Nieuws

Ook IT professionals slordig met wachtwoorden

donderdag 8 november 2007, 16:02 door Redactie, 7 reacties

Het is algemeen bekend dat werknemers hun wachtwoord voor een chocoladereep ruilen, maar ook mensen die zich bij Mozilla, IBM, banken en universiteiten met IT-beveiliging bezighouden geven zonder problemen hun wachtwoorden weg. Wachtwoorden die ze ook voor andere accounts gebruiken, zo blijkt uit onderzoek van de Nederlandse beveiligingsonderzoeker Ronald van den Heetkamp. Van den Heetkamp is de man achter het Hacker Webzine.

Op de pagina kondigde hij aan dat de site "ondergronds" zou gaan en elke dag een 0day lek zou publiceren. Het eerste lek betrof een PHP kwetsbaarheid die in miljoenen websites aanwezig zou zijn. Om toegang tot het "vernieuwde" webzine en de 0days te krijgen moesten mensen zich registreren, en dat werd dan ook massaal gedaan.

"Onder de 400 inschrijvingen waren onder meer Mozilla, Amerikaanse overheid, banken, hackers, .mil domeinen, security mensen en studenten", zo laat de hacker tegenover Security.NL weten. Hij schat dat zo'n 30% van de wachtwoorden ook voor andere accounts gebruikt worden. Verder bleek 30% binnen enkele seconden of minuten te kraken was. Het ging onder andere om wachtwoorden zoals "lanwan345", "jenny1978" en "mobileh4cks".

"Uit eigen ervaring weet ik dat het "verzinnen" van passes lastig is, vaak maakt men dan de keuze om toch gewoon een password te gebruiken wat men vaker gebruikt." Toch waren er ook mensen die bewust voor de registratie een wachtwoord hadden gekozen. Van den Heetkamp heeft inmiddels alle mensen gewaarschuwd. "Ik heb zelf al mail gehad waarin mensen aangaven dat ze nu hun email/router password gaan veranderen, dus het heeft blijkbaar toch wat stof opgeblazen."

Microsoft patcht dinsdag twee Windows lekken

Grootste datadief aller tijden krijgt 18 maanden cel

Reacties (7)

08-11-2007, 21:15 door Anoniem

grappige actie, ik probeer in ieder geval op forums een
ander wachtwoord te gebruiken dan voor belangrijkere zaken.
maar om voor elk forum iets anders te kiezen is nogal veel
gevraagd en me net te onhandig.

08-11-2007, 23:37 door [Account Verwijderd]

[Verwijderd]

08-11-2007, 23:46 door Anoniem

Ik heb een password generator geschreven in PHP-CLI (dus
NIET via een website). Deze zal adhv een ingevoerde salt met
MD5 een bepaalde string genereren, hierop voer op een paar
replaces uit.

$salt = 'woei';
$site = 'security.nl';
$pass = md5($salt.$site);
$pass = str_replac(array('b','4','2'),array('*','$','-'),$pass);
echo $pass;

Even als "simpele" versie van wat mijn code doet. Zo kan ik
dmv 1 master password (wat ik nergens gebruik verder) mijn
wachtwoorden genereren. Verder heb ik op mijn server/client
het zelfde wachtwoord welke ik uit mijn hoofd weet. Dus ik
hoef maar 2 passwords uit mijn hoofd te kennen, en toch
veilig gebruik, iedere site een apart wachtwoord. Geen "te
raden" methode hoe het wachtwoord opgebouwd is.

Omslachtig, ja. Maar liever op deze manier dan op een manier
die ik niet zelf gemaakt/bedacht heb.

Verder is het script (en php binary's) encrypted opgeslagen
in een hidden volume binnen TrueCrypt.

09-11-2007, 08:40 door Anoniem

Door moppentappers
Ik gebruik 3 wachtwoorden, 1 voor me server en diezelfde
sinds kort ook voor msn, omdat die voor mij nu toch wel een
belangrijk communicatie middel voor mij is geworden
voor websites waar ik geen eigenaar van bij 1 ander wachwoord
en dan nog 1 ander wachtwoord die ik uit kan lenen, hele
onbelangrijke dingen komen daar op of zoals ik al zeg
wanneer iemand anders dat wachtwoord ook nodig heeft

Fijn dat iedereen nu weet hoe je je zaakjes georganiseerd hebt.
Ik zeg altijd maar zo veiligheid voor alles niet?

09-11-2007, 08:45 door Anoniem

Door moppentappers
Ik gebruik 3 wachtwoorden, 1 voor me server en diezelfde
sinds kort ook voor msn

Misschien geen overbodige luxe om te vertellen dat
msn-wachtwoorden (in ieder geval in oudere versies van msn)
onversleuteld worden verstuurd, dus vooral in openbare
netwerken heel eenvoudig af te tappen zijn.

09-11-2007, 10:19 door Anoniem

Door Anoniem

Fijn dat iedereen nu weet hoe je je zaakjes georganiseerd hebt.
Ik zeg altijd maar zo veiligheid voor alles niet?

ja nu weet je alles van 'm en kan ie beter verdwijnen van internet, stel je
niet zo aan zeg.

09-11-2007, 12:16 door Anoniem

"Het is algemeen bekend dat werknemers hun wachtwoord voor een
chocoladereep ruilen"

Het is ook algemeen bekend dat sommige researchers zo naief zijn te
denken dat wanneer ze iemand vragen om een wachtwoord te geven in
ruil voor een reep chocola, zij ook daadwerkelijk het echte wachtwoord
krijgen. Natuurlijk zullen sommigen zo dom zijn, genoeg anderen zullen
echter gewoon ter plekke een 'wachtwoord' bedenken in ruil voor de
gratis reep chocola. Wat dat betreft kan je toch wel vraagtekens stellen
bij de uitkomst van dergelijke onderzoeken.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer