Wat gebeurt er met verkeerde wachtwoorden?

Dat kan niemand weten. Je ziet toch niet wat er achter de schermen bij de websites gebeurt.

http://security.stackexch...in-untrustworthy-websites

• the wrong password is logged in cleartext, and the attacker succeeds in recovering the cleartext but does not or can not realize that the correct password in that system is another.
• the wrong password is captured (together with the right ones) and sent for exploitation, even if such an exploitation would be much more powerful and/or quick if it weeded out the wrong passwords in the first place (this could happen, for example, if an exploited web site was coupled with a distributed exploitation network. Quickness in the exploitation would trump the need for precision).
• the password interception is done in such a way that the attacker has no way of telling whether it's a good one or a mis-spelled one. He has to try them all. In some way the same interception also supplies enough details on your identity to allow selection of other viable services to gain access to.
• the attack is directed at you (or all users of a small system) - in that case any password will do, and none would be discarded. There's no need for quickness since the victim pool is extremely small.

Echter zien we dat niet aan de voorkant zoals battler zegt.

Gebruik een wachtwoordmanager als KeePass of LastPass. Dan hoef je nog maar 1 wachtwoord te onthouden en kan voor alle site's en winkels tig verschillende hebben. Zeker met alle datalekken van tegenwoordig is hetzelfde wachtwoord gebruiken op verschillende plekken een heel slecht idee.

PilatuS schreef op woensdag 19 oktober 2016 @ 16:55:
Gebruik een wachtwoordmanager als KeePass of LastPass. Dan hoef je nog maar 1 wachtwoord te onthouden en kan voor alle site's en winkels tig verschillende hebben. Zeker met alle datalekken van tegenwoordig is hetzelfde wachtwoord gebruiken op verschillende plekken een heel slecht idee.

Totdat je hoofdwachtwoord gekraakt wordt

Ryan_ schreef op woensdag 19 oktober 2016 @ 16:56:
[...]


Totdat je hoofdwachtwoord gekraakt wordt

lastpass heeft 2traps verificatie

Ryan_ schreef op woensdag 19 oktober 2016 @ 16:56:
[...]


Totdat je hoofdwachtwoord gekraakt wordt

Met dat wachtwoord moet je voorzichtig zijn. Maar een hoofdwachtwoord is nog altijd beter als datzelfde wachtwoord overal gebruiken. Het hoofdwachtwoord alleen op je eigen PC gebruiken is veel veiliger dan overal maar hetzelfde in gaan vullen. Een wachtwoordmanager is een veel betere optie dan overal met hetzelfde wachtwoord werken. Beter 1 plek waar het fout kan gaan dan 40. Ik vind dit sowieso geen goede reden om geen manager te gebruiken.

Mijn hoofdwachtwoord kraken gaat trouwens lang duren met meer dan 14 karakters. Het is sowieso een aantal karakters wat geen normaal woord of zin is. Dan is alleen iets als een keylogger op je PC een probleem. Ik pas gelukkig heel goed op wat ik download en waar ik op klik. Ook illegale games of andere meuk komt er sowieso niet op mijn PC.

[ Voor 26% gewijzigd door PilatuS op 19-10-2016 17:03 ]

sheez88 schreef op woensdag 19 oktober 2016 @ 16:57:
lastpass heeft 2traps verificatie

Klopt. Ze hebben ook al eens een hack op hun centrale database gehad..... Daar gaan AL je wachtwoorden.....

Croga schreef op woensdag 19 oktober 2016 @ 17:06:
[...]

Klopt. Ze hebben ook al eens een hack op hun centrale database gehad..... Daar gaan AL je wachtwoorden.....

Daarom gebruik ik liever KeePass. Ik heb de database liever in eigen beheer.

Ik gebruik zelf ook KeePass en het is de god van password databases omdat je ze zelf beheert en met de keyfile beveiliging bovenop master password voel ik me weer net iets veiliger!

FFW schreef op woensdag 19 oktober 2016 @ 16:51:
Nu je voor elke site een profiel (usernaam en wachtwoord) moet aanmaken neemt de kans dat je wachtwoorden verkeerd intypt ook toe. Ik heb zelf niet veel verschillende wachtwoorden en voor webwinkels / fora gebruik ik zowiezo altijd dezelfde.

Wat gebeurt er met de wachtwoorden die je verkeerd intypt? Worden die ergens bewaard of worden die nooit onthouden?

Vanwaar deze vraag? Jouw vraag geldt ook voor 'goed ingetypte' wachtwoorden.

Alles was je intypt kan leesbaar bewaard worden.

FFW schreef op woensdag 19 oktober 2016 @ 17:17:
Ik ben enkel paranoia over wat er met de 3 wachtwoorden gebeurde die ik Voor het goede wachtwoord typte

Er worden natuurlijk iedere dag heel veel typfouten gemaakt. Zeker als het om een grote site gaat hebben we het over 1000'en verkeerd ingetypte wachtwoorden per dag. Er gaat echt niet iemand die dingen allemaal opslaan om vervolgens te proberen op verschillende site's. Het zou natuurlijk wel kunnen maar het lijkt mij zeer onwaarschijnlijk. Ik zou mij meer zorgen maken over het gebruik van hetzelfde wachtwoord op meerdere plekken.

Croga schreef op woensdag 19 oktober 2016 @ 17:06:
[...]

Klopt. Ze hebben ook al eens een hack op hun centrale database gehad..... Daar gaan AL je wachtwoorden.....

Nietes. Je passworddatabase is als een versleutelde blob opgeslagen op de Lastpass servers - daar heeft een hacker niets aans.

De poppen zijn pas aan het dansen als iemand Lastpass hackt en een kwaadaardige 'update' weet te pushen naar gebruikers. Dan is het wel game over.

Eenzelfde aanval is denkbaar voor Keepass, maar daar zijn updates niet geautomatiseerd. Ook heeft Keepass geen verplichte browserintegratie, een andere manier waarop je Lastpass-gebruikers zou kunnen beroven.

99,99% van het 'wachtwoordprobleem' is password reuse - dat oplossen is al een zeer grote stap.

FFW schreef op woensdag 19 oktober 2016 @ 17:17:
Goed ingetypte wachtwoorden geven je toegang tot de site. Ik ben enkel paranoia over wat er met de 3 wachtwoorden gebeurde die ik Voor het goede wachtwoord typte

Praktisch gezien: op een legitieme website? Niets. De kans dat je over een phishingwebsite struikelt is groter dan een legitieme website die doelbewust alle plaintextwachtwoorden spaart.

Op deze vraag is geen zinnig antwoord te geven. Dat hangt van de site af maar ik heb van de achterkant nog geen sites gezien die zijn geïnteresseerd in foutieve wachtwoorden.

Als je in staat bent om het geheugen van een server uit te lezen ben je in principe ook in staat om het wachtwoord te zien. Maar dat vereist wel toegang tot de server als admin/root .

Ik kan me enkel voorstellen dat verkeerde wachtwoorden worden opgeslagen\gedeelt als je de PC of de website die je bezoekt geïnfecteerd is met een virus\worm\trojan... of bij een ''man in de middle'' aanval door deze persoon.

Samengevat: door tools die er niet horen te zijn in een veilige omgeving.

[ Voor 31% gewijzigd door Emiel1984 op 19-10-2016 19:42 ]

+1 voor je vraag, erg interessant, iets dat ik mijzelf ook regelmatig afvraag.

Als je kijkt naar wachtwoorden, dan is het verzamelen van typo's naar mijn inziens iets dat nog wel eens verdomd veel kan opleveren. Er van uitgaande dat verkeerd in getypte wachtwoorden uiteindelijk maar heel subtiel verschillen van het daadwerkelijke wachtwoord.. je zou hier in de eerste plaats naar kunnen kijken en misschien direct zien wat het goede wachtwoord had moeten zijn, of je zou een tool kunnen schrijven dat de meest aannemelijke alternatieve probeert, bijvoorbeeld afgaande op omringende toetsen van de daadwerkelijk ingetikte karakters.

Daarnaast lijkt het mij vrij makkelijk om iemand te 'profilen' aan de hand van een reeks verkeerd in getikte wachtwoorden. Het zou mij niet verbazen als dit al veel voorkomt - wanneer je op FB je oude wachtwoord invult, krijg je bijvoorbeeld ook al direct te zien dat dit je oude wachtwoord is. Het lijkt me in iedergeval een verdomd interessant idee.

A.I. die iemand herkent aan de hand van een of twee verkeerd ingevulde wachtwoorden. In bepaalde zin is dat een tool, toch? Het lijkt me eerlijk gezegd makkelijker om iemand te herkennen aan een salvo van 2, of 3, verkeerd ingevulde wachtwoorden, +1 goede(als die goede uberhaupt nodig is).. dan aan 1 of meer goed ingevulde wachtwoorden(best logisch).

In iedergeval, als FB weet wat je oude wachtwoord is, en het checkt wanneer je deze invult, dan lijkt het me duidelijk dat dit wel degelijk wordt bijgehouden.

Verwijderd schreef op zondag 30 oktober 2016 @ 18:18:

Als je kijkt naar wachtwoorden, dan is het verzamelen van typo's naar mijn inziens iets dat nog wel eens verdomd veel kan opleveren. Er van uitgaande dat verkeerd in getypte wachtwoorden uiteindelijk maar heel subtiel verschillen van het daadwerkelijke wachtwoord.. je zou hier in de eerste plaats naar kunnen kijken en misschien direct zien wat het goede wachtwoord had moeten zijn, of je zou een tool kunnen schrijven dat de meest aannemelijke alternatieve probeert, bijvoorbeeld afgaande op omringende toetsen van de daadwerkelijk ingetikte karakters.

Aan verkeerd ingetypte wachtwoorden heb je helemaal niets, want het juiste wachtwoord is gewoon bekend op de site waar je wil inloggen.

[ Voor 4% gewijzigd door PilatuS op 30-10-2016 18:42 ]

PilatuS schreef op zondag 30 oktober 2016 @ 18:41:
[...]


Aan verkeerd ingetypte wachtwoorden heb je helemaal niets, want het juiste wachtwoord is gewoon bekend op de site waar je wil inloggen.

Nja, ok. Dat klopt ook wel weer. Om de foute wachtwoorden te verzamelen zou je dezelfde 'positie' moeten hebben als waarin je de goede zou kunnen verzamelen, dus waarom zou je de foute dan überhaupt verzamelen. Ik moet zeggen dat dat gedeelte van de post ook vooral vanuit script-technisch oogpunt gedacht was - als in, zou je een script kunnen schrijven dat iets met verkeerd getypte wachtwoorden doet, het nut in het midden gelaten. Nouja, links om of rechts om, ik erken dat dit weinig praktisch nut zou hebben.

Verwijderd schreef op zondag 30 oktober 2016 @ 19:20:
[...]


Nja, ok. Dat klopt ook wel weer. Om de foute wachtwoorden te verzamelen zou je dezelfde 'positie' moeten hebben als waarin je de goede zou kunnen verzamelen, dus waarom zou je de foute dan überhaupt verzamelen. Ik moet zeggen dat dat gedeelte van de post ook vooral vanuit script-technisch oogpunt gedacht was - als in, zou je een script kunnen schrijven dat iets met verkeerd getypte wachtwoorden doet, het nut in het midden gelaten. Nouja, links om of rechts om, ik erken dat dit weinig praktisch nut zou hebben.

Je zou compleet verkeerde wachtwoorden kunnen verzamelen omdat je dan een wachtwoord hebt wat ergens anders voor is. Maar waar dat dan voor is weet je natuurlijk niet, dus dat kunnen 1000'en site's zijn. Dit het enige wat mogelijk nog ergens nuttig voor kan zijn.

PilatuS schreef op zondag 30 oktober 2016 @ 20:12:
[...]


Je zou compleet verkeerde wachtwoorden kunnen verzamelen omdat je dan een wachtwoord hebt wat ergens anders voor is. Maar waar dat dan voor is weet je natuurlijk niet, dus dat kunnen 1000'en site's zijn. Dit het enige wat mogelijk nog ergens nuttig voor kan zijn.

Dat is ook wat ik met het 'profiling' gedeelte bedoel. Als jij een gebruikersnaam/mailadres hebt, en een set wachtwoorden, dan heb je al een redelijk solide profiel. Zeker wanneer de bezitter een grote speler is met tactische belangen, of dergelijke. Overheid. Of Facebook - met alle overnames en 'niet, maar toch ook weer wel' samengevoegde data. Het wordt voor zo'n speler redelijk simpel om.. nja, alles over iemand te weten te komen. En dus ook om iemand te identificeren aan de meest ogenschijnlijk onmogelijke dingen.

Om een heel simpel voorbeeld te nemen: stel je gebruikt bij Facebook een ander mailadres dan bij Instagram, dan zou je - heel simplistisch gesteld - twee verschillende personen zijn. Maar als je nu zoiets unieks als, zeg, drie verschillende wachtwoorden erbij neemt, en je ziet dat bij het Facebook account deze drie wachtwoorden regelmatig verkeerd worden ingevuld, en bij Instagram ook .. dan weet je met uitzonderlijke zekerheid dat het hier om dezelfde persoon gaat.

Dat is een identificatie methode waar weinig mensen rekening mee zullen houden, denk ik.

Dezelfde vogel gaat natuurlijk op voor iemand die exact hetzelfde wachtwoord zou hebben, maar consistent dezelfde 'typefouten' maakt bij het inloggen. Stel het wachtwoord is 'password2009!', en iemand maakt 7/10 keer één of meer inlogpogingen met 'passworrd20091', of soort gelijke varianten. Dan weet je dat, waar, onder welke naam dan ook, iemand inlogt - dat het persoon A is, omdat persoon A consistent diezelfde fout maakt. Nu is dat bij een wachtwoord als 'password2009!' minder snel te pin pointen op één en dezelfde persoon, maar als het wachtwoord ook maar íets persoonlijker wordt, dan wordt het steeds zekerder.

Dat lijkt op zichzelf misschien logisch en vanzelfsprekend, maar als je het mij vraagt zou het een aparte nieuwe identificatie methode zijn.

Als je alleen de goede inlogpogingen registreert zou je dit niet toe kunnen passen; daarom denk ik dat het registreren van alle inlogpogingen tot bepaalde maten, en in bepaalde context, best interessant kan zijn. ZEKER voor bedrijven die profilering iets te serieus nemen, of die A.I. of dergelijke proberen te ontwikkelen. In ieder geval veel interessanter dan de meeste van ons momenteel voor mogelijk houden.

Nooit over nagedacht. Ik dacht bij een MD5 generator dat je altijd voorzichtig moest zijn welke wachtwoorden je daar in knalde. Aan de andere kant kan er best een script meedraaien dat altijd de combinaties van gebruikers afvangt en zo een lijst met potentieele MD5's genereert.



Zo ziet het wachtwoord controle er bij mij uit op 'enkele' sites. Gebeurd helemaal niets mee met een foutief wachtwoord. Je kunt ze inderdaad ook afvangen, maar dan kom je mischien wel met een enorme lijst te zitten met wachtwoorden die allemaal verkeerd zijn getypt. Nee daar heb je wat aan.