image

Politie adviseert internetters om wachtwoorden te controleren

vrijdag 18 januari 2019, 17:06 door Redactie, 24 reacties

Naar aanleiding van het nieuws over een verzameling van 773 miljoen wachtwoorden en 21 miljoen wachtwoorden die op internet circuleert krijgen internetters van de politie het advies om hun wachtwoorden te controleren. De verzameling van gestolen inloggegevens, afkomstig van zo'n 2500 gehackte websites, wordt voor een bedrag van 45 dollar op internet aangeboden.

"De politie adviseert mensen die actief zijn op internet om regelmatig te controleren of hun gegeven zijn gehackt en of uw gegevens in deze database voorkomen. Dat kan via de website haveibeenpwned.com", aldus het advies van de politie. Have I Been Pwned is een zoekmachine waarmee gebruikers in zo'n 6,5 miljard gestolen records kunnen zoeken of hun data ooit bij een website is gestolen.

Daarnaast wordt internetgebruikers aangeraden om voor elke website een ander sterk wachtwoord te gebruiken en daar waar mogelijk tweefactorauthenticatie te gebruiken. De politie stelt verder dat het een onderzoek naar de database instelt om te kijken op welke wijze die kan bijdragen bij het oplossen van digitale misdrijven.

Reacties (24)
18-01-2019, 18:39 door Anoniem
Belangrijk detail: op haveibeenpwned kun je niet je *wachtwoord* controleren, alleen of je *email* in een breach voorkomt. Als je dingen over je wachtwoord wilt weten dan moet je dat bij andere diensten checken, zoals https://gotcha.pw/ of https://scatteredsecrets.com/.
18-01-2019, 19:19 door Anoniem
Aan Cloudflare? Wachtwoord én email-adres?
No way.
18-01-2019, 19:33 door Anoniem
Je moet niet controleren òf je wachtwoord is uitgelekt, je moet er vanuit gaan dàt je wachtwoord is uitgelekt. Niet alles wat is uitgelekt staat op haveibeenpwned.com.
18-01-2019, 20:00 door Anoniem
Is haveibeenpwned.com wel zo veilig? Moet eerst een Captcha oplossen voordat ik toegang krijg, dan heb je het qua privacy sowieso niet begrepen.
18-01-2019, 20:16 door Anoniem
Aan Cloudflare? Wachtwoord én email-adres? No way.
Cloudflare is een MiTM by desgin. Echter met dergelijke instelling kun je alle https-sites ook niet vertrouwen, want er zijn genoeg voorbeelden van CA's die b.v. rogue wilcards uitgegeven hebben :) Wantrouwens is echter prima. Om ellende te voorkomen is het ALTIJD handig om voor dergelijke diensten een uniek account / wachtwoord te gebruiken. Zodat impact minimaal is als slechte jongens toeslaan.
18-01-2019, 20:20 door Anoniem
Door Anoniem: Je moet niet controleren òf je wachtwoord is uitgelekt, je moet er vanuit gaan dàt je wachtwoord is uitgelekt. Niet alles wat is uitgelekt staat op haveibeenpwned.com.

Kan ook andersom: niet alles wat op haveibeenpwned.com staat is een probleem. Bij mij gaat haveibeenpwned.com vaak af op SPAM-lijsten waar ik opsta (2 dumps uit hun top 5 zijn SPAM-lijsten, waar dus geen wachtwoorden in voorkomen). Vind ik niet zo spannend.

Er vanuit gaan dat wachtwoord is uitgelekt is natuurlijk beter. Password manager gebruiken met unieke lange wachwoorden en no problemo met al die gehackte wachtwoorden!
18-01-2019, 21:16 door Anoniem
Leuk en aardig maar waarom geen database met de naam van websites die gehackt zijn, dan weet ik tenminste of
ik wel of geen account heb bij een gehackte website.
18-01-2019, 21:56 door Anoniem
Door Anoniem: Leuk en aardig maar waarom geen database met de naam van websites die gehackt zijn, dan weet ik tenminste of
ik wel of geen account heb bij een gehackte website.

https://vigilante.pw/
18-01-2019, 22:01 door Anoniem
Door Anoniem: Leuk en aardig maar waarom geen database met de naam van websites die gehackt zijn, dan weet ik tenminste of
ik wel of geen account heb bij een gehackte website.
Door Anoniem: Leuk en aardig maar waarom geen database met de naam van websites die gehackt zijn, dan weet ik tenminste of
ik wel of geen account heb bij een gehackte website.
Omdat de bron van de gehackte database niet altijd direct bekend is. De inhoud is wel direct duidelijk.
18-01-2019, 22:13 door Anoniem
Cool. Even de belangrijkste email adressen ingevoerd en allemaal groen licht. Veilig.

Het is extra leuk omdat ik al heel lang administratief flink chaotisch ben. Sterker nog, mijn asbak puilt altijd uit. De open of nog gesloten enveloppen liggen meestal in stapels op mijn bureau. Zeg maar altijd een berg puin. Als ik zelf wat nodig heb dan weet ik het altijd wel te vinden. Altijd op het laatste moment, maar ik weet waar ik zoeken moet. Nog erger, op die manier heb ik ooit, lang geleden echt administratieve verantwoordelijkheid gehad over heel veel geld. Er was nooit een cent weg, alles ging op tijd, maar mijn bureau? Een puinhoop. Ik meld beter niet over hoeveel geld (een paar nullen meer dan zes!) het ging, want het was nog gemeenschapsgeld ook. Maar je was echt gillend weggelopen. Je had er foto's van gepost op security.nl.

Rommel en ruis. Nog steeds beter dan een kluis.

Old school blockchain++
18-01-2019, 22:29 door [Account Verwijderd]
Door Anoniem: Is haveibeenpwned.com wel zo veilig? Moet eerst een Captcha oplossen voordat ik toegang krijg, dan heb je het qua privacy sowieso niet begrepen.

Geen captcha te zien, ook niet met een chrome incognito venster. Zowel thuis (Linux, Android) als op werk (Windows 10 Enterprise met Firefox ingesteld om niets te onthouden). En nog overal Privacy Badger en uBlockOrigin geïnstalleerd.
18-01-2019, 22:34 door [Account Verwijderd]
Door Anoniem: Belangrijk detail: op haveibeenpwned kun je niet je *wachtwoord* controleren, alleen of je *email* in een breach voorkomt. Als je dingen over je wachtwoord wilt weten dan moet je dat bij andere diensten checken, zoals https://gotcha.pw/ of https://scatteredsecrets.com/.

De eerste link werkt niet, bij de tweede krijg ik de melding dat er niets aan de hand is terwijl haveibeenpwnd wel aangeeft dat mijn vroegere LinkedIn account gegevens op straat lagen.
18-01-2019, 23:22 door Anoniem
Ik heb via de pastebin via zoekfunctie gecontroleerd of ook websites die door mij zijn gebruikt gecompromitteerd waren. En bij 1 website was dat het geval. Vandaag het (oude unieke) wachtwoord veranderd. De rest bleek in orde.
18-01-2019, 23:33 door Anoniem
De eerste link werkt niet, bij de tweede krijg ik de melding dat er niets aan de hand is terwijl haveibeenpwnd wel aangeeft dat mijn vroegere LinkedIn account gegevens op straat lagen.

Dat heb ik ook. Heb de LinkedIn-torrent gedownload, met de complete onbewerkte set van gelekte data. Als ik daarin zoek dan vind ik m'n email:

nummer:mijn@email.adres

In een ander bestand worden nummers aan hashes gekoppeld. Er is echter geen hash voor mijn account. Dat is voor heel veel accounts zo zag ik toen ik een count deed van nummer:email en nummer:hash entries. Geen idee waarom maar er staat dus geen hash in die dus ook niet gekraakt kan worden. Wellicht leuk om voor jouw account te checken.
19-01-2019, 00:05 door Anoniem
Het begon zo leuk het begin van het internet,dial-up modem,je eerste pc,we waren blij als kinderen,1996

Nu 2019

Panopticum - Gecontroleerde samenlevingen via alle slimme devices en het internet en 5G wereldwijd.
Overheid-bedrijfsleven
Nsa en alle geheime diensten
Criminele hackers
Lekken in bugs en software

Je mag het straks zelf oplossen als jou,
gegevens gehackt zijn en overal staat opgeslagen,omdat het nu eenmaal moet
op servers en cloud- web winkel diensten die niet goed geconfigureerd of beveiligd zijn.
19-01-2019, 01:49 door [Account Verwijderd] - Bijgewerkt: 19-01-2019, 01:49
Door Anoniem: Belangrijk detail: op haveibeenpwned kun je niet je *wachtwoord* controleren, alleen of je *email* in een breach voorkomt. Als je dingen over je wachtwoord wilt weten dan moet je dat bij andere diensten checken, zoals https://gotcha.pw/ of https://scatteredsecrets.com/.

wut?

https://haveibeenpwned.com/Passwords
19-01-2019, 10:54 door Anoniem
Quote van https://tweakers.net/nieuws/148056/verzameling-met-773-miljoen-e-mailadressen-stond-openbaar-online.html

"Het lijkt in alle gevallen te gaan om hacks van minstens drie jaar oud, waardoor het bij de wachtwoorden veelal gaat om oude wachtwoorden."
19-01-2019, 12:48 door Anoniem
Door Anoniem: Quote van https://tweakers.net/nieuws/148056/verzameling-met-773-miljoen-e-mailadressen-stond-openbaar-online.html

"Het lijkt in alle gevallen te gaan om hacks van minstens drie jaar oud, waardoor het bij de wachtwoorden veelal gaat om oude wachtwoorden."
Dat is nu juist het probleem: mensen veranderen hun wachtwoorden nauwelijks en hergebruiken ze zelfs.
Dus deze lijst is wel degelijk relevant.
19-01-2019, 12:58 door Anoniem
Nee dat is slim. Je wachtwoord opgeven om te kijken of die gebruikt wordt. lol
19-01-2019, 13:00 door Anoniem
btw Linked in had dit allang zelf gedetecteerd en had iedereen al verplicht gesteld om zijn ww te resetten.
19-01-2019, 18:00 door Anoniem
773 miljoen?
Dat is nog niet eens alle mogelijke combinaties van 5 karakters (hoofdletters, kleine letters, cijfers en leestekens)
Sterk wachtwoord kiezen dat lekker lang is, dan is de kans het kleinst dat het in die database staat en is het eigenlijk niet eens de moeite waard om te gaan kijken. Er zijn zoveel onzekerheden in het leven, dan kan dit er ook nog wel bij.
En als iets echt belangrijk is wordt er wel een andere methode gebruikt om in te loggen.
21-01-2019, 09:08 door Anoniem
Door Anoniem: Is haveibeenpwned.com wel zo veilig? Moet eerst een Captcha oplossen voordat ik toegang krijg, dan heb je het qua privacy sowieso niet begrepen.
Captcha ansich lijkt me geen probleem voor de privacy, het gebruiken van de Captcha van een groot datagraaiend bedrijf is wel een probleem voor de privacy.
21-01-2019, 10:01 door Anoniem
Door Anoniem: Belangrijk detail: op haveibeenpwned kun je niet je *wachtwoord* controleren, alleen of je *email* in een breach voorkomt. Als je dingen over je wachtwoord wilt weten dan moet je dat bij andere diensten checken, zoals https://gotcha.pw/ of https://scatteredsecrets.com/.

Nee hoor, ook je wachtwoord kun je daar controleren: https://haveibeenpwned.com/Passwords. De wachtwoorden zijn gehashed opgeslagen en worden niet als ruwe data door de website zelf gelezen.
22-01-2019, 11:33 door Anoniem
Door NedFox:
Door Anoniem: Belangrijk detail: op haveibeenpwned kun je niet je *wachtwoord* controleren, alleen of je *email* in een breach voorkomt. Als je dingen over je wachtwoord wilt weten dan moet je dat bij andere diensten checken, zoals https://gotcha.pw/ of https://scatteredsecrets.com/.

wut?

https://haveibeenpwned.com/Passwords

Hier kun je inderdaad je wachtwoord checken maar dit is niet te relateren aan een email adres. Het zou dan ook mogelijk zijn dat iemand anders hetzelfde wachtwoord heeft als jij, terwijl die van jou niet gelekt is. Wel zou dat betekenen dat je een pruts wachtwoord hebt :p
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.