Online account(s) praktisch beveiligen

_Diederik schreef op zaterdag 19 oktober 2019 @ 22:40:

Authenticator App
Heb ik wat moeite mee, als mijn telefoon (niet waterdicht) in een glas bier beland, dan kan ik nergens meer inloggen.

TOTP is niet beperkt tot je smartphone. Vaak staat er onder de QR code bij aanzetten van 2FA ook een tekst string bij die je ook in bv. KeePass met de KeeOtp plug-in kunt gebruiken. Op die manier kan je via op je inloggen op websites met 2FA ofwel met je Authenticator App die de TOTP code genereert, of je doet je op je PC met KeePass.

Alternatief kun je ook een javascript implementatie gebruiken (mits je je secret ergens bewaard):

https://jsfiddle.net/russau/ch8PK/

Ik heb deze offline opgeslagen, maar die KeeOtp ga ik denk ik ook eens onder de loep nemen

Het belangrijkste hierbij is je thread-model rond krijgen. SMS kan onveilig zijn als iemand actief jou target om een simkaart te krijgen bij je provider. Zo niet is 2FA via SMS opzich niet heel onveilig, het is beter dan niks tenslotte. Je bent al goed bezig met je password manager in elk geval! Daarmee wordt het toegang krijgen tot je accounts al lastiger en voorkom je her gebruik van wachtwoorden.

Wat betreft 2FA via een authenticator app, je krijgt altijd back-up codes. Mocht je telefoon dus in het glas bier terecht komen kun je altijd daarmee inloggen. Daarnaast kun je met andere apps zoals Authy je codes weer backuppen op een veilige manier. Die app wordt algemeen aangereden door veel mensen en kan dus als veilig worden beschouwd.

Ik zou het houden op de combi password mamager + 2FA app. Security keys zijn redelijk overkill voor doorgaans gebruikers. Zelf ga ik ook zo te werk. Tot slot nog een shameless plug: laatjeniethackmaken.nl. Gemaakt door de tech journalist van de RTL en bied veel info over dit onderwerp.

n9iels schreef op zaterdag 19 oktober 2019 @ 22:53:
Het belangrijkste hierbij is je thread-model rond krijgen. SMS kan onveilig zijn als iemand actief jou target om een simkaart te krijgen bij je provider.

Het probleem bij SMS is het achterliggende protocol: Wikipedia: Signalling System No. 7 dit is intrinsiek onveilig en wordt ook actief misbruikt op dit moment.

_Diederik schreef op zaterdag 19 oktober 2019 @ 22:40:

Authenticator App
Heb ik wat moeite mee, als mijn telefoon (niet waterdicht) in een glas bier beland, dan kan ik nergens meer inloggen.

Daar kun je ook een app voor pakken bij backupmogelijkheden. Ik gebruik de LastPass authenticator, die heeft een backupmogelijkheid. Die kan ik dan vanaf LastPass weer terugzetten naar een andere telefoon mocht er wat gebeuren.

En als bijkomend voordeel zit 't ding ook nog eens achter een vingerafdrukbeveiliging. Dus je kunt niet zomaar m'n authenticator app openen.

Juup schreef op zaterdag 19 oktober 2019 @ 23:21:
[...]

Het probleem bij SMS is het achterliggende protocol: Wikipedia: Signalling System No. 7 dit is intrinsiek onveilig en wordt ook actief misbruikt op dit moment.

Dat betreft nog steeds een aanval specifiek gericht op jou als persoon. Daarnaast moet de aanvaller dan ook jou "normale" wachtwoord en telefoon nummer hebben. Ik denk dat dit meer een probleem is voor journalisten en mensen met een andere openbare functie.

Overigens vind is SMS authenticate vooral vervelend omdat het wat langzamer is. Maar ik moet toegeven dat SMS minder veilig voelt dan een app

Ik heb maar een paar accounts die echt goed beveiligd moeten zijn en die hebben een lang wachtwoord wat ik ergens opgeschreven heb. Ook gebruik ik op die sites authenticator van Google.

De rest van de accounts die je gewoon overal nodig hebt, hebben een eenvoudiger wachtwoord wat te onthouden is en is op veel sites gewoon hetzelfde.

[ Voor 9% gewijzigd door Ernemmer op 19-10-2019 23:55 ]

Waarom zou je wachtwoorden tegenwoordig überhaupt nog willen onthouden en hergebruiken? Of beter gevraagd, waarom zou je het risico willen lopen dat als er op 1 site iets uitlekt, je de inlogs van mogelijk meerdere sites op straat hebt liggen, als het vrij eenvoudig te verhelpen is door daar een password manager voor te gebruiken.

Hoe veilig is zo'n password manager als je met 1 wachtwoord toegang kan krijgen tot al je wachtwoorden?

Voegde mij is het gewoon wachten op het nieuwsbericht dat 1 van dat soort apps gehackt is en er miljoenen accounts op straat liggen.
Ik schrijf het wel op een papiertje.

[ Voor 45% gewijzigd door Ernemmer op 20-10-2019 00:57 ]

@_Diederik,

Ik gebruik Enpass, maar welke password manager je gebruikt maakt niet zoveel uit. Althans als hij door de security audits komt.

Waar ik meer over val is, je password kluis op Dropbox.

Zowel Dropbox als password manager zijn enorme "Honey pots" voor hackers. Stel er lekken dropbox wachtwoorden uit, en even later gebeurt hetzelfde bij 1Password....

Je zou denken die kans is niet zo groot, maar Honey pot betekent dat het een zeer aantrekkelijke bron is voor miljoenen hackers. Dus de kans dat het een keer gebeurd bij Dropbox is niet ondenkbaar. (Ik weet 99% zeker dat ik de juiste term gebruik, zo niet dan is nu sowieso duidelijk wat ik probeer te zeggen)

Ik zou sowieso niks met Dropbox/Onedrive/Google Drive doen. Los van het Honey pot argument heb je ook nog het privacy argument.

Ik heb mijn kluis op een Nextcloud server staan en die host ik zelf. Iets wat veel minder accounts bevat (namelijk alleen die van mij) is per definitie een veel kleine Honey pot voor hackers en dus kleine risico dat er iets mee gebeurt.

En de tijd van "dat gebeurt niet" is echt voor voorbij. Er wordt continue over ter wereld bij grote / kleine bedrijven digitaal ingebroken. Niet altijd met een grote impact, en er wordt niet altijd meteen data gestolen maar er gebeurt echt veel meer dan wat de gewone man/vrouw mee krijgt.

En hoe sterk is je master password van je kluis?

Je moet je realiseren dat gebruiksvriendelijk vrijwel altijd ten koste van veiligheid gaat. Dat zie je bijvoorbeeld ook heel sterk bij auto beveiliging, keyless entry is daar een bekend voorbeeld van. Enorm handig maar zo onveilig / lek als het maar kan. Zo erg dat lease maatschappijen het niet meer accepteren zonder achteraf ingebouwd alarm (althans een groot aantal).

Als je zeker wilt zijn dat ze je auto niet stelen heb je nodig:

- 4 x verschillende wielklem
- fysiek stuurslot
- 2 extra auto's om je auto altijd klem te zetten
- 3x verschillende alarm
- digitaal laser sleutel (MB S klasse)
- menselijk gewapende autobeveiligers met hond roulerend in een team van vier (uiteraard allemaal ex Navy Seals/SAS)
- continue drone surveillance
- realtime satelliet surveillance
Etc.

Dit is natuurlijk gekscherend maar snap je wat ik probeer duidelijk te maken? Niemand neemt alle bovengenoemde maatregelen, vooral omdat gebruikersgemak daalt naar 0 (nu zijn dit ook uiteraard dure oplossing maar dat komt omdat het een auto voorbeeld betreft).

[ Voor 44% gewijzigd door Operations op 20-10-2019 03:59 ]

Ernemmer schreef op zondag 20 oktober 2019 @ 00:53:
Hoe veilig is zo'n password manager als je met 1 wachtwoord toegang kan krijgen tot al je wachtwoorden?

Voegde mij is het gewoon wachten op het nieuwsbericht dat 1 van dat soort apps gehackt is en er miljoenen accounts op straat liggen.
Ik schrijf het wel op een papiertje.

First of all: het managen met wachtwoorden in een wachtwoordboekje is helemaal top. In sommige gevallen is het zelfs beter dan een digitale kluis, vooral wanneer de eindgebruiker niet erg digitaal vaardig is. De redenatie om een boekje over een digitale kluis te verkiezen i.v.m. twijfels over de veiligheid vind ik echter scheef.

Een password manager is veilig, daar kun je simpelweg vanuit gaan. Ik durf dit met zekerheid te zeggen omdat alle password managers erg transparant zijn over hun beveiligingsmaatregelen. En op papier maken deze maatregelen een wachtwoord kluis onkraakbaar. Dit kun je zelf opzoeken, maar experts zullen ook hetzelfde zeggen. Een situatie waarin een password manager wordt gehackt en alle wachtwoorden op straat liggen is erg lastig, gezien een wachtwoord kluis versleuteld is met jou hoofdwachtwoord. Zonder jou hoofdwachtwoord komen ze er niet in. Zelfs de makers van de betreffende app niet.

Dit concept gaat echter enkel op als het bedrijf waar jij je password manager bij hebt zijn zaken goed op orde heeft. Hierin moet je een bedrijf dus vertrouwen op zijn mooie logo en marketing. Mocht je dit vertrouwen niet hebben kun je ook altijd de offline en open-source password manager Bitwarden gebruiken. Dan heb je alles zelf in de hand. De trade-off hierbij zijn echter dezelfde als bij het wachtwoord boekje. Je creëert een single point of failure aangezien zowel het boekje als de schijf kunnen worden gestolen of verloren gaan bij een brand.

Tot slot moet gezegd worden dat bij de meeste kluizen een aanvaller met enkel je hoofdwachtwoord er ook niet in komt. In het geval van 1Password moet je ook een secret key meegeven om nieuwe apparaten toegang te geven. Dit is een key van 40 tekens, zonder deze komt een aanvaller er wederom niet in.

_Diederik schreef op zaterdag 19 oktober 2019 @ 22:40:
Op dit moment maak ik gebruik van 1Password en laat sterke wachtwoorden genereren, de kluis staat in Dropbox, zodat ik met mijn laptop en telefoon toegang heb tot mijn wachtwoorden.

De volgende stap is om 2FA te gaan gebruiken

Voor sites en applicaties die MFA met TOTP doen (alles wat werkt met authenticator apps met die zescijferige codes) kan je ook 1Password gebruiken. Die ondersteunt dat ook.

Ernemmer schreef op zondag 20 oktober 2019 @ 00:53:
Hoe veilig is zo'n password manager als je met 1 wachtwoord toegang kan krijgen tot al je wachtwoorden?

Alle passwords zijn encrypted.
Met enkel een wachtwoord kom je echt niet bij mijn passwords, daar heb je alsnog een 2FA code voor nodig. En ook al heb je m'n telefoon met bijbehorende pincode, dan heb je alsnog m'n vingerafdruk nodig.

Nu ga ik niet zeggen dat encryptie niet te kraken is, maar voorlopig duurt dat nog zo lang, dat het praktisch onmogelijk is. Over veiligheid maak ik me verder echt geen zorgen hoor.

Snoeien in de hoeveelheid online accounts is een niet te vergeten optie. Wat heb je daadwerkelijk nodig?

DeBolle schreef op zondag 20 oktober 2019 @ 10:47:
Snoeien in de hoeveelheid online accounts is een niet te vergeten optie. Wat heb je daadwerkelijk nodig?

Dat is altijd een goed optie.. Jammer genoeg is het proces om een account te sluiten altijd anders op elke website en is het soms even zoeken doordat sommige websites maar al te graag de verwijderknop verstoppen achter wat menu's.

Sowieso is het handig om te bedenken waar je je tegen wilt beschermen. Als een land mijn spullen wil inzien, tsja dan kan ik er weinig aan doen. Ik wil me beschermen tegen cascading attacks, dus als op de ene site credentials lekken mogen deze niet gebruikt worden op andere sites om daar misbruik te maken van mijn gebruikersaccount. En, als mijn laptop of telefoon gejat wordt moet de gauwdief niet bij mijn spullen kunnen.

Ik heb dus al mijn accounts voorzien van unieke wachtwoorden beheerd door een password manager. Ik ben zes of zeven jaar geleden al overgestapt van onthouden naar een password manager en heb toen bewust voor 1Password gekozen. Hun openheid over encryptie en bestandsformaat zijn fijn voor de toekomst (ik kan desnoods zelf iets schrijven wat hun vaults kan lezen), ik heb de data lokaal (sync via Dropbox) en kon toen al op mijn Windows, Apple en Android devices er gebruik van maken. Da's voor mij belangrijk en toen nog helemaal geen gemeengoed.

Verder heb ik overal recovery via gekke raadbare vragen en emails en SMS uitgezet, voor het geval mijn telefoon in verkeerde handen valt. Waar ik kan maak ik gebruik van MFA via TOTP, weliswaar via 1Password in veel gevallen maar da's veiliger dan SMS en beschermt me ook weer tegen de gemiddelde gauwdief en credential stuffer.

Mijn telefoons, laptop en tablets zijn encrypted. Als deze eens gejat worden is er afgezien van het financiële weinig aan de hand. Tsja, een vastberaden CIA of MIVD zal vast mijn telefoon kunnen kraken. Maar dat is geen doel voor mij om me daar tegen te beschermen, ik wil veilig zijn als iemand mijn telefoon jat en die doorverkoopt aan de volgende persoon met twijfelachtige principes.

Ik heb dus gewoon eens nagedacht over waar ik kwetsbaar voor was, en credential stuffing vanuit gelekte credentials was simpelweg nummer 1. HaveIBeenPwned.com laat wel goed zien hoeveel credentials er (zichtbaar!) lekken, ik kan me niet voorstellen wat er nog onder dat topje van de ijsberg gebeurd. Dat was dus stap 1, door alles te vervangen door zo lang mogelijke random wachtwoorden beheerd door een goed aangeschreven password manager. Verder MFA waar mogelijk, want hé amper meer moeite en fijn gevoel en net dat beetje extra. Encryptie op mijn laptop, telefoons en tablets is een no-brainer tegenwoordig. Het kost amper moeite en is dus een enorme quick win. Als nu mijn telefoon stuk gaat mik ik 'm zonder zorgen in de inzamelingsbox, of als 'ie gestolen wordt heb ik geen slapeloze nachten.

Dus, ik denk dat de TS verder al uitstekend bezig is met een mooie password manager en MFA waar 'ie kan via Authy of een ander betrouwbaar iets. Tenzij 'ie als journalist, dissident, crimineel of andere high value target een extra sappig doelwit is ben je dan al enorm geod bezig.

Maak er niet overtuigen van, dan wordt het religieus. Gewoon zelf doen, en uitleggen wát je doet, waarom als mensen het vragen.

De mijne is heel ver gekomen hiermee ;j

Operations schreef op zondag 20 oktober 2019 @ 01:13:
@_Diederik,

Ik gebruik Enpass, maar welke password manager je gebruikt maakt niet zoveel uit. Althans als hij door de security audits komt.

Waar ik meer over val is, je password kluis op Dropbox.

Zowel Dropbox als password manager zijn enorme "Honey pots" voor hackers. Stel er lekken dropbox wachtwoorden uit, en even later gebeurt hetzelfde bij 1Password....

Je zou denken die kans is niet zo groot, maar Honey pot betekent dat het een zeer aantrekkelijke bron is voor miljoenen hackers. Dus de kans dat het een keer gebeurd bij Dropbox is niet ondenkbaar. (Ik weet 99% zeker dat ik de juiste term gebruik, zo niet dan is nu sowieso duidelijk wat ik probeer te zeggen)

Ik zou sowieso niks met Dropbox/Onedrive/Google Drive doen. Los van het Honey pot argument heb je ook nog het privacy argument.

Ik heb mijn kluis op een Nextcloud server staan en die host ik zelf. Iets wat veel minder accounts bevat (namelijk alleen die van mij) is per definitie een veel kleine Honey pot voor hackers en dus kleine risico dat er iets mee gebeurt.

En de tijd van "dat gebeurt niet" is echt voor voorbij. Er wordt continue over ter wereld bij grote / kleine bedrijven digitaal ingebroken. Niet altijd met een grote impact, en er wordt niet altijd meteen data gestolen maar er gebeurt echt veel meer dan wat de gewone man/vrouw mee krijgt.

En hoe sterk is je master password van je kluis?

Je moet je realiseren dat gebruiksvriendelijk vrijwel altijd ten koste van veiligheid gaat. Dat zie je bijvoorbeeld ook heel sterk bij auto beveiliging, keyless entry is daar een bekend voorbeeld van. Enorm handig maar zo onveilig / lek als het maar kan. Zo erg dat lease maatschappijen het niet meer accepteren zonder achteraf ingebouwd alarm (althans een groot aantal).

Als je zeker wilt zijn dat ze je auto niet stelen heb je nodig:

- 4 x verschillende wielklem
- fysiek stuurslot
- 2 extra auto's om je auto altijd klem te zetten
- 3x verschillende alarm
- digitaal laser sleutel (MB S klasse)
- menselijk gewapende autobeveiligers met hond roulerend in een team van vier (uiteraard allemaal ex Navy Seals/SAS)
- continue drone surveillance
- realtime satelliet surveillance
Etc.

Dit is natuurlijk gekscherend maar snap je wat ik probeer duidelijk te maken? Niemand neemt alle bovengenoemde maatregelen, vooral omdat gebruikersgemak daalt naar 0 (nu zijn dit ook uiteraard dure oplossing maar dat komt omdat het een auto voorbeeld betreft).

Hoewel ik het met je eens ben (ik heb zelf ook mijn eigen NextCloud server) vraag ik mij af of je verhaal daar niet evengoed in opgaat. Voor een hacker lijkt het mij logischer om niet een individuele NextCloud server te hacken maar om NextCloud an-sich te hacken. Dat is net zo goed een honeypot zoals je die zelf beschrijft. Ja, er zit dan een extra stap tussen een hack uitvoeren en het verzamelen van de buit (namelijk, het vinden van al die individuele NextCloud servers), maar niet geheel onmogelijk dat eigen NextCloud servers net zo goed een honeypot zijn, toch?

Tiimmeh schreef op maandag 21 oktober 2019 @ 10:53:
[...]


Hoewel ik het met je eens ben (ik heb zelf ook mijn eigen NextCloud server) vraag ik mij af of je verhaal daar niet evengoed in opgaat. Voor een hacker lijkt het mij logischer om niet een individuele NextCloud server te hacken maar om NextCloud an-sich te hacken. Dat is net zo goed een honeypot zoals je die zelf beschrijft. Ja, er zit dan een extra stap tussen een hack uitvoeren en het verzamelen van de buit (namelijk, het vinden van al die individuele NextCloud servers), maar niet geheel onmogelijk dat eigen NextCloud servers net zo goed een honeypot zijn, toch?

@Tiimmeh,

Simpel antwoord is nee, naar mijn mening
Dropbox/Onedrive etc. is de beloning veel groter als ze een achterdeurtje vinden in z'n server. Want veel meer accounts dus loont veel meer de moeite. Mijn (en ik denk jouw) Nextcloud hebben maar 1 of een paar accounts. Dat is geen honey pot, dan is het eerder een gerichte aanval. Een ook al zou er een algemene Nectcloud achterdeur bekend zijn in de hackscene dan pakken ze eerst de grote Nextcloud servers.
Want zodra de boel gepatched is Is "the Window of oppertunity" weg. Dus logischerwijs willen ze in dat "window" zoveel mogelijk verzamelen/schade aanrichten.

Dan kunnen ze nog steeds mijn/jouw Nextcloud pakken bij toeval dus dat hoeft uiteraard niet perse een gerichte aanval te zijn.

Een high value target (Kardasian/Paris Hilton etc. bijvoorbeeld) dat soort mensen worden wel individueel getarget. Maar wederom omdat de kans op(vaak financiële via chantage) beloning groot is. Bijvoorbeeld wanneer er naakt foto's gevonden worden. Het effect als dat naar buiten gebracht wordt is enorm, voor jou/mij zou het ook vervelend zijn maar dat staat niet helemaal in verhouding.

Alhoewel er dan ook weer mensen zijn die zeggen there "ain't such a thing as bad publicity". Maar goed dat is een heel ander aspect.

De beloning is groter bij de grote Nextcloud servers/hosts, achterdeur gaat een keertje gepatched worden. Dan hebben ze liever 1 miljoen wachtwoorden dan een handje vol. Gestolen wachtwoorden en/of data (of creditcards etc.) worden ook op darkweb aan geboden. Dit gaat bijna altijd (voor zover ik weet) over een groot aantal (bijvoorbeeld honderd duizenden ). Zodra hackers dropbox wachtwoorden van 1 miljoen mensen hebben dan gaan ze die 1 miljoen wachtwoorden ook op andere site proberen (gescript uiteraard dus automatisch en razend snel) omdat mensen nog steeds regelmatig dezelfde wachtwoorden gebruiken.

Wanneer ze mijn/jouw Nextcloud account wachtwoord hebben kunnen ze ook meerdere sites afgaan maar ja heb ik dat dan al veranderd is het meteen klaar.

Je kan het een vergelijken met het stelen van 1 snoepje of een hele snoep pot, nou dat kan ene snoepje natuurlijk extreem lekker zijn. Maar dan is het dus gericht (beetje kinderachtig voorbeeld maar it paints the picture)

Mee eens?

[ Voor 48% gewijzigd door Operations op 21-10-2019 12:39 ]

Operations schreef op maandag 21 oktober 2019 @ 11:57:
[...]


@Tiimmeh,

Simpel antwoord is nee, naar mijn mening
Dropbox/Onedrive etc. is de beloning veel groter als ze een achterdeurtje vinden in z'n server. Want veel meer accounts dus loont veel meer de moeite. Mijn (en ik denk jouw) Nextcloud hebben maar 1 of een paar accounts. Dat is geen honey pot, dan is het eerder een gerichte aanval. Een ook al zou er een algemene Nectcloud achterdeur bekend zijn in de hackscene dan pakken ze eerst de grote Nextcloud servers.
Want zodra de boel gepatched is Is "the Window of oppertunity" weg. Dus logischerwijs willen ze in dat "window" zoveel mogelijk verzamelen/schade aanrichten.

Dan kunnen ze nog steeds mijn/jouw Nextcloud pakken bij toeval dus dat hoeft uiteraard niet perse een gerichte aanval te zijn.

Een high value target (Kardasian/Paris Hilton etc. bijvoorbeeld) dat soort mensen worden wel individueel getarget. Maar wederom omdat de kans op(vaak financiële via chantage) beloning groot is. Bijvoorbeeld wanneer er naakt foto's gevonden worden. Het effect als dat naar buiten gebracht wordt is enorm, voor jou/mij zou het ook vervelend zijn maar dat staat niet helemaal in verhouding.

Alhoewel er dan ook weer mensen zijn die zeggen there "ain't such a thing as bad publicity". Maar goed dat is een heel ander aspect.

De beloning is groter bij de grote Nextcloud servers/hosts, achterdeur gaat een keertje gepatched worden. Dan hebben ze liever 1 miljoen wachtwoorden dan een handje vol. Gestolen wachtwoorden en/of data (of creditcards etc.) worden ook op darkweb aan geboden. Dit gaat bijna altijd (voor zover ik weet) over een groot aantal (bijvoorbeeld honderd duizenden ). Zodra hackers dropbox wachtwoorden van 1 miljoen mensen hebben dan gaan ze die 1 miljoen wachtwoorden ook op andere site proberen (gescript uiteraard dus automatisch en razend snel) omdat mensen nog steeds regelmatig dezelfde wachtwoorden gebruiken.

Wanneer ze mijn/jouw Nextcloud account wachtwoord hebben kunnen ze ook meerdere sites afgaan maar ja heb ik dat dan al veranderd is het meteen klaar.

Je kan het een vergelijken met het stelen van 1 snoepje of een hele snoep pot, nou dat kan ene snoepje natuurlijk extreem lekker zijn. Maar dan is het dus gericht (beetje kinderachtig voorbeeld maar it paints the picture)

Mee eens?

Je verhaal is precies wat ik probeer te weerleggen. Het lijkt mij logischer als een hacker een backdoor vind voor de client zelf, niet mijn of jouw privéserver per sé (bijvoorbeeld je wachtwoord). Als je dat vind heb je namelijk (theoretisch) toegang tot al die privéservertjes (zie mijn vorige post).

Tiimmeh schreef op maandag 21 oktober 2019 @ 13:07:
[...]


Je verhaal is precies wat ik probeer te weerleggen. Het lijkt mij logischer als een hacker een backdoor vind voor de client zelf, niet mijn of jouw privéserver per sé (bijvoorbeeld je wachtwoord). Als je dat vind heb je namelijk (theoretisch) toegang tot al die privéservertjes (zie mijn vorige post).

De winst op/van een privé server is toch altijd vele malen kleiner dan de winst op een (bijvoorbeeld) google server...?

Achterdeurtjes zitten vaak in (web)servers, die zijn ook 24/7 benaderbaar. Een hack in de cliënt dan moet je toch het verkeer tussen client en server onderscheppen/er tussen komen?

Mijn nextcloud client (server draait ook lokaal) kan zo lek als een mandjes zijn maar Sophos firewall houdt jou toch als nog buiten de deur?

Uiteraard mag je een eigen mening hebben hoor.

[ Voor 25% gewijzigd door Operations op 21-10-2019 13:29 ]

Operations schreef op maandag 21 oktober 2019 @ 13:25:
[...]


De winst op/van een privé server is toch altijd vele malen kleiner dan de winst op een (bijvoorbeeld) google server...?

Laat ik het anders verwoorden. Jij en ik draaien (ongeveer) dezelfde NextCloud code op onze servers. Als je voor die code een backdoor vind als hacker kan je (theoretisch) elke privéserver openbreken waar NextCloud op draait. Even goed een honeypot, toch?

Tiimmeh schreef op maandag 21 oktober 2019 @ 13:29:
[...]


Laat ik het anders verwoorden. Jij en ik draaien (ongeveer) dezelfde NextCloud code op onze servers. Als je voor die code een backdoor vind als hacker kan je (theoretisch) elke privéserver openbreken waar NextCloud op draait. Even goed een honeypot, toch?

de moeite van 1000000 verschillende NC servers leeghalen is toch groter dan de moeite van 1 server waar je in een keer 1000000 wachtwoorden vanag haalt?

En wat ik eerder zei, "window of oppertunity". De kans dat van al die privé servertjes er heel veel gepatched worden zodra de achterdeur bekend is, Is aannemelijk. De tijd die het kost om 1 server leeg te trekken is toch veel minder?

[ Voor 4% gewijzigd door Operations op 21-10-2019 13:41 ]

Operations schreef op maandag 21 oktober 2019 @ 13:32:
[...]


de moeite van 1000000 verschillende NC servers leeghalen is toch groter dan de moeite van 1 server waar je in een keer 1000000 wachtwoorden vanag haalt?

En wat ik eerder zei, "window of oppertunity". De kans dat van al die privé servertjes er heel veel gepatched worden zodra de achterdeur bekend is, Is aannemelijk. De tijd die het kost om 1 server leeg te trekken is toch veel minder?

Als deze bekend wordt ja, maar dan kunnen er in theorie ook al heel veel "leeggetrokken" zijn. Ook veel homeservers zijn aantrekkelijk voor hackers. Denk is aan de info die mensen erop zetten. Kopies paspoort, id's, cvs. Erg handig voor indentiteidsfraude. Password managers, bitcoint wallets? ga zo maar door.

Het kan erg intresant zijn om toegang te krijgen tot heel veel homeservers. Je krijgt dat een soort Asusgate, maar dan groter.

garriej schreef op maandag 21 oktober 2019 @ 13:49:
[...]

Als deze bekend wordt ja, maar dan kunnen er in theorie ook al heel veel "leeggetrokken" zijn. Ook veel homeservers zijn aantrekkelijk voor hackers. Denk is aan de info die mensen erop zetten. Kopies paspoort, id's, cvs. Erg handig voor indentiteidsfraude. Password managers, bitcoint wallets? ga zo maar door.

Die info die jij noemt staat ook in veel grotere aantallen op openbare dropboxen etc. Zitten meer mensen op dus logischerwijs meer van dat soort info toch....

Operations schreef op maandag 21 oktober 2019 @ 14:24:
[...]


Die info die jij noemt staat ook in veel grotere aantallen op openbare dropboxen etc. Zitten meer mensen op dus logischerwijs meer van dat soort info toch....

Klopt, maar het 1 sluit het ander niet uit.

garriej schreef op maandag 21 oktober 2019 @ 14:31:
[...]

Klopt, maar het 1 sluit het ander niet uit.

Dat is waar, maar het gaat om de hoeveelheid effort tov beloning. Maar dat heb ik nu al een paar keer gezegd

Agree to disagree maar?