Ook IT professionals slordig met wachtwoorden
Het is algemeen bekend dat werknemers hun wachtwoord voor een chocoladereep ruilen, maar ook mensen die zich bij Mozilla, IBM, banken en universiteiten met IT-beveiliging bezighouden geven zonder problemen hun wachtwoorden weg. Wachtwoorden die ze ook voor andere accounts gebruiken, zo blijkt uit onderzoek van de Nederlandse beveiligingsonderzoeker Ronald van den Heetkamp. Van den Heetkamp is de man achter het Hacker Webzine.
Op de pagina kondigde hij aan dat de site "ondergronds" zou gaan en elke dag een 0day lek zou publiceren. Het eerste lek betrof een PHP kwetsbaarheid die in miljoenen websites aanwezig zou zijn. Om toegang tot het "vernieuwde" webzine en de 0days te krijgen moesten mensen zich registreren, en dat werd dan ook massaal gedaan.
"Onder de 400 inschrijvingen waren onder meer Mozilla, Amerikaanse overheid, banken, hackers, .mil domeinen, security mensen en studenten", zo laat de hacker tegenover Security.NL weten. Hij schat dat zo'n 30% van de wachtwoorden ook voor andere accounts gebruikt worden. Verder bleek 30% binnen enkele seconden of minuten te kraken was. Het ging onder andere om wachtwoorden zoals "lanwan345", "jenny1978" en "mobileh4cks".
"Uit eigen ervaring weet ik dat het "verzinnen" van passes lastig is, vaak maakt men dan de keuze om toch gewoon een password te gebruiken wat men vaker gebruikt." Toch waren er ook mensen die bewust voor de registratie een wachtwoord hadden gekozen. Van den Heetkamp heeft inmiddels alle mensen gewaarschuwd. "Ik heb zelf al mail gehad waarin mensen aangaven dat ze nu hun email/router password gaan veranderen, dus het heeft blijkbaar toch wat stof opgeblazen."
ander wachtwoord te gebruiken dan voor belangrijkere zaken.
maar om voor elk forum iets anders te kiezen is nogal veel
gevraagd en me net te onhandig.
NIET via een website). Deze zal adhv een ingevoerde salt met
MD5 een bepaalde string genereren, hierop voer op een paar
replaces uit.
$salt = 'woei';
$site = 'security.nl';
$pass = md5($salt.$site);
$pass = str_replac(array('b','4','2'),array('*','$','-'),$pass);
echo $pass;
Even als "simpele" versie van wat mijn code doet. Zo kan ik
dmv 1 master password (wat ik nergens gebruik verder) mijn
wachtwoorden genereren. Verder heb ik op mijn server/client
het zelfde wachtwoord welke ik uit mijn hoofd weet. Dus ik
hoef maar 2 passwords uit mijn hoofd te kennen, en toch
veilig gebruik, iedere site een apart wachtwoord. Geen "te
raden" methode hoe het wachtwoord opgebouwd is.
Omslachtig, ja. Maar liever op deze manier dan op een manier
die ik niet zelf gemaakt/bedacht heb.
Verder is het script (en php binary's) encrypted opgeslagen
in een hidden volume binnen TrueCrypt.
Ik gebruik 3 wachtwoorden, 1 voor me server en diezelfde
sinds kort ook voor msn, omdat die voor mij nu toch wel een
belangrijk communicatie middel voor mij is geworden
voor websites waar ik geen eigenaar van bij 1 ander wachwoord
en dan nog 1 ander wachtwoord die ik uit kan lenen, hele
onbelangrijke dingen komen daar op of zoals ik al zeg
wanneer iemand anders dat wachtwoord ook nodig heeft
Ik zeg altijd maar zo veiligheid voor alles niet?
Ik gebruik 3 wachtwoorden, 1 voor me server en diezelfde
sinds kort ook voor msn
msn-wachtwoorden (in ieder geval in oudere versies van msn)
onversleuteld worden verstuurd, dus vooral in openbare
netwerken heel eenvoudig af te tappen zijn.
Ik gebruik 3 wachtwoorden, 1 voor me server en diezelfde
sinds kort ook voor msn, omdat die voor mij nu toch wel een
belangrijk communicatie middel voor mij is geworden
voor websites waar ik geen eigenaar van bij 1 ander wachwoord
en dan nog 1 ander wachtwoord die ik uit kan lenen, hele
onbelangrijke dingen komen daar op of zoals ik al zeg
wanneer iemand anders dat wachtwoord ook nodig heeft
Ik zeg altijd maar zo veiligheid voor alles niet?
niet zo aan zeg.
chocoladereep ruilen"
Het is ook algemeen bekend dat sommige researchers zo naief zijn te
denken dat wanneer ze iemand vragen om een wachtwoord te geven in
ruil voor een reep chocola, zij ook daadwerkelijk het echte wachtwoord
krijgen. Natuurlijk zullen sommigen zo dom zijn, genoeg anderen zullen
echter gewoon ter plekke een 'wachtwoord' bedenken in ruil voor de
gratis reep chocola. Wat dat betreft kan je toch wel vraagtekens stellen
bij de uitkomst van dergelijke onderzoeken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.