image

Microsoft vindt 44 miljoen accounts met hergebruikte wachtwoorden

vrijdag 6 december 2019, 10:12 door Redactie, 16 reacties

Microsoft heeft in de eerste drie maanden van dit jaar 44 miljoen Azure AD- en Microsoft-accounts gevonden waarvan het wachtwoord door de gebruiker was hergebruikt. De softwaregigant gebruikte een database met meer dan 3 miljard gelekte wachtwoorden om de wachtwoorden van eigen gebruikers te controleren.

In het geval van 44 miljoen accounts werd er een match met de 3 miljard gelekte wachtwoorden gevonden. In deze gevallen besloot Microsoft het wachtwoord van de betreffende accounts te resetten. "Gegeven de frequentie waarmee wachtwoorden door meerdere individuen worden hergebruikt, is het belangrijk om je wachtwoord extra te beschermen. Multifactorauthenticatie is een belangrijk beveiligingsmechanisme dat je beveiliging drastisch kan verbeteren", aldus Microsoft.

Het techbedrijf wijst ook naar een onderzoek van 2018 onder bijna 30 miljoen gebruikers en hun wachtwoorden die via datalekken op straat kwamen te liggen. Daaruit bleek dat het hergebruik en het enigszins aanpassen van wachtwoorden voor andere diensten door 52 procent van de gebruikers wordt gedaan. Uit hetzelfde onderzoek kwam naar voren dat 30 procent van de aangepaste wachtwoorden en alle hergebruikte wachtwoorden binnen tien pogingen zijn te kraken. Door dit gedrag lopen gebruikers risico dat hun account wordt gekaapt, zo waarschuwt Microsoft.

Reacties (16)
06-12-2019, 11:27 door Anoniem
Hoe weet Microsoft of ik een wachtwoord hergebruikt heb. Zitten ze dan gewoon mijn wachtwoorden te bekijken en te vergelijken.

Ik ben benieuwd naar dat encryptie proces van wachtwoorden.


Of moest het artikel eigenlijk zijn....medewerker van Microsoft zat in 44 miljoen accounts de wachtwoorden te bekijken?

Of zitten ze met tabels de accounts van hun dienstafnemers te checken? En daardoor hun dienstafnemers te hacken?
06-12-2019, 12:07 door Anoniem
Door Anoniem: Hoe weet Microsoft of ik een wachtwoord hergebruikt heb. Zitten ze dan gewoon mijn wachtwoorden te bekijken en te vergelijken.

Ik ben benieuwd naar dat encryptie proces van wachtwoorden.


Of moest het artikel eigenlijk zijn....medewerker van Microsoft zat in 44 miljoen accounts de wachtwoorden te bekijken?

Of zitten ze met tabels de accounts van hun dienstafnemers te checken? En daardoor hun dienstafnemers te hacken?

Nee, natuurlijk niet. Ongetwijfeld kijkt Microsoft naar hashes en vergelijkt deze dan met de gelekte wachtwoorden. Bijvoorbeeld het wachtwoord '123456' wordt gehashed naar 'e10adc3949ba59abbe56e057f20f883e'. Als vervolgens de gelekte database een entry 'e10adc3949ba59abbe56e057f20f883e' bevat, betekent die een match en dus een wachtwoord reset.

Ik vind het wel rigoureus van Microsoft dat ze direct de wachtwoorden resetten, een waarschuwing was misschien meer op zijn plaats geweest.
06-12-2019, 12:08 door Anoniem
Wat een ongelooflijke bullcrap dit artikel

Soms vraag ik me wie verzint dit allemaal ???
Slaat volledig nergens mooi uit het duimpje gezogen
06-12-2019, 12:36 door Anoniem
Door Anoniem: Wat een ongelooflijke bullcrap dit artikel

Soms vraag ik me wie verzint dit allemaal ???
Slaat volledig nergens mooi uit het duimpje gezogen
Kun je dat ook aantonen met bewijs?
Graag effe hier posten.
06-12-2019, 12:44 door Anoniem
Door Anoniem: Wat een ongelooflijke bullcrap dit artikel

Soms vraag ik me wie verzint dit allemaal ???
Slaat volledig nergens mooi uit het duimpje gezogen
Wat een ongelooflijke bullcrap dit reactie op dit artikel.

Waarom is dit onzin? Want het artikel bevat namelijk geen enkele onwaarheid en klopt gewoon volledig.

Het artikel is beter onderbouwd dan deze anonieme reactie.
06-12-2019, 15:25 door Anoniem
Door Anoniem: Hoe weet Microsoft of ik een wachtwoord hergebruikt heb. Zitten ze dan gewoon mijn wachtwoorden te bekijken en te vergelijken.

Ik ben benieuwd naar dat encryptie proces van wachtwoorden.


Of moest het artikel eigenlijk zijn....medewerker van Microsoft zat in 44 miljoen accounts de wachtwoorden te bekijken?

Of zitten ze met tabels de accounts van hun dienstafnemers te checken? En daardoor hun dienstafnemers te hacken?
Gewoon je hash vergelijken?
Is technisch niet zo moeilijk hoor.
06-12-2019, 17:24 door Anoniem
Vraagje als je die wachtwoorden reset dan weet je het wachtwoord toch?
06-12-2019, 17:52 door Anoniem
Door Anoniem: Vraagje als je die wachtwoorden reset dan weet je het wachtwoord toch?
Nee, het enige wat Microsoft eigenlijk doet is het huidige wachtwoord ongeldig maken en een vlaggetje aanzetten dat de gebruiker verplicht is een nieuw wachtwoord te kiezen bij de volgende inlog. Waarschijnlijk moet die dan via een code via SMS of een linkje in het gekoppelde mail-adres bewijzen dat hij/zij de houder van het account is.
06-12-2019, 18:08 door Briolet
Door Anoniem: Vraagje als je die wachtwoorden reset dan weet je het wachtwoord toch?

In principe wel, want er moet een functie zijn die deze wachtwoorden genereert. In theorie kan Microsoft die gegenereerde wachtwoorden onthouden, maar waarom zouden ze? Als ze bij het account willen hebben ze betere opties.
06-12-2019, 18:24 door Anoniem
Door Anoniem: Vraagje als je die wachtwoorden reset dan weet je het wachtwoord toch?
Hangt er vanaf wie de omgeving beheerd.
Je kunt als beheerder inderdaad als admin het wachtwoord resetten. Maar daar zijn normaal procedures voor om dit te doen.
Vaak geef in het systeem aan dat het wachtwoord de volgende keer bij het inloggen het wachtwoord veranderd moet worden.
06-12-2019, 18:25 door Anoniem
Door Anoniem: Vraagje als je die wachtwoorden reset dan weet je het wachtwoord toch?

Sja, is net als bij alle "Wachtwoord vergeten?" oplossingen: er zal een tijdelijk wachtwoord op gezet zijn.
06-12-2019, 20:11 door [Account Verwijderd] - Bijgewerkt: 06-12-2019, 20:11
Door Anoniem: Ongetwijfeld kijkt Microsoft naar hashes en vergelijkt deze dan met de gelekte wachtwoorden. Bijvoorbeeld het wachtwoord '123456' wordt gehashed naar 'e10adc3949ba59abbe56e057f20f883e'. Als vervolgens de gelekte database een entry 'e10adc3949ba59abbe56e057f20f883e' bevat, betekent die een match en dus een wachtwoord reset.

Ik vind het wel rigoureus van Microsoft dat ze direct de wachtwoorden resetten, een waarschuwing was misschien meer op zijn plaats geweest.

Ik niet want om op deze manier de hashes te vergelijken moet het wachtwoord bekend zijn (want gelekt), en dat hoort alleen de gebruiker te weten, Dus reset de enige juiste handeling.
06-12-2019, 21:26 door Anoniem
Door Anoniem: Vraagje als je die wachtwoorden reset dan weet je het wachtwoord toch?

Nee op beheer niveau activeren, check on:

[x] Force new password.
08-12-2019, 08:15 door Anoniem
Zo te zien is haveibeenpwned.com niet op de hoogte. Zegt weer genoeg wat voor hebzuchtig microsoft is.
08-12-2019, 11:45 door Anoniem
Door Anoniem: Zo te zien is haveibeenpwned.com niet op de hoogte.
Omdat? Het zijn al bekende hacks uit het verleden. Dus waarom zou haveibeenpwned ze dan al niet hebben?
Of waarom zou Microsoft deze moeten aanleveren bij haveibeenpwned?

Zegt weer genoeg wat voor hebzuchtig microsoft is.
Je reactie zegt meer iets over jouw gedachten. Triest is het enige woord hiervoor.
09-12-2019, 08:58 door Anoniem
Door Anoniem: Wat een ongelooflijke bullcrap dit artikel

Soms vraag ik me wie verzint dit allemaal ???
Slaat volledig nergens mooi uit het duimpje gezogen

Jouw antwoord slaat nergens op, het is een gegeven dat mensen hun wachtwoorden hergebruiken of bepaalde makkelijke combinaties of bestaande woorden gebruiken. Als een hacker het wachtwoordbestand te pakken krijgt kan ie precies hetzelfde doen als wat Microsoft nu gedaan heeft. Ik zeg, goede zaak.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.