Wachtwoorden gehackt

Niet moeilijk doen en gewoon je wachtwoord veranderen. Natuurlijk doe je dit via de officiële weg en dus absoluut niet via een linkje in deze mail. Mocht het nep zijn, wat het volgens mij niet is, dan ben je weer op en top veilig. Is het nep, nou ja dan heb je je wachtwoord weer aangepast. Dat is altijd verstandig om eens in de zoveel tijd te doen.

Trouwens, gebruik je het wachtwoord van je Googleaccount ook ergens anders? Dan moet je daar ook het wachtwoord aanpassen en meteen een ander sterk wachtwoord nemen. Het is belangrijk dat je overal unieke wachtwoorden hebt die niet op elkaar lijken. Als je het lastig vindt om wachtwoorden te verzinnen en/of te onthouden, kun je keepass o.i.d. gebruiken om je wachtwoorden op te slaan en de lastpass wachtwoordgenerator (te vinden op hun site) gebruiken om unieke wachtwoorden aan te maken. Keepass is gratis, als je bereid bent te betalen, heb je betere wachtwoordmanagers met meer features. Een bloknote met wachtwoorden mag natuurlijk ook. Alles beter dan niks. Alleen is het wel omslachtig om telkens 10+ tekens in te moeten vullen.

Voor als je geïnteresseerd bent hoe hackers te werk gaan:

Google heeft een database. Daarin staan inloggegevens van gebruikers in. Ook die van jou dus.
Op het moment dat hackers toegang krijgen tot deze database, weten ze jouw e-mailadres + wachtwoord. Stel jouw e-mailadres is: hansw1@gmail.com en je wachtwoord is 1234. Hackers proberen of je ergens anders dezelfde gegevens gebruikt. Stel je gebruikt op Facebook ook deze gegevens, komen ze ook vroeg of laat op jouw Facebookaccount en kunnen mensen op jouw naam gaan oplichten via de marketplace.

Google heeft hun zaken in het algemeen wel op orde. Wat waarschijnlijk gebeurt is in dit geval is dat je ergens anders hetzelfde wachtwoord gebruikt als voor je Google account. Die pipo's hebben hun infrastructuur niet goed beveiligd en hebben hun database gelekt. Hackers zijn via deze weg achter jouw wachtwoord gekomen en gaan binnenkort proberen of ze hiermee ook op jouw Googleaccount kunnen inbreken.

Nog een laatste tip: om te voorkomen dat hackers alleen met een gestolen wachtwoord + gebruikersnaam kunnen inloggen kun je ook 2FA instellen. (Two factor Authentication, een manier om in te loggen met iets dat je weet (wachtwoord) en iets dat je hebt (een tijdelijk token)) Op het internet staat best veel over 2FA lees jezelf eens in als je dat nog niet ingesteld hebt, zou ik zeggen.

[Voor 38% gewijzigd door hoi1234 op 26-03-2021 17:32]

TERW_DAN schreef op vrijdag 26 maart 2021 @ 17:08:
Er zit zo te zien geen linkje in dat mail waarop je moet klikken. Je moet echt naar accounts.google.com gaan om het aan te passen. Dus vanuit daar wordt je niet zomaar geredirect naar een phishing site.

En of het echt is of niet, als je dit soort berichten krijgt, kan het nooit kwaad om zelf je passwords aan te passen door uniek gegenereerde wachtwoorden voor iedere site/account.

Geloof me... Ik heb de meest rare phisingmails gehad. Laatst kreeg ik nog een mail van "ING". Daar zat ook geen link of bijlage in. Maar de afzender klopte niet en bovendien is ING niet op de hoogte van dat e-mailadres.

FreshMaker schreef op vrijdag 26 maart 2021 @ 17:47:
[...]


Gevalletje klok / klepel ?

Ja, Google zal best een database hebben, alleen staat daar niet zomaar jouw naam/ww in.

Deze check gaat puur op hashes, en combinaties van externe bronnen zoals HibP.

Als het goed is, wordt inderdaad het één en ander gehashd of encrypt (weet even het verschil niet meer). Maar om het makkelijk te houden, nam ik dat even niet mee in mijn verhaal. Uiteindelijk is het resultaat hetzelfde. Als de hash of encryptie gekraakt wordt, dat hebben ze alles gewoon in plain-text. Als een database gejat is, is het gewoon wachten tot de wachtwoorden om te zetten zijn naar plain-text. Kan ik wel allemaal heel complex gaan doen, maar de ernst van de zaak is beter te begrijpen als ik zeg dat het wachtwoord nu op straat ligt.


Als ik zie hoeveel diensten op hibp staan waarbij vermeld wordt dat de encryptie/hash niet op orde is gelekt zijn, weet ik dat het niet lang duurt voordat de gegevens plain-text op straat liggen.

[Voor 12% gewijzigd door hoi1234 op 26-03-2021 17:59]

TERW_DAN schreef op vrijdag 26 maart 2021 @ 17:42:
[...]

Tuurlijk, er zitten hele gerafineerde mails tussen. Maar als je nergens op klikt en zelfs naar accounts.google.com toegaat, dan is dat toch wel veilig. Het is niet alsof je naar accounts.google.com-vageserver.freehost.ru moet gaan ofzo

Bedoel te zeggen dat een mail zonder rare links of bijlages niks zegt. Maar inderdaad, zolang je nergens op klikt en niks opent valt het meestal wel mee.