Prima services-email-diensten

Tutanota

Protonmail

Welke?

GMX?
De "free advertising-supported email service"? *
De "GMX is currently the only big email provider to support popup ads" mailservice ?*
Je hoort er weinig over maar ik vraag me af hoe secure en privacy vriendelijk GMX eigenlijk is.

Veilig?
https://www.security.nl/posting/379785/Duitse+websites+tonen+valse+waarschuwing+tegen+adblockers

* https://en.wikipedia.org/wiki/GMX_Mail

Duitsland kent ook een "DE Mail". https://de.wikipedia.org/wiki/De-Mail Dit is mail die altijd versleuteld verstuurd wordt. De overheid ondersteunt deze mail en ook veel instellingen.

Ik heb b.v. een Duitse verzekering waar ik kan kiezen of ik via gewone mail of DE mail correspondeer.

Ik heb al mijn belangrijke accounts ondertussen naar Proton gemigreerd, ik ontvang alleen nog maar nieuwsbrieven etc. op mijn Yahoo-account. Ik vind het een groot schandaal dat ze de hack 3 lang verborgen hebben gehouden.

Dat is flauwe kul.

Ja, het MD5 algoritme is ongeschikt voor het gebruik in digitale handtekeningen (dus ook in digitale certificaten), omdat het relatief eenvoudig is om het ondertekende "document" (een bestand) zodanig te wijzigen dat de MD5 hashwaarde nog steeds klopt.

Dat is echter totaal niet het probleem bij hashes van wachtwoorden. Ook is het niet zo dat je uit een MD5 hash het bijbehorende wachtwoord kunt herleiden - of 1 of meer collisions van dat wachtwoord (d.w.z karakterreeksen die toevallig dezelfde hashwaarde opleveren en waar je dus ook mee kunt inloggen).

Nee, het algemene probleem is dat mensen bekende wachtwoorden kiezen en daarnaast wachtwoorden hergebruiken op meerdere sites. Het eerste leidt tot een technisch niet goed op te lossen probleem: ongeacht het mechanisme dat je verzint (inclusief het toepassen van wel als veilig bekend staande hash-algoritmes als SHA-256 en hoger) om een "eenrichtingsverkeer" afgeleide van dat wachtwoord te maken, kunnen aanvallers simpelweg een database maken van bekende wachtwoorden en hun afgeleide waarde (een zogenaamde rainbow table) - en alle hashes daaruit vergelijken met de hash van jouw wachtwoord tot er een match gevonden wordt - of niet, als je een onbekend wachtwoord hebt gekozen.

De enige twee (maar nauwelijks zinvolle) wapens die tegen slecht geïnformeerde of niet luisterende wachtwoordkiezers kunnen worden ingezet zijn:

(1) Door een random "wachtwoord" voor of achter het echte wachtwoord te plakken, bekend als "salt", dat -helaas- wel plain-text bij de hash van het echte wachtwoord moet worden opgeslagen (en dus direct in handen van een aanvaller komt die de database weet te bemachtigen). Immers, iemand (de database in dit geval) zal de aanvulling op dat wachtwoord moeten onthouden - en de gebruiker doet dat niet;

(2) Door een supertraag algoritme in te zetten, zodanig dat het aanvallers veel CPU-tijd kost om hun rainbow table te maken, gegeven het hash-algoritme en de hash van het wachtwoord (indien van toepassing met de salt ervoor of erachter geplakt voordat de hash wordt uitgerekend). Of aanvallers dat afschrikt is maar helemaal de vraag - botnet PC's kun je ook andere dingen laten doen dan spammen, participeren in DDoS aanvallen of BitCoins genereren.

Het enige praktische probleem van MD5 in deze context is dat het zeer snel is - maar dat geldt ook voor SHA1, SHA-2 en de meeste andere hash algoritmes, want aan het berekenen van hashes wil je, normaal gesproken, zo min mogelijk tijd besteden. In dat licht zijn alle snelle hash-algoritmes ongeschikt. Om de tijdsduur van de berekening te verlengen kun je bijv. de hashwaarde opnieuw hashen en dat principe zo vaak herhalen als je wilt. In de praktijk is het verstandiger om meteen algoritmes als PBKDF2, bcrypt of scrypt in te zetten (waarbij scrypt ook nog eens veel werkgeheugen nodig heeft), maar fundamenteel zie ik nauwelijks bezwaar om MD5 tig keer herhaald hiervoor in te zetten.

De conclusie is simpel: mensen moeten, in elk geval voor websites (het type waar je op in moet loggen), lange unieke random wachtwoorden gebruiken. Omdat mensen onmogelijk vele random wachtwoorden kunnen onthouden, is een wachtwoordmanager zoals KeePass onontbeerlijk.

(Nog beter zou het zijn als we public keys (al dan niet in een client certificaat gegoten) i.p.v. wachtwoorden zouden gebruiken, waarbij je tijdens authenticatie moet bewijzen over de -geheime- bijbehorende private key te beschikken. Nog beter, want een dief heef niets aan public keys. Maar dat terzijde).

Daarnaast horen websites natuurlijk zo goed beveiligd te zijn dat de kans op inbraak geminimaliseerd is en snel gedetecteerd wordt (dat was de grootste fout van Yahoo en al die andere gebackte sites, de inzet van MD5 als wachtwoordhash is in mijn ogen slechts een minpuntje). Bij voorkeur triggert inbraakdetectie o.a. op transport van exceptioneel grote hoeveelheden data waardoor de server wordt afgesloten waarna de schade snel wordt vastgesteld en de betrokkenen geïnformeerd.

Want als wachtwoordhashes kunnen worden gestolen, geldt dat meestal ook voor de gegevens die door de bijbehorende wachtwoorden moesten worden beschermd tegen ongeautoriseerde toegang. En voor de mensen die wel unieke wachtwoorden gebruiken, is het lekken van hun data en/of misbruiken van hun identiteit veel ernstiger dan het lekken van hun wachtwoordhash.

@ Gisteren, 21:15 door Erik van Straten - Bijgewerkt: Gisteren, 21:50

Uit wikipedia:
"Historically, MD5 has been used to store a one-way hash of a password, often with key stretching. Due to the weaknesses described in the Security section, NIST does not include MD5 in their list of recommended hashes for password storage."

Alweer kansloos: Your connection is not private

Wat leuk, ik wist niet dat meerdere mensen van Tutanota wisten. Gebruik de dienst ondertussen al twee jaar voor mijn main email en ook voor mijn bedrijf. Prima dienst! Overigens gewoon zwaar slecht dat Yahoo md5 gebruikt(e), zo'n groot bedrijf zou zeker beter moeten weten.

op Privacytools.io staat een hele lijst van aanbieders van specifieke encrypted emaildiensten alsook vpn aanbieders en wat het kost.

krijg je meteen de bundes trojaner kado!

De vermelding in Wikipedia is onjuist, maar wel begrijpelijk aangezien MD5 onbruikbaar is voor de toepassing waar het voor ontworpen is (in het NIST document, waar het Wikipedia artikel maar verwijst, staat trouwens niets over MD5).

Er bestaan 3 soorten aanvallen tegen cryptografische hashfuncties:
1) Preimage attack (zie [1]): bereken wat de input (het wachtwoord, evt. met salt, geweest moet zijn);
2) Second-preimage attack (zie ook [1]): bereken een willekeurige input die tot dezelfde hashwaarde leidt;
3) Collision attack ([2]): zoek 2 inputs die tot een willekeurige, niet gegeven hashwaarde leiden.

MD5 is gekraakt v.w.b. punt 3: onvoldoende collision resistance (zie bijv. [3]). Maar dat is niet aan de orde bij een (gestolen) database met wel gegeven password hashes.

Een aanvaller zal in de eerste plaats op zoek zijn naar het werkelijke wachtwoord (preimage, 1), gegeven de hash. Maar op dat punt is MD5 niet gekraakt, en het ligt m.i. niet voor de hand dat dit ooit gebeurt. Nb. met gekraakt bedoel ik dat je middels een berekening sneller dan middels brute force, bij MD5 (met een hashlengte van 128 bits) gemiddeld 2^64 pogingen, een resultaat vindt.

Als een second-preimage gevonden wordt, is dat natuurlijk ook een collision, maar eentje die veel ernstiger is.

Als de aanvaller 1 of meer second-preimages zou vinden (sneller dan brute force), heeft hij daar wat aan indien:
A) Hij wel de password database heeft weten te stelen maar nog geen toegang had tot andere gegevens op de server(s);
en/of
B) Andere sites, waarop de gebruiker een account heeft en hetzelfde wachtwoord gebruikt, exact hetzelfde hashalgoritme, aantal iteraties en salt(s) toepassen.

Echter, voor zover ik weet is MD5 ook niet gekraakt als het gaat om second-preimage attacks.

Het probleem met single MD5 is gewoon dat het te snel is. Het stamt uit 1991 en is ontworpen om acceptabel snel te zijn op computers en microcontrollers uit die tijd. De gepubliceerde collision attacks zijn alleen gevaarlijk indien je de invoer (in ons geval het wachtwoord) op een specifieke manier kunt wijzigen en/of aanvullen, iets wat niet van toepassing is bij wachtwoordhashes.

Voor alle duidelijkheid: ik pleit absoluut niet voor het inzetten van MD5 in welke context dan ook. Maar het is niet correct om te stellen dat je MD5 niet zou mogen gebruiken voor wachtwoordhashes omdat het bij die toepassing gebroken zou zijn; het is hooguit te snel. Maar dat geldt ook voor bijv. SHA-256, vandaar mijn eerdere reactie.

[1]: https://en.wikipedia.org/wiki/Preimage_attack
[2]: https://en.wikipedia.org/wiki/Collision_resistance
[3]: https://natmchugh.blogspot.nl/2014/10/how-i-created-two-images-with-same-md5.html?m=1

Mailbox.org bevalt mij prima. Ook een 100% Duitse mail provider. 2 Gb mailbox voor 1 euro per maand. Inloggen mogelijk via 2FA met pincode+random code door FreeOTP app gegenereerd. IMAP toegang uit te schakelen. Geen reclame erbij. 30 dagen gratis op proef zonder verplichtingen.