image

Linux Mint wijzigt wachtwoordbeleid na hack

woensdag 9 maart 2016, 17:20 door Redactie, 11 reacties

De populaire Linuxdistributie Linux Mint, die onlangs het doelwit van een aanval werd waarbij er downloadlinks naar besmette installatiebestanden via de officiële website werden verspreid, heeft besloten het wachtwoordbeleid aan te passen. De aanvaller die de downloadlinks wist aan te pakken kreeg ook de database met gebruikersgegevens in handen. Het ging onder andere om gebruikersnamen, versleutelde wachtwoorden en e-mailadressen.

"De gevoeligste gegevens die we van gebruikers opslaan zijn wachtwoorden", zegt projectleider Clement Lefebvre op het Linux Mint-blog. Hij stelt dat deze gegevens waardevol voor aanvallers zijn omdat ze, ondanks dat ze zijn versleuteld, in het geval van zwakke wachtwoorden kunnen worden achterhaald. Daarnaast zijn er gebruikers die hun wachtwoord op meerdere websites hergebruiken.

Om het kraken van versleutelde wachtwoorden lastiger te maken worden er nu twee aanpassingen doorgevoerd. Het forum accepteert nu alleen nog wachtwoorden van tenminste 10 karakters die uit tekens, cijfers en letters en hoofdletters bestaan. De community-website van Linux Mint accepteert geen wachtwoorden meer die gebruikers zelf kiezen. De wachtwoorden zullen voortaan worden gegenereerd en via e-mail worden verstuurd. De wachtwoorden van bestaande accounts op de community-website zijn inmiddels gereset.

Sommige gebruikers zijn echter kritisch dat het wachtwoord voor de community-website in platte tekst wordt gemaild. "Ik ben verbijsterd. Geen mogelijkheid om een eigen veilig wachtwoord via een https-verbinding in te stellen en mijn nieuw gegenereerde wachtwoord komt onversleuteld via dee-mail binnen", aldus een gebruiker genaamd 'Joe'. Hij krijgt bijval van een andere gebruiker, die stelt dat in het geval van gratis e-maildiensten het wachtwoord op deze manier aan overheden en de e-mailaanbieder worden gegeven. Lefebvre reageert daarop door te stellen dat deze methode zowel zijn voor- als nadelen heeft.

Reacties (11)
09-03-2016, 17:45 door Anoniem
Alsof een wachtwoord nut heeft, als een website op WordPress draait.

[x] ongeschikt.


En dat vind ik jammer, Mint is (was) een uitstekend begin voor de overstappers.
09-03-2016, 17:54 door Anoniem
Via e-mail verstuurd... Dat is zo'n beetje het meest stompzinnige "wachtwoordbeheer" wat je kunt bedenken!
09-03-2016, 21:46 door swake - Bijgewerkt: 09-03-2016, 22:03
Om een geïnfecteerd ISO bestand te uploaden moet men toegang krijgen tot de server waarop de site gehost is . Als men toegang heeft tot de server is het kinderspel om toegang te krijgen tot de database en de ledenlijst en aan alle gebruikers gegevens te raken . Is het ook kinderspel een file te uploaden naar de server .Lees eens goed de werkwijze van de hacker . Opvallend is dat de dag na de hack lekken werden gepatcht in DirectAdmin .

http://www.directadmin.com/
http://www.directadmin.com/versions.php

De hacker vertelt .
http://www.zdnet.com/article/hacker-hundreds-were-tricked-into-installing-linux-mint-backdoor/
10-03-2016, 07:22 door Anoniem
In dit geval is er een oplossing: een tijdelijk wachtwoord naar e-mail sturen. En als je dan de eerste keer inlogt, moet je verplicht dat wachtwoord wijzigen in een zelfgekozen, dat aan de nieuwe voorwaarden voldoet.
10-03-2016, 08:12 door Anoniem
Door Anoniem: Via e-mail verstuurd... Dat is zo'n beetje het meest stompzinnige "wachtwoordbeheer" wat je kunt bedenken!
Stompzinnig is het juiste woord voor deze actie:

1. Nu weet niet alleen de gebruiker het wachtwoord (en natuurlijk de website van Mint), maar ook de e-mailprovider en eventueel alle hops die de e-mail geroutet hebben.
2. Het wachtwoord wordt in platte tekst opgeslagen, iets wat men met wachtwoorden nooit zou moeten doen
3. Geen enkele gebruiker kan het wachtwoord onthouden, doordat het niet zelf gekozen en complex is. Enige opties zijn dus de e-mail bewaren, het op papier schrijven of een password safe gebruiken. 3x raden wat de meeste gebruikers zullen doen...
4. Wat moet ik doen als gebruiker als ik weet dat mijn wachtwoord gecompromiteerd is? Ik kan niet een nieuw wachtwoord kiezen.

Oftewel, om de domme mensen met zwakke wachtwoorden te beschermen (eerlijk gezegd: eigen schuld dikke bult), worden nu ALLE gebruikers het slachtoffer van een stompzinng wachtwoordbeheer.
10-03-2016, 08:17 door Anoniem
Hoe moeilijk kan het zijn?

1) Gebruiker maakt nieuw account aan
2) Gebruiker ontvangt een bevestigingsmail met een link om een wachtwoord te kiezen
3) De gebruiker klikt op de link in de mail, bevestigd daarmee zijn e-mailadres
4) Op het wachtwoordveld zit een password policy welke middels formuliervalidatie (en server-side uiteraard) wordt bekrachtigt.

Klaar. Iedereen tevreden,
10-03-2016, 09:49 door 007
Waar maakt iedereen zich druk om, het is een forum, waarom zou je moeten inloggen.
Ik vind het maar onzin dat je bij alle forums een account moet hebben en als het om email gaat, ik heb een speciaal email adres alleen voor dit soort dingen.
10-03-2016, 13:26 door Anoniem
Jammer Mint is mooie en gebruiksvriendelijke Linux versie, wellicht om de zoveel tijd je wachtwoord veranderen.
Op mijn werk is het ook verplicht om de 2 maanden met Windows, wel erg irritant. Lopen alle Mint gebruikers nu echt gevaar?
10-03-2016, 21:51 door swake - Bijgewerkt: 10-03-2016, 21:53
Hackers zijn niet slim maar sluw . Een hacker kan zelfs dommer zijn dan een minder slimme computergebruiker . Wie zich door iemand sluw laat vangen is dan ook dom . Wie slim is kan een sluwe hacker ook voor aap zetten door domme antwoorden te geven op beveiligingsvragen .
Beveiligingsvraag
Meisjesnaam moeder
Wat een domme vraag denkt de hacker , gaan we wat meisjesnamen typen , tot we eens juist zijn.
Wat de hacker dan vergeten is dat ik hem te slim af was en mijn antwoord op de beveilgingsvraag was:
roze touwen blauwe bananen
10-03-2016, 21:56 door swake
Door Anoniem: Jammer Mint is mooie en gebruiksvriendelijke Linux versie, wellicht om de zoveel tijd je wachtwoord veranderen.
Op mijn werk is het ook verplicht om de 2 maanden met Windows, wel erg irritant. Lopen alle Mint gebruikers nu echt gevaar?

Ik heb het bij Windows server edities nog niet anders geweten dat om de twee maand het wachtwoord automatisch moet vernieuwd worden . Hier gaat het dan wel om een bedrijfsnetwerk !
10-03-2016, 22:01 door swake
Door swake: Om een geïnfecteerd ISO bestand te uploaden moet men toegang krijgen tot de server waarop de site gehost is . Als men toegang heeft tot de server is het kinderspel om toegang te krijgen tot de database en de ledenlijst en aan alle gebruikers gegevens te raken . Is het ook kinderspel een file te uploaden naar de server .Lees eens goed de werkwijze van de hacker . Opvallend is dat de dag na de hack lekken werden gepatcht in DirectAdmin .

http://www.directadmin.com/
http://www.directadmin.com/versions.php

De hacker vertelt .
http://www.zdnet.com/article/hacker-hundreds-were-tricked-into-installing-linux-mint-backdoor/

Waarmee ik wil aangeven dat de mogelijkheid bestaat dat niet alleen de site van linuxmint.com zou gehackt kunnen zijn , maar andere hostingservers die gebruik maken van DirectAdmin
http://www.directadmin.com/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.