Wachtwoord uitgelekt volgen HIBP. What to do?

Er is via HIBP geen mogelijkheid om dit te achterhalen, dus zonder over de genoemde bestanden te beschikken zul je dit niet (gemakkelijk) achterhalen.

Zie echter deze tekst van Troy’s website:

As with other breaches without a single clear origin, this means that people may find themselves pwned and not know which service leaked their data. It also means they may find their password breached and not know which service leaked it. But it also doesn't matter - here's why:
The goal of HIBP has always been to change behaviours, namely to move people from using those one or two or three weak passwords all over the place and get themselves into a proper password manager like 1Password and create strong, unique passwords everywhere (full disclosure: I'm on their board of advisors). If you've done that already and then find yourself in the Cit0day data then it's a non-event for two reasons:

1. Being in one of the 23k breaches isolates your risk to that breach alone; because you've not reused the password anywhere else, exposure in that one place doesn't put you at risk anywhere else.

2. Passwords randomly generated from a password manager are almost certainly not going to be cracked; even when stored weakly (for example, as an unsalted MD5 hash), your ~40 character random string isn't being cracked. If, on the other hand, the site stored it in plain text, see point 1.

In plaats van je af te vragen of je je druk moet maken om het aanpassen van credentials is de veiligste optie om je wachtwoorden gewoon regelmatig te wijzigen in plaats van een excuus te zoeken dat je dat niet hoeft te doen.

Er zijn jaarlijks miljoenen besmettingen met malware die uit zijn op waardevolle gegevens. Het is daarbij niet alsof ieder lek waar jou gegevens bij betrokken zijn bij HIBP bekend worden. HIBP ziet waarschijnlijk maar het topje van de ijsberg. Je kan er dus beter maar vanuit gaan dat je gegevens hoe dan ook regelmatig lekken, ook als ze niet in HIBP te vinden zijn.

Als je het toch wil uitzoeken? Het probleem van een datalek is dat je er geen controle meer over hebt wie allemaal gebruik van je gegevens maakt en allemaal weg laat. Hoe minder unieke kenmerken die gelekte gegevens hebben, hoe moeilijker het is om het via die gegevens te achterhalen.

De AVG heeft daar een oplossing voor: je hebt het recht om bij alle bedrijven die je persoonsgegevens verwerken na te vragen wat er met je gegevens is gebeurt. Hoewel dat je veel tijd en misschien geld kan kosten levert het waarschijnlijk meer op dan op basis van te weinig gegevens een antwoord te zoeken.

hoi1234 schreef op vrijdag 4 december 2020 @ 12:21:
[...]

Dat is eigenlijk wel een goede tip. Op één of andere manier had ik de indruk dat het niet nodig is om wachtwoorden aan te passen, want veel werk en ik gebruik een pw-manager dus wachtwoorden zijn sterk.

Soms zijn logische dingen toch niet zo logisch in eerste instantie.

Tja wat is "nodig". Wat eerder al genoemd werd, je data zal vast vaker gelekt zijn dan dat je zelf weet. Maar wachtwoorden resetten kost ook tijd en energie. In mijn optiek is het dus ook elke keer de afweging maken, wat voor kwaad kan het als iemand in dit account kan? Kan het veel kwaad? Dan frequent je wachtwoord vervangen. Kan het geen kwaad, lekker laten zitten.

Met de hoeveelheid accounts die ik online heb is het niet te doen om "frequent genoeg" (wat dat dan ook mag zijn) mijn wachtwoorden te veranderen. Sterker nog, ik denk dat er meer accounts onder mijn naam zijn waarvan ik het bestaan niet eens meer weet dan accounts die ik actief gebruik .

En password manager gebruiken is natuurlijk altijd een idee, en wat je zelf ook al aangeeft, 2fa instellen waar mogelijk is ook slim.

Verder probeer ik zelf het dichter bij mezelf te zoeken. Het is niet te doen om me te beschermen tegen alle data lekken waar gegevens van mij in zitten dus probeer ik me te beschermen tegen de gevolgen ervan.
Plaats geen dingen online die niet gelekt mogen worden, klik niet op vage linkjes in vage mailtjes.
Relevant voor deze specifieke vraag: ga niet in op iemand die zegt dat hij "alles" van je weet omdat hij toevallig een paar wachtwoorden weet die je gebruikt.

Als je extra zeker wilt zijn verander dan de wachtwoorden die het belangrijkste voor je zijn.

Ja we willen graag dat het internet zo veilig als mogelijk is voor iedereen maar we moeten niet vergeten dat gemak ook belangrijk is voor veel mensen.