LinkedIn wachtwoorden op straat

[Sabra]

Ik weet niet of er al een topic over loopt, maar dit kreeg ik net via Twitter binnen: LinkedIn wachtwoorden op straat.

[Roel J]

wat een ingewikkeld gedoe met tooltjes om erachter te komen of je wachtwoord op de lijst staat, je kunt toch gewoon je wachtwoord aanpassen? of mis ik nu iets?

[Jazzy]

Je mist niets hoor, in principe is dat alles wat je moet doen. Maar via de site die Wouter33 gaf kun je heel eenvoudig controleren of je wachtwoord op de lijst staat en of het al gekraakt is. Dat is natuurlijk wel interessant om te weten, want als de hacker nu ook de bijbehorende inlognamen beschikbaar maakt dan wordt het opeens veel gevaarlijker. Als je de zelfde combinatie ook voor Ebay en Paypal gebruikt bijvoorbeeld.

[Roel J]

Gelukkig gebruik ik voor dat soort sites altijd aparte wachtwoorden, maar ik ben in dit soort situaties altijd resoluut. gewoon wachtwoord veranderen of ik nu op een lijstje sta of niet en ook voor .

 

die tip over een kort zinnetje ipv allerlei leestekens vind ik wel een handige, genoeg leuke zinnetjes.

Ik heb heel wat systeembeheerders vervloekt met hun regels over hoe een wachtwoord er uit moet zien.

 

 

[Tonino]

Kan ook handige site van hackers zijn, hoeven ze zelf niet meer te kraken maar geef je hun je wachtwoord gelijk zelf al.

 

Wat heb je aan enkel een wachtwoord, zonder de bijbehorende login?

 

Vraag me trouwens af hoe linkedin een salt wil gaan invoeren. Lijkt me alleen mogelijk als ze zelf alle wachtwoorden "kraken".

 

 

[Jazzy]

die tip over een kort zinnetje ipv allerlei leestekens vind ik wel een handige, genoeg leuke zinnetjes.

Ik heb heel wat systeembeheerders vervloekt met hun regels over hoe een wachtwoord er uit moet zien.

Daar zouden systeembeheerders helemaal niet over na moeten denken. Ik weet dat het in de praktijk wel zo werkt maar het zou de business moeten zijn die bepaalt hoe veilig of onvelig (of hoe bruikbaar en praktisch) het geregeld is. Aan de systeembeheerder de taak om dat in te regelen en af te dwingen.

 

In de praktijk zijn er dan ook weer systemen die een maximum aantal karakters ondersteunen, bijvoorbeeld legacy applicaties op AS/400. Of verschillende wachtwoorden in verschillende systemen, dus dat je niet één wachtwoord kunt gebruiken voor alle applicaties. Daar zijn dan ook wel weer oplossingen voor die zorgen voor één manier van authenticeren (wachtwoord, passphrase, smartcard, combinatie van factoren, irisscanner :), etc.) en daarmee verolgens aanmelden om de verschillende systemen.

[Wouter33]

Kan ook handige site van hackers zijn, hoeven ze zelf niet meer te kraken maar geef je hun je wachtwoord gelijk zelf al.

 

Wat heb je aan enkel een wachtwoord, zonder de bijbehorende login?

 

Vraag me trouwens af hoe linkedin een salt wil gaan invoeren. Lijkt me alleen mogelijk als ze zelf alle wachtwoorden "kraken".

 

 

 

Ze geven vooralsnog alleen aan dat de nieuwe wachtwoorden die ingesteld worden na de hack met een salt beveiligd zijn. Oude wachtwoorden kunnen niet zonder gebruikershandeling worden omgezet inderdaad.

 

Voor de mensen die niet zo into de materie zijn: Van vroeger uit werden wachtwoorden vaak met alleen een bepaald hash mechanisme opgeslagen. Als een lijst / database met wachtwoorden dan uit werd gelekt, dan waren de wachtwoorden niet zomaar zichtbaar. Door de tijd heen zijn er echter voor verschillende hash technieken hele lange lijsten (zogenaamde rainbow tables) op internet verschenen met woorden + de daarbijbehorende hash. Daardoor konden de wachtwoorden die in een hash waren opgeslagen naast die lijst worden gelegd en had men alsnog een wachtwoord gevonden.

 

Een oplossing voor het bovenstaande probleem is om salt(s) te gebruiken. Een salt is een voor elke gebruiker of een algemene unieke combinatie tekens. Deze worden tezamen met het wachtwoord toegevoegd waarna het wachtwoord wordt gehashd. Daardoor is de kans bijna nihil dat de hash op één van de lijsten op internet terug te vinden is.

[Jeannine vdLinden]

wat een ingewikkeld gedoe met tooltjes om erachter te komen of je wachtwoord op de lijst staat, je kunt toch gewoon je wachtwoord aanpassen? of mis ik nu iets?

 

Mijn vader zei altijd (vrij vertaald vanuit het Engels) Het een na laatste geluid van onze bestaan, vlaak voor de ontploffing van de wereldbol in vuur en vlam zal zijn: "Wat zou gebeuren als ik nou dit zou doen?"

 

Ofwel, mensen zijn gewoon nieuwsgierig.

[willemj]

Vraag me trouwens af hoe linkedin een salt wil gaan invoeren. Lijkt me alleen mogelijk als ze zelf alle wachtwoorden "kraken".

 

Dat hoeft niet. Je kunt de huidige 'versleutelde' wachtwoorden opnieuw 'versleutelen' met gebruik van een salt. Zolang je bij de controle van een wachtwoord maar dezelfde stappen gebruikt kun je zovaak en zoveel salts gebruiken als je wilt en dus ook achteraf toevoegen.

 

De tweede kamer komt ook in aktie. Hoop niet dat dit leidt tot een zelfde soort gedrocht van een wet als die voor de cookies...

[Sabra]

 

De tweede kamer komt ook in aktie. Hoop niet dat dit leidt tot een zelfde soort gedrocht van een wet als die voor de cookies...

 

Oh, het zal vast weer nodig bevonden worden om er een 'informatieve' campagne van zeg, een paar miljoen tegenaan te gooien om het volk te stimuleren niet het wachtwoord van je freaking bankrekening te gebruiken voor alle andere accounts die je aanmaakt. ::)

[Floor van Sandt]

Ik heb net mijn wachtwoord veranderd in 150 willekeurige (hoofd)letters en cijfers. Hoe snel zal deze te kraken zijn?

 

Haha ;D