image

Google reset hergebruikte wachtwoorden van 110 miljoen mensen

dinsdag 5 februari 2019, 16:20 door Redactie, 19 reacties

Google heeft de afgelopen twee jaar van meer dan 110 miljoen mensen het wachtwoord van het Google-account gereset omdat het om een hergebruikt wachtwoord ging dat via een datalek op een andere website openbaar was geworden.

Om gebruikers ook op andere websites te helpen heeft Google samen Stanford University een wachtwoord-extensie voor Chrome ontwikkeld. De extensie, met de naam Password Checkup, is te vergelijken met de dienst Have I Been Pwned en waarschuwt gebruikers als hun gebruikersnaam en wachtwoord in een verzameling van meer dan 4 miljard gelekte inloggegevens voorkomen.

Zodra Google een datalek ontdekt maakt het van de aanwezige gebruikersnamen en wachtwoorden een gehashte en versleutelde kopie, met een onversleutelde hash prefix van twee bytes. Wanneer gebruikers met Chrome ergens op een website inloggen verstuurt de extensie een gehashte en versleutelde kopie van de gebruikersnaam en het wachtwoord naar Google, waarbij de internetgigant alleen de hash prefix ziet. Vervolgens wordt in de verzameling van meer dan 4 miljard gelekte gegevens gezocht naar elke onveilige gebruikersnaam en wachtwoord die dezelfde prefix hebben.

Als laatste wordt lokaal op het systeem van de gebruiker gekeken of de ingevoerde inloggegevens in een datalek voorkomen. Wanneer dit het geval is krijgt de gebruiker een waarschuwing te zien met het advies om het gebruikte wachtwoord te resetten. Google benadrukt dat de extensie geen gebruikersnamen of wachtwoorden aan Google onthult. Password Checkup is te downloaden via de Chrome Web Store.

Image

Reacties (19)
05-02-2019, 20:41 door BadAss.Sx
Dat betekend dus dat Google "vrij" inzicht heeft wat je wachtwoord is en deze dus als zodanig gebruikt om te kijken of het dus in een database voorkomt. En als Google vrij inzicht heeft in jouw wachtwoord dan hebben hogere US instanties dat dus ook.

I rest my case.
05-02-2019, 20:58 door Password1234
Door BadAss.Sx: Dat betekend dus dat Google "vrij" inzicht heeft wat je wachtwoord is

Ik zeg niks…
Maar wie gaat even uitleggen hoe dit werkt aan meneer BadAss.Sx ?
06-02-2019, 03:23 door Anoniem
Door BadAss.Sx: Dat betekend dus dat Google "vrij" inzicht heeft wat je wachtwoord is en deze dus als zodanig gebruikt om te kijken of het dus in een database voorkomt. En als Google vrij inzicht heeft in jouw wachtwoord dan hebben hogere US instanties dat dus ook.

I rest my case.

Niet noodzakelijk waar. Want je kunt passwords encrypted in je database hebben. Maar wel voor elk account een testje doen of een van die exposed passwords misschien werkt. Via je eigen frontend. Met een scriptje of zo. Per account even kijken of één van die 500 miljoen passwords werkt. Of wat is het. Theoretisch kan dat.

In de praktijk denk ik dat zelfs Google, met al die mooie spullen die ze hebben, dat zo snel kan. Voor alle accounts. Dus ik vrees dat je meer waarschijnlijk gelijk hebt,

Misschien de leugen eens doorprikken. "Geef je geheime password op". En niemand vraagt, als het geheim en enkel van mij is, waarom moet ik dat dan opgeven? Dan begint dat al met lekker geheim te blijven. Of niettan?
06-02-2019, 08:11 door Anoniem
Door Password1234:
Door BadAss.Sx: Dat betekend dus dat Google "vrij" inzicht heeft wat je wachtwoord is

Ik zeg niks…
Maar wie gaat even uitleggen hoe dit werkt aan meneer BadAss.Sx ?

Hij heeft het inderdaad niet begrepen.
06-02-2019, 08:23 door Anoniem
Maar wie gaat even uitleggen hoe dit werkt aan meneer BadAss.Sx ?

Ik ga er van uit dat 'meneer' "BadAss.Sx" bijdehand genoeg is om het artikel nogmaals aandachtig door te lezen... Wellicht begrijpt hij dan dat het om hashes gaat en niet om plain text wachtwoorden.

Maar dat is een aanname van mijn kant (het begrijpende/aandachtig gedeelte dan he).
06-02-2019, 08:40 door Anoniem
Door BadAss.Sx: Dat betekend dus dat Google "vrij" inzicht heeft wat je wachtwoord is en deze dus als zodanig gebruikt om te kijken of het dus in een database voorkomt. En als Google vrij inzicht heeft in jouw wachtwoord dan hebben hogere US instanties dat dus ook.

I rest my case.

Hash word opgeslagen, niet je wachtwoord.
En de hashes zijn vaak buitgemaakt,.

het wachtwoord is te achterhalen via een zogenaamde rainbow tabel,.

eh,.. google de rest zelf maar.
Iig,. google heeft niet je wachtwoord als text-only opgeslagen.
06-02-2019, 09:36 door Anoniem
Door BadAss.Sx: Dat betekend dus dat Google "vrij" inzicht heeft wat je wachtwoord is en deze dus als zodanig gebruikt om te kijken of het dus in een database voorkomt. En als Google vrij inzicht heeft in jouw wachtwoord dan hebben hogere US instanties dat dus ook.

I rest my case.
Je kan het bekend geworden gehackte wachtwoord volgens je zelf gebruikte algoritme hashen en vergelijken met de gehashte waarde voor dit wachtwoord in je eigen database om te kijken of deze hash waarden overeenkomen. Dan heb je dus niet het unencrypte wachtwoord zelf in bezit. Ik vermoed dat Google dit op deze wijze checkt.
06-02-2019, 14:46 door Anoniem


Maar wel voor elk account een testje doen of een van die exposed passwords misschien werkt. Via je eigen frontend. Met een scriptje of zo. Per account even kijken of één van die 500 miljoen passwords werkt. Of wat is het. Theoretisch kan dat.

In de praktijk denk ik dat zelfs Google, met al die mooie spullen die ze hebben, dat zo snel kan. Voor alle accounts.

Dat kan vrij makkelijk hoor, daar hebben ze hash tables voor uitgevonden. Kost niet eens zo heel veel rekenkracht.
06-02-2019, 19:57 door Anoniem
Door BadAss.Sx: Dat betekend dus dat Google "vrij" inzicht heeft wat je wachtwoord is en deze dus als zodanig gebruikt om te kijken of het dus in een database voorkomt. En als Google vrij inzicht heeft in jouw wachtwoord dan hebben hogere US instanties dat dus ook.

I rest my case.

Een wachtwoord wordt gehashed dmv een CSPRNG salt, deze is unique per gebruiker per wachtwoord. Succes met het maken van een raibow table of een reverse lookup table. En dit is nog maar de basic hash. Ik geloof niet dat google je wachtwoord hoe dan ook kan uitlezen
06-02-2019, 22:20 door Anoniem
Google stelt er alleen maar belang in te weten of jij jij bent. Dan kan de concurrent met jouw unieke profiel identificatie ook niets aanvangen en dat is voor Google wel zo voordeling. Als je alleen maar in kan loggen met je digitale ID wordt het inderdaad linkere soep. Ben je herleidbaar via je globale ID, dan zijn we met z'n allen vrijwel al vogelvoer.

Vroeger registreerde men computers uit het buitenland met bijvoorbeeld een verdwenen adres in de DDR, een avatar waar er duizenden van zijn, zoals "legio", 70% veiliger. Er zijn nog veel meer tricks, maar dat valt buiten het kader van dit thema.

Gebruik voor accounts steeds andere wachtwoorden, zodat een security breach bij een forum bijvoorbeeld geen onoverkomelijk risico oplevert. Google kan wel op haar shop passen, maar kan jij dat ook?
07-02-2019, 11:14 door spatieman
Door BadAss.Sx: Dat betekend dus dat Google "vrij" inzicht heeft wat je wachtwoord is en deze dus als zodanig gebruikt om te kijken of het dus in een database voorkomt. En als Google vrij inzicht heeft in jouw wachtwoord dan hebben hogere US instanties dat dus ook.

I rest my case.
als eens gehoord van HASH ?
nee, niet de drug..
07-02-2019, 19:04 door BadAss.Sx
Het is duidelijk dat jullie nog niet snappen wat ik bedoel met "vrij" inzicht. Google werkt ondertussen al met AI tools en dan boeien hashes niet echt meer. Waar ik op doel is dat een wachtwoord geen wachtwoord meer is voor de top. Hash of geen hash. De meesten hier zijn schijnbaar blijven hangen in het "oeroude" hash verhaal lol.
08-02-2019, 09:20 door Anoniem
Door BadAss.Sx: Het is duidelijk dat jullie nog niet snappen wat ik bedoel met "vrij" inzicht. Google werkt ondertussen al met AI tools en dan boeien hashes niet echt meer. Waar ik op doel is dat een wachtwoord geen wachtwoord meer is voor de top. Hash of geen hash. De meesten hier zijn schijnbaar blijven hangen in het "oeroude" hash verhaal lol.
Ik moet zeggen dat je wel heel veel bronnen vermeld waarin we jou verhaal als 'waarheid' aan kunnen nemen. Vooral het "Google werkt ondertussen met AI tools" vond ik vooral scherp uitgelegd en goed onderbouwt. Ik ben blij dat je het even uit hebt gelegd. Kunnen we het "oeroude" hashes verhaal in de prullenbak gooien.

Liever leg ik sarcasme niet uit. Maar er zijn mensen die minder verstand hebben van dit soort zaken en al gauw dingen aannemen online (waaronder misschien wel jouw verhaal). Jouw verhaal slaat (tot nu toe) kant nog wal. Ga er vanuit dat jouw verhaal door mensen gelezen wordt en rustig weer doorverteld wordt zonder ook maar enige bron. Dus leg het of beter uit, of ga eens uit van de expertise van een ander (zoals de werking van hashes). Mocht jij bronnen hebben waaruit blijkt dat Google onze wachtwoorden daadwerkelijk kent/weet, dan heb je mijn zegen en kun je mijn verhaal als 'niet verzonden' beschouwen. Tot die tijd, pas op met wat je online zegt. Je zet onnodig mensen op het verkeerde been en voorziet ze misschien wel van verkeerde informatie.
08-02-2019, 11:53 door Anoniem
Door BadAss.Sx: Het is duidelijk dat jullie nog niet snappen wat ik bedoel met "vrij" inzicht. Google werkt ondertussen al met AI tools en dan boeien hashes niet echt meer. Waar ik op doel is dat een wachtwoord geen wachtwoord meer is voor de top. Hash of geen hash. De meesten hier zijn schijnbaar blijven hangen in het "oeroude" hash verhaal lol.

Ohhh, "AI Tools", nu wordt het duidelijk. Die gebruiken zeker ook de nieuwste cyber smart blockchain?
08-02-2019, 21:04 door Anoniem
Dus Auth0 gebruiken. En geen veiligheid vanwege collusie aanvallen zonder salt.
08-02-2019, 22:17 door Anoniem
Google is ook via Hydraq trojan gehackt. Via een hole in I.E. Daarom zijn alle browsers nu chromium gebaseerd. Google heeft nooit uitsluitsel gegeven over deze historische Chinese Staatshack. Nu zitten al hun eieren in een en hetzelfde mandje. Niet zo slim security through obscurity.
# sockpuppet
11-02-2019, 19:03 door Anoniem
Jammer dat niemand het originele artikel heeft gelezen. Het gaat om "bekende" collecties van reeds gehakte *plaintext* wachtwoorden.

Als jouw combo(hash) van username & password daarmee overeenkomt, is je probleem groter dan dat Google die /ook/ weet.

Wat gecommuniceerd wordt, zijn alleen de eerste paar bytes van de hash. Dan komt er een lijst met overeenkomende hashe's retour en die worden weer *lokaal* gecheckt.
12-02-2019, 13:08 door nva
Ze zouden beter verplichten het wachtwoord aan te passen en alle veelvoorkomende woorden in een soort van 'dictionary' opslaan en deze wachtwoorden gewoon verbieden om te gebruiken qua veiligheid.
14-02-2019, 13:39 door Anoniem
Door nva: Ze zouden beter verplichten het wachtwoord aan te passen en alle veelvoorkomende woorden in een soort van 'dictionary' opslaan en deze wachtwoorden gewoon verbieden om te gebruiken qua veiligheid.

Lijkt mij niet handig. In dat geval zou namelijk een passfrase altijd stuiten, omdat het uit bekende woorden bestaat. Terwijl de combinatie waarin ze voorkomen voldoende uniek kan zijn en nergens bekend is.

"Weet ik veel" is een heel simpel voorbeeld, maar wanneer dit nog nergens in tabellen voorkomt, al beter dan de bekende kreten. Opgeleukt tot "W3et !k ve3l" wordt het natuurlijk veiliger, maar is door het gebruik van b.v. de 3 op de plaats van een "e" nog altijd te raden, want dat doen veel mensen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.