Poll
image

Heb jij je wachtwoorden veranderd naar aanleiding van de Heartbleed bug?

maandag 14 april 2014, 10:39 door Redactie, 14 reacties
Ja
25.43%
Nee
63.4%
Heartbleed bug?
11.16%
Reacties (14)
14-04-2014, 11:22 door [Account Verwijderd]
[Verwijderd]
14-04-2014, 11:24 door Rstandard
Lastpass kan controleren voor welke websites wachtwoorden moeten worden veranderd.
Geen enkele in mijn geval
14-04-2014, 14:05 door Anoniem
Gaat je niks aan!

(niet gestemd)
14-04-2014, 14:37 door Briolet
Wel een nieuw certificaat aangemaakt voor mijn eigen nas nadat OpenSSL geupdate is.
14-04-2014, 14:43 door Fwiffo
Ik heb eigenlijk nog geen enkel wachtwoord veranderd sinds de patch voor heartbleed uitkwam. Dit zal ik toelichten.
Eerst had ik niet door hoe ernstig het lek was omdat ik dacht dat het alleen om server sleutels ging. Dus niet mijn probleem om op te lossen. Daarna bleken er ook wachtwoorden en usernamen gelekt te zijn. Vanaf dat moment ben ik nergens meer ingelogd!

Nader kijken leverde op dat ik alleen na de publieke bekendwording op de webmail van xs4all was ingelogd. Maar xs4all beweert ondertussen dat hun servers niet getroffen zijn (voor zover die met inloggegevens van de klant werken). Ik heb al bijna een week mijn e-mail niet gelezen ;-) Zelfs het icoontje van thunderbird voor de veiligheid maar van mijn taakbalk gehaald. Deze week wil ik weer eens voorzichtig en weloverwogen gaan kijken of ik belangrijke mailtjes gemist heb. (En ben ik extra voorzichtig met password reset mailtjes met links erin).

Nu had ik mijn wachtwoord op security.nl kunnen veranderen, maar zoals aan mijn posting history is te zien ben ik niet in de publiek lekke periode online geweest hier. Waar ik mij wel nog grote zorgen over maak is Steam van Valve. Ik heb gelezen dat ze lek zijn (waren), maar heb daar nog niets officieel van terug kunnen lezen. Tot dat moment heeft het ook geen zin mijn wachtwoord te gaan veranderen (dan verspreid je je inloggegevens alleen maar verder). Iemand op het forum suggereerde Steam Guard aan te zetten zodat een aanvaller niets heeft aan alleen een wachtwoord (Bah! Al een week niet gegamed!).

Verder mogen de NSA en de AIVD/MIVD al mijn sleutels weten. Daar valt toch niet tegenop te beveiligen (en dit is een interessante site voor ze, geef toe, die ook bovengemiddeld beveiligd is natuurlijk). De rest heb ik denk ik wel afgevangen door direct te stoppen met ergens in te loggen. Zou mooi zijn als alles straks weer 'normaal' is.

XS4All hou ik ook nog in de gaten want met de Fritz!Box werd het lek ook steeds maar erger met de tijd (eerst alleen remote access van buitenaf toegankelijk, later... etc.).
15-04-2014, 05:11 door Anoniem
Het ergste is dat er staat "je wachtwoord". Zouden we niet tientallen zoniet honderden wachtwoorden moeten hebben? Als het er één was had ik mijn wachtwoord inderdaad wel veranderd ja.
15-04-2014, 10:59 door Anoniem
Hoe effectief is dat veranderen van wachtwoorden dan?
15-04-2014, 20:13 door [Account Verwijderd] - Bijgewerkt: 15-04-2014, 20:15
[Verwijderd]
15-04-2014, 20:28 door Anoniem
Door Peter V.:

Nu had ik mijn wachtwoord op security.nl kunnen veranderen, maar zoals aan mijn posting history is te zien ben ik niet in de publiek lekke periode online geweest hier.
De webserver waar deze site is gehost, heeft een van de hoogste noteringen voor de beveiliging en ondersteunt zelfs Strict Transport Security with long duration en is niet kwetsbaar voor de Heartbleed bug. Ook de site van xs4all is daarvoor niet kwetsbaar. Dus waar maak jij je nu zorgen over? (Heb deze tests overigens zelf uitgevoerd)

Dus waar maak jij je nu zorgen over?

Omdat niet iedereen 'slim'/'handig' genoeg is deze tests uit te voeren?
Wellicht niet helemaal vertrouwt op het eigen security oordeel?

Wat is er mis om dat even te laten weten middels een redactioneel commentaar, op een plek, voor een weekje of maandje, goed zichtbaar op de site?
Een nieuwsbrief/mail kan natuurlijk ook.
Service heet dat.

Goed voor geruste en tevreden klanten, dus goed voor je imago.
Kleine moeite, groot plezier.
15-04-2014, 20:48 door Fwiffo
@Peter V. 20:13-20:15: Zie de update in https://www.security.nl/posting/383853/Ernstig+lek+gevonden+in+OpenSSL voor het (tijdelijk) kwetsbaar zijn van security.nl.

Verder haal ik mijn mail op met pop3 via het SSL protocol en stuur ik mail ook via smtp via SSL. Dat is normaal een voordeel voor je beveiliging, maar met Heartbleed een nadeel. Ze zullen er wel aan gedacht hebben bij XS4All omdat de admins natuurlijk ook SSL gebruiken, maar ik wacht nog een paar dagen voor de zekerheid. Zoveel mail krijg ik ook weer niet en mensen die me kennen kunnen me altijd bellen :-)
15-04-2014, 21:00 door Anoniem
Door Fwiffo: @Peter V. 20:13-20:15: Zie de update in https://www.security.nl/posting/383853/Ernstig+lek+gevonden+in+OpenSSL voor het (tijdelijk) kwetsbaar zijn van security.nl.

dinsdag 8 april 2014, 10:16 door Redactie
Laatst bijgewerkt: 10-04-2014, 22:18

Tja, ruim twee dagen later een stukje-update, ik ben vast niet de enige die dat na het lezen van het artikel niet meer is opgevallen.

Was dat gezien de aard en belangrijkheid van de mededeling niet belangrijk genoeg om daar een apart nieuwsbericht van te maken en dat een tijdje met een blauwe kop rechts in beeld op de voorpagina te houden?
16-04-2014, 09:15 door Anoniem
Door Peter V.:
Nader kijken leverde op dat ik alleen na de publieke bekendwording op de webmail van xs4all was ingelogd. Maar xs4all beweert ondertussen dat hun servers niet getroffen zijn (voor zover die met inloggegevens van de klant werken). Ik heb al bijna een week mijn e-mail niet gelezen ;-) Zelfs het icoontje van thunderbird voor de veiligheid maar van mijn taakbalk gehaald. Deze week wil ik weer eens voorzichtig en weloverwogen gaan kijken of ik belangrijke mailtjes gemist heb. (En ben ik extra voorzichtig met password reset mailtjes met links erin).

Nu had ik mijn wachtwoord op security.nl kunnen veranderen, maar zoals aan mijn posting history is te zien ben ik niet in de publiek lekke periode online geweest hier.
De webserver waar deze site is gehost, heeft een van de hoogste noteringen voor de beveiliging en ondersteunt zelfs Strict Transport Security with long duration en is niet kwetsbaar voor de Heartbleed bug. Ook de site van xs4all is daarvoor niet kwetsbaar. Dus waar maak jij je nu zorgen over? (Heb deze tests overigens zelf uitgevoerd)
Ja, waar maak jij je nou IN GODSNAAM ZORGEN OVER, HE?! HE?! HE?! HE?!

Zucht, kunnen de (vooral de geregistreerde, helaas) gebruikers op deze site ophouden met zo gigantisch elitair te zijn tegen iedereen die één brokje kennis missen die jij wel hebt. Het is echt om van in elkaar te krimpen.
16-04-2014, 11:31 door Anoniem
Door Anoniem: Hoe effectief is dat veranderen van wachtwoorden dan?

Voor veranderen: Iedereen kan je wachtwoord weten als je de dienst de laatste 2 jaar hebt gebruikt.
Na veranderen: Minder mensen kunnen je wachtwoord weten.
17-04-2014, 11:39 door Anoniem
Ik zal van het weekend al mijn wachtwoorden wel even aanpassen. Ze zijn sowieso wel toe aan een vernieuwing. Ik heb een handvol standaard wachtwoorden. Maar de wachtwoorden van het laagste beveiligingsniveau heb ik al veelte vaak hergebruikt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.