Wijzig je te eenvoudige paswoorden ajb

[Goztow]

We hebben ondertussen toch al een 5-tal old time users die een post maken om reclame te maken voor een adult site. Het lijkt erop dat er bots zijn die op zoek gaan naar eenvoudige paswoorden om zo gevalideerde accounts teg ebruiken om te spammen. Hierbij dus een warme oproep om je paswoord te veranderen naar iets dat niet eenvoudig te kraken is indien het momenteel ene te envoudig paswoord betreft. Ik heb weinig zin om iedereen te forceren om zijn paswoord te veranderen naar iets complex maar als het de spuigaten zou uitlopen, dan moeten we het misschien overwegen.

[Splitter]

*checkt password vault*
jep, nope, het mijne lijkt me ingewikkeld genoeg

[splinterbyte]

Als je ze zou veranderen ineens maar 2FA er bij verplichten ook?

[Goztow]

De 2FA die hier actief is, is te complex voor vele users.

[splinterbyte]

complex

De QR code lijkt niet tevoorschijn te komen, om te kunnen scannen. De key manueel ingeven in een authenticator app werkt wel. Nu heb ik 2FA aanstaan dus.

[Sinna]

De QR-code verschijnt hier ook niet, maar met de key toch 2FA kunnen instellen.
Geen idee of het hieraan gerelateerd is (pw-wissel + instellen 2FA) maar mijn lijst met nieuwe berichten blijkt opeens leeg.
Edit: Na het insturen van deze reactie kwam die wél in de lijst terecht.

[splinterbyte]

mijn lijst met nieuwe berichten blijkt opeens leeg.

Was bij mij ook het geval, dacht doordat ik om de 2FA te testen uit- en ingelogd was.

[Goztow]

Uitloggen leegte inderdaad die lijst. Je kan wel de lijst van onbeantwoorde berichten gebruiken.

[CCatalyst]

Het lijkt erop dat er bots zijn die op zoek gaan naar eenvoudige paswoorden om zo gevalideerde accounts teg ebruiken om te spammen.

Als het echt bruteforcing met eenvoudige paswoorden is dan zit je toch ook al snel aan heel veel mogelijke combinaties? Ten eerste moet je een username eruit halen, en dan op die username talloze mogelijke eenvoudige paswoorden testen. Lukt het niet, door naar de volgende username. Dan kom je toch al snel aan heel veel combinaties? Is er geen rate limiting voorzien om dit tegen te gaan?

Maw: zeker dat het geen paswoord reuse is gezien login met username/password (en dus hergebruik van gegevens uit gelekte database)? Of session cookie stealers, wat meer en meer opmars maakt om zelfs complexe paswoorden gewoon compleet te omzeilen?

[Goztow]

Het is goed mogelijk dat het om lekken gaat, ja...

[devilkin]

Credential stuffing lijkt me idd het meest aannemelijke.

[ITnetadmin]

Credential stuffing is overigens meer dan alleen "paswoorden recyclen"; het hergebruiken van usernames en/of emailadressen helpt daar vaak ook niet.

En session cookie stealing is een echte pest tegenwoordig.
Ik ken een aantal mensen op discord die zo hun account kwijt zijn, ook al stond 2FA aan.
Da's nog het meest frappante; blijkbaar kan je dus ofwel email of paswoord (en andere delicate details) wijzigen of 2FA afzetten zonder een extra 2FA code te moeten ingeven (ofwel is die beveiliging lek).

Security systemen correct implementeren, het blijft een gigantisch probleem voor veel bedrijven en platformen.

[TheCeet]

Werden de 5-tal forumleden niet door de mods gecontacteerd? Via pb of mail, met vraag om ww te veranderen.
Want als ze dit niet lezen zullen ze nooit hun ww veranderen.

Of forced password reset uitvoeren? Maar is niet echt user friendly.

[Goztow]

Diegene die nog actief waren, zijn gecontacteerd per mail.

[CCatalyst]

Het is goed mogelijk dat het om lekken gaat, ja...

In die zin misschien verwarrend dat de titel "te eenvoudige paswoorden" is. Wat de titel suggereert zal wel helpen in eerste instantie, maar het kan evengoed een lek geweest zijn van een complex paswoord en zo iemand gaat zich misschien niet geroepen voelen hier om het pwd te veranderen. Maar soit.

En session cookie stealing is een echte pest tegenwoordig.
Ik ken een aantal mensen op discord die zo hun account kwijt zijn, ook al stond 2FA aan.

Idd, gebeurt vaak via browser extensies die rogue gegaan zijn. Zolang je de arbitraire "read and modify data on any webpage" permissie gegeven hebt, die zowat elke extensie wel vraagt, kunnen ze aan al je cookies en ze kunnen die op de achtergrond doorsturen naar een derde partij. Nog erger: updaten van extensies gebeurt volledig in de achtergrond zonder dat je er zicht op hebt, en van de ene op de andere versie kan zo'n stealer code erin sluipen.

Bepaalde eigenaars van populaire extensies hebben ook al gemeld dat ze regelmatig aanbiedingen krijgen om de extensie over te kopen (voor veel geld vaak) wellicht met de bedoeling om dan een update te publiceren met zo'n stealer erin. Of een tracker die elke webpagina die je bezoekt rapporteert, dat kan ook. Zelf ook al gezien waarbij een interne pagina hier geopend werd door een of ander IP uit een Amerikaans AWS datacenter, na onderzoek bleek dat een extensie te zijn die bij een gebruiker alle URL's doorstuurde en dan (een paar uur later of dagen later) kwam er een bezoekje van een AWS IP. Bevestigd door een unieke ?blabla123 string aan de URL toe te voegen en jawel, paar dagen later werd ?blabla123 bezocht door AWS IP.

[Goztow]

Om eerlijk te zijn had ik niet zo ver gedacht .

[boonpwnz]

Ik heb hier 2FA geactiveerd.

Ik gebruik voor veel sites complexe wachtwoorden maar misschien moet ik voor andere sites dit nog even aanpassen naar complexe.

[ITnetadmin]

^ Het probleem is vaak dat men de 2FA enkel gebruikt bij login.
Extra beveiliging zoals elke verandering van gevoelige data (username, email, password, 2fa zelf) zou ook nog ns moeten bevestigd worden met een 2FA input; en dat gebeurt niet vaak genoeg, waardoor men (oa dmv cookie stealing) de initiele login bypassed en daarna genoeg controle heeft over de account om de 2FA te omzeilen of zelfs af te zetten.

[Goztow]

We hebben een aantal veiligheidsinstellingen nog wat getweakt. Oa de cookie blijft max een maand geldig en is voortaan ook versleuteld.

[Joe de Mannen]

Is het daarom dat ik nu elke keer een cookie moet aanvaarden ?
J.

[liegebeestig]

Ik gebruik tapatalk en helaas kan ik niet meer inloggen daar als ik 2fa aanzet op userbase.

[Goztow]

@Joe de Mannen zelf heb ik die maar een keer moeren aanvaarden.

[Joe de Mannen]

ik minstens 3 of 4 keer.
J.

[on4bam]

Ondertussen mijn paswoord (van 2006) veranderd in een "iets" moeilijkere combinatie met een grotere variatie van karakters. Terwijl we toch bezig waren ook 2FA geactiveerd maar dat moest manueel ingesteld worden want de QR code kwam niet tevoorschijn.
Getest en probleemloos gelukt.
Daarna op de tablet proberen in te loggen, Bitwarden vulde netjes in en na (manueel) toevoegen van de key ook daar no problem.

Toch straf dat na 18 jaar mijn oude paswoord nog niet terug te vinden is bij de gekende gelekte paswoorden lijsten.

[ubremoved_29832]

Is het ook mogelijk om account af te sluiten? (toch iets veiliger dan gewoon niet meer inloggen, nu ook 'pass reset' om dit te vragen...)
In profiel vind ik niet direct de optie. Nooit zinvolle bijdragen gehad maar ook niet echt nodig om iets te verwijderen of zo.

[on4bam]

Ik denk dat dat adminwerk is. Je posts kunnen dan geanonimiseerd worden ubremoved_*** o.i.d.
Contacteer @Goztow of @devilkin eens.

[devilkin]

Inderdaad. Indien je je account wenst te sluiten, stuur ons dan een privé bericht.

Sent from my SM-X820 using Tapatalk

[Data technicus]

Hier twee interessante artikels over waarschuwingen over wachtwoorden.

https://www.clint.be/actua/professionel ... -dit-nooit

En 1 over nederlanders:

infostealer' is in opkomst: tienduizenden Nederlanders slachtoffer van virus dat privégegevens en wachtwoorden steelt

https://www.rtl.nl/nieuws/tech/artikel/ ... vegegevens

[devilkin]

Heh.. pen en papier - handig als je mss 5 accounts hebt. Of je massaal aan herbruik doet van je wachtwoorden, wat absoluut niet aan te raden is.
Een offline password-manager volg ik wel.

Maar eender wat je gebruikt: eentje die al wat audits doorstaan heeft, en dan moet je er nog een stevig master-wachtwoord opzetten, en liefst nog (bvb in Keepass) in combinatie met een keyfile die je niet op dezelfde locatie gaat opslaan als je vault. Dusdanig moet men al 3 dingen te pakken krijgen eer ze erin kunnen.

[Splitter]

en vandaar dus de session hijacking.... heb je je master password op een papiertje, om een offline vauilt te openen, waarbij je ook nog je usbstick moet insteken, dus al heel wat minder handig voor jezelf.... gaan de hackers gewoon een auto-updatende extension hacken en halen ze gewoon je session cookies uit de browser, en zijn ze nog binnen.

[devilkin]

Natuurlijk. Maar da's dan 1 per 1, ipv direct je ganse pw vault. Die je liefst niet als browser extension gebruikt

[Splitter]

Natuurlijk. Maar da's dan 1 per 1, ipv direct je ganse pw vault. Die je liefst niet als browser extension gebruikt

goh, dat denk ik dat een beetje aan het threat-model ligt vs het comfort van gebruik.
als je een password manager gebruikt die op je pc staat, zal er altijd een voor/nadeel zijn aan elke methode (want als die niet in de browser zit, gaat die de info kopieren naar je klembord, en als je met malware zit of iets dat vanuit een extensie oid toegang heeft tot het klembord, kan het zo ook gewoon verzameld worden)

natuurlijk moet je wel zo min mogelijk extensie installeren (niet zoals de goede oude tijd waarin je 3/4de van het scherm in internet explorer ingenomen werd door van die addons) en moet je je vault snel laten locken etc, maar ik denk -dat voor de meeste mensen- de browser extension prima is.

natuurlijk is er dan ook nog een verschil tussen een hosted manager (bv lastpass), een selfhosted manager (bv vaultwarden) en een desktop manager (zoals keepass),
gezien er maar 1 van de 3 is dat natuurlijk enkel kan benaderd worden als er al lokaal iets mogelijk is, gezien de andere 2 web-based zijn.

[ITnetadmin]

Om effe devil's advocate te spelen:

Nadelen van complexe en unieke paswoorden via een vault:
1) Als de vault online is > hacking, of een te eenvoudig master password
2) Bij een offline vault > onhandigheid als je geen copy op zak hebt
3) Bij beide > problemen als je bv op vakantie je gsm kwijtgeraakt (of gestolen wordt) en je geraakt niet meer aan je paswoorden (geen copy van de vault meer of je kent je master pwd niet meer vanbuiten)
4) In opvolging van (3), ook dat iemand anders via je gsm in je vault geraakt en ineens al je accounts ook weer gehacked zijn

Eenvoudigere paswoorden zijn dan wel problematisch, maar in sommige gevallen is access in noodgevallen (een pwd dat je kan onthouden en niet opschrijft) altijd beter dan geen access omdat je afhangt van een systeem dat faalt op zo'n moment.

Daarbij komen nog de problemen van gestolen cookies, slechte 2FA implementatie (waardoor hackers je username/email/pwd of zelfs 2FA kunnen wijzigen eenmaal ze access hebben, zonder nog ns een 2FA code te moeten genereren).
Ivm die cookies, lijkt het me nog best om alle browser auto-updates af te zetten; blijkbaar is "een verouderde versie runnen" niet zo slecht voor je veiligheid, als ze niet kunnen garanderen dat de auto-updates ook hackvrij zijn.

[Splitter]

ik heb 1 (relatief) ok master password dat ik kan onthouden in gebruik voor mijn (selfhosted) vault (al zal het wss relatief makkelijk te kraken zijn zoals alles, als iemand echt wil i guess), in combinatie met fail2ban en co om bruteforce te beperken, alsook een geo ip restrictie voor IPs tot belgie te beperken (zou het nog sterker kunnen maken door mijn IP te nemen, en dan enkel via vpn te verbinden, maar dat is -voorlopig- een brug te ver qua gemak)

ben ik in het buitenland en raak ik mijn gsm kwijt, kan ik idd niet meer in mijn vault, dat klopt... maar in theorie iemand anders ook niet, tenzij ze het echt gaan zitten bruteforcen op gsm.

naar 2fa heb ik een deel met yubikeys beveiligd ook, maar ik merk toch dat ik die te weinig gebruik tbh, en de meeste 2fa codes bewaar ik in een aparte app buiten de vault.

ik ga zeker niet zeggen dat mijn setup ideaal is, denk ook niet dat je echt een ideale setup kan hebben, maar anderzijds ben ik ook niet echt een interessant doel

[ben144]

Voor de belangrijke zaken heb ik nog een pre en/of suffix gedeelte wat bij het wachtwoord uit de vault moet komen. Dit pre en suffix staat nergens.

[thmj]

Nu wachtwoord wijzigen is een iets.
Maar wat als het op mail adres plaatsvind.
Onlangs vraag om paswoord aan te passen ontvangen.
Of het toeval is op andere site's met andere paswoorden ook het adult gedoe.

[ITnetadmin]

ben ik in het buitenland en raak ik mijn gsm kwijt, kan ik idd niet meer in mijn vault, dat klopt... maar in theorie iemand anders ook niet, tenzij ze het echt gaan zitten bruteforcen op gsm.

Ik dacht in dat geval nog altijd eerder aan het probleem "je bent buitengesloten uit sites die je mss wel moet kunnen bezoeken om terug 'online' te geraken, zoals email", niet zozeer "de dief zou er ook aankunnen".
Als je je eigen paswoorden niet meer vanbuiten kent, ben je afhankelijk van je storage oplossing (online of offline, beiden met eigen issues).
En als je in het buitenland je toegang kwijtgeraakt, heb je mss nog grotere problemen (bv vliegtickets en andere reisdocumenten die in je mailbox zitten).
Dat geldt overigens ook voor 2FA generators; mooie manier om jezelf buiten te sluiten die in je gezicht kan ontploffen als je toegang nodig hebt in noodgevallen.

[Splitter]

mailbox is iets dat ik niet in mijn vault heb zitten en waarvan ik de paswoorden vanbuiten ken, daar heb ik idd rekening gehouden met het "als je er niet meer inkan, heb je problemen".
feitelijk ben ik over de jaren heen stilaan overgegaan naar het systeem van 1 master password + 1 mailbox/password + vault met ingewikkelde site paswoorden

het idee van @ben144 vind ik ook nog wel een goede, een prefix toevoegen aan paswoorden, en die prefix niet in de vault houden,
geeft je idd nog een extra voet achter de deur als je vault toch bemachtigd zou worden.

[Ekahau]

Dit gaat zelfs nog een stapje verder.

[Splitter]

is al een apart topic over SS7: viewtopic.php?p=1002833