image

Canada monitort overheidsdomeinen via Have I Been Pwned

vrijdag 9 oktober 2020, 14:41 door Redactie, 6 reacties

Het Canadese Centre for Cyber Security heeft besloten om alle Canadese federale overheidsdomeinen via Have I Been Pwned (HIBP) te monitoren, om zo te worden gewaarschuwd wanneer e-mailadressen van overheidsinstanties in datalekken voorkomen. Dat meldt beveiligingsonderzoeker Troy Hunt, oprichter van HIBP.

Have I Been Pwned is een zoekmachine waarmee gebruikers in een database met meer dan 10 miljard gestolen e-mailadressen kunnen kijken of hun data ooit bij een website is gestolen. De gegevens in de database van HIBP zijn uit allerlei datalekken afkomstig. Gebruikers kunnen zich opgeven om te worden gewaarschuwd wanneer hun e-mailadres in een datalek voorkomt. Daarnaast is het voor domeineigenaren mogelijk om binnen de database van Have I Been Pwned op e-mailadressen van hun eigen domein te zoeken.

Overheden kunnen hun domeinen gratis via Have I Been Pwned monitoren en ontvangen een waarschuwing wanneer e-mailadressen van deze domeinen in toekomstige datalekken verschijnen. Dit moet voorkomen dat aanvallers toegang tot vertrouwelijke accounts krijgen, bijvoorbeeld omdat gebruikers hun wachtwoord hergebruiken. Meerdere datalekken uit het verleden hebben aangetoond dat ambtenaren hun overheidsmailadres gebruiken voor de registratie bij allerlei diensten.

Eerder besloten ook de Amerikaanse, Australische, Britse, Deense, Ierse, IJslandse, Noorse, Oostenrijkse, Spaanse en Zwitserse overheid om via de zoekmachine hun e-mailadressen te monitoren. Hunt hoopt de komende maanden meer overheden te kunnen aansluiten.

Reacties (6)
10-10-2020, 02:07 door Anoniem
Hoewel ik het toejuich dat er security controls worden gebruikt, hebben de meeste instellingen een password beleid waarin voorkomt dat er om de periode gewisseld dient te worden.Een eerdere breach is dan minder relevant. (als je de rest van de pasword controls ook zijn uitgevoerd zoals het onmogelijk maken om hetzelfde ww meerdere keren te gebruiken)

Eminus
10-10-2020, 11:05 door Anoniem
Door Anoniem: Hoewel ik het toejuich dat er security controls worden gebruikt, hebben de meeste instellingen een password beleid waarin voorkomt dat er om de periode gewisseld dient te worden.Een eerdere breach is dan minder relevant. (als je de rest van de pasword controls ook zijn uitgevoerd zoals het onmogelijk maken om hetzelfde ww meerdere keren te gebruiken)

Eminus

Wat denk je dat gebruikers zullen gaan kiezen als je ze forceert om steeds een "nieuw" wachtwoord te kiezen? Dat komt de kraakbaarheid van het wachtwoord niet ten goede.

Dit is net zo contraproductief als een straf in het vooruitzicht stellen als een gebruiker een virus oploopt. Het resultaat is natuurlijk dat niemand meer een virus rapporteert.
11-10-2020, 07:54 door Anoniem
Ik betreur het dat overheden in zee gaan met een heler van gestolen e-mail adressen.
11-10-2020, 11:05 door Anoniem
Door Anoniem:
Ik betreur het dat overheden in zee gaan met een heler van gestolen e-mail adressen.

Precies, en nu is het nog gratis voor overheden maar er komt een moment dat hij die gestolen gegevens om wil zetten in harde dollars.
11-10-2020, 19:59 door Anoniem
Niet overal worden op accounts om de zoveel tijd accountnamen en wachtwoorden gewijzigd.
Gebeurt dat per locatie zullen bij bepaalde diensten er voor "omweggetjes" worden gekozen.

Een wachtwoord dat steeds werkt vanwege een bijzondere gelegenheid of anderszins.
Fout, fout, fout, maar je zult het nog weleens tegenkomen in de praktijk van alledag.

Gaat er natuurlijk om net zoals bij sleutels, er zijn sleutels, wegwerpsleutels en lopers.

In de antieke tijd werden er vanuit Rome tien lieden op pad gestuurd, allen met een deel van het wachtwoord.
Individueel aangehouden konden ze nooit het gehele geheim verraden,
al werd hun voetjes boven een vuurtje licht gesmeuld.

Zo ver gaan we tegenwoordig niet meer.

Maar een duim tegen een schermpje houden
of een oogbal kan nog wel eens tegen de eigenaar werken.

#sockpuppet
12-10-2020, 10:54 door Anoniem
Door Anoniem:
Door Anoniem:
Ik betreur het dat overheden in zee gaan met een heler van gestolen e-mail adressen.

Precies, en nu is het nog gratis voor overheden maar er komt een moment dat hij die gestolen gegevens om wil zetten in harde dollars.
Harde beschuldiging, kom eens met een bewijs hiervoor!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.