wachtwoord gelekt gegevenslek

BertDeDikkerd schreef op zaterdag 11 januari 2020 @ 14:14:
Al mijn wachtwoorden zijn hetzelfde zou ik deze bij elke website veranderen?
[...]
Moet ik me zorgen maken?

Als je die ook bij je Digid, je bankieren en je gemeente hetzelfde hebt, wellicht wel.

Het is sowieso raadzaam om bij elke website een ander wachtwoord te hebben. Nog beter is om een wachtwoordmanager te hebben (zit bij chrome ingebouwd) en voor elk website een heel sterk wachtwoord te genereren. Dat kan je hier doen: https://passwordsgenerator.net.

Kijk eens op een site als haveibeenpwned

Umbrah schreef op zaterdag 11 januari 2020 @ 14:20:
Kijk eens op een site als haveibeenpwned

Of als je meer vertrouwen hebt in Mozilla: https://monitor.firefox.com/

BertDeDikkerd schreef op zaterdag 11 januari 2020 @ 14:14:
Al mijn wachtwoorden zijn hetzelfde zou ik deze bij elke website veranderen?

Ja, want overal hetzelfde wachtwoord hebben is een héél slecht idee.

Moet ik me zorgen maken?

Als je wachtwoord voor bijvoorbeeld je mail en je bank ook hetzelfde is, dan zou je je zeker zorgen moeten maken.

BertDeDikkerd schreef op zaterdag 11 januari 2020 @ 14:17:
Maar hoezo kan dit gelekt zijn?

Als jij overal hetzelfde wachtwoord gebruikt, dan hoeft er maar één website te zijn die z'n beveiliging niet op orde heeft, en gehackt wordt, en je bent de pineut.

BertDeDikkerd schreef op zaterdag 11 januari 2020 @ 14:17:
Maar hoezo kan dit gelekt zijn?

Datalekken en wachtwoordlekken zijn aan de orde van de dag. Soms hacks, meestal onvoorzichtigheid of ronduit stupiditeit aan de kant van de website beheerder. Het is dus ook zeer onverstandig om op meerdere websites hetzelfde wachtwoord te gebruiken.

Dat je nu op tweakers de melding krijgt, wil overigens niet zeggen dat het wachtwoord ook via tweakers is gelekt. Blijkbaar staat je naam+wachtwoord combinatie op een of andere lijst en heb je een plugin die dat signaleert en je waarschuwt.

BertDeDikkerd schreef op zaterdag 11 januari 2020 @ 14:17:
Maar hoezo kan dit gelekt zijn?

dat ligt er aan waar je allemaal je gegevens achterlaat.

Als je ergens op een forum voor bloemetjes inlogd en die draait oude rommel dan is er bv kans dat alle accounts en wachtwoorden daar gehacked/gelekt zijn.

Dan is het vaak simpel om die accounts ook te proberen op FB, Google, Linked in etc.

Dus gewoon een PW manager gebruiken.
Van 95% van de websites weet ik niet eens mijn wachtwoord. Dat laat ik gewoon genereren en mijn PWM logt dan in.
Verder. Waar kan overal MFA inrichten.
En vergeet niet backup-codes ergens goed op te slaan.

BertDeDikkerd schreef op zaterdag 11 januari 2020 @ 14:17:
Maar hoezo kan dit gelekt zijn?

BertDeDikkerd schreef op zaterdag 11 januari 2020 @ 14:14:

Al mijn wachtwoorden zijn hetzelfde zou ik deze bij elke website veranderen?
Moet ik me zorgen maken?

Hoe zou je denken dat het kan ?

Hetzelfde wachtwoord op meerdere sites gebruiken is sowieso niet handig ...

BertDeDikkerd schreef op zaterdag 11 januari 2020 @ 15:09:
Okay mensen everything ok, alles aangepast

Bedankt iedereen!

Dat heb je snel gedaan. Heb je nu alle websites een uniek eigen wachtwoord gegeven, of heb je alles aangepast naar weer 1 hetzelfde wachtwoord?

Zie dit .plan: plan: Ga veilig met je wachtwoorden om en behoed je medetweakers voor misbruik

Even inhakend op dit topic, ik heb ook zo'n melding gekregen vanuit Google Chrome. Echter wanneer ik het bewuste wachtwoord check op haveibeenpwned dan krijg ik de melding " no pwnage found". Ik vraag me dus af op basis van welke gegevens Google baseert dat mijn wachtwoord gelekt zou zijn. Haveibeenpwned meldt altijd bij welke breach je emailadres of wachtwoord betrokken is, Google doet dit echter niet.

Chrome vergelijkt de hash van het wachtwoord tegen een paar dingen
- bekend bij een breach - onveilig
- te makkelijk ( 12345 / dadada ) - onveilig
- vaker dan één keer in de eigen passwordmanager - onveilig ( zelfs als het dezelfde site is, maar met meer titels

Chrome kan je assisteren met het aanpassen van de wachtwoorden, dan zie je ook onder welke categorie 'onveilig' je valt

Als je een lokale server hebt draaien die geen externe ( internet ) acces heeft, is het alleen maar lastig.
Ik had een statuspagina voor mijn storage iets van qwerty123 staan, bij elke keer op die pagina, kwam Chrome met het verhaal dat het onveilig en breached was.
Toen ik het WW weghaalde ( geen login meer ) was het ineens oké

[ Voor 46% gewijzigd door FreshMaker op 27-02-2020 14:15 ]

@FreshMaker Hmm volgens de analyse van Google password manager zou een wachtwoord dat ik gebruik betrokken zijn bij een breach, maar Google meldt hier vervolgens helaas geen details van. Dus of Google hanteert een andere database dan haveibeenpwned of wat de Google password manager meldt klopt simpelweg niet.

Google heeft misschien meer/andere info dan HiBP ?

Ik kan het je niet vertellen ...

Laguna schreef op donderdag 27 februari 2020 @ 16:37:
@FreshMaker Hmm volgens de analyse van Google password manager zou een wachtwoord dat ik gebruik betrokken zijn bij een breach, maar Google meldt hier vervolgens helaas geen details van. Dus of Google hanteert een andere database dan haveibeenpwned of wat de Google password manager meldt klopt simpelweg niet.

Niet perse. HaveIBeenPwned werkt natuurlijk net even anders dan wat google doet. Bij haveibeenpwned geef je een email-adres of accountnaam op, en wordt gekeken of die naam/dat adres voorkomt in verschillende databases.

Bij chromium wordt je password gehashed met enkele veelgebruikte hashing algoritmes, en gekeken of die hash voorkomt.

Dat jouw passwordhash bekend is, betekent niet perse dat een account van jou gehacked is. Het kan ook een andere accout zijn die het zelfde wachtwoord gebruikt. Of zelfs een compleet ander wachtwoord wat een hash collision heeft. Maar hoe dan ook is in zo'n geval de kans héél groot dat je wachtwoord gewoon niet deugt.

mcDavid schreef op donderdag 27 februari 2020 @ 17:10:
[...]


Of zelfs een compleet ander wachtwoord wat een hash collision heeft.

Als je alle databases samenvat is die kans ineens niet meer zo heel klein hoor. (of iig een stuk groter dan bij email/uname+pwd combinatie). Maar als je alle passworden loskoppelt dan denk ik dat er nog best wel een hoop hash collisions zijn.

@mcDavid bij haveibeenpwned is het ook mogelijk om op wachtwoorden te zoeken, dus je zal je reactie enigszins moeten herzien.

[ Voor 3% gewijzigd door Laguna op 27-02-2020 17:57 ]