image

Onderzoekers vinden lek in routers KPN, Ziggo en Tele2

maandag 10 augustus 2015, 17:12 door Redactie, 41 reacties

Onderzoekers van de Radboud Universiteit Nijmegen hebben een kwetsbaarheid in de wifi-routers van KPN, Ziggo en Tele2 ontdekt, alsmede allerlei andere providers. Het standaard ingestelde WPA2-wachtwoord van de routers is een variant van het MAC-adres of het serienummer, waardoor een aanvaller het wachtwoord binnen minuten kan kraken en zo toegang tot de internetverbinding van gebruikers kan krijgen.

Het probleem is onder andere aanwezig in de Experia Box type ARV7519. Deze router werd tussen 2010 en begin 2015 door KPN aan klanten geleverd. Een half jaar geleden werden de Nederlandse internetproviders die de kwetsbare routers leveren door de onderzoekers ingelicht, zo meldt Nieuwsuur en laten de onderzoekers in hun onderzoekspaper weten. KPN, Ziggo en Tele2 besloten hun klanten vervolgens via brief of e-mail voor het standaardwachtwoord te waarschuwen.

Volgens de onderzoekers hebben veel mensen het standaardwachtwoord echter niet aangepast. En zelfs als het wel is aangepast, kan het bij problemen met de router gebeuren dat het oude wachtwoord weer wordt teruggezet. De onderzoekers presenteren deze week tijdens de Usenix Conferentie in Washington hun onderzoek. Het onderzoekspaper is inmiddels te downloaden (pdf).

Reacties (41)
10-08-2015, 17:45 door Anoniem
En waar kunnen we het tooltje vinden om dit te testen of bovenstaand verhaal klopt?
10-08-2015, 17:57 door Anoniem
Inlog: Ziggo
Wachtwoord: Draadloos

Security minded mensen hebben dit als eerste veranderd, mja de grote meute die graag WIIIEEEFIIIIE roepen snappen dat allemaal niet, want als het maar werkt is het prima.

Dit soort onzin is voor mij de reden om geen Draadloos te gebruiken en alles te bekabelen waar het mogelijk is.
10-08-2015, 18:08 door Anoniem
1. gaat het om het toegangswachtwoord van de modem/router of van het wifi wachtwoord? 2.welke merken en types van welke provider(s) zijn door dit lek getroffen? Zou wel fijn zijn als wij en natuurlijk ook de internetproviders zelf dit mogen weten.Dan kan er iets aan gedaan worden,een patch door de internetproviders en een zelfgekozen wachtwoord voor de thuisgebruikers.
10-08-2015, 18:11 door superglitched - Bijgewerkt: 10-08-2015, 18:17
Het probleem zit hem voornamelijk in de functie die na compleet resetten weer met hetzelfde wachtwoord moet zien terug te komen. Dat standaard wachtwoord staat op de router of in de welkomsbrief. Dat kan dus niet zomaar pseudorandom zijn, en moet ergens op worden gebaseerd. En de software zelf kunnen ze het niet in verbergen omdat dan de voorspelbaarheid te hoog wordt. Kortom, best een uitdaging zullen de programmeurs hebben gedacht toen ze dit maakte.

Kleine kanttekening: als iemand binnen enkele minuten achter een router serienummer kan komen heeft de eigenaar van de router toch echt hele andere problemen. Zoals dat de hacker fysieke toegang heeft tot de router, en dus zelfs de router kan vervangen voor een geïnfecteerde of resetten en het stickertje met ww lezen. Niet echt een issue dus.
10-08-2015, 18:14 door Anoniem
De internetproviders hebben schijt aan de veiligheid en privacy van de klant.Als ze maar aansluitingen kunnen binnenhalen.En dan als je vraagt naar hoe het zit met de veiligheid je ook nog eens hun eigen antivirus/internetsecurity pakket (meestal F-Secure) proberen aan te smeren.Maar die helpt niet in het geval van zulke lekken in de modem/software!
10-08-2015, 18:35 door Anoniem
Ja,dat vindt ik ook zoiets doms,dat het wachtwoord middels een sticker op de modem/router wordt geplakt.Dat wachtwoord hoort apart,per post te worden verzonden aan de abbonnee/gebruiker.En die zou het beter gaan vervangen door een zelfgekozen wachtwoord,en dan 1 zonder alleen maar HOOFDLETTERS,of alleen kleine letters.Een goed wachtwoord bestaat uit een random combinatie van kleine letters,hoofdletters,getallen,en symbolen zoals hekje,uitroepteken,apestaartje,euro/dollar-teken enz. De providers gebruiken standaard wachtwoorden bestaande uit slechts een paar HOOFDletters,ook zoiets doms.Een computerprogrammaatje van de hackers kan zo'n wachtwoord toch makkelijk achterhalen en kraken? Bij de installatie van mn nieuwe modem/router zei de monteur vd internetprovider tegen mij: u hoeft de standaard inlognaam en wachtwoorden van de modem/router en van de wifi niet te wijzigen,want die zijn veilig,u bent de enige die ze weet en kan wijzigen,dat kan alleen fysiek via uw computer,niet die van bijv. de buurman.
10-08-2015, 18:42 door Anoniem
Door superglitched: Het probleem zit hem voornamelijk in de functie die na compleet resetten weer met hetzelfde wachtwoord moet zien terug te komen. Dat standaard wachtwoord staat op de router of in de welkomsbrief. Dat kan dus niet zomaar pseudorandom zijn, en moet ergens op worden gebaseerd. En de software zelf kunnen ze het niet in verbergen omdat dan de voorspelbaarheid te hoog wordt. Kortom, best een uitdaging zullen de programmeurs hebben gedacht toen ze dit maakte.

Kleine kanttekening: als iemand binnen enkele minuten achter een router serienummer kan komen heeft de eigenaar van de router toch echt hele andere problemen. Zoals dat de hacker fysieke toegang heeft tot de router, en dus zelfs de router kan vervangen voor een geïnfecteerde of resetten en het stickertje met ww lezen. Niet echt een issue dus.

Het gaat niet om fysieke toegang. Je doet dat gewoon via raden.

Het raden van serienummers is vaak niet zo moeilijk, het zijn vaak gewoon oplopende nummers.

Laten we zeggen dat van een bepaald type verkocht 100.000 zijn in NL dan kun je dus redelijk snel een aantal WPA2 sleutels genereren. WPA2 sleutels genereren kan offline met een GPU behoorlijk snel als je voldoende aanwijzingen hebt.

De onderzoekers zeggen: zorg gewoon dat je een echt random default key inbouwt die niet wordt overschreven bij een reset.
10-08-2015, 18:51 door Anoniem
Nou als je dit nu nog wilt publiceren als "wij de onderzoekers hebben ontdekt" dan moet je als onderzoeker wel erg lang
onder een steen geleefd hebben... dit probleem is al jaren bekend! en ook al veel eerder gepubliceerd.

"Kleine kanttekening: als iemand binnen enkele minuten achter een router serienummer kan komen heeft de eigenaar van de router toch echt hele andere problemen"

Nou nee dat is niet zo, wat men hier bedoelt met serienummer dat zijn de laatste 6 digits van het MAC adres en daar kun je erg gemakkelijk achter komen. Dit MAC adres wordt namelijk in ieder pakket wat de router via WiFi uitzendt vermeld.
(en in de default configuratie staat het ook nog eens als laatste deel van de SSID die gebroadcast wordt)
10-08-2015, 19:12 door Briolet - Bijgewerkt: 10-08-2015, 19:13
Door superglitched: Kleine kanttekening: als iemand binnen enkele minuten achter een router serienummer kan komen heeft de eigenaar van de router toch echt hele andere problemen.

Dat kan tegenvallen. Het serienummer van mijn Ziggo router is "EVW320Bxxxxxxxx". Het eerste deel is het modelnummer wat je ook uit het mac adres, wat publiek zichtbaar is, kunt afleiden. En het serienumer van 8 cijfers zal vast niet random zijn. Als je er een tiental hebt, weet je in welke nummerrange je moet proberen.

Ik ben er wel mee eens dat dit een non-issue is. Een gebruiker die zijn netwerk wil beveiligen, kiest zelf een wachtwoord. Ik vind dit dan ook niet echt een lek in de router, maar eerder een lek in de gebruikers.
10-08-2015, 19:13 door rob
Door superglitched:
Kleine kanttekening: als iemand binnen enkele minuten achter een router serienummer kan komen heeft de eigenaar van de router toch echt hele andere problemen. Zoals dat de hacker fysieke toegang heeft tot de router, en dus zelfs de router kan vervangen voor een geïnfecteerde of resetten en het stickertje met ww lezen. Niet echt een issue dus.

Heb de bron niet gelezen. Maar ik neem aan dat serienr en dergelijke niet nodig is. Daarom duurt het ook toch nog een paar minuten om te kraken...
10-08-2015, 19:14 door rob - Bijgewerkt: 10-08-2015, 19:15
Door Briolet:
Door superglitched:
Ik ben er wel mee eens dat dit een non-issue is. Een gebruiker die zijn netwerk wil beveiligen, kiest zelf een wachtwoord. Ik vind dit dan ook niet echt een lek in de router, maar eerder een lek in de gebruikers.
Tis wel een issue. Zo'n wachtwoord ziet er tamelijk willekeurig uit, dus gebruikers worden misleid dat het een veilig wachtwoord is. Tis niet voor niets dat het nu pas iemand is opgevallen..
10-08-2015, 19:26 door Anoniem
Door Briolet:
Door superglitched: Kleine kanttekening: als iemand binnen enkele minuten achter een router serienummer kan komen heeft de eigenaar van de router toch echt hele andere problemen.

Dat kan tegenvallen. Het serienummer van mijn Ziggo router is "EVW320Bxxxxxxxx". Het eerste deel is het modelnummer wat je ook uit het mac adres, wat publiek zichtbaar is, kunt afleiden.

Bij mij kun je niks achterhalen.
Het mac-adres is trouwens pas zichtbaar (voor derden) als je een draadloze verbinding aan gaat zetten dus Wifi.

Daarbij komt ook nog eens dat er Mac-adres changers zijn.

Toen ik mijn routerpakket kreeg stond ook in de brief om het wachtwoord te veranderen.

Dus als het om beveiligen gaan zijn nog veel gebruikers gewoon te laks, en als ze het al veranderen dan kiezen
ze nog vaak een te zak of simpel wachtwoord.
10-08-2015, 19:28 door Anoniem
Hoorde het toevallig vandaag op de radio. Nooit een waarschuwingsbrief of mail van kpn gekregen hierover!
10-08-2015, 19:29 door Anoniem
Door superglitched: Het probleem zit hem voornamelijk in de functie die na compleet resetten weer met hetzelfde wachtwoord moet zien terug te komen. Dat standaard wachtwoord staat op de router of in de welkomsbrief. Dat kan dus niet zomaar pseudorandom zijn, en moet ergens op worden gebaseerd. En de software zelf kunnen ze het niet in verbergen omdat dan de voorspelbaarheid te hoog wordt. Kortom, best een uitdaging zullen de programmeurs hebben gedacht toen ze dit maakte...
Zucht.

We noticed during our
experiments that every router is uniquely personalized
during manufacturing. Specifically, a unique serial num-
ber and network MAC addresses are programmed into
EEPROM. Furthermore, the sticker on the router con-
tains the same serial number, MAC addresses and the
wireless password. Therefore, we see no reason why a
strong and randomly chosen password can not be pro-
grammed into EEPROM as well in stead of being derived
from the other two values. Moreover, there are well-
known royalty free statistical test suites that can help
implementing the best practices for generating random
strings
10-08-2015, 19:33 door Anoniem
Door rob:
Door Briolet:
Door superglitched:
Ik ben er wel mee eens dat dit een non-issue is. Een gebruiker die zijn netwerk wil beveiligen, kiest zelf een wachtwoord. Ik vind dit dan ook niet echt een lek in de router, maar eerder een lek in de gebruikers.
Tis wel een issue. Zo'n wachtwoord ziet er tamelijk willekeurig uit, dus gebruikers worden misleid dat het een veilig wachtwoord is. Tis niet voor niets dat het nu pas iemand is opgevallen..

Dus als je ISP je vraagt om het standaart wachtwoord te veranderen en jij doet het niet het toch niet dan is jouw ISP
dat schuld omdat jij te lui bent om het aan te passen?

Dacht het toch echt niet hoor.

Jij bent immers ook nog eens verantwoordig voor je eigen beveiling en zeker als er erop word geattenteert.
10-08-2015, 19:40 door Anoniem
Sinds wanneer gaat usenix over cybersecurity? Is wel afgegleden
10-08-2015, 19:53 door Anoniem
Door rob:Tis niet voor niets dat het nu pas iemand is opgevallen..

http://xs4all.voip.narkive.com/fLNON6Yr/kpn-modems-ondeugdelijk-beveiligd-speedtouch-780

Het was 7 jaar geleden al bekend. Degenen die het nu pas opvalt die hebben zitten slapen of zijn belust op sensatie.
10-08-2015, 19:56 door Anoniem
Om welke modem routes gaat het?
10-08-2015, 20:28 door Briolet - Bijgewerkt: 10-08-2015, 20:29
Door rob: Zo'n wachtwoord ziet er tamelijk willekeurig uit, dus gebruikers worden misleid dat het een veilig wachtwoord is.

Een voorgeïnstalleerd ww kun je nooit vertrouwen, dus dat vind ik geen argument. Wat wel een argument is, is de installatiehandleiding van Ziggo zelf. Daarin schrijven ze:

Uw Wi-Fi modem is voorgeconfigureerd door Ziggo en goed beveiligd. Onder normale omstandigheden hoeft u niets aan de instellingen te veranderen.

Ik had eigenlijk verwacht dat er een advies zou staan om als eerste het wachtwoord aan te passen. Dit advies valt me tegen, maar voor mijn gevoel ligt de fout dan in het advies en niet in de router.
10-08-2015, 21:06 door Anoniem
Serienummer is vaak uit mgt webinterface te halen, makkelijk zat.
Wat ik erger vind is dat die knakkers uit Nijmegen 6 maanden gewacht hebben voor een E-mail van de providers.
Als er nu een nieuwe firmware gemaakt werd, nee, een email, die overigens het probleem niet oplost...
Fuck responsible disclosure.
10-08-2015, 21:28 door Anoniem
Zucht, oud nieuws. Van bijv. Sitecom is al veel langer bekend dat zij het MAC-adres van de router gebruiken voor het genereren van een wachtwoord. Het is weer eens komkommertijd. Wel tragisch dat de Radboud nu deze 'ontdekking' claimt en dat Nieuwsuur dat klakkeloos overneemt.
10-08-2015, 21:53 door Anoniem
Door Anoniem: Inlog: Ziggo
Wachtwoord: Draadloos

Security minded mensen hebben dit als eerste veranderd, mja de grote meute die graag WIIIEEEFIIIIE roepen snappen dat allemaal niet, want als het maar werkt is het prima.

Dit soort onzin is voor mij de reden om geen Draadloos te gebruiken en alles te bekabelen waar het mogelijk is.

Dat is het standaard wachtwoord voor de web interface waarmee je op je eigen interne netwerk je router kan benaderen. Dat heeft niets te maken met het standaard wifi wachtwoord wat er in dit geval wel random uitziet, en daarmee toch vertrouwen wekt, maar dus allesbehalve random is.
10-08-2015, 22:16 door Anoniem
Bij mij klopt dit verhaal niet, mijn UPC modem heeft een naam uit cijfers en de toegang bestaat uit letters die je met een andere toets erbij moet instellen.
10-08-2015, 22:31 door Anoniem
Het werkelijke verhaal op TV was nog veel triester...
Allemaal onwaarheden en/of zaken die best wel vaak zouden kunnen lukken maar NIET op grond van deze hack.

"als dit WiFi wachtwoord bekend is kunnen alle bestanden op de computer worden gelezen en veranderd" LARIE.
"met dit wachtwoord kan worden meegekeken met de communicatie met de bank" LARIE.
"met dit wachtwoord kan malware worden geinstalleerd" LARIE.

Als je dat soort dingen wilt kunnen dan zul je nadat je op het netwerk bent ingelogd nog weer andere beveiligingen moeten
gaan breken, wat soms wellicht makkelijk is (omdat ze niet aanwezig zijn, omdat standaard wachtwoorden ook voor
andere zaken actief zijn zoals voor de beheer login van de router of van die camera).

Maar het is ZEKER niet zo dat netwerk logon via WiFi gelijk staat aan dat je hele netwerk gehacked is.

Kortom, komkommertijd en sensatie. En dat terwijl het een al jaren bekend probleem is.

"waarom zetten ze er geen random wachtwoord in"? Nou, omdat je daar maar net een plek voor moet hebben om het
neer te zetten. de strings die je nu ziet (serienummer, SSID, wachtwoord) worden allemaal afgeleid van het MAC adres
wat in de chip zit geprogrammeerd. Je weet niet of er in die chip nog extra onafhankelijke storage is voor nog meer
data zoals een onafhankelijk random wachtwoord. Dan zul je het ontwerp moeten doorlichten.
Het wachtwoord kan niet in de firmware zitten want die moet je kunnen updaten met een van internet gedownload algemeen
firmware image waarna het default wachtwoord nog steeds moet kloppen met de sticker.
10-08-2015, 23:54 door Anoniem
Door Anoniem: Ja,dat vindt ik ook zoiets doms,dat het wachtwoord middels een sticker op de modem/router wordt geplakt.Dat wachtwoord hoort apart,per post te worden verzonden aan de abbonnee/gebruiker.En die zou het beter gaan vervangen door een zelfgekozen wachtwoord,en dan 1 zonder alleen maar HOOFDLETTERS,of alleen kleine letters.Een goed wachtwoord bestaat uit een random combinatie van kleine letters,hoofdletters,getallen,en symbolen zoals hekje,uitroepteken,apestaartje,euro/dollar-teken enz. De providers gebruiken standaard wachtwoorden bestaande uit slechts een paar HOOFDletters,ook zoiets doms.Een computerprogrammaatje van de hackers kan zo'n wachtwoord toch makkelijk achterhalen en kraken? Bij de installatie van mn nieuwe modem/router zei de monteur vd internetprovider tegen mij: u hoeft de standaard inlognaam en wachtwoorden van de modem/router en van de wifi niet te wijzigen,want die zijn veilig,u bent de enige die ze weet en kan wijzigen,dat kan alleen fysiek via uw computer,niet die van bijv. de buurman.

Nee dat wachtwoord is geacht te veranderen als je de router instelt, en deze ontdekkingen zijn allemaal oud nieuws en iedereen zou hun/haar WPA/2 + web interface logins moeten veranderen als ze de router binnenkrijgen.
Dat doe je met een computer toch ook als hem koopt gooi je een wachtwoord erop die JIJ alleen kent.
11-08-2015, 00:58 door Briolet
Door Anoniem: "waarom zetten ze er geen random wachtwoord in"? Nou, omdat je daar maar net een plek voor moet hebben om het neer te zetten. de strings die je nu ziet (serienummer, SSID, wachtwoord) worden allemaal afgeleid van het MAC adres wat in de chip zit geprogrammeerd. Je weet niet of er in die chip nog extra onafhankelijke storage is voor nog meer data zoals een onafhankelijk random wachtwoord. Dan zul je het ontwerp moeten doorlichten.

Maar daar gaat het hele artikel juist over: het doorlichten van het routerontwerp. De lange termijn aanbeveling van de schrijvers is:

The most important change should be the removal of the password generating algorithm. We noticed during our experiments that every router is uniquely personalized during manufacturing. Specifically, a unique serial number and network MAC addresses are programmed into EEPROM. Furthermore, the sticker on the router contains the same serial number, MAC addresses and the wireless password. Therefore, we see no reason why a strong and randomly chosen password can not be programmed into EEPROM as well in stead of being derived from the other two values.

Blijkbaar zien zij geen geheugen probleem om een paar tekens extra in de EEPROM op te slaan.
11-08-2015, 01:21 door Anoniem
Door Briolet:
The most important change should be the removal of the password generating algorithm. We noticed during our experiments that every router is uniquely personalized during manufacturing. Specifically, a unique serial number and network MAC addresses are programmed into EEPROM. Furthermore, the sticker on the router contains the same serial number, MAC addresses and the wireless password. Therefore, we see no reason why a strong and randomly chosen password can not be programmed into EEPROM as well in stead of being derived from the other two values.

Blijkbaar zien zij geen geheugen probleem om een paar tekens extra in de EEPROM op te slaan.

Nee maar dat zij geen probleem zien dat betekent nog niet dat er geen probleem is. Dat zij weinig kennis en inzicht
hebben dat blijkt al uit het feit dat ze claimen iets te hebben "ontdekt" wat al lang bekend was voor ze met hun studie
begonnen. Als hun onderzoekskwaliteiten nog niet eens de 7 jaar oude eerdere publicaties naar boven weten te halen,
wat moeten we dan voor waarde hechten aan hun oordeel dat het er wel even bij kan in de EEPROM?
11-08-2015, 06:53 door Anoniem
Eens met Anoniem 22:31, ook de bewering dat hij gewoon 1000,- euro over kon maken naar een willekeurige bankrekening is feitelijke onzin en al helemaal niet toe te schrijven aan dit 'lek'.

Daarnaast ben ik van mening dat router fabrikanten best een beperkte functionaliteit (geen internet maar alleen een host <-> router verbinding) aan kunnen bieden tenzij het password van default veranderd is in iets wat wel veilig is. Ik snap de keuze best van de fabrikanten/providers om een 'gegenereerd' password aan te bieden bij een nieuw modem omdat er anders bij een 'persoonlijk' paswoord weer extra handelingen verricht moeten worden nu kan dat ding 'out of the box' bij mensen neergezet worden.
11-08-2015, 08:07 door Shagrath
Als je een beetje handig bent en je gebruikt de juiste tools, dan is WPA-2 personal simpel te kraken.

"als dit WiFi wachtwoord bekend is kunnen alle bestanden op de computer worden gelezen en veranderd" LARIE.
[/quote]
de meeste computergebruikers hebben zelfs geen wachtwoord voor de inlog op de pc. in dat geval is het redelijk simpel om naar de c$ te gaan. een beetje handig wat register aanpassingen maken en je kan malware installeren op de pc.

Als je het dan wel wat beter wil doen, Bouw een radius server, installeer een Network Access Policy server. Isoleer je WiFi via een apart vlan. Gebruik het WiFi alleen voor wat surfen. Alle overige zaken via een ander vlan. Hierdoor wordt het voor de meeste scriptkiddies al lastiger.

Zelf heb ik een vrij simpel wachtwoord op me WPA2 Personal. Het is gewoon te simpel te achterhalen. Zeker met de tools die tegenwoordig op de markt zijn. Als je een beetje laptop met een Nvidia grafische kaart hebt die CUDA onderstond, raad ik je aan om eens naar Pyrit te kijken.
11-08-2015, 08:26 door Anoniem
Door Anoniem: Ja,dat vindt ik ook zoiets doms,dat het wachtwoord middels een sticker op de modem/router wordt geplakt.Dat wachtwoord hoort apart,per post te worden verzonden aan de abbonnee/gebruiker.En die zou het beter gaan vervangen door een zelfgekozen wachtwoord,en dan 1 zonder alleen maar HOOFDLETTERS,of alleen kleine letters.Een goed wachtwoord bestaat uit een random combinatie van kleine letters,hoofdletters,getallen,en symbolen zoals hekje,uitroepteken,apestaartje,euro/dollar-teken enz. De providers gebruiken standaard wachtwoorden bestaande uit slechts een paar HOOFDletters,ook zoiets doms.Een computerprogrammaatje van de hackers kan zo'n wachtwoord toch makkelijk achterhalen en kraken? Bij de installatie van mn nieuwe modem/router zei de monteur vd internetprovider tegen mij: u hoeft de standaard inlognaam en wachtwoorden van de modem/router en van de wifi niet te wijzigen,want die zijn veilig,u bent de enige die ze weet en kan wijzigen,dat kan alleen fysiek via uw computer,niet die van bijv. de buurman.

Het gebruik van een combinatie van hoofdletters, kleine letters, getallen en symbolen is ook al achterhaald voor een sterk wachtwoord. Voor een computer is zoiets relatief makkelijker te kraken dan te onthouden voor een mens.

Ik ben wel gecharmeerd door passphrases. Makkelijker te onthouden voor een mens, indien lang genoeg, veel moeilijker te kraken voor een computer.

https://xkcd.com/936/
11-08-2015, 08:55 door Dick99999 - Bijgewerkt: 11-08-2015, 09:41
Door Gisteren, 18:35 door Anoniem : Ja,dat vindt ik ook zoiets doms,dat het wachtwoord middels een sticker op de modem/router wordt geplakt.Dat wachtwoord hoort apart,per post te worden verzonden aan de abbonnee/gebruiker.En die zou het beter gaan vervangen door een zelfgekozen wachtwoord,en dan 1 zonder alleen maar HOOFDLETTERS,of alleen kleine letters.Een goed wachtwoord bestaat uit een random combinatie van kleine letters,hoofdletters,getallen,en symbolen zoals hekje,uitroepteken,apestaartje,euro/dollar-teken enz. [....].
Een goed wachtwoord is een wachtwoord dat:
- stek is (sterkte krijg je door lengte en willekeurig gekozen tekens of woorden)
- dat gemakkelijk is te gebruiken bijvoorbeeld op een Smartphone.

Voorbeelden van goede wachtwoorden/wachtzinnen voor WiFi zijn:
- een zin van 5 willekeurig gekozen woorden zoals: GalopHakenStandsSpoortProoi
- 14 willekeurig gekozen tekens uit kleine letters en cijfers zoals: m0e2g1hefpzc67
Soortgelijke wachtwoorden/zinnen zijn als WiFi key/wachtwoord voorlopig in eeuwen niet te kraken op een kraakmonster met 25 GPU's, met een kans van 1 op 225 miljoen dat de wachtzin op dag 1 als toevalstreffer gevonden wordt.

Gebruik van speciale tekens spelen een ondergeschikte rol en leveren bij deze lengtes geen gemakkelijk te gebruiken wachtwoord op. Als je wilt weten hoe je de sterkte kan vergelijken van wachtwoorden met meer teken categorieën zoals kleine letters, hoofdletters en symbolen, kijk dan op:
https://en.wikipedia.org/wiki/Password_strength in de tabel" "Lengths L of truly randomly generated passwords...."

Door 08:26 Anoniem: Het gebruik van een combinatie van hoofdletters, kleine letters, getallen en symbolen is ook al achterhaald voor een sterk wachtwoord. Voor een computer is zoiets relatief makkelijker te kraken dan te onthouden voor een mens.
[....]
Zulke sterke wachtwoorden zijn niet achthaald. Maar ze zijn niet gebruiksvriendelijk.
Door Shagrath: Als je een beetje handig bent en je gebruikt de juiste tools, dan is WPA-2 personal simpel te kraken.
Probeer het maar met de bovenstaande voorbeelden
11-08-2015, 09:55 door yobi
Een nog groter probleem wordt denk ik PixieWPS. Hiermee kan offline de WPS-key worden teruggerekend en vervolgens kan met Reaver de WPA sleutel worden uitgelezen. Dit zit standaard in Kali 2.0 (komt vandaag uit).

WPS uitzetten, UPNP uitzetten, WPA sleutel veranderen, wachtwoord van modem veranderen. (vervolgens wordt de sleutel door Windows 10 gedeeld of door een ander apparaat naar internet gestuurd)
11-08-2015, 10:28 door Anoniem
Door Anoniem: Eens met Anoniem 22:31, ook de bewering dat hij gewoon 1000,- euro over kon maken naar een willekeurige bankrekening is feitelijke onzin en al helemaal niet toe te schrijven aan dit 'lek'.

Daarnaast ben ik van mening dat router fabrikanten best een beperkte functionaliteit (geen internet maar alleen een host <-> router verbinding) aan kunnen bieden tenzij het password van default veranderd is in iets wat wel veilig is. Ik snap de keuze best van de fabrikanten/providers om een 'gegenereerd' password aan te bieden bij een nieuw modem omdat er anders bij een 'persoonlijk' paswoord weer extra handelingen verricht moeten worden nu kan dat ding 'out of the box' bij mensen neergezet worden.

Precies dat van die overboeking dat was ook zo tenenkrommend. Dit is alleen maar sensatiezoeken en dat is sneu om
te doen met de naam Radboud erop. Ik hoop dat ze naar buiten komen met een verklaring dat dit allemaal niet waar is en
dat ze er hun handen vanaf trekken wat deze studenten beweerd hebben op Nieuwsuur.

Maar los daarvan, je moet je realiseren dat deze default wachtwoorden in de WiFi spullen gekomen zijn nadat de eerste
generatie werd geleverd met default de beveiliging UIT. Je moest zelf de WPA (of toen nog WEP) aanzetten en een
wachtwoord verzinnen en intypen. Maar omdat de meeste mensen dat nooit deden is er gelobbied bij die fabrikanten
om hun spullen default met beveiliging AAN te leveren. Dat konden ze doen, maar dan moest er natuurlijk wel een
manier zijn om de klant het wachtwoord te vertellen. Dat kun je niet met een brief of een boekje doen, het moet
mogelijk blijven om het ding te resetten (meestal inschakelen met een verborgen knopje ingedrukt dmv een paperclip)
en dan moet er een wachtwoord komen wat voor iedere router verschillend is maar wel voor dezelfde router steeds
hetzelfde.

Aangezien dit firmware updates voor bestaande hardware waren kon er niet zomaar even (zoals deze naieve studenten
denken) een EEPROM bij geknutseld worden. Men moest gebruik maken van het vaak enige gegeven wat verschillend
is per exemplaar, het MAC adres. Dat dit niet helemaal veilig is dat is duidelijk maar toch is het beter dan default open.

Als men het wachtwoord aanpast dan is dit probleem opgelost, maar net als met default open blijft het lastig om de
mensen dat uit te leggen. Als je een router levert die niks doet na uitpakken of een factory reset, dan plaats je je als
fabrikant weer in een kwetsbare positie. Reviewers die dit niet begrijpen zullen er een minpunt van maken in vergelijkingen
met andere spullen die meteen werken out of the box. Dat risico willen fabrikanten niet in hun eentje lopen, dan moet er
eerst weer een lobby ronde gemaakt worden waarbij iedereen dit doet.
Dan is het waarschijnlijk gemakkelijker om WEL te zorgen voor wat extra ROM storage waar de fabrikant een wachtwoord
in kan zetten wat per device uniek random gegenereerd is en niet afhankelijk is van het MAC adres.
11-08-2015, 11:19 door Anoniem
Als ik de bijgeleverde handleiding van kpn lees, dan staat er duidelijk dat de bijgeleverde codes voor de eerste installatie zijn. Verder, dat het vervangen van die code door een zelf samengestelde, "sterk wordt aanbevolen"
Kan tot 32 tekens!
Het blijft toch een beetje, of je je in een handleiding wil verdiepen of dat je voor gemak gaat.
Doe je niks, nou ja. Het is echt niet ingewikkeld, voorop gesteld dat je kunt lezen.

Ik moet wel toegeven dat de interface van het modem wel wat ingewikkeld was voor mij.
Het duurde even voordat ik die door had. ;-(
11-08-2015, 11:20 door [Account Verwijderd] - Bijgewerkt: 11-08-2015, 11:22
[Verwijderd]
12-08-2015, 08:10 door Anoniem
Hoe zouden we niet meer met een standaard voorgeprogrammeerd wachtwoord kunnen werken, maar met een ander type authenticatie methode?
13-08-2015, 09:35 door superglitched - Bijgewerkt: 13-08-2015, 09:35
Een display op de router maken met daarop het randomized wachtwoord, zoals gezegd als een hacker bij de router kan, wordt het hele effect van een display uit kunnen lezen teniet gedaan. Dan zijn er grotere uitdagingen.
13-08-2015, 11:42 door Anoniem
wat ik zo vreemd vind is dat er mensen zijn die zeuren dat dit oud nieuws is terwijl het in de docu duidelijk word aangegeven op pagina 10 onder punt 7

uiteindelijk vind ik dit volledige thema niet echt spannend.

iedereen is verantwoordelijk voor zijn eigen beveiliging ook als het een schijnbaar Random wachtwoord lijkt te zijn.

gebruik gewoon goede wachtwoorden
niet geboorte data of dergelijke

maar gewoon duidelijke goede wachtwoorden
zoals H1ro5h1m4 of dergelijke
13-08-2015, 12:12 door waaromdan
Door Anoniem:gebruik gewoon duidelijke goede wachtwoorden
zoals H1ro5h1m4 of dergelijke

Zie: https://www.security.nl/posting/434975/ING+wachtwoord

11-07-2015, 13:41 door Dick99999 - Bijgewerkt: 11-07-2015, 13:55
Door GeminiAlpha: Trek je eigen conclusie n.a.v. de letterlijke online ING tekst dd 10/7/2015:

3. Verzin een willekeurig woord en vervang letters of woorden door cijfers en speciale tekens. ‘Sesamstraat123’ wordt dan bijvoorbeeld: ‘S3samstr@@T12drie!’

Punt 3 is een uitermate slecht advies. De ING denk hier alleen aan online aanvallen en alleen op de ING. De gemiddelde wachtwoord gebruiker zal denken als het bij de ING goed is, is het ook goed voor mijn email etc. Sesamstraat123 en alle 'slimme' mutaties zijn in andere gevallen offline makkelijk te kraken. Blijft de vraag waarom er nog geen banken wachtwoord hashes gestolen zijn. Vanwege 2-factor geen interesse ?
14-08-2015, 12:33 door Anoniem
Hacken via wifi zal erg lastig worden, ik woon tamelijk hoog en buiten kan ik mijn netwerk nergens oppikken en het verhaal klopt niet bij mij. ik had UPC en dat is nu Ziggo en bij mijn wachtwoord moet je vaak dubbele toetsen gebruiken, kijk als men het wil moet men bij mij pal voor de deur staan op zoveel hoog.....
Ik heb de verbinding eens uitgetest en kon nergens buiten de deur verbinding maken, geen internet beschikbaar kreeg ik als boodschap.
Ik kan mij voorstellen dat als je laag woont en open je wel veel kwetsbaarder bent.
Ik heb op de browsers HTTPS everywhere gezet zodat je zoveel mogelijk https gebruikt, goed is ook niet onfeilbaar maar met een goed antivirus pakket en de nodige wachtwoorden en inloggen als gebruiker denk ik dat ik redelijk veilig ben, het grootste risico ben je dan zelf denk ik!
11-09-2015, 15:04 door Anoniem
Door Anoniem: Inlog: Ziggo
Wachtwoord: Draadloos

Security minded mensen hebben dit als eerste veranderd, mja de grote meute die graag WIIIEEEFIIIIE roepen snappen dat allemaal niet, want als het maar werkt is het prima.

Dit soort onzin is voor mij de reden om geen Draadloos te gebruiken en alles te bekabelen waar het mogelijk is.

En u heeft dus waarschijnlijk geen smartphone, helaas hebben die dingen geen aansluiting voor UTP of STP.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.