Politie adviseert internetters om wachtwoorden te controleren
Naar aanleiding van het nieuws over een verzameling van 773 miljoen wachtwoorden en 21 miljoen wachtwoorden die op internet circuleert krijgen internetters van de politie het advies om hun wachtwoorden te controleren. De verzameling van gestolen inloggegevens, afkomstig van zo'n 2500 gehackte websites, wordt voor een bedrag van 45 dollar op internet aangeboden.
"De politie adviseert mensen die actief zijn op internet om regelmatig te controleren of hun gegeven zijn gehackt en of uw gegevens in deze database voorkomen. Dat kan via de website haveibeenpwned.com", aldus het advies van de politie. Have I Been Pwned is een zoekmachine waarmee gebruikers in zo'n 6,5 miljard gestolen records kunnen zoeken of hun data ooit bij een website is gestolen.
Daarnaast wordt internetgebruikers aangeraden om voor elke website een ander sterk wachtwoord te gebruiken en daar waar mogelijk tweefactorauthenticatie te gebruiken. De politie stelt verder dat het een onderzoek naar de database instelt om te kijken op welke wijze die kan bijdragen bij het oplossen van digitale misdrijven.
Reacties (24)
Belangrijk detail: op haveibeenpwned kun je niet je *wachtwoord* controleren, alleen of je *email* in een breach voorkomt. Als je dingen over je wachtwoord wilt weten dan moet je dat bij andere diensten checken, zoals https://gotcha.pw/ of https://scatteredsecrets.com/.
Je moet niet controleren òf je wachtwoord is uitgelekt, je moet er vanuit gaan dàt je wachtwoord is uitgelekt. Niet alles wat is uitgelekt staat op haveibeenpwned.com.
Is haveibeenpwned.com wel zo veilig? Moet eerst een Captcha oplossen voordat ik toegang krijg, dan heb je het qua privacy sowieso niet begrepen.
Aan Cloudflare? Wachtwoord én email-adres? No way.
Cloudflare is een MiTM by desgin. Echter met dergelijke instelling kun je alle https-sites ook niet vertrouwen, want er zijn genoeg voorbeelden van CA's die b.v. rogue wilcards uitgegeven hebben :) Wantrouwens is echter prima. Om ellende te voorkomen is het ALTIJD handig om voor dergelijke diensten een uniek account / wachtwoord te gebruiken. Zodat impact minimaal is als slechte jongens toeslaan.Door Anoniem: Je moet niet controleren òf je wachtwoord is uitgelekt, je moet er vanuit gaan dàt je wachtwoord is uitgelekt. Niet alles wat is uitgelekt staat op haveibeenpwned.com.
Kan ook andersom: niet alles wat op haveibeenpwned.com staat is een probleem. Bij mij gaat haveibeenpwned.com vaak af op SPAM-lijsten waar ik opsta (2 dumps uit hun top 5 zijn SPAM-lijsten, waar dus geen wachtwoorden in voorkomen). Vind ik niet zo spannend.
Er vanuit gaan dat wachtwoord is uitgelekt is natuurlijk beter. Password manager gebruiken met unieke lange wachwoorden en no problemo met al die gehackte wachtwoorden!
Leuk en aardig maar waarom geen database met de naam van websites die gehackt zijn, dan weet ik tenminste of
ik wel of geen account heb bij een gehackte website.
ik wel of geen account heb bij een gehackte website.
Door Anoniem: Leuk en aardig maar waarom geen database met de naam van websites die gehackt zijn, dan weet ik tenminste of
ik wel of geen account heb bij een gehackte website.
ik wel of geen account heb bij een gehackte website.
https://vigilante.pw/
Door Anoniem: Leuk en aardig maar waarom geen database met de naam van websites die gehackt zijn, dan weet ik tenminste of
ik wel of geen account heb bij een gehackte website.
ik wel of geen account heb bij een gehackte website.
Door Anoniem: Leuk en aardig maar waarom geen database met de naam van websites die gehackt zijn, dan weet ik tenminste of
ik wel of geen account heb bij een gehackte website.
Omdat de bron van de gehackte database niet altijd direct bekend is. De inhoud is wel direct duidelijk.ik wel of geen account heb bij een gehackte website.
Cool. Even de belangrijkste email adressen ingevoerd en allemaal groen licht. Veilig.
Het is extra leuk omdat ik al heel lang administratief flink chaotisch ben. Sterker nog, mijn asbak puilt altijd uit. De open of nog gesloten enveloppen liggen meestal in stapels op mijn bureau. Zeg maar altijd een berg puin. Als ik zelf wat nodig heb dan weet ik het altijd wel te vinden. Altijd op het laatste moment, maar ik weet waar ik zoeken moet. Nog erger, op die manier heb ik ooit, lang geleden echt administratieve verantwoordelijkheid gehad over heel veel geld. Er was nooit een cent weg, alles ging op tijd, maar mijn bureau? Een puinhoop. Ik meld beter niet over hoeveel geld (een paar nullen meer dan zes!) het ging, want het was nog gemeenschapsgeld ook. Maar je was echt gillend weggelopen. Je had er foto's van gepost op security.nl.
Rommel en ruis. Nog steeds beter dan een kluis.
Old school blockchain++
Het is extra leuk omdat ik al heel lang administratief flink chaotisch ben. Sterker nog, mijn asbak puilt altijd uit. De open of nog gesloten enveloppen liggen meestal in stapels op mijn bureau. Zeg maar altijd een berg puin. Als ik zelf wat nodig heb dan weet ik het altijd wel te vinden. Altijd op het laatste moment, maar ik weet waar ik zoeken moet. Nog erger, op die manier heb ik ooit, lang geleden echt administratieve verantwoordelijkheid gehad over heel veel geld. Er was nooit een cent weg, alles ging op tijd, maar mijn bureau? Een puinhoop. Ik meld beter niet over hoeveel geld (een paar nullen meer dan zes!) het ging, want het was nog gemeenschapsgeld ook. Maar je was echt gillend weggelopen. Je had er foto's van gepost op security.nl.
Rommel en ruis. Nog steeds beter dan een kluis.
Old school blockchain++
Door Anoniem: Is haveibeenpwned.com wel zo veilig? Moet eerst een Captcha oplossen voordat ik toegang krijg, dan heb je het qua privacy sowieso niet begrepen.
Geen captcha te zien, ook niet met een chrome incognito venster. Zowel thuis (Linux, Android) als op werk (Windows 10 Enterprise met Firefox ingesteld om niets te onthouden). En nog overal Privacy Badger en uBlockOrigin geïnstalleerd.
Door Anoniem: Belangrijk detail: op haveibeenpwned kun je niet je *wachtwoord* controleren, alleen of je *email* in een breach voorkomt. Als je dingen over je wachtwoord wilt weten dan moet je dat bij andere diensten checken, zoals https://gotcha.pw/ of https://scatteredsecrets.com/.
De eerste link werkt niet, bij de tweede krijg ik de melding dat er niets aan de hand is terwijl haveibeenpwnd wel aangeeft dat mijn vroegere LinkedIn account gegevens op straat lagen.
Ik heb via de pastebin via zoekfunctie gecontroleerd of ook websites die door mij zijn gebruikt gecompromitteerd waren. En bij 1 website was dat het geval. Vandaag het (oude unieke) wachtwoord veranderd. De rest bleek in orde.
De eerste link werkt niet, bij de tweede krijg ik de melding dat er niets aan de hand is terwijl haveibeenpwnd wel aangeeft dat mijn vroegere LinkedIn account gegevens op straat lagen.
Dat heb ik ook. Heb de LinkedIn-torrent gedownload, met de complete onbewerkte set van gelekte data. Als ik daarin zoek dan vind ik m'n email:
nummer:mijn@email.adres
In een ander bestand worden nummers aan hashes gekoppeld. Er is echter geen hash voor mijn account. Dat is voor heel veel accounts zo zag ik toen ik een count deed van nummer:email en nummer:hash entries. Geen idee waarom maar er staat dus geen hash in die dus ook niet gekraakt kan worden. Wellicht leuk om voor jouw account te checken.
Het begon zo leuk het begin van het internet,dial-up modem,je eerste pc,we waren blij als kinderen,1996
Nu 2019
Panopticum - Gecontroleerde samenlevingen via alle slimme devices en het internet en 5G wereldwijd.
Overheid-bedrijfsleven
Nsa en alle geheime diensten
Criminele hackers
Lekken in bugs en software
Je mag het straks zelf oplossen als jou,
gegevens gehackt zijn en overal staat opgeslagen,omdat het nu eenmaal moet
op servers en cloud- web winkel diensten die niet goed geconfigureerd of beveiligd zijn.
Nu 2019
Panopticum - Gecontroleerde samenlevingen via alle slimme devices en het internet en 5G wereldwijd.
Overheid-bedrijfsleven
Nsa en alle geheime diensten
Criminele hackers
Lekken in bugs en software
Je mag het straks zelf oplossen als jou,
gegevens gehackt zijn en overal staat opgeslagen,omdat het nu eenmaal moet
op servers en cloud- web winkel diensten die niet goed geconfigureerd of beveiligd zijn.
Door Anoniem: Belangrijk detail: op haveibeenpwned kun je niet je *wachtwoord* controleren, alleen of je *email* in een breach voorkomt. Als je dingen over je wachtwoord wilt weten dan moet je dat bij andere diensten checken, zoals https://gotcha.pw/ of https://scatteredsecrets.com/.
wut?
https://haveibeenpwned.com/Passwords
Quote van https://tweakers.net/nieuws/148056/verzameling-met-773-miljoen-e-mailadressen-stond-openbaar-online.html
"Het lijkt in alle gevallen te gaan om hacks van minstens drie jaar oud, waardoor het bij de wachtwoorden veelal gaat om oude wachtwoorden."
"Het lijkt in alle gevallen te gaan om hacks van minstens drie jaar oud, waardoor het bij de wachtwoorden veelal gaat om oude wachtwoorden."
Door Anoniem: Quote van https://tweakers.net/nieuws/148056/verzameling-met-773-miljoen-e-mailadressen-stond-openbaar-online.html
"Het lijkt in alle gevallen te gaan om hacks van minstens drie jaar oud, waardoor het bij de wachtwoorden veelal gaat om oude wachtwoorden."
Dat is nu juist het probleem: mensen veranderen hun wachtwoorden nauwelijks en hergebruiken ze zelfs."Het lijkt in alle gevallen te gaan om hacks van minstens drie jaar oud, waardoor het bij de wachtwoorden veelal gaat om oude wachtwoorden."
Dus deze lijst is wel degelijk relevant.
Nee dat is slim. Je wachtwoord opgeven om te kijken of die gebruikt wordt. lol
btw Linked in had dit allang zelf gedetecteerd en had iedereen al verplicht gesteld om zijn ww te resetten.
773 miljoen?
Dat is nog niet eens alle mogelijke combinaties van 5 karakters (hoofdletters, kleine letters, cijfers en leestekens)
Sterk wachtwoord kiezen dat lekker lang is, dan is de kans het kleinst dat het in die database staat en is het eigenlijk niet eens de moeite waard om te gaan kijken. Er zijn zoveel onzekerheden in het leven, dan kan dit er ook nog wel bij.
En als iets echt belangrijk is wordt er wel een andere methode gebruikt om in te loggen.
Dat is nog niet eens alle mogelijke combinaties van 5 karakters (hoofdletters, kleine letters, cijfers en leestekens)
Sterk wachtwoord kiezen dat lekker lang is, dan is de kans het kleinst dat het in die database staat en is het eigenlijk niet eens de moeite waard om te gaan kijken. Er zijn zoveel onzekerheden in het leven, dan kan dit er ook nog wel bij.
En als iets echt belangrijk is wordt er wel een andere methode gebruikt om in te loggen.
Door Anoniem: Is haveibeenpwned.com wel zo veilig? Moet eerst een Captcha oplossen voordat ik toegang krijg, dan heb je het qua privacy sowieso niet begrepen.
Captcha ansich lijkt me geen probleem voor de privacy, het gebruiken van de Captcha van een groot datagraaiend bedrijf is wel een probleem voor de privacy.Door Anoniem: Belangrijk detail: op haveibeenpwned kun je niet je *wachtwoord* controleren, alleen of je *email* in een breach voorkomt. Als je dingen over je wachtwoord wilt weten dan moet je dat bij andere diensten checken, zoals https://gotcha.pw/ of https://scatteredsecrets.com/.
Nee hoor, ook je wachtwoord kun je daar controleren: https://haveibeenpwned.com/Passwords. De wachtwoorden zijn gehashed opgeslagen en worden niet als ruwe data door de website zelf gelezen.
Door NedFox:
wut?
https://haveibeenpwned.com/Passwords
Door Anoniem: Belangrijk detail: op haveibeenpwned kun je niet je *wachtwoord* controleren, alleen of je *email* in een breach voorkomt. Als je dingen over je wachtwoord wilt weten dan moet je dat bij andere diensten checken, zoals https://gotcha.pw/ of https://scatteredsecrets.com/.
wut?
https://haveibeenpwned.com/Passwords
Hier kun je inderdaad je wachtwoord checken maar dit is niet te relateren aan een email adres. Het zou dan ook mogelijk zijn dat iemand anders hetzelfde wachtwoord heeft als jij, terwijl die van jou niet gelekt is. Wel zou dat betekenen dat je een pruts wachtwoord hebt :p
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security Officer
36 - 40 uur
Als Security Officer zorg je dat het infrastructuur platform, de -broncode en de VECOZO werkplek van VECOZO zo min mogelijk kwetsbaarheden kennen. Dit doe je door kwetsbaarheden inzichtelijk te maken en op te lossen. Zo speel jij een cruciale rol in de beveiliging van al onze gegevens en bedrijfsmiddelen.
Certified Secure LIVE Online
Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!
Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!
Neem contact met ons op voor de mogelijkheden voor jouw team.