GitHub waarschuwt gebruikers voor gestolen wachtwoorden
Ontwikkelaarsplatform GitHub gaat gebruikers waarschuwen als ze van een wachtwoord gebruikmaken dat bij een datalek is gestolen. Zodra gebruikers met een dergelijk wachtwoord op de website inloggen krijgen ze een waarschuwing te zien en krijgen het verzoek om een nieuw wachtwoord in te stellen.
Ook wanneer gebruikers hun bestaande wachtwoord aanpassen naar een gecompromitteerd wachtwoord of voor het eerst een account aanmaken en dan een gecompromitteerd wachtwoord kiezen verschijnt er een waarschuwing. De informatie die GitHub hiervoor gebruikt is afkomstig van beveiligingsonderzoeker Troy Hunt, beheerder van de website Have I Been Pwned.
Dit is een zoekmachine waarmee gebruikers in meer dan 5 miljard gestolen records kunnen kijken of hun data ooit bij een website is gestolen. Hunt zette begin dit jaar een dataset met 517 miljoen bij datalekken gestolen wachtwoorden online. GitHub heeft de dataset nu gebruikt voor het maken van een 'interne versie' van Have I Been Pwned.
Het ontwikkelaarsplatform stelt dat gebruikers zich geen zorgen over hun GitHub-wachtwoord hoeven te maken, aangezien dat met het Bcrypt-algoritme is gehasht. Alleen wanneer gebruikers het wachtwoord aan de website verstrekken wordt gecontroleerd of het gecompromitteerd is. Verder adviseert GitHub aan gebruikers om tweefactorauthenticatie in te stellen.
Even geprobeerd. Ik krijg die waarschuwing niet. Blijkbaar is mijn ww uniek genoeg. (-:
Even geprobeerd. Ik krijg die waarschuwing niet. Blijkbaar is mijn ww uniek genoeg. (-:
klopt, heb twee accounts. Op een van deze accounts kreeg ik ook een e-mail gestuurd dat het raadzaam is op het wachtwoord te veranderen. De andere account kreeg geen melding.
Twee accounts? ja omdat.
Even geprobeerd. Ik krijg die waarschuwing niet. Blijkbaar is mijn ww uniek genoeg. (-:
Je wachtwoord is niet uniek genoeg. Er zijn geen records gevonden van eerdere hacks waarbij je wachtwoord en e-mail adres (in combinatie met elkaar) gestolen zijn.
Nee. Geen combinatie. Puur het voorkomen van dat wachtwoord (of zijn hash) in die database is voldoende. Dus ook als bij iemand anders een heel sterk wachtwoord gelekt is. Het bestaan van zo'n hash maakt dat jouw hash binnen een paar miliseconden te kraken is door hem in die database op te zoeken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
