LinkedIn is gehacked

[johcla]

LinkedIn is gehacked en de hashes van de paswoorden zijn ontfutseld.
Wie op LinkedIn zit, verandert best zijn paswoord.
Als je hetzelfde email-adres en paswoord voor andere sites gebruikt, verander je die best ook.

bron: http://krebsonsecurity.com/2012/06/if-y ... -password/

[Heronic]

Getroffen accounts krijgen wel een mail.

[silencer]

Iemand interesse in de hashes ? (om te controleren of je paswoord gekraakt is?)

[Splitter]

sure, geef mij maar de hash (en mss het gedecodeerde ook, dan weet ik gelijk weer welk paswoord ik ginds gebruikte )

[honda4life]

Blijkt om de oude hashes van ergens rond februari te gaan en is dus zeker geen recente hack.
Ik snap niet hoe er zo'n heisa is ontstaan rond oud nieuws

[tendonsie]

Al deze dingen gebeuren steeds frequenter en frequenter.

Telkens moet je dan op alle sites je wachtwoord gaan aanpassen, het is onbegonnen werk.

Sinds tijden gebruik je verschillende wachtwoorden, maar het is onbegonnen werkt om op 100 sites telkens 100 verschillende wachtwoorden te gebruiken.

Het is tijd geworden dat ze eens een universeel iets maken dat niet te hacken is, met een persoonlijke authenticator bv en dat op alle grote sites ter wereld gebruiken.

Want nu, waar zijn we mee bezig, continu elke week nieuw itemtje ergens op een techsite dat dit gebeurd.

[iceke]

Doe een beetje moeite en gebruik verschillende ww voor verschillende sites en schrijf ze gewoon op (of gebruik een tooltje als lastpass)

[Dennahz]

Blijkt om de oude hashes van ergens rond februari te gaan en is dus zeker geen recente hack.
Ik snap niet hoe er zo'n heisa is ontstaan rond oud nieuws

Oude hashes... maar hoeveel mensen veranderen hun wachtwoord?

[Goztow]

Doe een beetje moeite en gebruik verschillende ww voor verschillende sites en schrijf ze gewoon op (of gebruik een tooltje als lastpass)

Dan is dat papierke ook een serieus security risk!

[fredo66]

Al deze dingen gebeuren steeds frequenter en frequenter.

Inderdaad, ik kreeg vorige week een zelfde melding van www. replacedirect.be

[ubremoved_539]

Iemand interesse in de hashes ? (om te controleren of je paswoord gekraakt is?)

Trouwens als je je hash gaat opzoeken... strip er dan de eerste 5 karakters af. Om één of andere reden is er in de lijst geprutst aan die eerste posities... dus puur zoeken op je hash geeft meestal geen resultaat terwijl je er toch in zit?

[bollewolle]

De paswoord sterkte doet me altijd aan dit denken: http://xkcd.com/936/

Anyway, heb een tijdje geleden op Lifehacker wel een goeie tip gelezen (vind artikel niet direct terug). Hun tip was om je standaard paswoord te verlengen met een symbool (& @ # ...) en daarna dan een uniek stukje gelinkt aan de site. Stel dat je standaard paswoord plopperdeplop is dan zou je voor userbase bijvoorbeeld het volgende kunnen doen

plopperdeplop&UsErBaSe
plopperdeplop@SrBs
plopperdeplo#UeAe
...

Als je uniform blijft in die zaken heb je zo een uniek paswoord per site die toch relatief eenvoudig te onthouden is. Je hoeft ook niet de naam van de site zelf te gebruiken, een bepaald element ofzo kan ook gebruikt worden (bijvoorbeeld eerste woord onder het logo, of iets uit de copyright notice, ... Wel risicovoller als de site van layout veranderd uiteraard.

[Ken]

Ik gebruik voor iedere site steeds een nieuw gegenereerd wachtwoord van minstens 16 karakters, of minder als het echt niet kan. Nergens heb ik één zelfde wachtwoord. De file met alle wachtwoorden staat op m'n vaste pc in een Truecrypt container en ook op een USB stick. Voor vaak gebruikte sites op eigen pc's sla ik het wachtwoord ook op in Firefox.

Behalve voor gebruik op m'n laptop en vaste pc's...

[BMaster]

Doe een beetje moeite en gebruik verschillende ww voor verschillende sites en schrijf ze gewoon op (of gebruik een tooltje als lastpass)

Dan is dat papierke ook een serieus security risk!

De kans dat een anonymous hacker bij je thuis gaat inbreken om dat papiertje te stelen lijkt mij toch miniem

[ubremoved_539]

Ik gebruik voor iedere site steeds een nieuw gegenereerd wachtwoord van minstens 16 karakters

Voor gevoelig sites zoals m'n internet bankieren zal ik ook een sterker paswoord gebruiken, maar voor de 101 sites ala Userbase is dat gewoon geen manier van werken omdat ik deze vanop verschillende plaatsen raadpleeg (en ik heb echt geen zin hiervoor iedere keer KeePass op te starten).

Recentelijk ben ik wel begonnen met het truukje van Bollewolle, alhoewel dat het in die vorm ook niet ideaal is (indien men je hash brute forced dan kan men namelijk je structuur herkennen). Persoonlijk gebruik ik gewoon de "initialen" van een site, bv. UB voor UserBase en meng deze onder m'n plopperdeplop onder.

[krisken]

http://datanews.knack.be/ict/nieuws/nie ... z_zZvVA1L2

Hier gebruik ik wat rare tekens zoals @#()!=+ in combinatie met de "initialen" van een site en een gewoon pass.

Dan krijg je zoiets als (neen ... je moet het niet proberen, 't zal niet werken ) @@ub0P@$$##.

De @@ en het ernaast liggende ## kan men wel onthouden. (rare tekens)
ub staat voor Userbase (kleine letters)
de 0 is de scheiding tussen de "initialen" en "password"(cijfers)
P@$$ is terug een letter (hoofdletter) en rare tekens. Maar makkelijk te onthouden

Andere truckjes zijn bvb U$€rb@$€ als wachtwoord. Succes als je dat "hacked" Al is hacken natuurlijk al wat anders dan "wachtwoorden van een site plukken"

[ubremoved_539]

Succes als je dat "hacked"

Je weet toch dat "aaaaaaaaaaaaaaaa@" en "tsjudrlknctapkq@" even makkelijk te kraken zijn ?

Het enige wat een impact heeft op de sterkte is vooral de lengte en de karaketer set (en in essentie zijn er maar twee; enkel cijfers en letters of cijfers en letters en special tekens).

[iceke]

Niet echt natuurlijk... hackers gebruiken een "woordenboek" en zullen eerst de obvious dingen proberen te hacken jeff1974 of 1974jeff zullen ze dus sneller hebben dan j19eff74.
Soit, gebruik een password generator, schijf je wachtwoorden op en verander regelmatig van ww (bv. aZ0B1ZP1 maandelijks veranderen naar aZ0B1ZP2 enz.)

[ubremoved_539]

Niet echt natuurlijk... hackers gebruiken een "woordenboek" en zullen eerst de obvious dingen proberen te hacken jeff1974 of 1974jeff zullen ze dus sneller hebben dan j19eff74.

Een woordenboek is volgens mij enkel voor exacte matches... niet voor varianten zoals jij aangeeft.

Als er dus jeff in het woordenboek staat zal hij dat proberen, maar niet jeff1974 of 1974jeff.

[krisken]

Niet echt natuurlijk... hackers gebruiken een "woordenboek" en zullen eerst de obvious dingen proberen te hacken jeff1974 of 1974jeff zullen ze dus sneller hebben dan j19eff74.

Een woordenboek is volgens mij enkel voor exacte matches... niet voor varianten zoals jij aangeeft.

Als er dus jeff in het woordenboek staat zal hij dat proberen, maar niet jeff1974 of 1974jeff.

Dat is dus inderdaad wat ik wou zeggen. Enkel cijfers of enkel letters zal makkelijker te "kraken" zijn dan met vreemde tekens in etc. Uiteraard hou je ze niet buiten, maar het zal wel langer duren. En zoals je zelf zegt : je moet genoeg karakters hebben om ze het extra moeilijk te maken.

[iceke]

mathematisch...

een wachtwoord met enkel cijfers = 10 verschillende cijfers
wachtwoord met 3 cijfers = 10 tot de 3de macht, 4 cijfers = 10 tot de 4de macht enz. (10.000)

een wachtwoord met enkel letters = 26X2 =52 verschillende letters
wachtwoord met 3 letters = 52 tot de 3de macht, 4 letters = 52 tot de 4de macht enz. (7.311.616)

cijfers & letters = 62 verschillende cijfers en letters
62 tot de 3de macht 62 tot de 4de macht enz... (14.776.336)


nu mag er iemand uitrekenen voor mij of je beter een wachtwoord gebruikt met 9 cijfers en letters of een wachtwoord met 8 cijfers/letters/speciale tekens

(nu opzich maakt dat natuurlijk geen zak uit in dit geval, ik veronderstel dat de wachtwoorden op die site versleuteld worden ? wanneer men die versleuteling kraakt, maakt het natuurlijk niks uit hoe sterk jouw ww is)

[driesve]

Het aantal mogelijke wachtwoorden speelt inderdaad een rol, maar vanaf ze lang genoeg zijn is dat niet meer belangrijk, in de veronderstelling dat een goede hash-functie wordt gebruikt.

Bij het "zoeken" naar het wachtwoord, wordt met een woordenboek gewerkt (indien de beveiliging goed is). Dus het is ook belangrijk om stil te staan bij de mogelijke inhoud van het woordenboek.

Het wachtwoord qwertyqwertyqwerty (of azertyazertyazerty) heeft een lengte van 18 karakters, maar de kans is wel groot dat dit soort wachtwoorden in het woordenboek staan. Daarentegen het wachtwoord dlzogheixsiaiekxph zal misschien niet in het woordenboek voorkomen, maar heeft toch dezelfde lengte.

Het doorlopen van een volledig woordenboek is een tijdsrovende operatie. Maar indien het om belangrijke wachtwoorden gaat, kan er wel "eventjes" gewacht worden en dit kan ook parallel worden uitgevoerd. Een mogelijke manier om dit zoekproces te versnellen is door gebruik te maken van rainbow tables.


De lengte van een goedgekozen wachtwoord is zeker het belangrijkste, maar daarnaast mag ook de combinatie van verschillende tekens, letters en cijfers niet uit het oog verloren worden. Wachtwoorden zoals qwerty123456 zullen waarschijnlijk wel worden nagegaan.

[tendonsie]

De paswoord sterkte doet me altijd aan dit denken: http://xkcd.com/936/

Anyway, heb een tijdje geleden op Lifehacker wel een goeie tip gelezen (vind artikel niet direct terug). Hun tip was om je standaard paswoord te verlengen met een symbool (& @ # ...) en daarna dan een uniek stukje gelinkt aan de site. Stel dat je standaard paswoord plopperdeplop is dan zou je voor userbase bijvoorbeeld het volgende kunnen doen

plopperdeplop&UsErBaSe
plopperdeplop@SrBs
plopperdeplo#UeAe
...

Als je uniform blijft in die zaken heb je zo een uniek paswoord per site die toch relatief eenvoudig te onthouden is. Je hoeft ook niet de naam van de site zelf te gebruiken, een bepaald element ofzo kan ook gebruikt worden (bijvoorbeeld eerste woord onder het logo, of iets uit de copyright notice, ... Wel risicovoller als de site van layout veranderd uiteraard.

Dat is inderdaad nog een goeie tip xD

[honda4life]

Ook niet vergeten dat er al attacks bestaan op bijv00rb33ld (dat ze die 3 al als een e beschouwen en de 0 als een 0 en zo nog veel meer)
Oké dit is iets beter maar nu ook niet geloven dat je plots een sterk wachtwoord hebt

[krisken]

@honda4life klopt:
P@$$w0rd staat inderdaad al in het woordenboek

[ubremoved_539]

En zaken zoals Password1, 23, 234, 2345, 23456, ... ?

[Tomby]

Ik gebruik gewoon KeePass (www.keepass.info) en genereer voor elke nieuwe site gewoon een random paswoord. KeePass bestaat ook voor Android, dus heb ik ook alle paswoorden in mijn telefoon voor het geval ik ooit eens op een andere PC een paswoord zou moeten ingeven.

[Mathy]

Ik heb hetzelfde als Tomby, mijn Keepass file wordt automatisch gesynchroniseerd met mijn GSM en werk-laptop via Dropbox. Het Keepass hoofdwachtwoord is complex genoeg naar mijn goesting. Ik zou zelfs niet weten hoe de wachtwoorden van mijn laatste 5 registraties eruit zien, ik gebruik gewoon de random gegenereerde wachtwoorden van Keepass en c/p, dus steeds verstopt achter bollekes

[johcla]

Ik gebruik Lastpass. Als ik daarop inlog op een onbekende pc, moet ik naast mijn wachtwoord ook een code ingeven die door Google Authenticator gegenereerd is op mijn gsm.
Wachtwoord van mijn Truecrypt containers is een absurde zin van 22 karakters die onafhankelijk is van qwerty of azerty toetsenbord-indeling.

[Kenw00t]

Ik gebruik ook voor elke site een gegenereerd wachtwoord van minstens 12 karakters.
Vroeger deed ik dat met behulp van PasswordMaker.org. Sinds kort gebruik ik echter ook de LastPass + YubiKey combinatie voor 2-factor auth .

Tip: op http://www.leakedin.org/ kan je nakijken of je wachtwoord effectief in die database stond. Het straffe is dat mijn gegenereerd wachtwoord er dus ook instond. Lijkt me dus nogal legitiem die lek...

[depeje]

Iemand op linkedin had blijkbaar wachtwoord "abc123".

[conehead]

Dat is toch een stevig wachtwoord

[Splitter]

het wachtwoord "linkedin" was er ook bij
net zoals "password" en "letmein"

[johcla]

Tip: op http://www.leakedin.org/ kan je nakijken of je wachtwoord effectief in die database stond. Het straffe is dat mijn gegenereerd wachtwoord er dus ook instond. Lijkt me dus nogal legitiem die lek...

Thx voor de tip. Mijn gegenereerd wachtwoord staat er ook in. Gelukkig heb ik het gisteren al veranderd.

[bollewolle]

Correct me if I'm wrong maar op zich is het toch niet erg dat je paswoord (al dan niet gegenereerd) in die lijst voorkomt? Het zijn hashes dus ze zouden die nog moeten kraken alvorens ze weten wat ze juist zijn (op de obvious/makkelijke na uiteraard). Uiteraard kan je het best aanpassen voor de zekerheid maar in theorie kennen ze je eigenlijke paswoord nog altijd niet.

[honda4life]

Het probleem is dat ze niet "gesalt" zijn, en dus relatief eenvoudig via rainbow tables te achterhalen zijn naar het originele wachtwoord.
Heb je dan wat rekenkracht en wat grafische kaarten gaat het best wel vlot


Ook een kleine tip die ik je kan meegeven, is dat je zo ook best je naam van je wireless AP aanpast, omdat je SSID vaak de salt is.
Rainbow tables genereren duurt lang, maar daarna gaat het stukken sneller.
Ik hoef je vast niet te vertellen dat rainbow tables voor "linksys" en "belkin" door iemand anders al ter beschikking zijn gesteld op het net.

Een salt hoeft dus niet noodzakelijk geheim te zijn maar helpt wel goed tegen brute-force

Voor zover ik zelf weet
http://en.wikipedia.org/wiki/Salt_%28cryptography%29

[johcla]

Lastpass heeft ook een tool om te kijken of de hash van je wachtwoord bij Linkedin gestolen is: https://lastpass.com/linkedin/

En volgens dat tooltje is mijn wachtwoord dan weer niet gestolen.

[honda4life]

nogmaals herhalen, het gaat over geen recente database.
Dit is oud nieuws dat eigenaardig genoeg terug bovengehaald is

[Kenw00t]

Lastpass heeft ook een tool om te kijken of de hash van je wachtwoord bij Linkedin gestolen is: https://lastpass.com/linkedin/

En volgens dat tooltje is mijn wachtwoord dan weer niet gestolen.

Het mijne dan weer wel

[depeje]

Ook een kleine tip die ik je kan meegeven, is dat je zo ook best je naam van je wireless AP aanpast, omdat je SSID vaak de salt is.

En hoe geraakt een website aan het SSID waarvia je surft? Als je al via wifi aan het surfen bent. En als je dan opeens via een ander draadloos netwerk verbindt, werkt je wachtwoord dan niet meer?