image

1Password laat gebruikers op gelekte wachtwoorden checken

vrijdag 23 februari 2018, 16:59 door Redactie, 12 reacties

Wachtwoordmanager 1Password heeft een nieuwe feature ontwikkeld waarmee gebruikers kunnen kijken of hun wachtwoorden in een database van meer dan 500 miljoen gelekte wachtwoorden voorkomen. De database is beschikbaar gesteld door beveiligingsonderzoeker Troy Hunt en bestaat uit wachtwoordhashes die bij allerlei datalekken zijn gestolen.

1Password-gebruikers met een abonnement hebben nu bij de wachtwoorden die in de wachtwoordmanager zijn opgeslagen de optie "Check Password". Via deze optie wordt er in de database van Hunt gekeken of het wachtwoord daarin voorkomt, zonder dat het wachtwoord naar de onderzoeker of AgileBits wordt gestuurd, de ontwikkelaar van 1Password.

Voor het versturen van het wachtwoord maakt 1Password hier eerst een sha-1-hash van. Vervolgens worden de eerste vijf karakters van deze hash naar de dienst van Hunt gestuurd. Hierna stuurt de server een lijst met gelekte wachtwoordhashes terug die met dezelfde vijf karakters beginnen. 1Password vergelijkt deze lijst lokaal op het systeem van de gebruiker om te zien of die de volledige hash van de gebruiker bevat.

Wanneer er een match is wordt de gebruiker gewaarschuwd. AgileBits benadrukt dat als er via de nieuwe feature een hit wordt gevonden dit niet wil zeggen dat het account van de gebruiker is gecompromitteerd. Het kan zijn dat iemand hetzelfde wachtwoord gebruikt. Toch adviseert AgileBits in deze gevallen om het wachtwoord te wijzigen.

Image

Reacties (12)
23-02-2018, 18:23 door Anoniem
hahaha dan ben je echt dom als je daar in trapt, om zo hun database te vullen voor een dictionary attack
23-02-2018, 20:21 door Anoniem
Door Anoniem: hahaha dan ben je echt dom als je daar in trapt, om zo hun database te vullen voor een dictionary attack
Lees de post op Troy Hunt's blog. De technologie is goed doordacht en onthult je wachtwoord niet.
23-02-2018, 20:34 door karma4
Ernstig probleem voor 1Password. Voor het gebruik is ministriele toestemming nodig wegens inbreuk op de privacy.

https://www.ctivd.nl/documenten/rapporten/2018/02/13/index
"De dataset bevat gegevens van meer dan honderd miljoen personen, van wie relatief veel Nederlands
ingezetenen. De verwerving van een zodanige hoeveelheid persoonsgegevens brengt een ernstige
privacy-inmenging met zich mee. Het door de diensten (later) zelf opgestelde beleid schrijft voor dat
in dit soort bijzondere gevallen toestemming aan de minister(s) had moeten worden gevraagd."
23-02-2018, 21:05 door CykoByte_t - Bijgewerkt: 23-02-2018, 21:07
Door karma4: Ernstig probleem voor 1Password. Voor het gebruik is ministriele toestemming nodig wegens inbreuk op de privacy.

https://www.ctivd.nl/documenten/rapporten/2018/02/13/index
"De dataset bevat gegevens van meer dan honderd miljoen personen, van wie relatief veel Nederlands
ingezetenen. De verwerving van een zodanige hoeveelheid persoonsgegevens brengt een ernstige
privacy-inmenging met zich mee. Het door de diensten (later) zelf opgestelde beleid schrijft voor dat
in dit soort bijzondere gevallen toestemming aan de minister(s) had moeten worden gevraagd."
Zonder enige context aangeboden quote, en totaal irrelevant zodra de context erbij wordt gehaald. Uw bron gaat namelijk om het verwerven van databulksets door de AIVD en MIVD. Daar heeft 1Password natuurlijk niets mee te maken. Overigens verwerven ze geen informatie; ze maken gebruik van informatie die door Troy Hunt op zijn site HaveIBeenPwned is verzameld en vergelijken het Lokaal.
24-02-2018, 08:59 door john west
Zou ik nooit doen,ook als het bonafide is.

Trouwens een automatische reset paswoorden ,zodat je verplicht wordt om een
ander paswoord te nemen,lijkt me een stuk veiliger.
24-02-2018, 09:48 door Anoniem
Door Anoniem:
Door Anoniem: hahaha dan ben je echt dom als je daar in trapt, om zo hun database te vullen voor een dictionary attack
Lees de post op Troy Hunt's blog. De technologie is goed doordacht en onthult je wachtwoord niet.

En sinterklaas is de neef van winterklaas ;)
24-02-2018, 10:08 door Briolet
Door john west: Trouwens een automatische reset paswoorden ,zodat je verplicht wordt om een
ander paswoord te nemen,lijkt me een stuk veiliger.

Maar dan moet 1Password wel eerst het wachtwoord of zijn hash te zien krijgen om tegen te database te kunnen testen. Dat is minder veilig dan deze methode.
24-02-2018, 11:01 door karma4
Door CykoByte_t: Zonder enige context aangeboden quote, en totaal irrelevant zodra de context erbij wordt gehaald. Uw bron gaat namelijk om het verwerven van databulksets door de AIVD en MIVD. Daar heeft 1Password natuurlijk niets mee te maken. Overigens verwerven ze geen informatie; ze maken gebruik van informatie die door Troy Hunt op zijn site HaveIBeenPwned is verzameld en vergelijken het Lokaal.
Een private buitenlandse partij heeft kennelijk geen enkel probleem met hergebruik van persoonsgegevens uit dubieuze bron.
Als die zelfde data door een AIVD MIVD gebruikt wordt dan is het ineens sleepnet en ministriële goedkeuring. Zoiets heet het meten met meerdere maten. Wou je beweren dat Troy Hunt zijn gegevens via zijn eigen werk legaal zijn verkregen?
25-02-2018, 12:19 door Anoniem
Door karma4: Ernstig probleem voor 1Password. Voor het gebruik is ministriele toestemming nodig wegens inbreuk op de privacy.
Door karma4: Als die zelfde data door een AIVD MIVD gebruikt wordt dan is het ineens sleepnet en ministriële goedkeuring. Zoiets heet het meten met meerdere maten.
Maar natuurlijk wordt er met meerdere maten gemeten, gelukkig wel!

AIVD en MIVD zijn inlichtingen- en veiligheidsdiensten, die bijzondere bevoegdheden hebben en daardoor zelf bijzondere risico's kunnen vormen, en 1Password is dat niet. 1Password moet zich op de normale manier aan de privacywetgeving houden, AIVD en MIVD worden beoordeeld volgens de regels die voor hun gelden. Er wordt dus met meerdere maten gemeten en dat is volkomen terecht.

De minister heeft niet het soort bevoegdheden over 1Password dat hij wel over AIVD/MIVD heeft. 1Password kan wel degelijk de privecywetgeving overtreden, maar dat valt onder de Autoriteit Persoonsgegevens. De genoemde ministeriële toestemming is domweg niet van toepassing, die kan de minister aan AIVD/MIVD geven, maar niet aan 1Password, dat is geen inlichtingen- en veiligheidsdienst. Daarom is je eerste uitspraak onzin en krijg je daar weerwoord op.

Misschien bedoelde je dat als zelfs AIVD en MIVD zich aan de beperkingen in dat rapport moeten houden dat een partij als 1Password (of wie dan ook) dat helemaal moet. Daar zit wel wat in, maar schrijf dat dan meteen. Je krijgt antwoord op wat je schrijft, niet op wat je ermee bedoelt. Maar zelfs als daar wat in zit ligt een verwijzing naar de AVG meer voor de hand dan naar een rapport over toezicht op inlichtingen- en veiligheidsdiensten.
26-02-2018, 10:14 door Anoniem
We hebben het hier over een database met (gehashte) wachtwoorden, zonder enige link met een account waar dat wachtwoord voor is gebruikt. Ik zou niet weten waarom dit onder privacy wetgeving zou vallen. Zo heb ik ook een lijst met ALLE 4 cijferige pincodes, mag dat dan ook niet?
26-02-2018, 14:39 door Anoniem
Sinds wanneer is een wachtwoord een persoonsgegeven?

Door Anoniem:
Door Anoniem:
Door Anoniem: hahaha dan ben je echt dom als je daar in trapt, om zo hun database te vullen voor een dictionary attack
Lees de post op Troy Hunt's blog. De technologie is goed doordacht en onthult je wachtwoord niet.

En sinterklaas is de neef van winterklaas ;)

Het is zo jammer als hier geroeptoeterd wordt zonder argumenten. Je hebt duidelijk niet gelezen, Troy legt heel duidelijk uit hoe het werkt, er zijn geen persoonsgegevens betrokken bij de password check functie. Hij is zelfs transparant over hoe het werkt.
26-02-2018, 17:49 door Anoniem
Door Anoniem: We hebben het hier over een database met (gehashte) wachtwoorden, zonder enige link met een account waar dat wachtwoord voor is gebruikt. Ik zou niet weten waarom dit onder privacy wetgeving zou vallen.
Inderdaad. Ik kan me voorstellen dat ongehashte wachtwoorden soms dingen kunnen bevatten waaraan mensen herkend kunnen worden, maar bij gehashte wachtwoorden ligt dat anders. SHA-1 is succesvol verzwakt door onderzoekers, maar of dat al een praktische manier oplevert om wachtwoorden te ont-hashen?
Zo heb ik ook een lijst met ALLE 4 cijferige pincodes, mag dat dan ook niet?
Vier cijfers bevatten gegarandeerd niet iets waarmee je een persoon kan identificeren. Ik vind dat niet hetzelfde.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.