoewel ik overtuigt ben van de goede bedoelingen zie ik ook wel parallellen met nieuwsitems over andere bedrijven waar geautomatiseerde inspectie minder rooskleurig in het nieuws werd gebracht) geen enkel doel lijkt te hebben gezien de wijze van opslag die getest is inmiddels is uitgefaseerd.

Zaken over goed huisvadersschap zijn niet meer dan een eigen interpretatie van de omschrijving. Zaken als "omdat een sysadmin dit nou eenmaal kan" willen ook niet zeggen dat het moedwillig achterhalen van gebruikerswachtwoorden OK is.

Wat mij persoonlijk stoort is dat men dit soort zaken uitvoert zonder de eerder genoemde full disclosure naar de betrokkenen en zonder vraag om toestemming vooraf.

Eigen interpretatie? Ik citeer slechts artikel 1781 BW boek 7a.

Even voor de duidelijkheid : we hebben geen wettelijke plicht om hier vooraf toestemming voor te moeten vragen. Wat je daar moreel van vind, daar kunnen we over twisten maar laat vooral heel duidelijk zijn dat er geen enkele wet over regelgeving met betrekking tot de veiligheid van onze data en jullie wachtwoorden overtreden is.

[ Voor 36% gewijzigd door zeef op 13-09-2011 22:10 ]

zeef schreef op dinsdag 13 september 2011 @ 21:55:
[...]
Tsja, als je denkt dat we er alleen zijn om je een kunstje te flikken dan is het misschien tijd om je account op te zeggen. We hebben een analyse gemaakt van de kwetsbaarheid van wachtwoorden. We hebben géén wachtwoorden naar users herleid. En dan nog...

Laten we wel wezen, alle info die je met je account hebt verzameld achter een wachtwoord bij tweakers hebben we in principe toch al. Ik bedoel, stel we zouden je file stroage willen bekijken of je DM's dan kan dat prima zonder wachtwoord. Er is niets nieuws te vinden in je wachtwoord sec.
[...]

Openbaar maken is delen, is publiceren op een plek die vrij toegankelijk is. Wat er gedaan is, is de derde verdieping van ons kantoor niet afgekomen. Alle gebruikte data is inmiddels gewist.


[...]

Jezus komen we weer met de opmerking "niet mee eens dan zeg je je account maar op". Tis dat je hier geen dikke vinger smilies hebt... Zeg ik ergens dat jullie er alleen maar zijn zodat jullie een kunstje kunnen flikken? Nee!

Wat men bij mensen nu creëert (o.a. bij mij en zeker niet alleen bij mij) is een gevoel van ze doen maar even omdat het hen goeddunkt en omdat het kan en omdat ze het mogen. Daarmede ook het gevoel dat je wel keihard kunt roepen dat het jullie darkroom op de 3de verdieping (waar niemand het bestaan van af weet en obscure tests worden gedaan) nooit is afgekomen... Maar wie garandeert dat? Tweakers.net die net een veiligheidstest heeft ondergaan en wel heel erg compleet op zijn muil gaat mocht er wel iets mis zijn gegaan. Daarentegen, als het mis was gegaan had er natuurlijk nooit enen haan naar gekraaid en was dit verhaal nooit de darkroom uitgekomen.

K_VL schreef op dinsdag 13 september 2011 @ 21:04:
Misschien is het handig om jullie "wachtwoordsterktemeter" ook even bij te werken...
Deze deelt dus foutief "redelijk, "vrij sterk", "sterk" en "supersterk" uit.

Dit dus

Mijn wachtwoord viel namelijk in de categorie "vrij sterk" (ja, ook ik heb eerst mijn oude wachtwoord ingevoerd om te zien wat mijn sterkte dan wel niet was). Ondanks dat kreeg ik ook het advies mijn wachtwoord te veranderen.

Niets meer dan lof van mijn kant uit als het om deze actie gaat, overigens!

Soldaatje schreef op dinsdag 13 september 2011 @ 21:58:
Eigenlijk is het helemaal niet de verantwoordelijkheid van de gebruiker om een sterk wachtwoord te hebben, het is de verantwoordelijkheid van de beheerder om te voorkomen dat het wachtwoord vaak genoeg geraden kan worden:
- online door na 5 pogingen het IP te blokkeren voor dat account voor 5 minuten enzovoort.
- offline door veilige databases (ik neem aan dat dat nu het geval is)

5 pogingen is zinloos en enkel irritant (al helemaal met 5 min), gemiddelde inet latency is veelal al voldoende.
Veilige offline databases bestaan niet... Geef iemand genoeg tijd en rekenkracht en alles is te breken. Anders kan je per half jaar wel weer een nieuw implementatie van je inlog-procedure maken.

Dus in dit geval vraag ik me af of Tweakers.net niet nalatig is geweest door blijkbaar zo laat over te stappen op een beter beveiligde database als met de huidige techniek de helft van de wachtwoorden in 16 minuten geraden kunnen worden.

T.net heeft hier dan wel giga-valsgespeeld, dbase offline en alles is bekend...

Bor de Wollef schreef op dinsdag 13 september 2011 @ 21:58:
[...]
Dan nog vond ik een gerenommeerd extern bedrijf met ervaring en aanzien op dit gebied een betere keuze. Dan heb je al 2 partijen betrokken. Niet voor niets zijn externe audits de de facto standaard.

Dit is toch niet bedoeld alszijnde officiele audit? Dit was toch simpel een testje / geintje wat ze eigenlijk elk moment van de dag kunnen doen, maar nu ook de resultaten bekend maken?

[...]
Waar tot nu toe iedereen aan voorbij lijkt te gaan is dat het onderzoek behalve PR ... geen enkel doel lijkt te hebben gezien de wijze van opslag die getest is inmiddels is uitgefaseerd.

Stukje bewustwording is zo af en toe ook niet verkeerd. Ik denk dat je dit groter ziet dan dat de bedoeling is.
Het is wmb een grappig stukje bewustwording wat gebruikt wordt als PR en voor de rest is het niets.

Wat mij persoonlijk stoort is dat men dit soort zaken uitvoert zonder de eerder genoemde full disclosure naar de betrokkenen en zonder vraag om toestemming vooraf.

Welke full disclosure wil je dan?
Een step-by-step youtube filmpje waarin alles getoond wordt zodat iedereen de tools / dictionary's op elke andere site kan nadoen?
En vraag om toestemming geeft een heel verkeerd beeld (of je moet het gaan combineren met laatste ww-wijziging en dan heel erg ingewikkelde berekeningen gaan maken om de mensen eruit te halen die een moeilijker ww hebben gemaakt enkel voor de test)

ManiacsHouse schreef op dinsdag 13 september 2011 @ 22:08:
[...]
Wat men bij mensen nu creëert (o.a. bij mij en zeker niet alleen bij mij) is een gevoel van ze doen maar even omdat het hen goeddunkt en omdat het kan en omdat ze het mogen. Daarmede ook het gevoel dat je wel keihard kunt roepen dat het jullie darkroom op de 3de verdieping (waar niemand het bestaan van af weet en obscure tests worden gedaan) nooit is afgekomen... Maar wie garandeert dat? Tweakers.net die net een veiligheidstest heeft ondergaan en wel heel erg compleet op zijn muil gaat mocht er wel iets mis zijn gegaan. Daarentegen, als het mis was gegaan had er natuurlijk nooit enen haan naar gekraaid en was dit verhaal nooit de darkroom uitgekomen.

Kan jij eens concreet uiteenzetten hoe ze (volgens jou) dit gevoel weg hadden kunnen nemen zonder van te voren info aan de gebruikers te geven?

Al hadden ze Fox-IT ingeschakeld dan zou het rapport nog steeds niet de dark-room verlaten hebben als het negatief was. Als het positief was dan zou je alsnog kunnen zeggen dat t.net Fox-IT genoeg in the picture heeft gezet de laatste tijd, dus zal het wel exposure voor gunstig rapport zijn geweest.
Je kan alles wel negatief uitleggen, op een gegeven moment komt het op vertrouwen uit.

Een echte audit zegt ook zo goed als totaal niets als de admin zo corrupt is als de pest (ja, uiteraard worden alle audits gelogged, uiteraard kan er niemand bij die log-bestanden behalve de admin, maar daarvoor rijdt hij ook een bmw x-5 dan schoont hij elke avond de audit logs op)

ManiacsHouse schreef op dinsdag 13 september 2011 @ 22:08:
[...]

Jezus komen we weer met de opmerking "niet mee eens dan zeg je je account maar op". Tis dat je hier geen dikke vinger smilies hebt... Zeg ik ergens dat jullie er alleen maar zijn zodat jullie een kunstje kunnen flikken? Nee!

ManiacsHouse schreef op dinsdag 13 september 2011 @ 21:35:
[...]

Tweakers.net BV... Tsja een bedrijf. En uiteindelijk gaan deze voor de poet. Toch? En in de hoedanigheid van een bedrijf hebben jullie redelijkerwijs het recht en de mogelijkheid om zo'n kunstje als dit te flikken. En daarna glashard te verkondigen dat men het mag en dat de users eigenlijk niet zo moeten zeiken.

Ook bij ons werken mensen met gevoel, met hart voor de user en voor de zaak. Als we dat niet hadden gehad dan waren er pas morgenochtend vanaf 9 uur antwoorden als we die überhaupt al willen geven. Het feit dat ACM, Wilbert, Rataplan en ik zei de gek in onze vrije tijd de moeite nemen om in te gaan op alle aantijgingen behoeft geen medaille of schouderklopje maar óók niet een passage zoals bovenstaand.

Wat men bij mensen nu creëert (o.a. bij mij en zeker niet alleen bij mij) is een gevoel van ze doen maar even omdat het hen goeddunkt en omdat het kan en omdat ze het mogen. Daarmede ook het gevoel dat je wel keihard kunt roepen dat het jullie darkroom op de 3de verdieping (waar niemand het bestaan van af weet en obscure tests worden gedaan) nooit is afgekomen... Maar wie garandeert dat? Tweakers.net die net een veiligheidstest heeft ondergaan en wel heel erg compleet op zijn muil gaat mocht er wel iets mis zijn gegaan. Daarentegen, als het mis was gegaan had er natuurlijk nooit enen haan naar gekraaid en was dit verhaal nooit de darkroom uitgekomen.

Waarom zou het ons goeddunken dat we iemand waarschuwen voor een mogelijk te zwak wachtwoord? Nogmaals, we hebben geen directe wachtwoorden herleid tot individuele users. Alles wat als kwetsbaar uit de test kwam is gematcht, niet het wachtwoord zelf. Misschien moet je even afstappen van het idee dat we in onze evil darkroom obscure tests uitvoeren om...om...ja, om wat eigenlijk?

Wat zou ik in vredesnaam met je wachtwoord moeten doen? Nou, stel dat ik je wachtwoord zou hebben. Hebben we dus niet en nooit gehad maar even voor de discussie. Dan kan ik misschien je hyves en/of je facebook of je gmail binnen. Wauw! Wat heeft Tweakers.net in vredesnaam aan die data? Echt helemaal niets. Waarom zouden we onze solide reputatie te grabbel gooien voor een paar wachtwoorden die geen zoden aan de dijk zetten?

Zou het misschien wel eens waar kunnen zijn? Dat we in onze obscure darkroom, zwemmend in alle geld gewoon proberen om onze users te helpen? Dat we graag willen dat je account veilig is? Nee... dat kan toch niet waar zijn.

zeef schreef op dinsdag 13 september 2011 @ 22:20:
Zou het misschien wel eens waar kunnen zijn? Dat we in onze obscure darkroom, zwemmend in alle geld gewoon proberen om onze users te helpen? Dat we graag willen dat je account veilig is? Nee... dat kan toch niet waar zijn.

Had je dan niet een audit op de nieuwe database moeten doen ipv op de oude die inmiddels is vervangen omdat T.net ervan op de hoogte was dat de beveiliging daarvan onvoldoende was

Eigen interpretatie? Ik citeer slechts artikel 1781 BW boek 7a.

Dat de term huisvader genoemd is lijkt me evident. Wat er onder goed huisvaderschap wordt verstaan is echter niet zo heel erg duidelijk en men kan zich afvragen of het moedwillig achterhalen van een beveiliging daar wel onder valt. Dat bedoel ik met eigen interpretatie

[ Voor 26% gewijzigd door Bor op 13-09-2011 22:24 ]

Bor de Wollef schreef op dinsdag 13 september 2011 @ 22:22:
Had je dan niet een audit op de nieuwe database moeten doen ipv op de oude die inmiddels is vervangen omdat T.net ervan op de hoogte was dat de beveiliging daarvan onvoldoende was

Wie weet wat in de toekomst nog gaan doen... darkroom.... hmmm

Dat de term huisvader genoemd is lijkt me evident. Wat er onder goed huisvaderschap wordt verstaan is echter niet zo heel erg duidelijk en men kan zich afvragen of het moedwillig achterhalen van een beveiliging daar wel onder valt. Dat bedoel ik met eigen interpretatie

Er is meer dan voldoende jurisprudentie over de invulling van die term. Ook als je naar de databankenwet kijkt is er geen enkele inbreuk geweest door Tweakers als producent van onze eigen database.

[ Voor 7% gewijzigd door zeef op 13-09-2011 22:35 ]

Bor de Wollef schreef op dinsdag 13 september 2011 @ 22:22:
[...]
Had je dan niet een audit op de nieuwe database moeten doen ipv op de oude die inmiddels is vervangen omdat T.net ervan op de hoogte was dat de beveiliging daarvan onvoldoende was

Heb je het dan niet over iets heel anders als wat hier gebeurt is?

Heb je het dan niet simpelweg over een complete security audit... Appels - Peren

Gomez12 schreef op dinsdag 13 september 2011 @ 22:30:
[...]

Heb je het dan niet over iets heel anders als wat hier gebeurt is?

Heb je het dan niet simpelweg over een complete security audit... Appels - Peren

Niet noodzakelijk. Nu de beveiliging al is aangepast is het onderzoek van veel minder waarde toch?

zeef schreef op dinsdag 13 september 2011 @ 22:30:
[...]

Er is meer dan voldoende jurisprudentie over de invulling van die term.

Anything in deze richting gevonden? Het moedwillig achterhalen / omzeilen van beveiliging uit oogpunt van goed huisvaderschap? Ik ben benieuwd

[ Voor 31% gewijzigd door Bor op 13-09-2011 22:36 ]

Bor de Wollef schreef op dinsdag 13 september 2011 @ 22:33:
[...]
Niet noodzakelijk. Nu de beveiliging al is aangepast is het onderzoek van veel minder waarde.

De t.net kant van het onderzoek is redelijk waardeloos geworden door het veranderen van de t.net kant. Maar dit kunnen ze elke week testen zonder iets te zeggen.

Maar de user-kant (de sterkte van een user-wachtwoord) heeft toch nog steeds dezelfde waarde? Dit zou juist weer waardeloos worden door het los te koppelen / niet mede te delen.

Maarja, ik zie het ook als niet meer dan een leuke gimmick die hopelijk wat bewustwording creeert.

Bor de Wollef schreef op dinsdag 13 september 2011 @ 22:33:
Anything in deze richting gevonden? Het moedwillig achterhalen / omzeilen van beveiliging uit oogpunt van goed huisvaderschap? Ik ben benieuwd

Nee, de term goed huisvaderschap sec is voldoende omschreven. Ik bedoelde daarmee aan te geven dat wij gehouden zijn om zorgvuldig met jullie auteursrechtelijke beschermde werken om te gaan. Daaronder verstaan we niet alleen optreden tegen inbreuk door derden maar ook het bewaren van de integriteit. Iemand die je mogelijk makkelijk te achterhalen wachtwoord misbruikt om je posts te veranderen pleegt ook een inbreuk op je auteursrecht.

De aanname die je maakt rond Het moedwillig achterhalen / omzeilen van beveiliging gaat mank. Als producent/eigenaar van de databank kunnen we in onze eigen database nooit iets moedwillig achterhalen of omzeilen. Dat doe je alleen als je onrechtmatig toegang hebt verkregen of als er een duidelijke afspraak is tussen partijen omtrent de toegang tot bepaalde data. Aangezien aan geen van beide voorwaarden is voldaan, immers we zijn eigenaar en er is geen clausule die toegang verbied, hebben we te allen tijde rechtmatige toegang tot die gegevens.

Gomez12 schreef op dinsdag 13 september 2011 @ 22:39:

Maarja, ik zie het ook als niet meer dan een leuke gimmick die hopelijk wat bewustwording creeert.

Volgens mij was dat dan ook de bedoeling en is de rest vooral een hoop geschreeuw om niets.

Mensen moeten gewoon af en toe nadenken over beveiliging, vertrouwen, etcetera. En als je dan van jezelf weet dat het goed zit, dan haal je je schouders op en ga je weer verder.

Rataplan schreef op dinsdag 13 september 2011 @ 18:01:
We maken geen informatie over de gebruikte tools en lijsten bekend. Andre-85 in "Wachtwoorden tweakers.net" had dat helemaal juist gesnopen

Als je het mij vraagt: ik vind het slap.

Zoals ACM al zegt zijn die tools prima te vinden, de lijsten zijn ook prima te vinden. Ik heb ze waarschijnlijk zelfs allang staan. Tweakers vinden het interessant om te weten welke tool hier nou precies gebruikt is. Scriptkiddies vinden toch wel wat ze zoeken. Dus wat heb je eraan om er geheimzinnig over te doen?

Ik vind het verder een prima actie hoor, begrijp me niet verkeerd.

Een vraag die ik al op twitter had gegooit:
Gaan jullie deze analyse binnenkort herhalen om te zien wat de effecten van deze post zijn?

Booster schreef op dinsdag 13 september 2011 @ 23:03:
[...]

Als je het mij vraagt: ik vind het slap.

Zoals ACM al zegt zijn die tools prima te vinden, de lijsten zijn ook prima te vinden. Ik heb ze waarschijnlijk zelfs allang staan. Tweakers vinden het interessant om te weten welke tool hier nou precies gebruikt is. Scriptkiddies vinden toch wel wat ze zoeken. Dus wat heb je eraan om er geheimzinnig over te doen?

Imho zijn er tools te vinden en zijn er lijsten te vinden. Maar specifiek de lijsten waarmee dit gedaan is hebben toch wel enige waarde.

100 random lijsten van het inet plukken en achter elkaar plakken geeft volgens mij niet automatisch ditzelfde resultaat (je zal eerst moeten ontdubbelen, dan nog ervoor zorgen dat je niet enkel engelse lijsten hebt etc. etc.)
Net zo met tools, ik kan perfect een powershellscriptje schrijven wat het voor je doet. Moet je alleen ongeveer een miljoen keer langer wachten...

Het vereist waarschijnlijk iets meer werk dan 10 minuten googlen zonder kennis wil je dezelfde tijd halen.

Naar mijn mening geef ik een 10 voor het idee maar een 4 voor de uitvoering.

Ook ik ben van mening dat de kraak alleen met toestemming van de user gedaan zou mogen.
Ik heb schijnbaar ook een slecht WW, niet dat dit mij wat uitmaakt voor tweakers dus heb het ook niet aangepast.

Verwijderd schreef op dinsdag 13 september 2011 @ 23:51:
Naar mijn mening geef ik een 10 voor het idee maar een 4 voor de uitvoering.

Ook ik ben van mening dat de kraak alleen met toestemming van de user gedaan zou mogen.
Ik heb schijnbaar ook een slecht WW, niet dat dit mij wat uitmaakt voor tweakers dus heb het ook niet aangepast.

2 vraagjes :
1. Had je van te voren het idee dat je een slecht ww had?
2. Had je als je meedeed aan een vrijwillige test je "slechte" ww gewijzigd voordat de test begon om er beter uit te komen?

Voornamelijk vraag 2 zou denk ik redelijk veel gebeuren en de test waardeloos maken.
Tuurlijk zou je iets kunnen verzinnen als : Vorige maand een copy van de user-base maken en dan toestemming vragen om over die copie te draaien etc. etc.
Maar dan zit je jezelf enkel maar in een technische bocht te wurmen en waarom?

Booster schreef op dinsdag 13 september 2011 @ 23:03:
Gaan jullie deze analyse binnenkort herhalen om te zien wat de effecten van deze post zijn?

Nee, onze verbeterde opslag maakt dat ook voor onszelf vrijwel onmogelijk. Het kan in ieder geval voorlopig niet zo makkelijk en efficient als met de gebruikte GPGPU-crackers.

Gomez12 schreef op dinsdag 13 september 2011 @ 23:17:
Imho zijn er tools te vinden en zijn er lijsten te vinden. Maar specifiek de lijsten waarmee dit gedaan is hebben toch wel enige waarde.

Dat valt wel mee, mocht je ooit een lijst md5-hashes willen kraken, dan is het vrij eenvoudig om een grote lijst wachtwoorden en andere termen te vinden. 't Is niet alsof wij zoveel betere google-skills hebben dan gewone bezoekers... Het belangrijkste wat wij wel hadden en de meeste anderen niet, was die lijst met hashes.

100 random lijsten van het inet plukken en achter elkaar plakken geeft volgens mij niet automatisch ditzelfde resultaat (je zal eerst moeten ontdubbelen, dan nog ervoor zorgen dat je niet enkel engelse lijsten hebt etc. etc.)

Met de juiste tool is ontdubbelen etc allemaal niet zo boeiend. Bovendien is het niet erg moeilijk om te doen. Dat kan je al bereiken met wat commandline unix tools ('sort -u' enzo)

Net zo met tools, ik kan perfect een powershellscriptje schrijven wat het voor je doet. Moet je alleen ongeveer een miljoen keer langer wachten...

Als je echt wil, kan jij vast wel een gpgpu-cracker vinden

Het vereist waarschijnlijk iets meer werk dan 10 minuten googlen zonder kennis wil je dezelfde tijd halen.

Maar die kennis hebben wij ook grotendeels door de google-zoektocht zelf opgedaan. Niet van de benodigde techniek, maar welk van welke tools er dan voor waren.

Booster schreef op dinsdag 13 september 2011 @ 23:03:

Gaan jullie deze analyse binnenkort herhalen om te zien wat de effecten van deze post zijn?

quote: http://tweakers.net/react...=Posting&ParentID=4966740

Onze vernieuwde opslag zorgt er voor dat we deze test niet kunnen herhalen. Het zou zelfs als er passende GPGPU-crackers zouden bestaan dan meerdere orde-groottes langer duren om door te rekenen. En bovendien zouden we het dan per wachtwoord moeten herhalen, waar het nu in een batch-operatie kon.

   

[ Voor 4% gewijzigd door Rataplan op 14-09-2011 00:01 ]

ik wist dat ik een slecht wachtwoord had. Ik heb vrijwel overal een slecht wachtwoord.
Ik heb me alleen pas vandaag gerealiseerd wat voor beveiligingsrisico het hier inhoudt,dus op zich ben ik blij dat tweakers het gedaan heeft.

Ik denk dat tweakers alleen beter had moeten uitleggen wat de risico's zijn. Dat iemand op jouw naam berichten gaat plaatsen, is maar een heel klein probleem. En dat is het enige waar de meeste mensen aan denken.

Overigens: waren er ook mods/admins/e.d. met zwakke wachtwoorden? (nieuwsgierigheid)

ACM schreef op woensdag 14 september 2011 @ 00:00:
[...]
Dat valt wel mee, mocht je ooit een lijst md5-hashes willen kraken, dan is het vrij eenvoudig om een grote lijst wachtwoorden en andere termen te vinden. 't Is niet alsof wij zoveel betere google-skills hebben dan gewone bezoekers... Het belangrijkste wat wij wel hadden en de meeste anderen niet, was die lijst met hashes.

Is er toch iets vanuit de achteruitgang van de dark-room ontsnapt dat enkel de meeste anderen ze niet hebben

[...]
Met de juiste tool is ontdubbelen etc allemaal niet zo boeiend. Bovendien is het niet erg moeilijk om te doen. Dat kan je al bereiken met wat commandline unix tools ('sort -u' enzo)

Er is toch wel een verschil tussen niet zo boeiend en een exacte lijst met tools inclusief linkjes naar de how-to's om ze te gebruiken...

Quacka schreef op woensdag 14 september 2011 @ 00:01:
Overigens: waren er ook mods/admins/e.d. met zwakke wachtwoorden? (nieuwsgierigheid)

Ik heb zo een vermoeden waar dat 0 karakters wachtwoord vandaan komt en ik vermoed niet dat dat een regular user was... (en ik vermoed ook niet dat je met dat account op de website kan inloggen)
Hetzelfde met de 1 en 2 en 3-karakter wachtwoorden dat zal allemaal rond de begintijd van t.net ontstaan zijn (toen er nog geen restricties waren) of naderhand door iemand met db-access erin gepropt.
Grote kans dat dat of meubels of hoger zijn.

[ Voor 26% gewijzigd door Gomez12 op 14-09-2011 00:15 ]

Quacka schreef op woensdag 14 september 2011 @ 00:01:
ik wist dat ik een slecht wachtwoord had. Ik heb vrijwel overal een slecht wachtwoord.
Ik heb me alleen pas vandaag gerealiseerd wat voor beveiligingsrisico het hier inhoudt,dus op zich ben ik blij dat tweakers het gedaan heeft.

Ik denk dat tweakers alleen beter had moeten uitleggen wat de risico's zijn. Dat iemand op jouw naam berichten gaat plaatsen, is maar een heel klein probleem. En dat is het enige waar de meeste mensen aan denken.

Overigens: waren er ook mods/admins/e.d. met zwakke wachtwoorden? (nieuwsgierigheid)

De MoaM corveelijst is vandaag weer wat langer geworden.

Rataplan schreef op dinsdag 13 september 2011 @ 17:51:
[...]

Wut? Waar zie jij NB staan?

Er staat geen nb er staat nota bene. Alleen nota bene zet je niet in die context onder een artikel. Nota bene is een uitroep a la "rutte is nota bene mp van ons land!" terwijl wat jullie bedoelen "nader belicht" is, bv

Tweakers is een nerdsite
Nb: nerd als in computergeek

Oid.

8088 schreef op woensdag 14 september 2011 @ 00:38:

offtopic:
Nota bene is een uitdrukking om aandacht te vragen, als in 'merk op' of 'let wel.' De toepassing hier is dus volledig correct.

Check.

zeef schreef op woensdag 14 september 2011 @ 00:15:
[...]

De MoaM corveelijst is vandaag weer wat langer geworden.

Dus de uitkomsten zijn niet uitsluitend gebruikt t.b.v. de statistieken maar dus ook inhoudelijk doorgenomen? Of interpreteer ik dit antwoord nu verkeerd?

13 tekens, hoofd- én kleine letters, cijfers, leestekens... ja, veel succes. Geen bericht ontvangen, had ik eerlijk gezegd ook niet verwacht. *grin*

En voor een mens erg gemakkelijk te onthouden. Zo moeilijk is het niet om een voor het menselijk brein gemakkelijk te onthouden wachtwoord samen te stellen dat voor een machine echt heel lastig is om te kraken.

Jullie kunnen wel blijven neuzelen over het gebruikte encryptiealgoritme, maar da's net zoiets als klagen over de muren van Fort Knox en vervolgens de deur afsluiten met een dropveter. Je wachtwoord is een essentieel onderdeel van de beveiliging, de verantwoordelijkheid daarvoor ligt bij de gebruiker, of je dat nou leuk vindt of niet. Kritiek mag natuurlijk altijd, maar wat mij betreft heeft het geen pas om te gaan zeuren en vervolgens vast te blijven houden aan die dropveter. Neem eerst je eigen verantwoordelijkheid.

Verder is het zo dat iedere keer dat je inlogt je zelf vrijwillig je wachtwoord in plain-text aan t.net geeft. Als je er niet op vertrouwt dat daar geen misbruik van gemaakt wordt moet je dus nooit meer inloggen en je wachtwoord laten verwijderen. Dat is de enige manier om een absolute garantie te krijgen dat niemend jouw wachtwoord inziet.

Met andere woorden: iedere keer dat je inlogt geef je tweakers.net dat vertrouwen, het is absurd om daar bij dit onderzoek ineens een punt van te maken. Zoals anderen ook al zeiden is er geen enkele reden waarom er nu ineens misbruik van gemaakt zou worden terwijl er makkelijkere en betere methoden zijn die toegepast kunnen worden zonder dat iemand er iets van merkt (vrij handig als je mensen wil belazeren). Afgezien van het feit dat tweakers.net dat wantrouwen in mijn ogen niet verdient.

Mag ik nu uit de darkroom? Alsjeblieft?

[ Voor 197% gewijzigd door Verwijderd op 14-09-2011 05:10 ]

Gomez12 schreef op woensdag 14 september 2011 @ 00:12:
Is er toch iets vanuit de achteruitgang van de dark-room ontsnapt dat enkel de meeste anderen ze niet hebben

Er sowieso diverse lijsten met hashes achterhaald en (zelfs gepubliceerd?) bij allerlei hacks. Vandaar dat ik 'de meeste anderen' gebruikte

Er is toch wel een verschil tussen niet zo boeiend en een exacte lijst met tools inclusief linkjes naar de how-to's om ze te gebruiken...

Ik ben meerdere tools tegengekomen die ongeveer hetzelfde leken te werken. En hoewel het allemaal heel mysterieus klinkt je zou met ieder van die tools vergelijkbare resultaten hebben kunnen boeken. Hetzelfde geldt voor de lijsten met wachtwoorden en andere bekende termen. Wat is uberhaupt de reden dat je zo doorvraagt ernaar? Nieuwsgierighied? Of hoop je op die manier een soort validatie van de gebruikte methode te kunnen doen? (of heb je zelf een lijst hashes en nog geen efficiente manier gevonden ze te kraken? )

Hetzelfde met de 1 en 2 en 3-karakter wachtwoorden dat zal allemaal rond de begintijd van t.net ontstaan zijn (toen er nog geen restricties waren)

Klopt, dat zal voor het gros van de slechte wachtwoorden gelden, iig alles korter dan 8 tekens

Gomez12 schreef op dinsdag 13 september 2011 @ 23:55:
[...]

2 vraagjes :
1. Had je van te voren het idee dat je een slecht ww had?
2. Had je als je meedeed aan een vrijwillige test je "slechte" ww gewijzigd voordat de test begon om er beter uit te komen?

Voornamelijk vraag 2 zou denk ik redelijk veel gebeuren en de test waardeloos maken.
Tuurlijk zou je iets kunnen verzinnen als : Vorige maand een copy van de user-base maken en dan toestemming vragen om over die copie te draaien etc. etc.
Maar dan zit je jezelf enkel maar in een technische bocht te wurmen en waarom?

Ja ik gebruik 2 soorten wachtwoorden.

Voor sites waarbij het het niet veel voor me uit maakt mocht die gehackt worden gebruik ik een simpele wachtwoord. Voor belangrijke zaken heb ik wel een zeer sterk wachtwoord van 10 random tekens combi hoofdletters klein en tekens.

Ja ik denk dat ik wel had meegedaan als die vraag gekomen was. Maar Had het ww niet veranderd omdat ik weet dat deze slecht is en dat een bewuste keuze is.

zeef schreef op dinsdag 13 september 2011 @ 20:29:
Wat je vind is niet van belang in dit deel van mijn antwoord, het gaat er om of we dit mogen. Ja, we mogen dit doen binnen ons operationeel en juridisch kader. Dat bedoel ik aan te geven door de achtergrond te schetsen. Op geen enkel moment is enige wet of regelgeving geschonden.

Dat is jouw mening

Maar aangezien ik tot nu toe nooit gemerkt heb dat jij een jurist bent neem ik jouw mening niet zomaar voor waarheid aan.
Als bv iemand als Around Engelfriet zou melden dat jullie dit mogen, dan neem ik dat eerder aan.

Laat ik het omkeren, stel dat we de analyse hadden gedaan en houders van zwakke wachtwoorden niet hadden gewaarschuwd, waren we dan een goede beheerder geweest?

Maar het is maar de vraag of het wel allemaal van die zwakke wachtwoorden waren.
Mijn wachtwoord kon ook gekraakt worden terwijl het echt bepaald geen zwak wachtwoord was.
Naar mijn mening is de conclusie van T.net een beetje kort door de bocht. Er word nu erg naar de users gewezen, maar wat jullie voornamelijk hebben aangetoond is dat encryptie op de databases vrij makkelijk doorbroken kon worden.
Wat nou als je een week langer hadden uitgetrokken voor het hacken. Had je dan de rest van de passwords ook kunnen kraken? In dat geval krijg je namelijk nogal andere conclusies over de sterkte van passwords.


Ik trek de volgende conclusies uit het hele verhaal.
- Deze wachtwoorden konden alleen maar zo snel geacked worden omdat de "hacker" de vrije beschikking had over de database.
- In die specifieke situatie word ook een vrij sterk wachtwoord snel gehacked als de beveiliging op basis van md5 is.
- T.net heeft de beveiliging van de database wel verbeterd, maar vele anders sites zullen dit nog niet gedaan hebben. Als je dus hetzelfde password gebruikt voor verschillende sites, dan ben je dus nog steeds kwetsbaar als zo'n andere site md5 gebruikt.

De belangrijkste conclusie die ik trek is dat je vooral moet zorgen dat je voor elke site een ander wachtwoord gebruikt.

mjtdevries schreef op woensdag 14 september 2011 @ 09:54:
[...]

Dat is jouw mening

Maar aangezien ik tot nu toe nooit gemerkt heb dat jij een jurist bent neem ik jouw mening niet zomaar voor waarheid aan.
Als bv iemand als Around Engelfriet zou melden dat jullie dit mogen, dan neem ik dat eerder aan.


[...]

http://blog.iusmentis.com...orden-gebruikers-mag-dat/

mjtdevries schreef op woensdag 14 september 2011 @ 09:54:
[...]

Maar aangezien ik tot nu toe nooit gemerkt heb dat jij een jurist bent neem ik jouw mening niet zomaar voor waarheid aan.
Als bv iemand als Around Engelfriet zou melden dat jullie dit mogen, dan neem ik dat eerder aan.

Zie boven mij, en je weet dat zeef in het verleden werkte bij T.net als legal consultant hé? Het is/was zijn taak dit soort dingen te weten.

[...]

Ik trek de volgende conclusies uit het hele verhaal.
- Deze wachtwoorden konden alleen maar zo snel geacked worden omdat de "hacker" de vrije beschikking had over de database.

Natuurlijk. Als je geen hashes hebt, kun je ook geen wachtwoorden achterhalen. En toegang brute forcen via het login formulier is v.z.i.w. onmogelijk.

- In die specifieke situatie word ook een vrij sterk wachtwoord snel gehacked als de beveiliging op basis van md5 is.

Dat hangt van je definitie van sterk af. Lengte is alles bij brute forcen. Ik heb zelf laatst met dit soort tools gespeeld en ik schrok me de pleuris hoe snel een wachtwoord met hoofdletters, kleine letters en cijfers van 8 karakters of korter te bruteforcen valt met een hedendaagse videokaart. Minder dan 16 minuten dus. Maak er 10 karakters van en het werd meteen een héél stuk moeilijker, volgens mij zat ik toen op gemiddeld 7 dagen (14 dagen om de hele zoekruimte te doorzoeken).

- T.net heeft de beveiliging van de database wel verbeterd, maar vele anders sites zullen dit nog niet gedaan hebben. Als je dus hetzelfde password gebruikt voor verschillende sites, dan ben je dus nog steeds kwetsbaar als zo'n andere site md5 gebruikt.

Dat is dus de reden dat ondanks de beveiligingsupgrades van T.net, zo'n wachtwoordtest nog steeds interessant is voor de gebruikers. Het zet mensen aan het denken.

De belangrijkste conclusie die ik trek is dat je vooral moet zorgen dat je voor elke site een ander wachtwoord gebruikt.

QFT.

mjtdevries schreef op woensdag 14 september 2011 @ 09:54:
[...]

Maar het is maar de vraag of het wel allemaal van die zwakke wachtwoorden waren.

Tuurlijk waren het zwakke wachtwoorden, ze waren in een half uurtje gehackt! De definitie van zwakke wachtwoorden is dat ze snel te hacken zijn.

Mijn wachtwoord kon ook gekraakt worden terwijl het echt bepaald geen zwak wachtwoord was.

Terwijl jij vond dat het geen zwak wachtwoord had moeten zijn. Dat is jouw mening, maar absoluut geen feit: het feit dat het ding in een half uurtje gekraakt is maakt je wachtwoord zwak.

Naar mijn mening is de conclusie van T.net een beetje kort door de bocht. Er word nu erg naar de users gewezen, maar wat jullie voornamelijk hebben aangetoond is dat encryptie op de databases vrij makkelijk doorbroken kon worden.

Naar mijn mening, als iemand die niet al te lang geleden nog eens een half jaartje security audits op het bedrijfsnetwerk van zijn werkgever gedaan heeft, is jouw afschuiven van de "schuld" van jouw wachtwoord zwakte op t.net een beetje kort door de bocht. Veel mensen, vooral ITers, geloven niet dat de lengte, niet de complexiteit, van een wachtwoord bepalend is voor de hackbaarheid. Ja, md5 is sneller te hacken dan nieuwe technieken (daarom wordt het uitgefaseerd tenslotte) maar jouw zwakke wachtwoord is veel sneller gehackt dan een sterk wachtwoord.

Probeer dit te vatten: jouw wachtwoord is ZWAK. Dat er veel lettertjes, cijfers en leestekens in zitten maakt het niet ineens "sterk" omdat een mens het niet kan raden: het gaat er om dat een computer het kan hacken.

Wat nou als je een week langer hadden uitgetrokken voor het hacken. Had je dan de rest van de passwords ook kunnen kraken? In dat geval krijg je namelijk nogal andere conclusies over de sterkte van passwords.

De definitie van sterke vs zwakke wachtwoorden stekt hem in de tijd die je nodig hebt om het ding te hacken. Een half uur is érg kort. Nu zeggen "als je een week per wachtwoord neemt, is bijna alles zwak" is behalve kinderachtig ("mijn wachtwoord is niet zwak, jullie hacken te goed") ook nog eens onjuist: als je een databeest met een kwart miljoen accounts hebt, dan wil je zo veel mogelijk van die accounts snel gehackt hebben, en doe je dus een pass op de hele DB met een korte time-out. Elke pass verleng je de time-out en elke pass krijg je dus meer accounts. Hoe langer het duurt voor een account gekraakt wordt hoe veiliger het dus is/was. Als je de time-out op een week zet dan heb je voor een kwart miljoen accounts dus een kwart miljoen weken nodig. Ik ga niet eens uitrekenen hoe lang dat is: dat is zelfs langer dan een vergadering met de Health and Safety afdeling. Als je voor een kwart miljoen accounts een half uur toe laat is dat ook best langig ( >14 jaar als je ze in serie zou doen) maar, zoals aangetoond in dit onderzoekje, is dat met parallelle verwerking goed te doen.

Je blijf tmaar volhouden dat je wachtwoord sterk is, ondanks dat het in een half uurtje gehackt werd. Dat is een beetje zoals m'n nichtje doet, als ze volhoudt dat ze écht heel goed haar huiswerk gedaan heeft ondanks dat ik niets zie dan één velletje met twee half afgekrabblde sommetjes.

Ik trek de volgende conclusies uit het hele verhaal.
- Deze wachtwoorden konden alleen maar zo snel geacked worden omdat de "hacker" de vrije beschikking had over de database.

Het scenario dat gesimuleerd werd was volgens het artikel dat de database gejat werd en vervolgens gehackt.

- In die specifieke situatie word ook een vrij sterk wachtwoord snel gehacked als de beveiliging op basis van md5 is.

Je wachtwoord was niet sterk!

- T.net heeft de beveiliging van de database wel verbeterd, maar vele anders sites zullen dit nog niet gedaan hebben. Als je dus hetzelfde password gebruikt voor verschillende sites, dan ben je dus nog steeds kwetsbaar als zo'n andere site md5 gebruikt.

De belangrijkste conclusie die ik trek is dat je vooral moet zorgen dat je voor elke site een ander wachtwoord gebruikt.

QFT

Herman87 schreef op woensdag 14 september 2011 @ 01:14:
[...]

Dus de uitkomsten zijn niet uitsluitend gebruikt t.b.v. de statistieken maar dus ook inhoudelijk doorgenomen? Of interpreteer ik dit antwoord nu verkeerd?

Zeef maakt natuurlijk een grapje, mocht je dat nog niet begrijpen. In de crewfora loopt ook een draadje over wie er allemaal een zwak wachtwoorde hebben / hadden.

Edmin schreef op woensdag 14 september 2011 @ 10:56:
[...]



Zeef maakt natuurlijk een grapje, mocht je dat nog niet begrijpen. In de crewfora loopt ook een draadje over wie er allemaal een zwak wachtwoorde hebben / hadden.

Wat eventueel wel grappig zou zijn is een checkje, ergens komende week, hoevele mensen na het posten van dat artikel hun wachtwoord gewijzigd hebben
Ik heb het vermoeden dat dat er nogal wat zijn.

ik denk dat dit er maar weinig zijn. Het boeit mensen niet, omdat tweakers niet goed heeft uitgelegd wat de risico's zijn. Hadden ze dat wel gedaan, dan zouden meer mensen hun wachtwoord hebben gewijzigd.

Edmin schreef op woensdag 14 september 2011 @ 10:56:
[...]



Zeef maakt natuurlijk een grapje, mocht je dat nog niet begrijpen. In de crewfora loopt ook een draadje over wie er allemaal een zwak wachtwoorde hebben / hadden.

Ok Gelukkig.

Ik had overigens al een vermoeden dat het niet serieus was, maar omdat ik twijfelde heb ik toch die vraag toch gesteld.

Edmin schreef op woensdag 14 september 2011 @ 10:56:
Zeef maakt natuurlijk een grapje, mocht je dat nog niet begrijpen. In de crewfora loopt ook een draadje over wie er allemaal een zwak wachtwoorde hebben / hadden.

Er zijn inderdaad een paar crewleden die zich impliciet hebben opgegeven voor het corvee

Maar die hebben zich dus zélf gemeld binnen de crewfora. Even voor de duidelijkheid

Cloud schreef op woensdag 14 september 2011 @ 11:58:
Maar die hebben zich dus zélf gemeld binnen de crewfora. Even voor de duidelijkheid

pff, een "simpele query" door een DB-dude en je kan zo achterhalen welke crewleden die DM hebben ontvangen

Verwijderd schreef op woensdag 14 september 2011 @ 10:52:
[...]
Terwijl jij vond dat het geen zwak wachtwoord had moeten zijn. Dat is jouw mening, maar absoluut geen feit: het feit dat het ding in een half uurtje gekraakt is maakt je wachtwoord zwak.

Nee. Het betekent alleen maar dat het password zwak is voor de gebruikte encryptie methode.

Je kunt die twee niet apart van elkaar zien. Het zijn twee onderdelen die samen er voor zorgen dat het password niet snel te hacken is. Als het snel te hacken was, dan was de combinatie niet sterk genoeg.
Je kunt het zaakje verbeteren door een langer password te maken, maar ook door een sterkere encryptie in te zetten.

De eigenlijke vraag is nu of de zwaardere encryptie voldoende is voor de komende jaren, of dat de standaard aangaande wat een 'sterk' password is omhoog moet. (Dus bijvoorbeeld minimaal 10 karakters i.p.v. 8 vereisen...)

Verwijderd schreef op woensdag 14 september 2011 @ 10:52:
Het scenario dat gesimuleerd werd was volgens het artikel dat de database gejat werd en vervolgens gehackt.

Jammer dat jij niet op een volwassen manier antwoord wilde geven op mijn opmerkingen. Maar die opmerking van je wil ik wel op reageren.

De redactie geeft aan dat in een half uur de helft van de accounts gekraakt was en dat in enkele uren alle mogelijke wachtwoorden van 8 karakters gekraakt konden worden. (ook een volledig willekeurige wachtwoord van 8 tekens).

Als de database gejat word dan stopt een hacker niet na 30 minuten. Die heeft wel een weekje de tijd.
Op dat punt is het scenario dus niet erg realistisch.

Dat is waar ik op doelde met die tijdsperiode. Stel dat je in een week tijd 99% van de wachtwoorden kunt kraken. Dan zou je moeten concluderen dat 99% van de wachtwoorden zwak zijn.

Die 30 minuten is nogal kort om daar de scheidslijn te leggen.

[ Voor 3% gewijzigd door mjtdevries op 14-09-2011 12:30 ]

mjtdevries schreef op woensdag 14 september 2011 @ 12:30:
[...]
Dat is waar ik op doelde met die tijdsperiode. Stel dat je in een week tijd 99% van de wachtwoorden kunt kraken. Dan zou je moeten concluderen dat 99% van de wachtwoorden zwak zijn.

Die 30 minuten is nogal kort om daar de scheidslijn te leggen.

Misschien dat je dan kan concluderen dat 99% van de wachtwoorden zwak zijn, maar diegene die onder de 30 minuten gekraakt zijn die zijn dan extreem zwak...

Er zit nu eenmaal een gradatieverschil tussen binnen een week te kraken en binnen 30 min te kraken.

Binnen 30 min is bijna per definitie geen sterk wachtwoord, dan kan je gaan discussieren over de mate van zwakheid, maar dat is imho meer mierenneuken...

Verwijderd schreef op woensdag 14 september 2011 @ 12:22:
[...]


Nee. Het betekent alleen maar dat het password zwak is voor de gebruikte encryptie methode.

Klopt. Helaas wordt die hashing methode nog op heel veel sites gebruikt. Gelukkig hier niet meer, maar dat maakt nog steeds jouw wachtwoord zwak in heel veel gevallen. Daar komt nog bij dat jij van vrijwel geen sites weet hóe en óf zij je wachtwoord hashen. Dat je de twee niet los kunt zien is waar, maar dat neemt niet weg dat je wachtwoord gewoon zwak was.

Dat T.net ervoor zorgt dat zelfs zwakke wachtwoorden lastig te bruteforcen zijn bij een gestolen T.net database is natuurlijk allemaal extra. MD5 wordt dan wel als onveilig gezien, ook SHA2 zal te bruteforcen zijn als je wachtwoord maar zwak genoeg is. Methoden als de nu door T.net gebruikte zijn beter, gezien ze kunnen meegroeien met de computerkracht.

mjtdevries schreef op woensdag 14 september 2011 @ 12:30:
[...]
De redactie geeft aan dat in een half uur de helft van de accounts gekraakt was en dat in enkele uren alle mogelijke wachtwoorden van 8 karakters gekraakt konden worden. (ook een volledig willekeurige wachtwoord van 8 tekens).

Dan heb je toch iets verkeerd gelezen. Er stond niet 'enkele uren' maar 'vele uren'. Ze hebben dat niet daadwerkelijk gedaan. Bij mijn eigen test duurde het zo'n 7 minuten om een 8-karakter wachtwoord te bruteforcen. Dat was dan letters+cijfers, en voor één wachtwoord. Een database van 300.000+ wachtwoorden bruteforcen duurt dan wel even, zéker als je niet de lengte per wachtwoord kent.

Wat je misschien zou kunnen doen is alle doorzochte mogelijkheden opslaan op schijf, maar dat zal de snelheid er flink uithalen en ik heb geen idee hoeveel ruimte dat zou vereisen. Dan maak je je eigen rainbow table, alleen dan met willekeurige inhoud. Ik vermoed dat dat gigantisch veel ruimte eist.

Als de database gejat word dan stopt een hacker niet na 30 minuten. Die heeft wel een weekje de tijd.
Dat is waar ik op doelde met die tijdsperiode.
Stel dat je in een week tijd 99% van de wachtwoorden kunt kraken. Dan zou je moeten concluderen dat 99% van de wachtwoorden zwak zijn.

Nee dat gaat niet op. T.net heeft heel specifiek met een woordenlijst gewerkt, denken dat je dus 99% van de wachtenwoorden vindt met die woordenlijst klopt niet. De tool die ze gebruikten vergelijkt álle wachtwoordhashes met hashes van die woordenlijst en vond toen voor de helft de oplossing. Langer draaien heeft geen zin, want hij had alle opties dus al uitgeput. Je haalt bruteforcen (karakter voor karakter) door elkaar met de methode die T.net gebruikte (woordenlijsten).

Die 30 minuten is nogal kort om daar de scheidslijn te leggen.

Het is meer het feit dat zoveel wachtwoorden te vinden zijn middels woordenlijsten dat problematisch is, vind ik zelf. En dat had misschien ook wel wat duidelijker in het artikel mogen staan. Feit blijft natuurlijk dat de tijden veranderen en eens veilige wachtwoorden nu niets meer voorstellen.

Misschien dat ik te simpel denk, maar maakt een minimum van 8 karakters het niet makkelijker voor hackers?

Percentueel gezien zullen veel meer mensen nu een wachtwoord van 8 karakters hebben. Daar zou ik me als hacker dus op richten. Dat maakt hacken iets makkelijker, lijkt me. Je hoeft alleen maar op die lengte te controleren.

Is het minimum bijv 4 karakters, dan zullen vele mensen toch een langer wachtwoord kiezen.
Hackers kunnen moeilijker inschatten hoe lang de meeste wachtwoorden zijn. 5-6-7-8-9?
Het aantal mogelijke combinaties wordt dan dus veel groter en het zoeken duurt langer.

Feit is dat een wachtwoord van 5 karakters natuurlijk vele malen onveiliger is, maar het helpt wel om de lengte meer te randomiseren. Dat verhoogt de veiligheid van de mensen met een wachtwoord van 8 karakters.

Mwa is misschien een beetje een onterecht gevoel van veiligheid. Toen ik hier tests mee deed, doorzocht de tool bruteforce alle wachtwoorden t/m 5 karakters zo snel dat ik het niet kon volgen. Ik denk dat je meer hebt aan een minimum van 10 karakters voorlopig. 10 lijkt namelijk vooralsnog genoeg om bruteforce te ontmoedigen, zelfs op md5.

Maar goed, bruteforcen is sowieso vrij kansloos geworden met de methode die T.net nu geïmplementeerd heeft. Ook met een lengte van 8 karakters.

N.a.v. dit topic eens kijken waar het allemaal over ging Ik zag / zie namelijk geen gele balk wat blijkbaar betekent dat ik dus een redelijk sterk wachtwoord heb wat niet zo 123 te kraken is.

Is er een percentage bekend van de totale hoeveelheid sterke en zwakke wachtwoorden?

Ik gebruik zelf vaak wachtwoorden waarin letters vervangen worden door cijfers. Vermoedelijk wordt daardoor een wachtwoord juist sterker omdat het brute force lang duurt?

[ Voor 19% gewijzigd door Frostbite op 14-09-2011 13:24 ]

Kleine bug - sinds dit hele verhaal is gaan spelen moet ik iedere keer als ik in wil loggen mijn wachtwoord tweemaal invoeren. Eerste maal krijg ik de foutmelding terug dat de combinatie user/wachtwoord niet klopt.

Eén keer, goed, dan wil ik het wel geloven dat ik een tikfout heb gemaakt... maar, iedere keer als ik inlog? Sorry, die vlieger gaat niet op.

Om uit te sluiten dat het hem zat in het overnemen van mijn bestaande wachtwoord naar de nieuwe vorm van encryptie heb ik geprobeerd mijn wachtwoord te wijzigen, kijken of dat verbetering bracht. Zelfde probleem.

Ik mag hopen dat dit niet intended behaviour is, m'n nieuwe wachtwoord is dusdanig lang dat ik RSI krijg als ik hem te vaak moet invullen.

Verwijderd schreef op woensdag 14 september 2011 @ 13:22:
Kleine bug - sinds dit hele verhaal is gaan spelen moet ik iedere keer als ik in wil loggen mijn wachtwoord tweemaal invoeren. Eerste maal krijg ik de foutmelding terug dat de combinatie user/wachtwoord niet klopt.

Eén keer, goed, dan wil ik het wel geloven dat ik een tikfout heb gemaakt... maar, iedere keer als ik inlog? Sorry, die vlieger gaat niet op.

Om uit te sluiten dat het hem zat in het overnemen van mijn bestaande wachtwoord naar de nieuwe vorm van encryptie heb ik geprobeerd mijn wachtwoord te wijzigen, kijken of dat verbetering bracht. Zelfde probleem.

Ik mag hopen dat dit niet intended behaviour is, m'n nieuwe wachtwoord is dusdanig lang dat ik RSI krijg als ik hem te vaak moet invullen.

Daar speelt nog een issue die niet gerelateerd is aan de wijzigingen met betrekking tot het wachtwoord maar met sessie-management en het gebruik van sessie-id als token te maken heeft. Daar zijn we al naar aan het kijken. Het kan voornamelijk optreden als je vanuit een schone browsersessie (dus geen tweakers.net cookies) direct naar de login pagina gaat.

iig zijn we daarmee bezig, dus hopelijk kunnen we dit binnenkort ook fixen

crisp schreef op woensdag 14 september 2011 @ 13:38:
iig zijn we daarmee bezig, dus hopelijk kunnen we dit binnenkort ook fixen

zeef schreef op dinsdag 13 september 2011 @ 22:20:
Wat zou ik in vredesnaam met je wachtwoord moeten doen? Nou, stel dat ik je wachtwoord zou hebben. Hebben we dus niet en nooit gehad maar even voor de discussie. Dan kan ik misschien je hyves en/of je facebook of je gmail binnen. Wauw! Wat heeft Tweakers.net in vredesnaam aan die data? Echt helemaal niets. Waarom zouden we onze solide reputatie te grabbel gooien voor een paar wachtwoorden die geen zoden aan de dijk zetten?

Zeef snap jij het dan niet, die gegevens kun je verkopen.
Ik heb wel eens in artikeltjes op een website van dacht ik tweakers.net gelezen dat er mensen zijn die daar veel geld voor over hebben.
Als je er ook nog de emailadressen bij doet willen ze vast nog meer betalen.

Zeef zie je het al niet helemaal voor je:

Sc0rPi0N schreef op woensdag 14 september 2011 @ 13:22:
Ik gebruik zelf vaak wachtwoorden waarin letters vervangen worden door cijfers. Vermoedelijk wordt daardoor een wachtwoord juist sterker omdat het brute force lang duurt?

Nauwelijks. De meest voorkomende variaties daarop (een o vervangen door 0 enzo) worden door intelligente tools ook wel geprobeerd, want veel mensen denken dat het daarmee veiliger is.

DarkShadow16 schreef op woensdag 14 september 2011 @ 14:25:
Zeef zie je het al niet helemaal voor je:
[afbeelding]

Momenteel hebben we structurele inkomsten. Die gaan we niet opgeven - want dat is een onvermijdelijke consequentie - voor incidentele inkomsten

DarkShadow16 schreef op woensdag 14 september 2011 @ 14:25:
[...]


Zeef snap jij het dan niet, die gegevens kun je verkopen.
Ik heb wel eens in artikeltjes op een website van dacht ik tweakers.net gelezen dat er mensen zijn die daar veel geld voor over hebben.
Als je er ook nog de emailadressen bij doet willen ze vast nog meer betalen.

Zeef zie je het al niet helemaal voor je:
[afbeelding]

Nou wat zou een bestand opleveren met wachtwoorden en mailadressen? Tienduizenden dollars? Misschien een ton? Dacht je nou serieus dat we voor dat eenmalige geld een bedrijf als Tweakers op het spel gaan zetten? Structureel verdienen we een veelvoud van dat bedrag. Kort om, dat soort complottheorieën geloof je toch niet.

[edit] : wat hij zegt dus

[ Voor 6% gewijzigd door zeef op 14-09-2011 15:23 ]

Sc0rPi0N schreef op woensdag 14 september 2011 @ 13:22:
[...]

Ik gebruik zelf vaak wachtwoorden waarin letters vervangen worden door cijfers. Vermoedelijk wordt daardoor een wachtwoord juist sterker omdat het brute force lang duurt?

Je kunt beter een compleet willekeurig woord aan je gekozen wachtwoord vastplakken. Verwisselen van letters door cijfers heeft niet zoveel zin meer, lengte is belangrijker. Stel je hebt als creatie bedacht: 'p0mp1d0m'. In zijn huidige vorm is het nog enigszins te onthouden, echter maar acht karakters lang. Plak er een willekeurig woord aan vast en je wachtwoord is in één klap best sterk. Dan heb je bijvoorbeeld 'p0mp1d0mKoffie'. Of 'p0mp1d0mFietskar'.

Cloud schreef op woensdag 14 september 2011 @ 15:34:
[...]

Je kunt beter een compleet willekeurig woord aan je gekozen wachtwoord vastplakken. Verwisselen van letters door cijfers heeft niet zoveel zin meer, lengte is belangrijker. Stel je hebt als creatie bedacht: 'p0mp1d0m'. In zijn huidige vorm is het nog enigszins te onthouden, echter maar acht karakters lang. Plak er een willekeurig woord aan vast en je wachtwoord is in één klap best sterk. Dan heb je bijvoorbeeld 'p0mp1d0mKoffie'. Of 'p0mp1d0mFietskar'.

Ach het mijne is langer dan acht karakters en op zich niet zo veel ingewikkeld. Dus 'vreemd' dat ik dan geen balk heb. Misschien dat mijn wachtwoord net buiten de zwakkere valt omdat die bijvoorbeeld nog simpelere hebben

Al moet ik zeggen dat sinds ik een keer op een spoof site mijn steam-wachtwoord stom heb ingevuld en mijn steam account 'kwijt' was (was gelijk aangepast ) en tot de conclusie kwam dat dat wachtwoord ook aan mijn Paypal account hing waarmee direct van mijn bankrekening betaalt kon worden Toen direct alles aangepast (bankrekening losgekoppelt van PP) en diverse sterke wachtwoorden verzonnen en in een Keepass db gezet.

Als ik zo nu en dan lees dat er weer eens een site gehackt is via een SQL injectie en de database gewoon openbaar gemaakt wordt met wachtwoorden dan is het zeker wel handig om verschillende wachtwoorden te hebben op verschillende sites.

Op het werk gebruiken we nu ook 1 database want anders is het niet te doen.

[ Voor 32% gewijzigd door Frostbite op 14-09-2011 16:24 ]

*grin*

Nieuw wachtwoord gemaakt dus, voor Tweakers.net. Ik denk - laat ik eens kijken hoe andere diensten/websites er op reageren.

PayPal - Error.

Want... te lang. ROFL. Wat, het zijn 'maar' 24 characters. Niet zeuren, PayPal.

Verwijderd schreef op woensdag 14 september 2011 @ 16:22:
*grin*

Nieuw wachtwoord gemaakt dus, voor Tweakers.net. Ik denk - laat ik eens kijken hoe andere diensten/websites er op reageren.

PayPal - Error.

Want... te lang. ROFL. Wat, het zijn 'maar' 24 characters. Niet zeuren, PayPal.

6 tot 8 karakters: mag bestaan uit A-Z, a-z, 0-9 of een liggende streepje. Het wachtwoord mag niet hetzelfde zijn als uw loginnaam en het wactwoord moet minimaal één hoofdletter of cijfer bevatten

Wachtwoordbeleid van Zeelandnet BV.

Maximaal 8 tekens ?!!!?

Sc0rPi0N schreef op woensdag 14 september 2011 @ 16:27:
[...]


[...]

Wachtwoordbeleid van Zeelandnet BV.

Maximaal 8 tekens ?!!!?

Club Nintendo - geen leestekens toegestaan. zucht.

Daar kwam ik een tijd terug al achter. Dus, ik Nintendo maar eens aangeschreven. "Jongens, hoe zit dat nou, gaan we daar wat aan doen op korte termijn?"

Antwoord - Nee.

Juuuuuuuuuuuuuuist. Alleen maar letters en cijfers. Lekker veilig. Nou kun je op zich een voldoende veilig systeem en wachtwoord bouwen op enkel cijfers en letters, maar, om leestekens (zelfs de meest gangbare) volledig uit te sluiten?

Aan falend wachtwoordbeleid op de verschillende sites zou je ook nog wel een nieuwsartikel kunnen wijden inderdaad.

Het is aan de ene kant mooi, zo'n wachtwoord samengesteld uit wat woorden maar je komt regelmatig problemen ermee tegen. Sites eisen een cijfer, sites eisen een speciaal teken (maar accepteren de spatie weer niet ), site eisen hoofdletters. Maar een maximale lengte van 8 karakters is inderdaad wel heel stom.

Gelukkig is er KeePass waarmee ik voor elke site een ander wachtwoord kan genereren en opslaan. Voor veel sites weet ik tegenwoordig het wachtwoord ook niet eens, dat pluk ik gewoon uit KP als ik het nodig heb

Laatst nog had ik voor mijn werk een wachtwoord nodig voor een forum om een nieuwe versie van hun software op te halen. Ik kwam er niet meer in dus ik bellen. (Ze werken btw met een wordpress forum)


Ik> Hallo ik ben mijn wachtwoord kwijt van account 'bladiebla'
Helpdesk < Oh dan zal ik even kijken ... Ja ik heb het hier
Ik > ..? (huh?)
Helpdesk < Je hebt er wel wat moois van gemaakt
Ik > huh (wtf) !
Helpdesk< Het is .....
Ik > Oh bedankt maar kunnen jullie dat zien dan???
Helpdesk < Ja dat weten mensen niet...
Ik > Oh leuk dat ik het nu weet
Helpdesk < Ja soms bellen mensen voor hun wachtwoord en dan hebben we een 'erg bijzonder' wachtwoord wat we dan ook door moeten geven.

Op eens of andere manier vind ik dat dus echt niet kunnen.

[ Voor 11% gewijzigd door Frostbite op 14-09-2011 16:47 ]

Sc0rPi0N schreef op woensdag 14 september 2011 @ 16:43:
Helpdesk
< Ja dat weten mensen niet...

En dat moet het goed praten op de een of andere manier?...

Verwijderd schreef op woensdag 14 september 2011 @ 16:45:
[...]

En dat moet het goed praten op de een of andere manier?...

Dat bedoel ik dus. Ik was echt verbaasd dat ze het plain text kon zien. Ik ging er zonder meer van uit dat ik zoals gebruikelijk een reset zou krijgen, waarna ik het zelf weer kan aanpassen.

Ligt er een beetje aan hoe je het bekijkt. Is het account voor persoon X of is het account voor functie X?

Folks, nogmaals, hier graag geen discussie over hoe je het beste een kwalitatief goed wachtwoord uitzoekt/opzet. We hebben twee artikelen op de FP die zich daar uitstekend voor lenen

Edmin schreef op woensdag 14 september 2011 @ 16:50:
Ligt er een beetje aan hoe je het bekijkt. Is het account voor persoon X of is het account voor functie X?

Het is een account op mijn naam om van hun site een updates te halen en in een forum te reageren.En gelukkig is het een wachtwoord wat ik nergens anders gebruik maar toch.

Rataplan schreef op woensdag 14 september 2011 @ 16:55:
[mbr]Folks, nogmaals, hier graag geen discussie over hoe je het beste een kwalitatief goed wachtwoord uitzoekt/opzet. We hebben twee artikelen op de FP die zich daar uitstekend voor lenen :)[/]

voor de mensen die het niet kunnen onthouden!

kijk eens naar keepass ;-) *zorg dan wel voor een bijzonder goed (hoofd)wachtwoord!

Cloud schreef op woensdag 14 september 2011 @ 12:49:
Wat je misschien zou kunnen doen is alle doorzochte mogelijkheden opslaan op schijf, maar dat zal de snelheid er flink uithalen en ik heb geen idee hoeveel ruimte dat zou vereisen. Dan maak je je eigen rainbow table, alleen dan met willekeurige inhoud. Ik vermoed dat dat gigantisch veel ruimte eist.

Ik denk dat er weinig storage-arrays zijn die zo snel de combinaties op kunnen slaan 't Ging iig om een richting de 0.5 biljoen. Zelfs als die allemaal slechts 1 byte groot zijn, zou dat alsnog 500GB aan data zijn. Maar die combinaties zijn waarschijnlijk eerder 30 bytes ofzo...

Nee dat gaat niet op. T.net heeft heel specifiek met een woordenlijst gewerkt, denken dat je dus 99% van de wachtenwoorden vindt met die woordenlijst klopt niet. De tool die ze gebruikten vergelijkt álle wachtwoordhashes met hashes van die woordenlijst en vond toen voor de helft de oplossing. Langer draaien heeft geen zin, want hij had alle opties dus al uitgeput. Je haalt bruteforcen (karakter voor karakter) door elkaar met de methode die T.net gebruikte (woordenlijsten).

Dat is niet helemaal waar. We hebben ook 'gewoon' gebruteforced. De gebruikte tool bevatte meerdere aanvalsmogelijkheden; woordenlijsten, combinaties van woorden in woordenlijsten, varianten op woordenlijsten, volledig bruteforcen met diverse karaktersets en/of bepaalde patronen. Tot en met 5 tekens was het secondewerk om gewoon alles te brute forcen. Daarna hadden we geen zin meer om te wachten op de bruteforce-tijd, 7 compleet willekeurige tekens was al een paar uur ofzo, 8 een stuk langer. Als je je alleen beperkt tot letters en cijfers valt het uiteraard wel een stuk mee.

Feit blijft natuurlijk dat de tijden veranderen en eens veilige wachtwoorden nu niets meer voorstellen.

Maar op zich is de argumentatie van bezoekers die het over zwakte van het algoritme hebben wel waar. Het is in beginsel de verantwoordelijkheid van de bezoeker om een wachtwoord te kiezen dat niet binnen acceptabele tijd te 'brute forcen' is via de login-pagina, zelfs als daar geen beveiliging op zit. Oftewel, zodra het een beetje willekeurig is, zit dat eigenlijk wel goed.
Tegen gekraakte opslag aan de serverzijde kan je je beter wapenen door voor elke site (of groep sites) een uniek wachtwoord te hanteren en 'm te wijzigen zodra je de indruk krijgt dat ie gecompromiteerd kan zijn.

't Probleem is dus inderdaad vooral dat mensen met een zwak wachtwoord erover na moeten denken of ze dat wel op de juiste manier gebruiken. Als je ervoor kiest om eenvoudige wachtwoorden te gebruiken, zorg er dan voor dat ie niet herbruikbaar is door hackers.

[ Voor 4% gewijzigd door ACM op 14-09-2011 17:24 ]

zeef schreef op woensdag 14 september 2011 @ 15:20:
[...]

Nou wat zou een bestand opleveren met wachtwoorden en mailadressen? Tienduizenden dollars? Misschien een ton? Dacht je nou serieus dat we voor dat eenmalige geld een bedrijf als Tweakers op het spel gaan zetten? Structureel verdienen we een veelvoud van dat bedrag. Kort om, dat soort complottheorieën geloof je toch niet.

[edit] : wat hij zegt dus

Nee tuurlijk gaan jullie dat niet doen. Dit was ook maar een grapje, maar dat had je vast wel door toch?
Ik ben alleen maar blij dat jullie dit zo serieus nemen en zorgen dat onze data goed beveiligd is.

ACM schreef op woensdag 14 september 2011 @ 17:22:
Ik denk dat er weinig storage-arrays zijn die zo snel de combinaties op kunnen slaan 't Ging iig om een richting de 0.5 biljoen. Zelfs als die allemaal slechts 1 byte groot zijn, zou dat alsnog 500GB aan data zijn. Maar die combinaties zijn waarschijnlijk eerder 30 bytes ofzo...

Zoiets vermoedde ik inderdaad al. Dat is niet praktisch meer uit te voeren. En dus zul je per wachtwoord apart moeten bruteforcen; en dat doe je niet voor zo'n onderzoek als dit. Tenminste niet met 300.000 hashes

Dat is niet helemaal waar. We hebben ook 'gewoon' gebruteforced. De gebruikte tool bevatte meerdere aanvalsmogelijkheden; woordenlijsten, combinaties van woorden in woordenlijsten, varianten op woordenlijsten, volledig bruteforcen met diverse karaktersets en/of bepaalde patronen. Tot en met 5 tekens was het secondewerk om gewoon alles te brute forcen. Daarna hadden we geen zin meer om te wachten op de bruteforce-tijd, 7 compleet willekeurige tekens was al een paar uur ofzo, 8 een stuk langer. Als je je alleen beperkt tot letters en cijfers valt het uiteraard wel een stuk mee.

[...]

Dat was mij op zich ook wel duidelijk, ik bedoelde meer te zeggen dat jullie niet de gehele database na hebben lopen rekenen middels bruteforce. Die acties met woordenlijsten kun je nog eenvoudig over je hele dataset laten gaan, dat duurt niet zo super lang. Combinaties ook nog wel, tot op zekere hoogte. Alles bruteforcen is gekkenwerk. Ik wilde slechts aangeven dat stellen dat na één week 99% gevonden zou zijn, compleet niet opgaat.

Zat er al een tijdje aan te denken en heb nu drie lange woorden. Supersterk! Dit ga ik ook voor andere zaken doen!

zeef schreef op dinsdag 13 september 2011 @ 22:42:
[...]
De aanname die je maakt rond Het moedwillig achterhalen / omzeilen van beveiliging gaat mank. Als producent/eigenaar van de databank kunnen we in onze eigen database nooit iets moedwillig achterhalen of omzeilen. Dat doe je alleen als je onrechtmatig toegang hebt verkregen of als er een duidelijke afspraak is tussen partijen omtrent de toegang tot bepaalde data. Aangezien aan geen van beide voorwaarden is voldaan, immers we zijn eigenaar en er is geen clausule die toegang verbied, hebben we te allen tijde rechtmatige toegang tot die gegevens.

Eigenlijk zeg je hierboven dat alle informatie in de systemen van T.net, inclusief wachtwoorden (welke imho gewoon persoonlijk zijn) eigendom zijn van T.net ipv van de gebruiker. Ik denk niet dat het (juridisch) zo makkelijk ligt; zeker niet bij een wachtwoord wat niet meer dan een beveiligingsmaatregel is. Ik lees meer een eigen interpretatie van regels, richtlijnen etc. Hetzelfde met het goed huisvaderschap waarvan ik nog steeds alleen persoonlijke interpretaties lees. Of ga jij thuis ook alle combinaties van een kluis proberen wanneer je op iemands huis past?

[ Voor 7% gewijzigd door Bor op 14-09-2011 19:30 ]

mjtdevries schreef op woensdag 14 september 2011 @ 09:54:
Ik trek de volgende conclusies uit het hele verhaal.
- In die specifieke situatie word ook een vrij sterk wachtwoord snel gehacked als de beveiliging op basis van md5 is.

Verwijderd schreef op woensdag 14 september 2011 @ 12:22:
Nee. Het betekent alleen maar dat het password zwak is voor de gebruikte encryptie methode.

Cloud schreef op woensdag 14 september 2011 @ 12:49:
Klopt.

Allemaal fout. We hebben het hier over een dictionary attack. Simpel gezegd is dat het uitproberen van verschillende wachtwoorden, net zo lang tot je het juiste gevonden hebt. Je kunt domweg alle mogelijkheden proberen (brute-force) of het wat intelligenter aanpakken (rainbowtables, woordenlijsten). Hoe dan ook, de manier waarop de wachtwoorden zijn opgeslagen doet er niets toe, aangezien je niet probeert de encryptie te breken. De veiligheid van het gebruikte wachtwoord wordt dus niet beïnvloed door het gebruikte encryptiealgoritme.

Uiteraard is het zo dat een dictionary-attack normaalgesproken via het login-formulier moet en dat dat e.e.a. tegenwerkt, maar dat is een secundaire beveiliging. De primaire beveiling is het wachtwoord zelf, als het weken of jaren duurt om een wachtwoord te achterhalen is het praktisch nut van het achterhalen van dat wachtwoord 0 en is je beveiliging dus afdoende, zelfs als de complete database gejat zou worden. Dat is wat hier getest is. De verantwoordelijkheid daarvoor ligt bij de gebruiker en die zal dus een fatsoenlijk wachtwoord moeten gebruiken, aangezien de beveiliging van zijn profiel anders niet voldoende is.

Verwijderd schreef op woensdag 14 september 2011 @ 12:22:
Je kunt die twee niet apart van elkaar zien. Het zijn twee onderdelen die samen er voor zorgen dat het password niet snel te hacken is. Als het snel te hacken was, dan was de combinatie niet sterk genoeg.
Je kunt het zaakje verbeteren door een langer password te maken, maar ook door een sterkere encryptie in te zetten.

In tegendeel. Het zijn twee onderdelen die samen de beveiliging vormen. Als een van beide niet op orde is geeft dat een kwaadwillende de mogelijkheid om zich toegang te verschaffen. Om het veilig te houden zullen dus beide op orde moeten zijn: zowel de encryptie/het systeem als de kwaliteit van het wachtwoord.

[ Voor 20% gewijzigd door Verwijderd op 14-09-2011 19:45 ]

Bor de Wollef schreef op woensdag 14 september 2011 @ 19:26:
[...]


Eigenlijk zeg je hierboven dat alle informatie in de systemen van T.net, inclusief wachtwoorden (welke imho gewoon persoonlijk zijn) eigendom zijn van T.net ipv van de gebruiker. Ik denk niet dat het (juridisch) zo makkelijk ligt; zeker niet bij een wachtwoord wat niet meer dan een beveiligingsmaatregel is. Ik lees meer een eigen interpretatie van regels, richtlijnen etc. Hetzelfde met het goed huisvaderschap waarvan ik nog steeds alleen persoonlijke interpretaties lees. Of ga jij thuis ook alle combinaties van een kluis proberen wanneer je op iemands huis past?

Ik doe nog een poging. We zijn eigenaar van de database waar jullie content in zit. Wij zijn gehouden om daar zorgvuldig mee om te gaan. Dus zorgen voor een goed beheer, dat wil zeggen veilige opslag, waken voor de integriteit, beschermen voor onbevoegden en actief ingrijpen als iemand anders er met die content vandoor gaat (met name het ongeautoriseerd hergebruik van posts en dat soort zaken). Onder die zorgvuldigheid valt naast het beheer óók het waarschuwen van mensen die mogelijk risico lopen omdat ze een te zwak wachtwoord hebben. Ik blijf erbij dat het achterwege laten van het doen van dit onderzoek of het doen van dit onderzoek zonder de resulaten te delen met de users neigt naar nalatigheid.

Om maar het voorbeeld van de kluis te gebruiken, ik beheer de kluizen waar jij en anderen je tekst in leggen. De een heeft zijn sleutel verborgen onder z'n kleren aan een ketting van supersterk staal om z'n nek, de ander heeft 'm los in een broekzak.... met een overduidelijk gat in die zak en een label aan de sleutel met KLUIS 21673. Het enige wat ik doe is tegen die laatste persoon zeggen : "u zou uw kluissleutel beter aan een koordje om uw nek kunnen doen en het label er af halen." Dat doe ik zonder naar de inhoud te kijken of de sleutel ook maar vast te houden. Puur uit de analyse van de omgeving, lekker broekzak & label aan de sleutel, weet ik al dat het een risicofactor is die met een kleine ingreep is te minimaliseren. Als ik het wel allemaal gezien heb en na verlies of diefstal van de sleutel tegen je zeg : "ja, dat zat er wel in he, met dat label en die lekke broekzak", dan heb je geen dienst bewezen.

Ik hoop dat het zo duidelijk is. Lees anders http://blog.iusmentis.com...orden-gebruikers-mag-dat/ nog even, dan hoor je 't van een ander.

[ Voor 17% gewijzigd door zeef op 14-09-2011 20:03 ]

Sc0rPi0N schreef op woensdag 14 september 2011 @ 16:49:
[...]


Dat bedoel ik dus. Ik was echt verbaasd dat ze het plain text kon zien. Ik ging er zonder meer van uit dat ik zoals gebruikelijk een reset zou krijgen, waarna ik het zelf weer kan aanpassen.

Het is me ook al meer dan 1 keer overkomen. Ik komt op een site waarvan ik me het wachtwoord niet meer kan herinneren maar gelukkig kan ik dan op een linkje klikken. En dan krijg ik een mailtje toegestuurd waarin login en paswoord duidelijk te lezen zijn. Geen nieuw maar dus echt het paswoord waarme ik me geregistreerd had. Al verschillende keren meegemaakt en dan vraag ik me af hoe zoiets nog kan. Maar zelf ben ik eigenlijk ook fout bezig door bijna overal hetzelfde paswoord of een variant er op te gebruiken. Moet ik toch eens iets aan doen. Voor belangrijker zaken gebruik ik uiteraard wel een uniek paswoord.

Wat ik me dan wel afvraag of een site als LastPass wel veilig is? Wat uiteindelijk is die dan de zwakste schakel en mag daar nooit iets verkeerd gaan.

zeef schreef op woensdag 14 september 2011 @ 19:57:
[...]

Ik hoop dat het zo duidelijk is. Lees anders http://blog.iusmentis.com...orden-gebruikers-mag-dat/ nog even, dan hoor je 't van een ander.

Ik heb dat stuk gelezen maar meer dan Arnouds persoonlijke visie staat daar niet. Arnoud onderbouwd in dat stuk niets en haalt geen jurisprudentie aan. Ergo, meer dan een leuk stukje staat er niet. Nogmaals , ik ben overtuigd van de goede bedoelingen maar vind het gekozen middel zonder toestemming (nogmaals volgens de info die wij hebben heeft T.net de wachtwoorden gewoon gebrute forced) maar een erg grijs gebied.

[ Voor 3% gewijzigd door Bor op 14-09-2011 21:09 ]

Verwijderd schreef op woensdag 14 september 2011 @ 19:42:
[...]

Allemaal fout.

Daar quote je mij wel heel erg summier Ik geef er zelf nog een kanttekening onder namelijk. Ben het verder compleet met je eens.

Bor de Wollef schreef op woensdag 14 september 2011 @ 21:04:
[...]

Ik heb dat stuk gelezen maar meer dan Arnouds persoonlijke visie staat daar niet. Arnoud onderbouwd in dat stuk niets en haalt geen jurisprudentie aan. Ergo, meer dan een leuk stukje staat er niet. Nogmaals , ik ben overtuigd van de goede bedoelingen maar vind het gekozen middel zonder toestemming (nogmaals volgens de info die wij hebben heeft T.net de wachtwoorden gewoon gebrute forced) maar een erg grijs gebied.

Dat werkt ook andersom hé. Geef dan eens redenen waarom het zogenaamd grijs gebied is, of waarom het tóch juridisch onjuist was om dit te doen. We hebben nu twee juristen die zeggen dat het geen probleem is. En tot nu toe heb ik (anders dan een hele berg onderbuikgevoelens) geen enkele reden gezien waarom het wel een juridisch probleem moet zijn. Of heb ik ergens overheen gelezen?

Een wachtwoordonderzoek zoals T.net dat recentelijk uitgevoerd heeft komt niet echt vaak voor volgens mij, dus het wordt lastig jurisprudentie aan te halen die je één op één over deze casus heen kunt leggen.

Ik vind het een goede actie.

Als user geef kies je een wachtwoord voor je account, en je vult deze in. Zoals bij elke website waar je een account maakt, kan de website je wachtwoord opslaan zoals zij willen. Bijvoorbeeld in plain text. Als je dit niet beseft, ben je imho slecht bezig. Telkens ik een wachtwoord moet kiezen, maak ik een weloverwogen keuze gebaseerd op het vertrouwen in de website, het belang van de website, de gevoeligheid van de data en het (her)gebruik van het eventueel gebruikte wachtwoord.

T.net heeft in dit geval niet meer gedaan dan een hashed versie van onze wachtwoord proberen kraken, en indien de plain text gevonden is, de userid (zonder het wachtwoord erbij) in een tabelletje van "gebruikers met zwakke wachtwoorden" gezet. En ons hiervan vriendelijk op de hoogte gebracht. Dit is toch alleen maar goed?

En ja, het kan zijn dat men toch evil is, en nu van al deze "gebruikers met zwakke wachtwoorden" een lijst bestaat met hun username, email en het wachtwoord in plain text. Maar wat dan nog, dat konden ze 100 keer gemakkelijker doen, want we vullen het wachtwoord toch gewoon plaintext in telkens we inloggen?

Ffs; elke website waar je een wachtwoord invult kan jouw wachtwoord in plain text weten. Laten we tevreden zijn dat t.net ten minste moeite doet om het zo veilig mogelijk op te slaan, en de gebruiker te laten weten dat hij een zwak wachtwoord heeft.

Ow, en mijn wachtwoord was schijnbaar niet zwak, maar bestaat dan ook uit een reeks volledig random karakters. En het is ook enkel hier in gebruik, dus t.net mag het van mij gerust weten in plain text, want ze kunnen sowieso aan alle content hier op t.net . Lang leve PassPack, de pw manager die ikzelf gebruik en waarvan ik erg tevreden ben.

[ Voor 11% gewijzigd door Ibex op 14-09-2011 22:22 ]

Cloud schreef op woensdag 14 september 2011 @ 22:02:
[...]
Een wachtwoordonderzoek zoals T.net dat recentelijk uitgevoerd heeft komt niet echt vaak voor volgens mij, dus het wordt lastig jurisprudentie aan te halen die je één op één over deze casus heen kunt leggen.

Klopt. Daardoor kunnen Zeef, Arnoud, ikzelf en anderen niet meer dan zeggen wat men er van vind. Ik vind een wachtwoord een persoonlijk iets waar t.net niet de eigenaar van is. Het moedwillig achterhalen van deze wachtwoorden zonder toestemming vind ik moreel onjuist en idd juridisch een grijs gebied. Daarbij kan niet objectief beoordeeld worden of de achterhaalde wachtwoorden idd vernietigd zijn. Er is voor zover ik weet geen onafhankelijke / externe partij aanwezig geweest. Zoals ik eerder al aangaf veel wat ik hier lees waarom deze actie ook zou zijn eigen interpretatie van mensen. Arnoud welke werd aangehaald geeft helaas ook niet meer dan zijn eigen mening zonder onderbouwing waardoor die blog in deze imho weinig waarde heeft.

Totdat er ooit een zaak komt waarin een soortgelijk iets aan bod komt kunnen we niet anders dan alleen maar onze mening geven. Imho heeft dat weinig zin meer want het enige waar we mee komen is een herhaling van zetten.

[ Voor 13% gewijzigd door Bor op 14-09-2011 22:49 ]

Ik weet dat iedereen zijn mening geeft, maar er zijn blijkbaar dus géén juridische aanknopingspunten op basis waarvan je kunt zeggen dát het grijs is. Dus tot die tijd, kun je stellen dat het legaal is. Onschuldig tenzij het tegendeel bewezen is, toch?

Er staan inmiddels nog wat reacties op die blog van Arnoud, en daar zegt hij nog het volgende:

quote: http://blog.iusmentis.com...rs-mag-dat/#comment-37523

Het kraken van een wachtwoord is an sich niet verboden. Het gebruik van een gekraakt/geraden wachtwoord om in te loggen is dat wel. Ook het voorhanden hebben van een wachtwoord is strafbaar (art. 139f Strafrecht) maar dan moet wel bewezen worden dat je opzet had dat daarmee ingebroken wordt - door jou of door een ander.

Lijkt mij voldoende duidelijk.

Bor de Wollef schreef op woensdag 14 september 2011 @ 22:41:
[...]


Klopt. Daardoor kunnen Zeef, Arnoud, ikzelf en anderen niet meer dan zeggen wat men er van vind. Ik vind een wachtwoord een persoonlijk iets waar t.net niet de eigenaar van is. Het moedwillig achterhalen van deze wachtwoorden zonder toestemming vind ik moreel onjuist en idd juridisch een grijs gebied. Daarbij kan niet objectief beoordeeld worden of de achterhaalde wachtwoorden idd vernietigd zijn. Er is voor zover ik weet geen onafhankelijke / externe partij aanwezig geweest. Zoals ik eerder al aangaf veel wat ik hier lees waarom deze actie ook zou zijn eigen interpretatie van mensen. Arnoud welke werd aangehaald geeft helaas ook niet meer dan zijn eigen mening zonder onderbouwing waardoor die blog in deze imho weinig waarde heeft.

Totdat er ooit een zaak komt waarin een soortgelijk iets aan bod komt kunnen we niet anders dan alleen maar onze mening geven. Imho heeft dat weinig zin meer want het enige waar we mee komen is een herhaling van zetten.

Ik vind niet zoveel, ik weet dat we aan de goede kant zitten. Dat klinkt misschien arrogant maar ik heb niets gevonden waaruit zou blijken dat we ergens in overtreding zijn. Het tegendeel zie ik graag bewezen.

[ Voor 6% gewijzigd door zeef op 14-09-2011 23:12 ]

zeef schreef op woensdag 14 september 2011 @ 23:10:
Ik vind niet zoveel, ik weet dat we aan de goede kant zitten. Dat klinkt misschien arrogant maar ik heb niets gevonden waaruit zou blijken dat we ergens in overtreding zijn. Het tegendeel zie ik graag bewezen.

Niet dat een wachtwoord een persoonlijk gegeven is, althans, hij zegt niets over het individu in kwestie, maar, ik denk dat de Wet Bescherming Persoongegevens best nog wel eens van toepassing zou kunnen zijn op deze kwestie. Met name omdat het dus wel een individueel gegeven is, het wachtwoord. Het zegt niets over het natuurlijk persoon maar het is wél een keuze van een natuurlijk persoon. Eén - om het wachtwoord uberhaupt te gebruiken en twee, om het betreffende wachtwoord te gebruiken.

In welk geval Tweakers.net toch wel eens echt in overtreding zou kunnen zijn. Maar, pin mij daar niet op vast, ik heb geen opleiding tot jurist genoten.

Hoe dan ook is het wel een grijs gebied, ik denk dat zelfs juristen nog heen en weer zouden bakkelijen over het punt of het nou wél of níet toegestaan is wachtwoorden in de eigen database te kraken, anoniem of niet.

Verwijderd schreef op donderdag 15 september 2011 @ 00:00:
[...]

Niet dat een wachtwoord een persoonlijk gegeven is, althans, hij zegt niets over het individu in kwestie, maar, ik denk dat de Wet Bescherming Persoongegevens best nog wel eens van toepassing zou kunnen zijn op deze kwestie. Met name omdat het dus wel een individueel gegeven is, het wachtwoord. Het zegt niets over het natuurlijk persoon maar het is wél een keuze van een natuurlijk persoon. Eén - om het wachtwoord uberhaupt te gebruiken en twee, om het betreffende wachtwoord te gebruiken.

In welk geval Tweakers.net toch wel eens echt in overtreding zou kunnen zijn. Maar, pin mij daar niet op vast, ik heb geen opleiding tot jurist genoten.

Hoe dan ook is het wel een grijs gebied, ik denk dat zelfs juristen nog heen en weer zouden bakkelijen over het punt of het nou wél of níet toegestaan is wachtwoorden in de eigen database te kraken, anoniem of niet.

Was onze database niet geregistreerd bij het College Bescherming Persoonsgegevens dan had je wellicht een punt gehad. De vraag daarbij is wel of een wachtwoord en een nickname herleidbare persoonsgegevens zijn. Is imho grijs gebied. Zodra daar een mailadres of IP bij komt zeker wel.

Maar onze database is netjes aangemeld, onze procedures zijn gedocumenteerd en als zodanig is Tweakers dus bij CBP geregistreerd en mogen we mogen deze persoonsgegevens verwerken. Dat is niet grijs, dat is niet zwart dat is helder wit als #ffffff

K_VL schreef op dinsdag 13 september 2011 @ 21:04:
Misschien is het handig om jullie "wachtwoordsterktemeter" ook even bij te werken...
Deze deelt dus foutief "redelijk, "vrij sterk", "sterk" en "supersterk" uit.

Yup, "Fi3t5b3l" is 'redelijk', zet er '#####' voor en er achter: "#####Fi3t5b3l#####" en hij is supersterk

Verwijderd schreef op woensdag 14 september 2011 @ 19:42:
Allemaal fout. We hebben het hier over een dictionary attack.

Lees dit stuk van ACM dat een aantal posts boven die van jou staat nog eens:
http://gathering.tweakers...message/36759962#36759962
Daarin word je hele verhaal al weerlegd.

K_VL schreef op dinsdag 13 september 2011 @ 21:04:
Misschien is het handig om jullie "wachtwoordsterktemeter" ook even bij te werken...
Deze deelt dus foutief "redelijk, "vrij sterk", "sterk" en "supersterk" uit.

De wachtwoordsterktemeter geeft alleen een indicatie gericht op brute-force attacks; een wachtwoord dat 'sterk' is volgens deze meting kan met een dictionary-attack (zeker als je daar ook variaties van woorden in meeneemt) soms toch snel gekraakt worden. Een volledige dictionary-attack doen gaat echter weer wat ver...

zeef schreef op donderdag 15 september 2011 @ 00:18:
[...]

Was onze database niet geregistreerd bij het College Bescherming Persoonsgegevens dan had je wellicht een punt gehad. De vraag daarbij is wel of een wachtwoord en een nickname herleidbare persoonsgegevens zijn. Is imho grijs gebied. Zodra daar een mailadres of IP bij komt zeker wel.

Maar onze database is netjes aangemeld, onze procedures zijn gedocumenteerd en als zodanig is Tweakers dus bij CBP geregistreerd en mogen we mogen deze persoonsgegevens verwerken. Dat is niet grijs, dat is niet zwart dat is helder wit als #ffffff

Ik doelde ook niet op het al dan niet mogen verwerken ervan, ik doelde op het moedwillig en zonder instemming manipuleren ervan.

Er is een verschil tussen verwerken en manipuleren in dezen. Verwerken in het kader van de WbP doelt meer gewoon op het aanhouden van die gegevens en manipuleren, zoals ik het bedoel, is een stapje verder. Uit context trekken, al dan niet indirect wijzigen, etc.

En met name het punt van het zonder instemming uitvoeren van dergelijke handelingen zou wel eens een punt kunnen zijn. Dat is namelijk zondermeer ook een belangrijk punt van de WbP, dat je de gegevens zoals je ze hebt van betreffende natuurlijke personen enkel en alleen mag verwerken zolang de betreffende natuurlijke personen ermee instemmen.

Enfin, het is hoe dan ook grijs en ik zou eigenlijk op dit moment wel een jurist willen horen erover. Kent iemand toevallig een jurist die enige expertise heeft op dit gebied?

Voor de volledigheid, ik zeg deze zaken niet omdat ik het persoonlijk afkeur. Al doe ik dat eigenlijk wel, maar dat terzijde. Nee, ik bracht dit punt even ter sprake omdat ik niet wil dat Tweakers.net, hoe goed de bedoelingen ook waren, in problemen komt.

En de reden dat ik het persoonlijk afkeur? Omdat het niet met instemming gebeurde, niet vooraf even is gemeld. Er geen opt-in/opt-out mogelijkheid was. Nogmaals, ik vind het initiatief zondermeer lovenswaardig, mensen kunnen niet verstandig genoeg met hun eigen gegevens omgaan en een goed wachtwoord maakt daar in deze tijd zondermeer deel van uit. Maar, ik had er graag vooraf even ingelicht willen worden. Niet om moedwilling vals te spelen door dan meteen mijn wachtwoord compleet onkraakbaar te maken, maar gewoon voor het principe ervan.

Daar kan ik me niet helemaal in vinden. Je hebt het namelijk over manipuleren, maar volgens mij is er niets gemanipuleerd. Er is een hash van jouw wachtwoord. En een programma probeert middels gokken via het hashing algoritme dezelfde input te vinden als jij gebruikt hebt voor jouw wachtwoord. Ik zie geen manipulatie in die methode In die zin is het niet anders als een programma dat gokt naar de geboortedatum die jij ingevuld hebt in je profiel, zonder dat het weet wat jouw geboortedatum daadwerkelijk is.

En wat betreft vragen naar juristen, je zit nu in discussie met één (zeef) en één van de bekendere internet/tech juristen Arnoud Engelfriet (hier nu al meermaals gelinked) heeft ook aangegeven dat er geen juridische haken en ogen aan het onderzoek zitten. Anders dan dat T.net voorzichtig moest zijn met de verkregen resultaten en dat waren ze ongetwijfeld.

Verwijderd schreef op donderdag 15 september 2011 @ 10:45:
[...]

Ik doelde ook niet op het al dan niet mogen verwerken ervan, ik doelde op het moedwillig en zonder instemming manipuleren ervan.

Er is een verschil tussen verwerken en manipuleren in dezen. Verwerken in het kader van de WbP doelt meer gewoon op het aanhouden van die gegevens en manipuleren, zoals ik het bedoel, is een stapje verder. Uit context trekken, al dan niet indirect wijzigen, etc.

En met name het punt van het zonder instemming uitvoeren van dergelijke handelingen zou wel eens een punt kunnen zijn. Dat is namelijk zondermeer ook een belangrijk punt van de WbP, dat je de gegevens zoals je ze hebt van betreffende natuurlijke personen enkel en alleen mag verwerken zolang de betreffende natuurlijke personen ermee instemmen.

Enfin, het is hoe dan ook grijs en ik zou eigenlijk op dit moment wel een jurist willen horen erover. Kent iemand toevallig een jurist die enige expertise heeft op dit gebied?

Voor de volledigheid, ik zeg deze zaken niet omdat ik het persoonlijk afkeur. Al doe ik dat eigenlijk wel, maar dat terzijde. Nee, ik bracht dit punt even ter sprake omdat ik niet wil dat Tweakers.net, hoe goed de bedoelingen ook waren, in problemen komt.

En de reden dat ik het persoonlijk afkeur? Omdat het niet met instemming gebeurde, niet vooraf even is gemeld. Er geen opt-in/opt-out mogelijkheid was. Nogmaals, ik vind het initiatief zondermeer lovenswaardig, mensen kunnen niet verstandig genoeg met hun eigen gegevens omgaan en een goed wachtwoord maakt daar in deze tijd zondermeer deel van uit. Maar, ik had er graag vooraf even ingelicht willen worden. Niet om moedwilling vals te spelen door dan meteen mijn wachtwoord compleet onkraakbaar te maken, maar gewoon voor het principe ervan.

Ho, stop! Laat er geen misverstanden ontstaan : Er is op geen enkele manier gemanipuleerd met gegevens. Die beschuldiging werp ik verre van mij en mijn collega’s! Niets van de gegevens die we aantroffen is op enige manier veranderd of gewijzigd. Niet direct en ook niet indirect (al vraag ik me af wat indirect wijzigen is ). Er is door Tweakers geen bit gewijzigd in de database als gevolg van deze test. De beslissing om een wachtwoord te wijzigen ligt bij de leden, niet bij ons. Het zou je sieren als je die bewering terugneemt want dat is echt pertinent onwaar.

Dan het verwerken van persoonsgegevens. Nogmaals : onze database is aangemeld bij het College Bescherming Persoonsgegevens (met registratienummer 1060922). Op het moment dat je je account in gebruik nam ben je akkoord gegaan met de algemene voorwaarden van Tweakers.net en daarin staat onder andere het volgende :

11.1Tweakers.net verwerkt de persoonsgegevens van het Lid die nodig zijn voor het in stand houden van de Website en het verlenen van diensten aan het Lid. Tweakers.net heeft haar privacybeleid nader uitgewerkt in haar privacybeleid-document. Het Lid geeft door registratie toestemming voor de verwerking van zijn persoonsgegevens zoals beschreven in het privacybeleid.

In het privacy statement worden de handelingen die onder de actieve verwerking van persoonsgegevens uitvoeren omschreven. Daar staat “om fraude en misbruik te voorkomen;” expliciet vermeld. De test die we hebben uitgevoerd heeft precies dat doel, fraude en misbruik voorkomen door onze leden te attenderen op een mogelijk zwak wachtwoord. Omdat deze verwerking expliciet is genoemd hoeft Tweakers daarvoor geen aparte toestemming te vragen. Er is trouwens geen opt in/ opt out voor de verwerking van persoonsgegevens anders dan het opheffen van je account of het niet invullen van de gegevens die je niet wil delen.

Concluderend : Ja, je hebt toestemming gegeven bij het activeren van je account voor de actieve verwerkingen van je persoonsgegevens door Tweakers.net. Nee, er is geen wet of regelgeving overtreden door Tweakers.net want de verwerking van persoonsgegevens is aangemeld bij het CBP en alles is gedaan volgens de protocollen die voorgeschreven zijn. Er is dus ook geen sprake van een grijs gebied. Tweakers is niet in de problemen geweest en komt daar ook niet door deze wachtwoorden test. Tenzij we de gegevensbestanden (die inmiddels al lang vernietigd zijn op een j definitieve manier) zouden uitlekken maar dat staat los van de toets rond rechtmatigheid en doelmatigheid van deze test.

Een ieder die het tegendeel juridisch onderbouwd kan bewijzen nodig ik van harte uit om dat te doen.

Cloud schreef op donderdag 15 september 2011 @ 10:54:

En wat betreft vragen naar juristen, je zit nu in discussie met één (zeef) en één van de bekendere internet/tech juristen Arnoud Engelfriet (hier nu al meermaals gelinked) heeft ook aangegeven dat er geen juridische haken en ogen aan het onderzoek zitten. hij zelf geen problemen in het onderzoek ziet, niet onderbouwd door jurisprudentie

There I fixed it for u

Bor de Wollef schreef op donderdag 15 september 2011 @ 12:24:
[...]


There I fixed it for u

Oh no, you didn't.

Lees en laat het doordringen : zeef in "Wachtwoorden tweakers.net"

Recap :

• Database Tweakers.net aangemeld en geregistreerd bij CBP : Tweakers mag daardoor persoonsgegevens verwerken. Zie de Wet bescherming persoonsgegevens, hoofdstuk 4.
• De user gaat akkoord met de Algemene voorwaarden van Tweakers.net door in gebruik nemen account.
• In die algemene voorwaarden staat de verwerking van persoonsgegevens door Tweakers expliciet genoemd in artikel 11.1 onder verwijzing naar het privacy statement.
• In dat privacy statement staan de werkzaamheden opgenoemd die Tweakers.net kan en mag uitvoeren met de persoonsgegevens
• Een specifieke genoemd punt is fraudepreventie ofwel : het voorkomen van misbruik.
• Wat wij hebben gedaan is mensen wijzen op mogelijk risico op fraude/misbruik van je account. Er is verder geen bit gewijzigd van de gegevens die zijn gebruikt.
• Op statistische data en een lijst met user ID's na is er niets bewaard gebeleven van de test. Alle bestanden zijn vernietigd op een definitieve manier. De bewuste HDD is diverse malen overschreven zodat enige recovery absoluut onmogelijk is.

Zowel binnen onze eigen kaders van bijvoorbeeld onze Algemene Voorwaarden en het Privacy statement als alle externe (juridische) kaders zoals daar zijn de Databankenwet, Wet bescherming Persoonsgegevens en Burgerlijk Wetboek is er volledig in overeenstemming gehandeld. Graag zie ik het tegendeel gefundeerd bewezen.

Verwijderd schreef op donderdag 15 september 2011 @ 10:45:
Ik doelde ook niet op het al dan niet mogen verwerken ervan, ik doelde op het moedwillig en zonder instemming manipuleren ervan.

Er is een verschil tussen verwerken en manipuleren in dezen. Verwerken in het kader van de WbP doelt meer gewoon op het aanhouden van die gegevens en manipuleren, zoals ik het bedoel, is een stapje verder. Uit context trekken, al dan niet indirect wijzigen, etc.

Dat het wachtwoord een (afgeleid) persoonsgegeven is zal best kloppen. Maar zelfs als de uitkomst van een hash-functie daarop ook een persoonsgegeven is, is er niets gemanipuleerd. We hebben de ons bekende hashes van wachtwoorden geprobeerd na te maken met allerlei woorden en tekenreeksen die we in korte tijd konden uitlezen of genereren.

Wel een interessant punt; Als het hashen van een wachtwoord een manipulatie is en dat verboden zou zijn, dan suggereer je zelfs dat het opslaan van en authenticeren met een wachtwoordhash verboden is... En dat lijkt me niet echt hard te maken?

Is artikel 43 lid e van de Wet Bescherming Persoonsgegevens niet direct van toepassing?

De verantwoordelijke kan de artikelen 9, eerste lid, 30, derde lid, 33, 34 en 35 buiten toepassing laten voor zover dit noodzakelijk is in het belang van:

a. de veiligheid van de staat;
b. de voorkoming, opsporing en vervolging van strafbare feiten;
c. gewichtige economische en financiële belangen van de staat en andere openbare lichamen;
d. het toezicht op de naleving van wettelijke voorschriften die zijn gesteld ten behoeve van de belangen, bedoeld onder b en c, of
e. de bescherming van de betrokkene of van de rechten en vrijheden van anderen.

Volgens mij worden de persoonsgegevens van de gebruikers hierdoor juist beter beschermd. Dus zelfs als een wachtwoordhash een persoonsgegeven zou zijn is deze actie volledig gerechtvaardigd.

Ook moreel vind ik het juist goed om de wachtwoorden eens onder de aandacht te brengen. Iedereen die hier zo boos is, zijn die niet stiekem boos omdat hun wachtwoord niet sterk genoeg was? En dat wordt dan afgereageerd op de onderzoekers. Don't shoot the messenger.