Synthforum gehackt - wijzig je wachtwoord
- Thread starter ishi
- Start date
Dr van Lansberg
Gepokt en gemazeld
Voordat er gemaild kan worden, moet eerst worden uitgezocht wat er exact is gebeurd. Vervolgens moet het bestuur er een plasje over doen en tot slot duurt het even voordat 30.000 leden allemaal de email hebben ontvangen. Ook ik heb hem pas vandaag in mijn mailbox gekregen terwijl er gisterenmiddag uit is gegaan.
Anatal
www.anatal.io
Top! In dat geval zie ik geen noodzaak mijn ww te veranderen. Dat er eventueel data is gestolen is vervelend maar niets meer aan te doen.
De uitkomst is juist niet uniek om terugrekenen onmogelijk te maken. Het gaat om kansberekening, de kans dat de hash aaa hetzelfde is als hash bbb is extreem klein. Er is een gelimiteerd aantal verschillende hash outputs voor een ongelimiteerd aantal verschillende inputs, dat definieert een hash als niet uniek voor de input.
Helaas wordt daar op gehamerd inderdaad want het is bijzonder gebruiks onvriendelijk en triest genoeg is het ook niet de beste manier. De lengte is veel belangrijker dan de tekens. Elke letter erbij zorgt voor een exponentiële stijging van mogelijke combinaties. Je kan veel beter een begrijpelijke lange zin als wachtwoord hebben. Voordeel is dat het heel makkelijk te onthouden en in te voeren is, en absoluut onkraakbaar zonder quantum computer. Beter geen spreekwoorden oid maar iets meligs als ikwordtnietgoedvandiekuthitteelkedag. In principe kun je dat ww voor alles gebruiken zolang het maar gehashed wordt op de server, helaas kun je dat niet weten. Ikzelf gebruik daarom lastpass die unieke lange random ww's genereert en lastpass zelf heeft zo'n lange begrijpelijke zin ww. Je hebt dan feitelijk het beste van beide, je hoeft maar 1 ww te onthouden en je hebt nergens hetzelfde ww. Mocht dat een keer gehacked worden toch dan kun je in 1 actie al je ww's veranderen.
Anatal
www.anatal.io
Maak daar dan een duidelijk statement van, veiligheid niet gegarandeerd. Ik vind dat op zich best acceptabel en kan er dan bijvoorbeeld voor kiezen geen PM te gebruiken of daar in ieder geval niets te schrijven wat gevoelig is. Het boeit mij persoonlijk minder dan niets dat mijn openbare posts nog eens ergens anders geopenbaard worden.
Of schaf dat hele PM af en stuur gewoon een email en verder niets. Ik snap zowieso de toegevoegde waarde van PM's op forums niet, het eerste wat ik doe tegenwoordig is vragen of we op email over kunnen als ik een PM krijg op een forum.
Anatal
www.anatal.io
AVG is voor de buhne. Zogenaamd een overheid die geeft om privacy en ondertussen kadaster open stellen waarin iedereen voor 2 euro kan zien van wie een huis precies is met partner, hypotheek bedrag, of de eigenaar daar woont en zo niet waar dan wel. Burger registratie systeem waar jan en allemaal lekker in kan wroeten waar jij precies zit met je bek. Nummerplaat opvragen bij de RDW en je weet zo'n beetje alles van iemand er financieel bijstaat. Dan gooi je alle persoonsdata nog even in google en heb je zo volstrekt legaal zonder gehack een hele doopcel van wie dan ook naar keuze. Ik maak mij daar eindeloos veel meer zorgen over dan een forum hackie.
Anatal
www.anatal.io
Dat bestaat op basis van quantum tunneling. China heeft recent een satelliet gelanceerd tbv hiervan, ook in Zwitserland is er een quantum netwerk schijnt. Er is trouwens geen enkele reden waarom "normaal" internet niet veilig zou kunnen zijn. Bij de oprichting en initieel protocol ontwerp was veiligheid een non issue, het doel was stabiliteit en decentralisatie. Een nieuw ontwerp ligt al klaar maar het kan pas actief zijn als alle neuzen dezelfde kant op staan, denk dat daar meer de problematiek zit
MeneerJansen
Ouwe rot
Ik kan mij beide argumenten genoemd in dit topic goed voorstellen:
- Het is vrijwilligerswerk. Cru gezegd: je krijgt een onveilig forum of niets. En: niets is veilig op het internet. Grote bedrijven (het bedrijf achter Linux Mint bijv.) worden ook wel eens gehackt.
- Onveilige of achterhaalde software gebruiken (al is het ge-update) is niet zo goed.
Overigens staan die wachtwoorden versleuteld opgeslagen (zoals Dr. Van Lansberg, moderator, aangaf) dus zijn ze niet direct te achterhalen: ze moeten gekraakt worden. Dat schijnt niet moeilijk te zijn, maar het vergt wel wat moeite. Zie bijv. dit filmpje van Computerphile (University of Nottingham) op Youtube. Heel, heeeeeeel vroeger wilde men ze nog wel eens in een text bestandje opslaan, maar die tijd is gelukkig voorbij.
P.S. Er zijn ook mensen die zeggen dat het niet zo'n ramp is om een nieuw wachtwoord te verzinnen. Ik moet nu 189 wachtwoorden veranderen. Yep: zo veel accounts verzamelt een mens in de loop der jaren: forums, webshops, iedere keer als je van (Zorg)verzekeraar verandert, etc., etc. Het is onontkoombaar dat je voor, bijv. forums, (vrijwel) hetzelfde wachtwoord gebruikt. Ik hoop bij een hack altijd dat dit soort gegevens niet door een hacker persoonlijk doorgespit worden maar dat een computer probeert spam te versturen en met mijn e-mail/password probeert in te loggen op Facebook ofzo. Het e-mail adres dat ik gebruik voor fora is niet mijn "echte" mail adres dat ik gebruik voor bankzaken etc. Zelfde geldt voor dat wachtwoord: voor belangrijke zaken gebruik ik unieke wachtwoorden die niet te raden zijn als je 1 van mijn wachtwoorden in handen hebt.
P.S.2 Misschien een goed idee om mensen ervan op de hoogte te stellen dat ze, in geval van koop/verkoop via de privé berichten van dit Forum, geen persoonlijke info moeten delen (zoals adressen, telefoonnummers, echte namen, IBAN, etc.). Ik zou mensen aanraden om het eerste contact via PM te laten lopen en de deal te sluiten via je eigen e-mail. Je eigen e-mail is je nl. eigen verantwoordelijkheid.
Dr van Lansberg
Gepokt en gemazeld
|
Bericht door een moderator:
|
|
|
MeneerJansen
Ouwe rot
Voor wat het waard is: ik vind dat jullie in technische zin goed gehandeld hebben. En, zo te zien, nog snel ook. Mijn puntje van kritiek betrof de initiële terughoudendheid om alle leden per e-mail te informeren over de hack.
P.S. Ik heb nu de wijze les geleerd om niet snel persoonlijke info uit te wisselen via prive mail (PM) v/e forum als ik spullen wil (ver)kopen. Niet Synthforums schuld hoor!
P.S. Ik heb nu de wijze les geleerd om niet snel persoonlijke info uit te wisselen via prive mail (PM) v/e forum als ik spullen wil (ver)kopen. Niet Synthforums schuld hoor!
Zoals gewoonlijk zijn de kritische geluiden het sterkst en laten tevreden mensen niet zo veel van zich horen. Dus bij deze; Bedankt voor de snelle reactie en de bereidheid om hier weer een hoop vrije tijd in te steken. Jammer dat vBulletin hier steken heeft laten vallen en jullie hier op worden afgerekend.
Bij een hack worden dit soort gegevens vaak specifiek opgezocht en gebruikt om te proberen op andere sites in te loggen (https://en.wikipedia.org/wiki/Credential_stuffing) Gelukkig is het niet onontkoombaar om wachtwoorden te hergebruiken als je een password manager gebruikt. 1Password en Lastpass zijn goede diensten hiervoor. Als je de online opslag van je wachtwoorden niet vertrouwt is Keepass2 een goed maar iets minder gebruiksvriendelijk alternatief.
MeneerJansen
Ouwe rot
[wellicht off topic] Bedankt voor die tips!
Ik heb zo'n beetje al mijn passwords in Google/Chrome/Gmail staan (weet ik veel hoe dat werkt...). Iedere keer als ik cookies weiger moet ik al mijn passwords opnieuw intypen (grrrrr!). Dat KeepPass lijkt me wel (draait lokaal op je PC). Ware het niet dat je zwaar De Sjaak bent als die applicatie niet meer werkt of als je PC crashed. Ik heb nl. geen idee waar KeepPass die wachtwoorden opslaat en of dat versleuteld is. En hoe ik ze weer kan lezen zonder Keepass (ik gebruik Linux). Op het moment staan al mijn passwords ergens op de harde schijf van mijn computer en worden ze ge-back-upped als ik mijn harde schijf backup. Probleem blijft met al dit soort tools dat je je wachtwoord moet opzoeken, d.m.v. copy/paste dat wachtwoord invult etc. etc. Wordt je knettergek van als je 2 mail accounts hebt en fiks wat forums per dag bezoekt. Tja, het vlees is zwak. Dan maar makkelijk te onthouden passwords. Ik plak de naam v/d website voor een wat makkelijker te onthouden password. Dan is het password van iedere website weer anders (en weet je wie je wachtwoord heeft gelekt als het op een lijst staat). Als een mens dat password bekijkt kan hij mijn wachtwoord van een andere site wel raden. Echter, als een computer lukraak dat password in Gmail of Facebook probeert in te vullen dan vangt 'ie bot.
Beste vind ik wat je op je telefoon hebt tegenwoordig: vingerafdruk. Mocht je linker wijsvinger eraf zijn (ongeluk) dan kun je je rechter ook nog gebruiken (mijn telefoon accepteert er 2). Ik vind wachtwoorden iets uit de middeleeuwen en uit stripverhalen van Kuifje. Men moet eens iets anders verzinnen.
Dat bepaal je zelf. KeePass slaat wachtwoorden in een bestand op dat jij aanwijst. Dat bestand is versleuteld met een wachtwoord dat je ook iedere keer moet intypen bij het opstarten.
Dat bestand kan je backuppen (erg verstandig om te doen) en kan naar andere machines kopieren. KeePass2 is open source en er zijn meerdere forks zoals KeePassXC. Er zijn ook varianten voor bijvoorbeeld Android, Ik weet niet of het ook op fruit-telefoons draait.
Een vingerafdruk is niets anders dan een wachtwoord dat je maximaal 10 keer kan veranderen en waar je een kopie van achterlaat op alles dat je aanraakt. :-)
Maar dit dreigt een beetje off-topic te worden.
Ik ben inmiddels verhuisd en zit bij een andere bank, veilig genoeg ?
Je kan het bestand ook bijvoorbeeld op onedrive opslaan. Heb je er altijd toegang toe waar je ook bent. Zo doe ik het. Kan op al mijn pc's erbij. Ook via mijn telefoon. Er is dan ook maar één versie die altijd meteen bijgewerkt is.
Lastpass heeft mij teveel steken laten vallen en is geloof ik ook al eens gehackt.
redraceriot
Stamgast
Ik wil mijn 'negatieve' reactie nog eens verduidelijken: vBulletin en 'hacks' zijn twee handen op één buik. Ik suggereer niet dat vB hier van profiteert, maar eerder dat ze al ontelbare keren veiligheidslekken gehad hebben, en dat niks er op wijst dat dit niet nog eens honderd keer gebeurd. Ze zijn lek, en je handen omhoog gooien en zeggen 'niks aan te doen!' als er betere alternatieven zijn is zwak.
Blijkt dat er een afweging gemaakt is er en wel echt nagedacht is over discourse etc., Maar mij lijkt dit het moment bij uitstek om de conclusie van toen nog eens te herzien.
Volledig veilig kan niet, veiligér wel.
skrie
Ingeburgerd
Ik heb Synthforum al eerder de schuld gegeven dat ik
mijn eigen wachtwoord teruggemaild kreeg met een bedreiging.
(iets in de trend van...dit is je wachtwoord...we hebben naaktfoto's van je... )
Dat was mijn Synthforum password...en dat is al jaren geleden.
Jullie slaan nu éénmaal als één van de laatste in de wereld het
password op als platte text. Dat is geen hacken...dat is gewoon lezen.
Al sinds tijden heeft Synthforum mijn meest beroerde wachtwoord wat ik nergens anders
gebruik zodat het niet misbruikt kan worden (behalve dan op Synthforum).
Dat wachtwoord ga ik nooit meer wijzigen..... want daarvoor zijn wachtwoorden te belangrijk.
Als jullie een forum willen draaien zo lek als een mandje... be my guest.
Maar val ons niet lastig met berichten over "hacken"
mijn eigen wachtwoord teruggemaild kreeg met een bedreiging.
(iets in de trend van...dit is je wachtwoord...we hebben naaktfoto's van je... )
Dat was mijn Synthforum password...en dat is al jaren geleden.
Jullie slaan nu éénmaal als één van de laatste in de wereld het
password op als platte text. Dat is geen hacken...dat is gewoon lezen.
Al sinds tijden heeft Synthforum mijn meest beroerde wachtwoord wat ik nergens anders
gebruik zodat het niet misbruikt kan worden (behalve dan op Synthforum).
Dat wachtwoord ga ik nooit meer wijzigen..... want daarvoor zijn wachtwoorden te belangrijk.
Als jullie een forum willen draaien zo lek als een mandje... be my guest.
Maar val ons niet lastig met berichten over "hacken"
Acidfever
There's no "I" in denial.
- Lid sinds
- 12 Maart 2004
- Berichten
- 9.055
Zoals je eerder in dit topic hebt kunnen lezen slaat de forumsoftware de hash van een wachtwoord op en niet het wachtwoord zelf (en dus ook geen wachtwoorden in platte tekst).
Een mogelijk (maar niet heel waarschijnlijk) scenario is dat iemand op basis van deze hash mogelijke wachtwoorden is gaan berekenen. Een dergelijk persoon kan echter pas zeker weten welk wachtwoord de juiste is door ze te testen en dat duurt lang en wordt tegengewerkt door het maximaal aantal login pogingen (5) vanaf hetzelfde IP adres. Daarbij is het aantal mogelijke uitkomsten dus 2 tot de macht 128 (voor de upgrade een paar jaar geleden) en tegenwoordig 2 tot de macht 256 bit. Dat zijn dus 3402823669209384634674607431768211456 en 115792089237316195423570985008687907853269984665640564039457584007913129639936 mogelijkheden.
De kans dat iemand dit daadwerkelijk is gaan uitwerken is om te beginnen al nihil maar zelfs dan is de enige manier dat een wachtwoord daadwerkelijk bevestigd kan worden wanneer het wachtwoord extreem simpel of extreem voor de hand liggend is. Dit soort aantallen wachtwoord combinaties tegen de forumsoftware testen zal namelijk jaren duren met maximaal 5 pogingen per IP.
Of je je wachtwoord wel of niet aanpast gaat niemand dicteren, het is een advies. De kans dat dit bewuste wachtwoord bij synthforum.nl vandaan komt is niet onmogelijk (128bit hash is aanzienlijk makkelijker te berekenen) maar gezien de hoeveelheid benodigde moeite (en het feit dat er niets te halen is) zeer klein....
Laatst gewijzigd:
michelkrens
Nieuwkomer
- Lid sinds
- 14 januari 2013
- Berichten
- 1
Zag dit nu pas maar alsnog hartelijk dank voor de duidelijke info en acties!
