image

GitHub waarschuwt gebruikers voor gestolen wachtwoorden

dinsdag 7 augustus 2018, 09:52 door Redactie, 4 reacties

Ontwikkelaarsplatform GitHub gaat gebruikers waarschuwen als ze van een wachtwoord gebruikmaken dat bij een datalek is gestolen. Zodra gebruikers met een dergelijk wachtwoord op de website inloggen krijgen ze een waarschuwing te zien en krijgen het verzoek om een nieuw wachtwoord in te stellen.

Ook wanneer gebruikers hun bestaande wachtwoord aanpassen naar een gecompromitteerd wachtwoord of voor het eerst een account aanmaken en dan een gecompromitteerd wachtwoord kiezen verschijnt er een waarschuwing. De informatie die GitHub hiervoor gebruikt is afkomstig van beveiligingsonderzoeker Troy Hunt, beheerder van de website Have I Been Pwned.

Dit is een zoekmachine waarmee gebruikers in meer dan 5 miljard gestolen records kunnen kijken of hun data ooit bij een website is gestolen. Hunt zette begin dit jaar een dataset met 517 miljoen bij datalekken gestolen wachtwoorden online. GitHub heeft de dataset nu gebruikt voor het maken van een 'interne versie' van Have I Been Pwned.

Het ontwikkelaarsplatform stelt dat gebruikers zich geen zorgen over hun GitHub-wachtwoord hoeven te maken, aangezien dat met het Bcrypt-algoritme is gehasht. Alleen wanneer gebruikers het wachtwoord aan de website verstrekken wordt gecontroleerd of het gecompromitteerd is. Verder adviseert GitHub aan gebruikers om tweefactorauthenticatie in te stellen.

Image

Reacties (4)
07-08-2018, 11:29 door Briolet - Bijgewerkt: 07-08-2018, 11:30
Als ik het goed lees, gaat het niet om dat het een wachtwoord dat van Github afkomstig is, maar het kan ook een wachtwoord zijn dat kompleet iemand anders voor een andere toepassing gemaakt heeft.

Even geprobeerd. Ik krijg die waarschuwing niet. Blijkbaar is mijn ww uniek genoeg. (-:
07-08-2018, 15:55 door Anoniem
Door Briolet: Als ik het goed lees, gaat het niet om dat het een wachtwoord dat van Github afkomstig is, maar het kan ook een wachtwoord zijn dat kompleet iemand anders voor een andere toepassing gemaakt heeft.

Even geprobeerd. Ik krijg die waarschuwing niet. Blijkbaar is mijn ww uniek genoeg. (-:

klopt, heb twee accounts. Op een van deze accounts kreeg ik ook een e-mail gestuurd dat het raadzaam is op het wachtwoord te veranderen. De andere account kreeg geen melding.

Twee accounts? ja omdat.
07-08-2018, 21:50 door Anoniem
Door Briolet: Als ik het goed lees, gaat het niet om dat het een wachtwoord dat van Github afkomstig is, maar het kan ook een wachtwoord zijn dat kompleet iemand anders voor een andere toepassing gemaakt heeft.

Even geprobeerd. Ik krijg die waarschuwing niet. Blijkbaar is mijn ww uniek genoeg. (-:

Je wachtwoord is niet uniek genoeg. Er zijn geen records gevonden van eerdere hacks waarbij je wachtwoord en e-mail adres (in combinatie met elkaar) gestolen zijn.
08-08-2018, 09:25 door Briolet - Bijgewerkt: 08-08-2018, 09:27
Door Anoniem:…eerdere hacks waarbij je wachtwoord en e-mail adres (in combinatie met elkaar) gestolen zijn.

Nee. Geen combinatie. Puur het voorkomen van dat wachtwoord (of zijn hash) in die database is voldoende. Dus ook als bij iemand anders een heel sterk wachtwoord gelekt is. Het bestaan van zo'n hash maakt dat jouw hash binnen een paar miliseconden te kraken is door hem in die database op te zoeken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.